Non passare la password, rischi il licenziamento

di V. Frediani (Consulentelegaleinformatico.it) - La Cassazione ha confermato la possibilità di licenziare chi passa una propria password ad un ex collega. La legge impone la segretezza dei propri dati di accesso alle reti

Roma - L'adozione di sistemi di autenticazione per accesso a reti o dati è andata consolidandosi nel nostro Paese grazie alla "famigerata" legge privacy, dove all'Allegato B si prescrive alle aziende l'obbligo di adottare credenziali di autenticazione, ad esempio password, che ogni incaricato deve preservare e mantenere segrete. Eppure aumentano le sentenze emesse in materia di divulgazione, diffusione o cessione di credenziali di autenticazione, in particolare nell'ambiente lavorativo. L'ultima pronuncia emessa dalla Corte di Cassazione (Sezione del Lavoro) sembra di rilievo, in quanto dimostra come la sola comunicazione di password senza autorizzazione possa giustificare un licenziamento con biglietto di sola andata.

Nei fatti, Caio lavoratore dipendente della Ditta Beta, comunicava ad un ex collega (ex dipendente della Ditta Beta stessa) le proprie credenziali di autenticazione per accedere alla rete. In sostanza, mediante l'utilizzo delle credenziali di autenticazione di Caio, Tizio accedeva esclusivamente a statistiche ed illustrazioni pubblicitarie del prodotto commercializzato dalla Ditta Beta. Ebbene, queste condotte sono state oggetto di contestazione da parte della Ditta Beta la quale al termine dei vari gradi relativi al processo dinnanzi al Giudice del lavoro, ha ottenuto ragione circa la giustezza del licenziamento di Caio.

Accertato nei fatti che la password di accesso alla rete era stata comunicata da Caio a Tizio (e non che quest'ultimo avesse utilizzato canali diversi per procurarsela) la Cassazione ha rinvenuto nella condotta del dipendente Caio una forma di inadempimento talmente grave da giustificare in proporzione il licenziamento attuato.
Il diritto applicabile
È incredibile come ad oggi continuino ad emergere fatti molto simili a quelli che hanno visto coinvolti la Ditta Beta, Caio e Tizio. Difatti, sempre più frequentemente le password di accesso a connessioni e dati sono utilizzate maldestramente da chi ne dovrebbe mantenere cura e segretezza; la causa di questo modo di pensare e sottovalutare i rischi che potrebbero derivare dalla comunicazione non autorizzata delle credenziali di accesso, spesso non è da attribuirsi al dipendente però, ma proprio al datore di lavoro.

Difatti, se da una parte oggettivamente il lavoratore deve prendere atto che le credenziali di autenticazione altro non sono che una risorsa aziendale messa a disposizione dalla struttura lavorativa e che la loro destinazione deve essere prettamente connessa al motivo per cui sono state introdotte, dall'altra il datore di lavoro omette talvolta ingenuamente talvolta dandolo per scontato, di informare e formare i propri dipendenti del motivo che sta alla base di una gestione dei dati o delle reti protetta da password.

Oggi la tanto criticata legge sulla privacy (il decreto legislativo n. 196/2003) è un "perno" non trascurabile mediante il quale cercare di imporre un po' di evoluzione nella mentalità degli italiani, che sottovalutano i rischi a cui sono esposti i loro dati (sia in qualità di titolari dei trattamenti sia in qualità di intestatari dei dati stessi) e le falle di sicurezza esistenti nei sistemi informatici aziendali.

Il punto critico della sicurezza informatica in Italia
Potrà momentaneamente lasciare perplessi quello che sto per scrivere, ma posso tranquillamente affermare che in Italia le password non sono l'ultimo dei problemi in ambito di sicurezza, ma il primo. Ebbene sì! Come formatrice in ambito di privacy, ho a che fare con enti pubblici ed aziende, e se il back-up, i sistemi anti-intrusione e l'antivirus sono ormai familiari e imprescindibili nel privato e nel pubblico per conservare sicurezza ed integrità di dati, progetti ed informazioni, il "pianeta password" resta incontrollabile, troppo spesso "auto-gestito" dai dipendenti che frequentemente ignorano la ratio che sta alla base dell'utilizzazione di una password sul posto di lavoro!

Quando durante la formazione ripeto "mi raccomando: non usate come password il vostro nome o cognome, o il nome del cane, del gatto o la data di nascita di vostro figlio" gran parte dei presenti mi guarda con sguardo colpevole, ed io capisco benissimo che bypassare la loro password sarebbe una sciocchezza! Ma questo perché succede in un comune, come in un ospedale come in una azienda privata? Semplicemente perché il titolare della struttura non investe "nell'informatizzazione della mentalità" delle persone. Informatizzarsi non vuol dire solo cambiare il parco macchine, ma spiegare perché è meglio un sistema operativo di un altro, perché alterare una misura di sicurezza è rischioso, perché urlarsi da una stanza all'altra la password di accesso alla rete non può rappresentare un'abitudine!

Le sentenze sono un campanello di allarme
Le sentenze che si stanno originando nelle aule di tribunale italiane sono sintomatiche dello status di superficialità ed ignoranza (nel senso proprio dell'ignorare) della centralità delle credenziali di autenticazione quali elemento primario della sicurezza aziendale.

Caio che comunica a Tizio la propria password affinché quest'ultimo si introduca nel sistema aziendale per visionare dei dati, è sostanzialmente un soggetto che ha ignorato i rischi a cui andava incontro: non sapendo che è possibile verificare da dove avvengono le connessioni alla rete nonché chi è l'intestatario di quella password di accesso. Altrettanto Tizio ha ignorato che, utilizzando la password comunicata da Caio, poteva incorrere in un reato penale di accesso abusivo, dove l'abusività è data dalla consapevolezza di entrare in un sistema da cui il titolare lo ha a suo tempo escluso.

Manca una cultura del diritto informatico. Mancano le basi e da queste mancanze nascono sentenze che i giornali titolano talvolta increduli delle conseguenze, talvolta entusiasti della notizia legata alla nuova tecnologia come se fosse un fatto isolato e straordinario. Ma il futuro è adesso ed adesso bisogna imparare a gestire l'informatizzazione, anche nelle situazioni che si danno per scontate.

Avv. Valentina Frediani
www.consulentelegaleinformatico.it
www.consulentelegaleprivacy.it

40 Commenti alla Notizia Non passare la password, rischi il licenziamento
Ordina
  • tutto d'accordo sui concetti esposti, pero'...
    pero' non e' tutto.

    io lavoro in un ufficio dove ho decine di programmi su vari computer dove devo digitare una password, che io non vorrei naturalmente comunicare a nessuno.
    cioe' ho decine di password e userid da ricordare.

    queste password naturalmente sono costruite in
    modo intelligente, niente cani, niente nomi, ma solo sequenze casuali, ancora piu' difficili da ricordare.

    naturalmente i sistemi son molto ben fatto, per cui
    devo cambiare ognuna di queste password, quando va bene, ogni qualche mese, oppure ogni mese, naturalmente ogni password deve essere diversa dalla precedente, anzi dalle cinque precedenti.

    questo premesso il mio lavoro consiste per il dieci per cento nell'immettere password, sbagliare password, contattare gli amministratori dei sistemi per recuperare una password, che spesso devono resettarmi come account per darmi un'altra userid e password,
    e spesso la cosa dura settimane, a volte mesi.

    io devo ammettere vergognosamente di non ricordarmi tutte queste decine e decine di password, ne quelle dei cinque mesi precedenti,

    non vi dico come ho risolto il problema, naturalmente la soluzione e' peggio, molto peggio che quella di dare una password a qualcuno.

    sara' che molti non hanno la cultura, ma mi sembra che anche la troppa cultura non e' bene.

    salute





  • Chi ha messo in piedi il tuo sistema non ha mai sentito parlare di single sign-on?
    non+autenticato
  • macché!!!!!

    dalle mie parti è il datore di lavoro che vuole tutte le password e vuole accedere ai pc di tutti con le LORO credenziali

    o comunque a tutto il contenuto del pc sempre e comunque.


    Quindi non sono i dipendenti, ma chi ha il potere di obbligare i dipendenti.



    poi ci sono un sacco di casi in cui si deve accedere alle stesse informazioni ma non si hanno aree comuni... oppure le aree comuni non sono profilabili e BLA BLA BLA
    non+autenticato

  • > macché!!!!!
    >
    > dalle mie parti è il datore di lavoro che vuole
    > tutte le password e vuole accedere ai pc di tutti
    > con le LORO
    > credenziali

    Cambia la password tutti i giorni Rotola dal ridere
    non+autenticato

  • - Scritto da:
    > macché!!!!!
    >
    > dalle mie parti è il datore di lavoro che vuole
    > tutte le password e vuole accedere ai pc di tutti
    > con le LORO
    > credenziali
    >
    > o comunque a tutto il contenuto del pc sempre e
    > comunque.
    >
    >
    > Quindi non sono i dipendenti, ma chi ha il potere
    > di obbligare i
    > dipendenti.
    >
    >
    >
    > poi ci sono un sacco di casi in cui si deve
    > accedere alle stesse informazioni ma non si hanno
    > aree comuni... oppure le aree comuni non sono
    > profilabili e BLA BLA
    > BLA

    Ma questa è anche una mancanza dell'amministratore di sistema che a quanto pare non è in grado di mettere in atto tutti quegli accorgimenti idonei ad accontentare il capo supremo ed al contempo preservare le credenziali d'accesso (nonché i dati strettamente personali) dei dipendenti...
    non+autenticato
  • E' una moderna forma di luddismo: non si possono distruggere le macchine ma almeno possiamo sabotargli la rete...
    non+autenticato
  • Salve a tutti sono il Resp. edp di una società .."che non investe in cultura informatica" (si sà ..costa e nn serve a niente!!!) Qui da noi è uso comune sapere le pwd di tutti e spiego il perchè. I due uffici commerciali (Italia e estero) hanno ciascuno un tot di addetti. Ma se tizio manca e i clienti scrivono a tizio...Caio deve poter leggere la posta di tizio e rispondere al cliente. Come si concilia tutta la privacy con il buon senso di poter lavorare senza bloccare l'azienda?
    non+autenticato
  • Anziché una casella "personale" si imposta una casella generica del tipo commerciale@azienda.it e si spiega chiaramente agli addetti che essendo una casella comune non dovrebbe essere utilizzata per comunicazioni personali o che comunque non dovrebbero essere letti da altri che non siano il destinatario.
    non+autenticato

  • - Scritto da:
    > Anziché una casella "personale" si imposta una
    > casella generica del tipo commerciale@azienda.it
    > e si spiega chiaramente agli addetti che essendo
    > una casella comune non dovrebbe essere utilizzata
    > per comunicazioni personali o che comunque non
    > dovrebbero essere letti da altri che non siano il
    > destinatario.

    Oltre al fatto puro e semplice che, quando uno va in ferie, dovrebbe informare il resto dell'azienda sullo stato di avanzamento della propria attività e permetterne il proseguio ad altri.
    non+autenticato

  • - Scritto da:
    > Anziché una casella "personale" si imposta una
    > casella generica del tipo commerciale@azienda.it
    > e si spiega chiaramente agli addetti che essendo
    > una casella comune non dovrebbe essere utilizzata
    > per comunicazioni personali o che comunque non
    > dovrebbero essere letti da altri che non siano il
    > destinatario.

    sarei d'accordo con te (anzi, lo sono e faccio così) ma a questo punto chi ti parla ti dice "allora perchè non fai così anche con l'utente del pc? ne fai uno non-personale ma per tutto l'ufficio e..."

    e niente, perchè la legge dice che le info devono essere riconducibili all'utente.

    non+autenticato

  • - Scritto da:
    >
    > - Scritto da:
    > > Anziché una casella "personale" si imposta una
    > > casella generica del tipo commerciale@azienda.it
    > > e si spiega chiaramente agli addetti che essendo
    > > una casella comune non dovrebbe essere
    > utilizzata
    > > per comunicazioni personali o che comunque non
    > > dovrebbero essere letti da altri che non siano
    > il
    > > destinatario.
    >
    > sarei d'accordo con te (anzi, lo sono e faccio
    > così) ma a questo punto chi ti parla ti dice
    > "allora perchè non fai così anche con l'utente
    > del pc? ne fai uno non-personale ma per tutto
    > l'ufficio
    > e..."

    embe'? funziona ben cosi'.
    Qui da me ogni utente ha il suo account di rete e con quello si collega alla rete da qualunque PC.
    Quando io non ci sono, qualunque mio collega viene al mio tavolo e si collega al mio PC.
    Dove sta il problema?
    I dati di lavoro stanno nelle cartelle condivise e possono leggerli anche dalla loro postazione.
    I ca§§i miei, stanno nella mia cartella di questo pc che si puo' leggere solo con il mio account, ma questo non pregiudica l'attivita' lavorativa del mio ufficio.

    > e niente, perchè la legge dice che le info devono
    > essere riconducibili
    > all'utente.

    Che cosa dice la legge?
    Quali info?
    non+autenticato

  • - Scritto da:
    > Salve a tutti sono il Resp. edp di una società
    > .."che non investe in cultura informatica" (si sà
    > ..costa e nn serve a niente!!!) Qui da noi è uso
    > comune sapere le pwd di tutti e spiego il perchè.
    > I due uffici commerciali (Italia e estero) hanno
    > ciascuno un tot di addetti. Ma se tizio manca e i
    > clienti scrivono a tizio...Caio deve poter
    > leggere la posta di tizio e rispondere al
    > cliente. Come si concilia tutta la privacy con il
    > buon senso di poter lavorare senza bloccare
    > l'azienda?

    Ti conviene andare a vendere le caramelle con baracchino, vai.
    La soluzione al tuo falso "problema" esiste da eoni!!! E c'è già chi te l'ha suggerita, quindi evito di ripetere.
    Spero che il tuo "investimeno" in "ignoranza informatica" un giorno ti insegni qualcosa di costruttivo... quando dovrai pagare penali alla finanza!

  • > Ti conviene andare a vendere le caramelle con
    > baracchino,
    > vai.
    > La soluzione al tuo falso "problema" esiste da
    > eoni!!! E c'è già chi te l'ha suggerita, quindi
    > evito di
    > ripetere.
    > Spero che il tuo "investimeno" in "ignoranza
    > informatica" un giorno ti insegni qualcosa di
    > costruttivo... quando dovrai pagare penali alla
    > finanza!
    Scusa ma ti leggi quando scrivi? Che razza di maleducato!
    non+autenticato


  • > La soluzione al tuo falso "problema" esiste da
    > eoni!!! E c'è già chi te l'ha suggerita, quindi
    > evito di
    > ripetere.

    io non l'ho vista

    non+autenticato
  • > Ti conviene andare a vendere le caramelle con
    > baracchino,
    > vai.
    > La soluzione al tuo falso "problema" esiste da
    > eoni!!! E c'è già chi te l'ha suggerita, quindi
    > evito di
    > ripetere.
    > Spero che il tuo "investimeno" in "ignoranza
    > informatica" un giorno ti insegni qualcosa di
    > costruttivo... quando dovrai pagare penali alla
    > finanza!

    Concordo. Se davvero l'avesse scritto un imprenditore con uffici commerciali in Italia e all'estero ciascuno con un "tot" di addetti si spiegherebbe la nullità delle imprese italiane...
  • - Scritto da:
    > I due uffici commerciali (Italia e estero) hanno
    > ciascuno un tot di addetti. Ma se tizio manca e i
    > clienti scrivono a tizio...Caio deve poter
    > leggere la posta di tizio e rispondere al
    > cliente. Come si concilia tutta la privacy con il
    > buon senso di poter lavorare senza bloccare
    > l'azienda?

    Varie alternative:
    1) una casella comune, con gestione "per conto di " delle varie risposte (settaggi da MS Exchange e Outlook, ma soluzioni simili si possono adottare con altri prodotti).
    2) una lista di addetti cui fare forward automatico (sempre o condizionata con una regola all'assenza del collega di riferimento).
    3) la condivisione della casella individuale (ma non della login e password dell'accesso alla rete) con un responsabile o collega che garantisca la sostituzione (ma occhio a concordare la cosa con gli interessati per non violare il diritto alla corrispondenza privata).

    In genere la confusione è sempre la stessa: la login+password (o altro tipo di identificazione tipo smart card o token) servono a identificare la persona, quindi non possono essere ceduti per non incorrere nella falsificazione d'identità.

    Gli accessi invece, in qualsiasi sw decente, sono autorizzabili per profili d'uso e vanno assegnati a tutti coloro che ne hanno titolo e necessità lavorativa (eventualmente con opportuna nomina, in caso di accesso a dati che ricadono nell'ambito della 196/03).
    non+autenticato

  • - Scritto da:
    > - Scritto da:
    > > I due uffici commerciali (Italia e estero) hanno
    > > ciascuno un tot di addetti. Ma se tizio manca e
    > i
    > > clienti scrivono a tizio...Caio deve poter
    > > leggere la posta di tizio e rispondere al
    > > cliente. Come si concilia tutta la privacy con
    > il
    > > buon senso di poter lavorare senza bloccare
    > > l'azienda?
    >
    > Varie alternative:
    > 1) una casella comune, con gestione "per conto di
    > " delle varie risposte (settaggi da MS Exchange e
    > Outlook, ma soluzioni simili si possono adottare
    > con altri
    > prodotti).
    > 2) una lista di addetti cui fare forward
    > automatico (sempre o condizionata con una regola
    > all'assenza del collega di
    > riferimento).
    > 3) la condivisione della casella individuale (ma
    > non della login e password dell'accesso alla
    > rete) con un responsabile o collega che
    > garantisca la sostituzione (ma occhio a
    > concordare la cosa con gli interessati per non
    > violare il diritto alla corrispondenza
    > privata).
    >
    > In genere la confusione è sempre la stessa: la
    > login+password (o altro tipo di identificazione
    > tipo smart card o token) servono a identificare
    > la persona, quindi non possono essere ceduti per
    > non incorrere nella falsificazione
    > d'identità.
    >
    > Gli accessi invece, in qualsiasi sw decente, sono
    > autorizzabili per profili d'uso e vanno assegnati
    > a tutti coloro che ne hanno titolo e necessità
    > lavorativa (eventualmente con opportuna nomina,
    > in caso di accesso a dati che ricadono
    > nell'ambito della
    > 196/03).

    trucco: si autorizzano tutti a tutto.

    ovviamente si tengono la loro personale coppia login+password

    però poi danno administrator a tutti e le autorizzazioni di tutto a tutti
    non+autenticato
  • e quei dipendenti che usano password come "qwertz" oppure "123456" oppure la data di nascita, il nome del figlio, il proprio numero di telefono, ...

    e quelli che scrivono user e password a matita sul tavolo/monitor perchè altrimenti la dimenticano, ...

    e quelli che lasciano la stazione senza bloccarla, magari per ore (pranzo, riunioni, ...), ...

    e quelli che "perdono" un notebook sul quale c'è il post-it con user e password, e lasciano sull'hard disk megabyte di informazioni sensibili, ...

    quelli lì, come li trattiamo ?

  • > quelli lì, come li trattiamo ?

    con una bella promozione!
    ....soprattutto perchè aiutano i governi (americani in testa) a trovare scuse per adottare sistemi per entrare sempre più nelle nostre case!!!
    non+autenticato
  • Beh, io una volta ho usato anche "checefregadelcilenonoicavemotottigol" A bocca aperta
    non+autenticato

  • - Scritto da: Madder
    > e quei dipendenti che usano password come
    > "qwertz" oppure "123456" oppure la data di
    > nascita, il nome del figlio, il proprio numero di
    > telefono, ...
    >
    >
    > e quelli che scrivono user e password a matita
    > sul tavolo/monitor perchè altrimenti la
    > dimenticano, ...
    >
    >
    > e quelli che lasciano la stazione senza
    > bloccarla, magari per ore (pranzo, riunioni,
    > ...), ...
    >
    >
    > e quelli che "perdono" un notebook sul quale c'è
    > il post-it con user e password, e lasciano
    > sull'hard disk megabyte di informazioni
    > sensibili, ...
    >
    >
    > quelli lì, come li trattiamo ?
    Un licenziamento in tronco senza liquidazione Arrabbiato
    non+autenticato

  • - Scritto da:
    >
    > - Scritto da: Madder
    > > e quei dipendenti che usano password come
    > > "qwertz" oppure "123456" oppure la data di
    > > nascita, il nome del figlio, il proprio numero
    > di
    > > telefono, ...
    > >
    > >
    > > e quelli che scrivono user e password a matita
    > > sul tavolo/monitor perchè altrimenti la
    > > dimenticano, ...
    > >
    > >
    > > e quelli che lasciano la stazione senza
    > > bloccarla, magari per ore (pranzo, riunioni,
    > > ...), ...
    > >
    > >
    > > e quelli che "perdono" un notebook sul quale c'è
    > > il post-it con user e password, e lasciano
    > > sull'hard disk megabyte di informazioni
    > > sensibili, ...
    > >
    > >
    > > quelli lì, come li trattiamo ?
    > Un licenziamento in tronco senza liquidazione Arrabbiato

    figurati, qualsiasi capoccia se ne sarebbe impippato
    non+autenticato
  • - Scritto da: Madder

    cut
    >
    > e quelli che lasciano la stazione senza
    > bloccarla, magari per ore (pranzo, riunioni,
    > ...), ...
    >
    cut

    Una collega (ufficio commerciale) ha sbirciato nel mio computer (ufficio paghe) nell'ora di pausa, mentre era senza screensaver con blocco.
    Cretino io certamente,
    ma chi è la più stronza in questa storia?
    non+autenticato

  • - Scritto da:
    > - Scritto da: Madder
    >
    > cut
    > >
    > > e quelli che lasciano la stazione senza
    > > bloccarla, magari per ore (pranzo, riunioni,
    > > ...), ...
    > >
    > cut
    >
    > Una collega (ufficio commerciale) ha sbirciato
    > nel mio computer (ufficio paghe) nell'ora di
    > pausa, mentre era senza screensaver con
    > blocco.
    > Cretino io certamente,
    > ma chi è la più stronza in questa storia?

    Tutte e due s*****e uguali! Scusa ma ho solo usato un tuo termine, senza offesa!
    non+autenticato

  • - Scritto da:
    > - Scritto da: Madder
    >
    > cut
    > >
    > > e quelli che lasciano la stazione senza
    > > bloccarla, magari per ore (pranzo, riunioni,
    > > ...), ...
    > >
    > cut
    >
    > Una collega (ufficio commerciale) ha sbirciato
    > nel mio computer (ufficio paghe) nell'ora di
    > pausa, mentre era senza screensaver con
    > blocco.
    > Cretino io certamente,
    > ma chi è la più stronza in questa storia?

    l'ufficio paghe dovrebbe avere sempre disgiunto il nome della persona e il dato relativo. lo sostengo da anni

    per te deve esistere la "risorsa 2342342" e basta.

    altrimenti anche TU puoi dire i dati in giro.


    e chi sbircia vede solo "risorsa 2384239482"
    non+autenticato

  • > l'ufficio paghe dovrebbe avere sempre disgiunto
    > il nome della persona e il dato relativo. lo
    > sostengo da anni per te deve esistere la risorsa > 2342342" e basta.
    > altrimenti anche TU puoi dire i dati in giro.
    > e chi sbircia vede solo "risorsa 2384239482"

    Deve essere così anche perchè richiesto tecnicamente dalle norme per la tutela privacy in applicazioni informatiche.
    i dati sensibili (tutti) non devono essere immediatamente collegati al nome.
    non+autenticato

  • - Scritto da: Madder
    > e quei dipendenti che usano password come
    > "qwertz" oppure "123456" oppure la data di
    > nascita, il nome del figlio, il proprio numero di
    > telefono, ...
    >
    >
    > e quelli che scrivono user e password a matita
    > sul tavolo/monitor perchè altrimenti la
    > dimenticano, ...
    >
    >
    > e quelli che lasciano la stazione senza
    > bloccarla, magari per ore (pranzo, riunioni,
    > ...), ...
    >
    >
    > e quelli che "perdono" un notebook sul quale c'è
    > il post-it con user e password, e lasciano
    > sull'hard disk megabyte di informazioni
    > sensibili, ...
    >
    >
    > quelli lì, come li trattiamo ?

    "purchè il lavoro vada avanti, queste sono sciocchezze, non siamo alla nasa" , cit.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)