Il caso: accessi non autorizzati ai fascicoli sanitari elettronici

La vicenda riguarda una dipendente di un’Azienda Ospedaliera Universitaria, licenziata per aver effettuato 30 accessi non autorizzati alla banca dati dei fascicoli sanitari elettronici, consultando informazioni senza alcuna motivazione di servizio.
In alcuni casi, l’accesso aveva riguardato persino i fascicoli di persone con cui la donna aveva contenziosi personali, tra cui i propri vicini di casa.Il Tribunale e successivamente la Corte d’Appello hanno ritenuto legittimo il licenziamento, in quanto proporzionato alla gravità della condotta. Nonostante ciò, la dipendente ha proposto ricorso in Cassazione, sostenendo l’illegittimità della sanzione.

La posizione della Suprema Corte

La Cassazione ha confermato la legittimità del provvedimento, precisando che “l’accesso al sistema informatico aziendale non può essere considerato lieve quando effettuato per finalità personali o non riconducibili a esigenze di servizio”.
Un comportamento di questo tipo, hanno affermato i giudici, è incompatibile con la prosecuzione, anche temporanea, del rapporto di lavoro, e giustifica pertanto l’applicazione della sanzione disciplinare più grave.

Il principio di diritto: accesso abusivo anche con credenziali valide

Gli Ermellini hanno ribadito che la violazione dell’art. 615-ter c.p. si configura ogni volta che un soggetto acceda a un sistema informatico per fini diversi da quelli per cui gli è stato autorizzato l’accesso, indipendentemente dal fatto che disponga legittimamente delle credenziali. Non assume dunque rilievo che l’agente conosca la password o l’abbia ricevuta dall’avente diritto, poiché l’utilizzo delle credenziali per scopi estranei alla volontà del titolare della banca dati comporta comunque una forzatura dei limiti dell’autorizzazione e determina l’accesso abusivo. Parimenti, non ha alcuna rilevanza la motivazione personale o professionale addotta per giustificare l’utilizzo delle informazioni acquisite: il solo fatto di accedere o consultare dati per finalità diverse da quelle di servizio integra il reato.

Il principio confermato dalla giurisprudenza

La Cassazione ha così confermato un orientamento costante (cfr. Cass. pen. n. 34141/2019, n. 2905/2019, n. 52572/2017), ulteriormente chiarito dalle Sezioni Unite con la sentenza n. 41210/2017, secondo cui il reato di accesso abusivo si realizza anche da parte di chi sia legittimato all’ingresso nel sistema informatico, qualora utilizzi tale accesso oltre i limiti dell’autorizzazione concessa.

Conclusioni

La pronuncia conferma un principio ormai consolidato: l’uso improprio di credenziali informatiche per scopi personali o estranei al servizio costituisce accesso abusivo, comportando conseguenze penali e disciplinari gravi, fino al licenziamento per giusta causa.
La violazione delle regole interne e del codice di comportamento del dipendente pubblico rafforza, inoltre, la legittimità del provvedimento espulsivo, a tutela della fiducia e dell’integrità del rapporto di lavoro nel settore pubblico e sanitario.