Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Disciplinare l’impiego dei servizi di condivisione in cloud per ridurre i rischi legali

Stefano Gazzella : 27 Luglio 2023 09:51

Gli strumenti di collaborazione e condivisione di file in cloud sono largamente diffusi nei rapporti di lavoro e di business, pertanto il loro impiego deve essere correttamente disciplinato. Come? Andando a chiarire, gestire e controllare ruoli e responsabilità dei soggetti che intervengono, regolandone i privilegi di conseguenza. Aspetti che se sottovalutati, o peggio omessi, sono idonei a generare effetti che impattano non solo sull’ambito della sicurezza informatica ma anche in relazione ai rischi legali.
Alcuni esempi possono essere conseguenze di tipo amministrativo, civile e penale quali:

  • l’essere destinatari di un provvedimento sanzionatorio comminato da parte del Garante Privacy per non aver istruito e autorizzato taluni utenti all’accesso a dei dati personali, o a non aver rispettato le prescrizioni riguardanti gli amministratori di sistema;
  • l’esposizione ad una richiesta di risoluzione in danno di un contratto per non aver rispettato i termini di NDA in quanto si è consentito l’accesso ad altri soggetti ad informazioni confidenziali e riservate;
  • l’incertezza applicativa della tutela per accesso abusivo a sistema informatico per non aver definito chiaramente la titolarità della cartella.

Ed è stato proprio nel cassare con rinvio una condanna in sede penale per accesso abusivo a sistema informatico che la V sezione penale della Cassazione ha accolto il ricorso di due ex dipendenti (sent. n. 27900 del 29 giugno 2023) condannati nei due precedenti gradi di giudizio, indicando quali elementi devono essere presi in considerazione per valutare oggettivamente questo specifico ambito di rischi legali. E beninteso, la situazione di incertezza che riguarda – come in questo caso – la titolarità di uno spazio di archiviazione cloud condiviso produce un rischio tanto in capo ai dipendenti che potrebbero trovarsi a vedersi contestata la commissione di un reato, quanto in capo all’organizzazione che potrebbe non essere in grado di mantenere il controllo dei file condivisi.

Il caso arrivato in Cassazione (e rinviato): la modifica dell’indirizzo dell’account Dropbox da parte del dipendente

Nel caso preso in esame dalla sentenza richiamata, l’accesso abusivo è stato contestato in seguito alla modifica, successiva al licenziamento, dell’indirizzo aziendale associato all’account Dropbox attraverso il quale i dipendenti erano soliti condividere temporaneamente alcuni files di lavorativi.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Per effetto di tale operazione, ovviamente, l’ufficio tecnico aziendale non era più in grado di accedere a quell’ambiente di lavoro condiviso il quale veniva collegato ad una nuova società costituita dai due ex dipendenti.

Stando alle difese presentate, l’account risultava essere un’utenza di tipo free e non business creata spontaneamente dai dipendenti e posta da loro a disposizione dell’azienda fino al momento del licenziamento senza alcun successivo trasferimento di dati né informazioni.

Appare incontestato, infatti, che lo spazio venne creato dagli imputati per facilitare la loro attività lavorativa (…) e, in tale prospettiva, da loro messo a disposizione della società, che consentì a collegarvi, per l’accesso, un account, contraddistinto da un indirizzo telematico riconducibile all’azienda.

Inoltre, i ricorrenti rilevano che l’indicazione della proprietà suggerita dalle condizioni d’uso di Dropbox è la seguente:

Per impostazione predefinita, sei il proprietario di tutte le cartelle condivise che crei, a eccezione delle sottocartelle create all’interno di cartelle condivise altrui. Tuttavia, puoi trasferire la proprietà a un altro membro cambiando le autorizzazioni di condivisione della cartella principale.

La condivisione, ovviamente, in seguito alla risoluzione del rapporto di lavoro e la creazione di una nuova società non aveva più ragion d’essere e dunque tutto ruota attorno alla disponibilità o meno dello spazio di archiviazione con conseguente possibilità di regolarne gli accessi. Dal momento che infatti è indubbia la qualificazione di domicilio informatico di uno spazio cloud condiviso, l’accesso abusivo può essere realizzato solo con una condotta o in violazione di prescrizioni formali o altrimenti ontologicamente estranea rispetto a quella per cui la facoltà di accesso è stata attribuita.

Le indicazioni fornite dalla S.C. a riguardano pertanto l’individuazione dei ruoli:

al fine di accertare se l’affermata sussistenza della fattispecie delittuosa di cui
si discute sia o meno sorretta da idonea motivazione, attiene all’individuazione dei soggetti che erano legittimati ad accedere in via esclusiva allo spazio Dropbox creato (…) ovvero a chi appartenesse tale spazio virtuale

nonché l’utilizzo accettabile:

diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio Dropbox applicabile in concreto quando venne operata la suddetta modifica.

Pertanto, in assenza di disciplinare d’impiego, o qualsivoglia altra indicazione aziendale che regolamenti tale ambiente di lavoro entro un perimetro di proprio dominio, il reato diventa difficilmente configurabile. Non è sufficiente una generica approvazione del sistema di condivisione senza neanche aver conoscenza né controllo del software installato.

Insomma, la vicenda è destinata a trovare un chiarimento all’interno di un nuovo giudizio. Molto però si sarebbe ben potuto evitare agendo preventivamente con una disciplina d’impiego accettabile della strumentazione informatica e relativo controllo.

Stefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...

Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso
Di Redazione RHC - 04/09/2025

Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...