Logo Portale Red Hot Cyber

Red Hot Cyber

La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Disciplinare l’impiego dei servizi di condivisione in cloud per ridurre i rischi legali

Stefano Gazzella : 27 Luglio 2023 09:51

Gli strumenti di collaborazione e condivisione di file in cloud sono largamente diffusi nei rapporti di lavoro e di business, pertanto il loro impiego deve essere correttamente disciplinato. Come? Andando a chiarire, gestire e controllare ruoli e responsabilità dei soggetti che intervengono, regolandone i privilegi di conseguenza. Aspetti che se sottovalutati, o peggio omessi, sono idonei a generare effetti che impattano non solo sull’ambito della sicurezza informatica ma anche in relazione ai rischi legali.
Alcuni esempi possono essere conseguenze di tipo amministrativo, civile e penale quali:

  • l’essere destinatari di un provvedimento sanzionatorio comminato da parte del Garante Privacy per non aver istruito e autorizzato taluni utenti all’accesso a dei dati personali, o a non aver rispettato le prescrizioni riguardanti gli amministratori di sistema;
  • l’esposizione ad una richiesta di risoluzione in danno di un contratto per non aver rispettato i termini di NDA in quanto si è consentito l’accesso ad altri soggetti ad informazioni confidenziali e riservate;
  • l’incertezza applicativa della tutela per accesso abusivo a sistema informatico per non aver definito chiaramente la titolarità della cartella.

Ed è stato proprio nel cassare con rinvio una condanna in sede penale per accesso abusivo a sistema informatico che la V sezione penale della Cassazione ha accolto il ricorso di due ex dipendenti (sent. n. 27900 del 29 giugno 2023) condannati nei due precedenti gradi di giudizio, indicando quali elementi devono essere presi in considerazione per valutare oggettivamente questo specifico ambito di rischi legali. E beninteso, la situazione di incertezza che riguarda – come in questo caso – la titolarità di uno spazio di archiviazione cloud condiviso produce un rischio tanto in capo ai dipendenti che potrebbero trovarsi a vedersi contestata la commissione di un reato, quanto in capo all’organizzazione che potrebbe non essere in grado di mantenere il controllo dei file condivisi.

Il caso arrivato in Cassazione (e rinviato): la modifica dell’indirizzo dell’account Dropbox da parte del dipendente

Nel caso preso in esame dalla sentenza richiamata, l’accesso abusivo è stato contestato in seguito alla modifica, successiva al licenziamento, dell’indirizzo aziendale associato all’account Dropbox attraverso il quale i dipendenti erano soliti condividere temporaneamente alcuni files di lavorativi.

Per effetto di tale operazione, ovviamente, l’ufficio tecnico aziendale non era più in grado di accedere a quell’ambiente di lavoro condiviso il quale veniva collegato ad una nuova società costituita dai due ex dipendenti.

Stando alle difese presentate, l’account risultava essere un’utenza di tipo free e non business creata spontaneamente dai dipendenti e posta da loro a disposizione dell’azienda fino al momento del licenziamento senza alcun successivo trasferimento di dati né informazioni.

Appare incontestato, infatti, che lo spazio venne creato dagli imputati per facilitare la loro attività lavorativa (…) e, in tale prospettiva, da loro messo a disposizione della società, che consentì a collegarvi, per l’accesso, un account, contraddistinto da un indirizzo telematico riconducibile all’azienda.

Inoltre, i ricorrenti rilevano che l’indicazione della proprietà suggerita dalle condizioni d’uso di Dropbox è la seguente:

Per impostazione predefinita, sei il proprietario di tutte le cartelle condivise che crei, a eccezione delle sottocartelle create all’interno di cartelle condivise altrui. Tuttavia, puoi trasferire la proprietà a un altro membro cambiando le autorizzazioni di condivisione della cartella principale.

La condivisione, ovviamente, in seguito alla risoluzione del rapporto di lavoro e la creazione di una nuova società non aveva più ragion d’essere e dunque tutto ruota attorno alla disponibilità o meno dello spazio di archiviazione con conseguente possibilità di regolarne gli accessi. Dal momento che infatti è indubbia la qualificazione di domicilio informatico di uno spazio cloud condiviso, l’accesso abusivo può essere realizzato solo con una condotta o in violazione di prescrizioni formali o altrimenti ontologicamente estranea rispetto a quella per cui la facoltà di accesso è stata attribuita.

Le indicazioni fornite dalla S.C. a riguardano pertanto l’individuazione dei ruoli:

al fine di accertare se l’affermata sussistenza della fattispecie delittuosa di cui
si discute sia o meno sorretta da idonea motivazione, attiene all’individuazione dei soggetti che erano legittimati ad accedere in via esclusiva allo spazio Dropbox creato (…) ovvero a chi appartenesse tale spazio virtuale

nonché l’utilizzo accettabile:

diventa decisivo accertare quale fosse la disciplina di utilizzazione dello spazio Dropbox applicabile in concreto quando venne operata la suddetta modifica.

Pertanto, in assenza di disciplinare d’impiego, o qualsivoglia altra indicazione aziendale che regolamenti tale ambiente di lavoro entro un perimetro di proprio dominio, il reato diventa difficilmente configurabile. Non è sufficiente una generica approvazione del sistema di condivisione senza neanche aver conoscenza né controllo del software installato.

Insomma, la vicenda è destinata a trovare un chiarimento all’interno di un nuovo giudizio. Molto però si sarebbe ben potuto evitare agendo preventivamente con una disciplina d’impiego accettabile della strumentazione informatica e relativo controllo.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.