Dare la propria password ad
estranei può costare il posto di lavoro.

Cassazione – Sezione lavoro –
sentenza 9 maggio-13 settembre 2006, n. 19554

Presidente Ciciretti – Relatore
De Matteis

Pm Gaeta – conforme – Ricorrente
Mazzer – Controricorrente Micron Technology Italia Srl

Svolgimento del processo

La Micron
Technology Italia Srl ha licenziato il proprio dipendente
signor Maurizio Mazzer previa contestazione disciplinare del fatto che a
partire dal mese di novembre 1999 erano state eseguite connessioni con la rete
informativa interna della società utilizzando l’identificativo del Mazzer, e
ciò anche da un’utenza telefonica del distretto di Milano, in giorni in cui il
Mazzer era al lavoro nella sede di Avezzano; tali connessioni si erano
verificate anche nei giorni 26, 27 e 28 dicembre utilizzando la password del
Mazzer da poco sostituita.

L’impugnativa del licenziamento,
accolta dal Tribunale di Avezzano, è stata respinta dalla Corte d’appello di L’Aquila con sentenza 30 ottobre 2003/8 gennaio 2004 n.
91.

Il giudice d’appello ha ritenuto
accertate le seguenti circostanze di fatto:

1. le connessioni dall’esterno
utilizzando la password del Mazzer sono iniziate subito dopo il licenziamento
del dipendente Buraschi, avvenuto il 26 ottobre 1999;

2. esse sono state eseguite in
maggioranza attraverso un’utenza appartenente al distretto telefonico di Milano
ed intestata alla moglie del Buraschi, come da rapporto P.S.;

3. il 13 dicembre 1999 il Mazzer
ha modificato la propria password su richiesta del
sistema informatico;

4. alle ore 13.05 del giorno 24
dicembre 1999 è intercorsa una telefonata tra il Buraschi ed il Mazzer, e dal
pomeriggio dello stesso giorno sono riprese le connessioni dall’utenza
telefonica intestata alla moglie del Buraschi con la nuova password del Mazzer.

Il primo giudice aveva ritenuto
che non fosse possibile escludere che il Buraschi fosse venuto a conoscenza
della password del Mazzer per altre vie, in particolare:

1. potrebbe essergli stata
comunicata dall’amministratore del sistema informatico,

2. o da altri colleghi che
avrebbero sbirciato alle spalle del Mazzer,

3. ovvero perché il Buraschi
avrebbe indovinato la password tentando a caso. Non essendovi tale certezza, ha
ritenuto che non fosse possibile affermare la responsabilità del Mazzer.

Il giudice d’appello, con ampia
motivazione, ha argomentato che le tre possibilità ventilate dal primo giudice
erano o impossibili a verificarsi o molto poco
verosimili.

Avverso tale
sentenza ha proposto ricorso per Cassazione il Mazzer, con tre motivi.

La società intimata si è
costituita con controricorso, resistendo. Entrambi hanno depositato memoria.

Motivi della decisione

Con il primo
motivo il ricorrente, deducendo violazione e falsa applicazione degli articoli
2104, 2105, 2119, 1324, 1362 e ss. Cc; articoli 1 e 3 legge 604/66; articolo 7
legge 300/70; 112 Cpc; omessa, insufficiente e contraddittoria motivazione su
punto decisivo della controversia (articolo 360, nn. 3 e 5 Cpc), censura
la sentenza impugnata per violazione dei principi della specificità ed
immutabilità della contestazione, sotto diversi profili.

Sostiene innanzitutto la mancanza
di specificità degli addebiti, che non avrebbe consentito
al lavoratore l’individuazione dei fatti nella loro materialità.

Assume poi che, mentre la
contestazione aveva per oggetto il fatto della connessione personale
dall’esterno da parte del Mazzer, la sentenza impugnata ha interpretato come
motivo del licenziamento il fatto della comunicazione della password al
Buraschi, violando così il principio della immutabilità della contestazione.

Il motivo non è fondato, nei suoi
diversi profili.

Secondo la consolidata
giurisprudenza di questa Corte, la previa contestazione dell’addebito,
necessaria in funzione dei licenziamenti disciplinari, ha lo scopo di
consentire al lavoratore l’immediata difesa e deve conseguentemente rivestire
il carattere della specificità, che è integrato quando
sono fornite le indicazioni necessarie ed essenziali per individuare, nella sua
materialità il fatto o i fatti nei quali il datore di lavoro abbia ravvisato
infrazioni disciplinari o comunque comportamenti in violazione dei doveri di
cui agli articoli 2104 e 2105 Cc (ex plurimis Cassazione 11045/04).

La sentenza impugnata non ha
immutato i fatti contestati, ma ne ha operato una valutazione di merito, alla
stessa rimessa, il che non costituisce imputazione dei fatti.

Con il secondo
motivo il ricorrente, deducendo violazione e falsa applicazione degli articoli
115, 116 e 132 Cpc; 2119, 2697, 2727 e 2729 Cc; 5 legge 604/66; omessa,
insufficiente e contraddittoria motivazione su punto decisivo della
controversia (articolo 360 nn 3 e 5 Cpc), censura la sentenza impugnata nel
governo delle risultanze istruttorie.

Anche questo motivo non è
fondato.

Il giudice d’appello ha esaminato
partitamene le singole motivazioni della sentenza avanti a lui impugnata, ed ha
esposto le sue contrarie considerazioni e conclusioni in maniera molto
ragionata.

1. Circa la possibilità che il
Buraschi sia potuto venire a conoscenza della password dall’amministratore del
sistema, ha rilevato, seguendo la esposizione tecnica
della Micron, che al primo accesso l’utente è obbligato dal sistema a modificare
la propria password, con la conseguenze che l’amministratore del sistema non è
più in grado di conoscerla. Infatti, una volta memorizzata la password, il
sistema la trasforma automaticamente ed immediatamente, attraverso un algoritmo
matematico, in una stringa che successivamente il sistema stesso sarà in grado
di riconoscere; una simile operazione è irreversibile e non è quindi possibile
risalire alla password partendo dalla stringa.

Ha rilevato inoltre che, se è
vero che i sistemisti possono annullare la password di un dipendente ed
inserirne una nuova, è anche vero che il dipendente interessato verrebbe
immediatamente a conoscenza di una simile operazione, visto che la sua vecchia
password sarebbe ormai da lui inutilizzabile e si vedrebbe, quindi, negato
l’accesso al sistema; nel nostro caso, il Mazzer non ha mai dedotto di essere
stato vittima di un simile accadimento, ma, anzi, è del tutto pacifico che la
password utilizzata per le connessioni per cui è causa
è sempre stata proprio quella prescelta dallo stesso Mazzer.

2. Quanto alle possibilità che
altri dipendenti possano aver carpito la password osservando il Mazzer nel
momento in cui la digitava, il giudice d’appello ha sottolineato che il piano
di lavoro del dipendente si trovava sul lato del box opposto a quello dove si
apriva la porta che dava sul corridoio (v. la riproduzione grafica delle
postazioni di lavoro degli impiegati allegata al fascicolo della
Micron nel procedimento ex articolo 700). Ne ha dedotto che era
praticamente impossibile che qualche impiegato, transitando sul corridoio o
affacciandosi sulla porta, potesse vedere i tasti premuti dal Mazzer nel
momento in cui digitava la password perché costui si sarebbe trovato con la
schiena rivolta verso la porta e pertanto avrebbe coperto con il proprio corpo
la visuale della tastiera al collega.

Il giudice d’appello ha inoltre
rilevato che l’eventualità prospettata dal Tribunale appare davvero improbabile
se si considera che il Buraschi ha eseguito le connessioni utilizzando non solamente
la “vecchia” password del Mazzer, ma anche quella “nuova” che egli, su richiesta del sistema, aveva dovuto adottare in
sostituzione della prima. Tale circostanza, innanzi tutto, esclude la
possibilità che il Buraschi sia venuto a conoscenza
della password in ragione del fatto di lavorare insieme con il Mazzer; infatti,
la seconda delle password in questione è stata adottata dal Mazzer quando il
Buraschi era stato già da tempo licenziato dalla Micron.

3. Infine, il giudice d’appello
ha escluso la terza ipotesi prospettata dal Tribunale e cioè che il Buraschi
abbia indovinato la password del Mazzer provando a caso varie combinazioni,
rilevando l’elevatissimo numero di combinazioni possibili per una password che
utilizzi, come nel caso di specie, da un minimo di sei ad un massimo di 32
caratteri alfanumerici.

In conclusione, delle tre
possibili ipotesi prospettate dal Tribunale circa le modalità attraverso le
quali il Buraschi sarebbe potuto venire a conoscenza della password del Mazzer,
la sentenza impugnata ha ritenuto la prima (responsabilità dell’amministratore
del sistema) impossibile e le altre due (da terzi o tentando a caso)
estremamente improbabili.

Viceversa il giudice d’appello ha
ritenuto che nel senso della responsabilità diretta del Mazzer depongono le seguenti circostanze di fatto: a) il Mazzer era
l’unico che conosceva le proprie password; b) le connessioni dall’esterno sono
state compiute utilizzando ben due password diverse e ciò si spiega molto
facilmente se si ammette che sia stato lo stesso Mazzer a comunicare le
password al Buraschi; c) dopo la modifica della password, il Buraschi tentò
inutilmente di collegarsi alla rete e vi riuscì nuovamente (utilizzando la
nuova password) solamente dopo avere intrattenuto un colloquio telefonico con il
Mazzer.

La Corte ritiene la motivazione
sopra riassunta molto ragionata e priva di vizi logici o giuridici.

Occorre ricordare che la
deduzione di un vizio di motivazione della sentenza impugnata con ricorso per
cassazione conferisce al giudice di legittimità non il potere di riesaminare il
merito della intera vicenda processuale sottoposta al suo vaglio, bensì la sola
facoltà di controllo, sotto il profilo della correttezza giuridica e della
coerenza logico-formale, delle argomentazioni svolte dal giudice del merito, al
quale spetta, in via esclusiva, il compito di individuare le fonti del proprio
convincimento, di assumere e valutare le prove, di controllarne l’attendibilità
e la concludenza, di scegliere, tra le complessive risultanze del processo, quelle
ritenute maggiormente idonee a dimostrare la veridicità dei fatti ad esse sottesi, dando, così, liberamente prevalenza all’uno o
all’altro dei mezzi di prova acquisiti (salvo i casi tassativamente previsti
dalla legge). Ne consegue che il preteso vizio di
motivazione, sotto il profilo della omissione, insufficienza, contraddittorietà
della medesima, può legittimamente dirsi sussistente solo quando, nel
ragionamento del giudice di merito, sia rinvenibile traccia evidente del
mancato (o insufficiente) esame di punti decisivi della controversia,
prospettato dalle parti o rilevabile di ufficio, ovvero quanto esista
insanabile contrasto tra le argomentazioni complessivamente adottate, tale da
non consentire l’identificazione del procedimento logico-giuridico posto a base
della decisione (Cassazione 2399/04; Su 13045/97; 5802/98; 10503/93).

In realtà le censure del
ricorrente non segnalano vizi del ragionamento, ma
dissensi interpretati sui fatti.

Con il terzo
motivo il ricorrente, deducendo violazione e falsa applicazione degli articoli
2106, 2119 Cc; 7 legge 300/70; omessa, insufficiente e contraddittoria
motivazione su punto decisivo della controversia (articolo 360, nn. 3 e
5 Cpc) censura la sentenza impugnata in punto di proporzionalità tra mancanza e
sanzione. Rileva che il Mazzer aveva accesso al sistema come user, e cioè come
utente ordinario; poteva con il codice relativo accedere alle statistiche ed
alle illustrazioni pubblicitarie dei prodotti, ma non poteva interagire con il
sistema, non aveva accesso ai programmi, non poteva fare copia di files o
programmi residenti nel sistema.

Sul punto il giudice d’appello ha
così motivato:

per
quanto riguarda, infine, la valutazione della gravità dell’inadempimento
realizzato dal Mazzer, ritiene il Collegio che essa sia tale da giustificare il
recesso datoriale. Invero il comportamento del lavoratore si è concretato nella
diffusione all’esterno di dati (le password personali) idonei a consentire a
terzi di accedere ad una grande massa di informazioni attinenti l’attività
aziendale e destinate a restare riservate.

Il ricorrente non contesta che si
trattasse di dati comunque riservati.

La valutazione
della proporzionalità della sanzione rispetto alla gravità della mancanza del
lavoratore si risolve in un apprezzamento di fatto incensurabile in sede di
legittimità ove sorretto da motivazione adeguata e logica (ex plurimis
Cassazione 16628/04; 12083/03; 12001/03). La sottrazione di dati
aziendali è stata ritenuta idonea ad integrare la giusta causa di licenziamento
(Cassazione 2560/93).

Il ricorso va pertanto respinto.

Le spese processuali seguono la
soccombenza e vengono liquidate in euro 103 oltre euro
2500 per onorari di avvocato, oltre spese processuali Iva e Cpa.

PQM

Rigetta il ricorso e condanna la
ricorrente a pagare le spese del presente giudizio liquidate in euro 103 oltre
a euro 2500 per onorari di avvocato, oltre spese generali Iva
e Cpa.