Nell'odierno scenario economico e sociale, sempre più permeato dalle tecnologie informatiche, le risorse umane rappresentano non soltanto il principale fattore produttivo, ma anche l'anello debole delle architetture organizzative. La proiezione digitale della persona – intesa come insieme di credenziali, dati identificativi, abitudini di comunicazione – è divenuta l'obiettivo privilegiato della criminalità informatica.

Non è più l'infrastruttura tecnologica in sé ad essere colpita, bensì l'identità individuale, che funge da varco per accessi abusivi, frodi e manipolazioni organizzative.

Il diritto ha progressivamente riconosciuto all'identità digitale autonoma rilevanza giuridica.

In sede europea, il Regolamento (UE) 2016/679 (GDPR) definisce come dato personale «qualsiasi informazione riguardante una persona fisica identificata o identificabile» (art. 4, n. 1). Ne consegue che anche credenziali aziendali, email istituzionali e metadati di connessione ricadono sotto la protezione normativa¹.

In ambito penale, gli artt. 615-ter ss. c.p. puniscono l'accesso abusivo a sistemi informatici e telematici; l'art. 640-ter c.p. incrimina la frode informatica; l'art. 491-bis c.p. estende la disciplina delle falsità documentali agli atti informatici².

A livello organizzativo, il d.lgs. 231/2001 impone all'ente responsabilità da reato ove l'attacco informatico sia reso possibile dall'assenza di protocolli idonei³.

Ne discende che l'identità digitale non si riduce a mero dato personale, ma si configura come bene complesso, dotato di rilievo patrimoniale, reputazionale e organizzativo.

Le figure apicali (CEO, CFO, amministratori delegati) rappresentano prede particolarmente appetibili per gli attacchi c.d. di whaling phishing, nei quali l'aggressore costruisce campagne personalizzate basate sullo status del soggetto colpito.

Emblematico è il fenomeno del CEO fraud, che consiste nell'invio di comunicazioni contraffatte apparentemente provenienti dal vertice aziendale per indurre dirigenti o dipendenti a disporre trasferimenti di fondi. Tali condotte sono state ricondotte dalla giurisprudenza nell'alveo della truffa informatica e della falsità informatica", ma assumono rilievo anche sul piano della responsabilità dell'ente, ove la carenza dei modelli organizzativi abbia agevolato l'attacco (Cass. pen., sez. V, 16 febbraio 2021, n. 5824).

I dipendenti costituiscono, a loro volta, un bersaglio privilegiato degli attacchi di phishing o spear phishing, che sfruttano disattenzione e buona fede del lavoratore per carpire credenziali o installare malware.

Sul piano civilistico, si è discusso se la condotta negligente del dipendente possa integrare inadempimento contrattuale ai sensi dell'art. 2104 c.c. (dovere di diligenza) oppure se debba ricadere nel rischio d'impresa. La dottrina prevalente ritiene che, in mancanza di adeguata formazione e protocolli di prevenzione, la responsabilità gravi sul datore di lavoro, il quale deve assicurare un ambiente sicuro anche sotto il profilo digitale". In giurisprudenza, il Tribunale di Milano (15 marzo 2020) ha ribadito che l'errore umano è fisiologico e deve essere neutralizzato da misure organizzative di sicurezza.

La giurisprudenza penale ha chiarito che l'utilizzo di credenziali sottratte fraudolentemente integra comunque l'accesso abusivo a sistema informatico, anche quando le credenziali siano formalmente "autentiche" (Cass. pen., sez. V, 27 aprile 2017, n. 18826)".

Sul fronte amministrativo, il Garante per la protezione dei dati personali, con provv. 26 gennaio 2023, ha sanzionato un ente pubblico per violazione del principio di accountability, per non aver predisposto misure tecniche ed organizzative idonee a tutelare i dati di dipendenti e dirigenti, ribadendo l'approccio risk-based richiesto dal GDPR".

La vulnerabilità delle risorse umane presenta una duplice dimensione:

- individuale, poiché la compromissione dell'identità digitale comporta danni personali (furto di dati, lesioni alla reputazione, difficoltà di reintegrazione);

- collettiva, poiché l'attacco rivolto al singolo può fungere da varco per colpire l'intera organizzazione, con effetti economici e sistemici.

La tutela dell'identità digitale richiede un approccio integrato:

- penale, per la repressione delle condotte criminose;

- civile e lavoristico, per il bilanciamento tra diligenza del lavoratore e rischio organizzativo;

- amministrativo, attraverso le garanzie offerte dal GDPR e dal Garante Privacy;

- organizzativo, mediante i modelli 231 e i programmi di compliance.

La mera adozione di soluzioni tecnologiche si rivela insufficiente: occorre promuovere una cultura della sicurezza giuridica che coinvolga tanto le figure apicali quanto i dipendenti, riconoscendo all'identità digitale il ruolo di bene giuridico essenziale.

Solo così si potrà trasformare l'apparente vulnerabilità della persona in una risorsa consapevole di resilienza per l'intera organizzazione.

Note:

1. Art. 4, n. 1, Reg. (UE) 2016/679.

2. Cfr. artt. 615-ter ss., 640-ter, 491-bis c.p.

3. Sul punto, v. G. Fiorella, La responsabilità degli enti per i reati informatici, in Riv. it. dir. proc. pen., 2020, 411 ss.

4. Cfr. Cass. pen., sez. V, 16 febbraio 2021, n. 5824.

5. In dottrina, v. M. C. Cavallini, Cybersecurity e rapporto di lavoro: tra diligenza del prestatore e obblighi datoriali, in Dir. lav., 2021, 233 ss.

6. Cass. pen., sez. V, 27 aprile 2017, n. 18826.

7. Provv. Garante Privacy, 26 gennaio 2023, doc. web n. 9864210.

Tutte le notizie