Disciplinare l’impiego dei servizi di condivisione in cloud per ridurre i rischi legali

Gli strumenti di collaborazione e condivisione di file in cloud sono largamente diffusi nei rapporti di lavoro e di business, pertanto il loro impiego deve essere correttamente disciplinato. Come? Andando a chiarire, gestire e controllare ruoli e responsabilità dei soggetti che intervengono, regolandone i privilegi di conseguenza. Aspetti che se sottovalutati, o peggio omessi, sono idonei a generare effetti che impattano non solo sull’ambito della sicurezza informatica ma anche in relazione ai rischi legali.
Alcuni esempi possono essere conseguenze di tipo amministrativo, civile e penale quali:

• l’essere destinatari di un provvedimento sanzionatorio comminato da parte del Garante Privacy per non aver istruito e autorizzato taluni utenti all’accesso a dei dati personali, o a non aver rispettato le prescrizioni riguardanti gli amministratori di sistema;
• l’esposizione ad una richiesta di risoluzione in danno di un contratto per non aver rispettato i termini di NDA in quanto si è consentito l’accesso ad altri soggetti ad informazioni confidenziali e riservate;
• l’incertezza applicativa della tutela per accesso abusivo a sistema informatico per non aver definito chiaramente la titolarità della cartella.

Ed è stato proprio nel cassare con rinvio una condanna in sede penale per accesso abusivo a sistema informatico che la V sezione penale della Cassazione ha accolto il ricorso di due ex dipendenti (sent. n. 27900 del 29 giugno 2023) condannati nei due precedenti gradi di giudizio, indicando quali elementi devono essere presi in considerazione per valutare oggettivamente questo specifico ambito di rischi legali. E beninteso, la situazione di incertezza che riguarda – come in questo caso – la titolarità di uno spazio di archiviazione cloud condiviso produce un rischio tanto in capo ai dipendenti che potrebbero trovarsi a vedersi contestata la commissione di un reato, quanto in capo all’organizzazione che potrebbe non essere in grado di mantenere il controllo dei file condivisi.

Il caso arrivato in Cassazione (e rinviato): la modifica dell’indirizzo dell’account Dropbox da parte del dipendente

Nel caso preso in esame dalla sentenza richiamata, l’accesso abusivo è stato contestato in seguito alla modifica, successiva al licenziamento, dell’indirizzo aziendale associato all’account Dropbox attraverso il quale i dipendenti erano soliti condividere temporaneamente alcuni files di lavorativi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Per effetto di tale operazione, ovviamente, l’ufficio tecnico aziendale non era più in grado di accedere a quell’ambiente di lavoro condiviso il quale veniva collegato ad una nuova società costituita dai due ex dipendenti.

Stando alle difese presentate, l’account risultava essere un’utenza di tipo free e non business creata spontaneamente dai dipendenti e posta da loro a disposizione dell’azienda fino al momento del licenziamento senza alcun successivo trasferimento di dati né informazioni.

Appare incontestato, infatti, che lo spazio venne creato dagli imputati per facilitare la loro attività lavorativa (…) e, in tale prospettiva, da loro messo a disposizione della società, che consentì a collegarvi, per l’accesso, un account, contraddistinto da un indirizzo telematico riconducibile all’azienda.

Inoltre, i ricorrenti rilevano che l’indicazione della proprietà suggerita dalle condizioni d’uso di Dropbox è la seguente:

Per impostazione predefinita, sei il proprietario di tutte le cartelle condivise che crei, a eccezione delle sottocartelle create all’interno di cartelle condivise altrui. Tuttavia, puoi trasferire la proprietà a un altro membro cambiando le autorizzazioni di condivisione della cartella principale.

La condivisione, ovviamente, in seguito alla risoluzione del rapporto di lavoro e la creazione di una nuova società non aveva più ragion d’essere e dunque tutto ruota attorno alla disponibilità o meno dello spazio di archiviazione con conseguente possibilità di regolarne gli accessi. Dal momento che infatti è indubbia la qualificazione di domicilio informatico di uno spazio cloud condiviso, l’accesso abusivo può essere realizzato solo con una condotta o in violazione di prescrizioni formali o altrimenti ontologicamente estranea rispetto a quella per cui la facoltà di accesso è stata attribuita.

Le indicazioni fornite dalla S.C. a riguardano pertanto l’individuazione dei ruoli:

al fine di accertare se l’affermata sussistenza della fattispecie delittuosa di cui
si discute sia o meno sorretta da idonea motivazione, attiene all’individuazione dei soggetti che erano legittimati ad accedere in via esclusiva allo spazio Dropbox creato (…) ovvero a chi appartenesse tale spazio virtuale

nonché l’utilizzo accettabile:

diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio Dropbox applicabile in concreto quando venne operata la suddetta modifica.

Pertanto, in assenza di disciplinare d’impiego, o qualsivoglia altra indicazione aziendale che regolamenti tale ambiente di lavoro entro un perimetro di proprio dominio, il reato diventa difficilmente configurabile. Non è sufficiente una generica approvazione del sistema di condivisione senza neanche aver conoscenza né controllo del software installato.

Insomma, la vicenda è destinata a trovare un chiarimento all’interno di un nuovo giudizio. Molto però si sarebbe ben potuto evitare agendo preventivamente con una disciplina d’impiego accettabile della strumentazione informatica e relativo controllo.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore