Rischi sul web, danni all’azienda: sì al licenziamento del lavoratore

L’azienda che subisce un pesante attacco informatico e sia costretta a pagare un riscatto per recuperare i dati sottratti può licenziare il dipendente che ha navigato ripetutamente su siti non sicuri per fini privati mettendo a rischio la sicurezza interna. Lo ha precisato il Tribunale di Venezia con la sentenza 494 depositata il 6 agosto, che ha ritenuto legittimo il licenziamento per giusta causa da un’agenzia marittima nei confronti di dipendente che aveva effettuato numerosi accessi a siti e form personali durante l’orario di lavoro, anche durante gli straordinari che aveva chiesto per far fronte alle incombenze ordinarie.

I controlli sul Pc del dipendente erano avvenuti in seguito a un hackeraggio con blocco dell’intero sistema aziendale tramite ransomware, un tipo di virus che limita l’accesso dei dispositivi che infetta. Il malware aveva criptato tutti i dati del disco del computer del lavoratore per poi propagarsi sulla rete aziendale, criptando i file presenti all’interno dei dischi di rete. L’agenzia aveva poi pagato un riscatto per ottenere il ripristino dei dati, ma aveva anche avviato un’indagine interna per accertare la causa dell’attacco.

All’esito del controllo effettuato da un consulente informatico e da un’agenzia di investigazioni era emerso che il dipendente, un capo servizio con compiti di organizzazione e coordinamento, aveva visitato siti di prenotazione viaggi, spettacoli e anche chat di incontri per adulti oltre a siti pornografici, dopo aver ottenuto l’autorizzazione a svolgere ore di straordinario.

La sentenza ribadisce che l’articolo 4 dello Statuto dei lavoratori, così come modificato dall’articolo 23 del Dlgs 151/2015, attuativo del cosiddetto Jobs Act e integrato successivamente dal Dlgs 185/2016 consente al datore di lavoro di effettuare controlli su tutti i dispositivi informatici in uso ai dipendenti a condizione che sia data adeguata informativa al dipendente. In questo caso, l’azienda aveva precisato di aver portato a conoscenza le policy aziendali tramite affissioni in un espositore accanto al distributore del caffè e in un’apposita cartella del server aziendale accessibile a tutti i lavoratori.

A pesare sono stati soprattutto il numero degli accessi effettuati e la tipologia dei siti visitati, che per il giudice hanno messo a rischio la sicurezza informatica dell’intera azienda. Il lavoratore aveva inoltre inviato comunicazioni a nome dell’azienda, usandone abusivamente la carta intestata e apponendo firme falsificate. La gravità complessiva degli addebiti per il giudice è stata ritenuta proporzionale al licenziamento irrogato. A nulla è valsa la difesa del ricorrente, che aveva contestato gli accessi perché il computer non sarebbe stato protetto da password e chiunque avrebbe potuto accedervi.

Le policy aziendali, infatti, precisavano che il lavoratore dovesse essere responsabile di custodire con cura i codici di accesso assegnati. Inoltre, nel caso specifico, la cronologia delle esplorazioni era inequivocabilmente riferibile al lavoratore che aveva prenotato viaggi e poi postato le fotografie di quegli stessi luoghi sui propri canali social.

Non è la prima volta che i controlli sui device aziendali inchiodano i lavoratori, esponendoli al rischio di licenziamento. Il Tribunale di Bari con la sentenza 2636 del 10 giugno 2019 aveva ritenuto legittimo il licenziamento di una segretaria sorpresa a svelare segreti di impresa tramite il cellulare aziendale. Così come per la Cassazione è lecito licenziare il dipendente che gioca abitualmente al solitario tramite il computer aziendale (Ordinanza 13266 del 2018). Il principio giuridico è chiaro: il datore di lavoro può effettuare controlli mirati per verificare il corretto uso, da parte dei dipendenti, di strumenti di lavoro come i Pc o gli smartphone aziendali, ma nel rispetto della libertà e della dignità dei lavoratori, nonché dei principi di correttezza, pertinenza e non eccedenza, potendo determinare il trattamento di informazioni personali di carattere sensibile.