Il Tribunale di Venezia con la sentenza n. 494/2021 ha statuito che l’azienda che subisce un pesante attacco informatico e sia costretta a pagare un riscatto per recuperare i dati sottratti può licenziare il dipendente che ha navigato ripetutamente su siti non sicuri per fini privati mettendo a rischio la sicurezza interna.
Il caso sottoposto al Tribunale Veneto ha ad oggetto il licenziamento per giusta causa da un’agenzia marittima nei confronti di dipendente che aveva effettuato numerosi accessi a siti e form personali durante l’orario di lavoro, anche durante gli straordinari che aveva chiesto per far fronte alle incombenze ordinarie. I controlli sul computer del dipendente erano avvenuti in seguito a un hackeraggio con blocco dell’intero sistema aziendale tramite ransomware, un tipo di virus che limita l’accesso dei dispositivi che infetta.
Il malware aveva criptato tutti i dati del disco del computer del lavoratore per poi propagarsi sulla rete aziendale, criptando i file presenti all’interno dei dischi di rete. L’agenzia aveva poi pagato un riscatto per ottenere il ripristino dei dati, ma aveva anche avviato un’indagine interna per accertare la causa dell’attacco. All’esito del controllo effettuato da un consulente informatico e da un’agenzia di investigazioni era emerso che il dipendente aveva visitato siti di prenotazione viaggi, spettacoli e anche chat di incontri per adulti oltre a siti pornografici.
La sentenza ribadisce che l’articolo 4 dello Statuto dei lavoratori, così come modificato dall’articolo 23 del Dlgs 151/2015, attuativo del cosiddetto Jobs Act e integrato successivamente dal Dlgs 185/2016 consente al datore di lavoro di effettuare controlli su tutti i dispositivi informatici in uso ai dipendenti a condizione che sia data adeguata informativa al dipendente. In questo caso, l’azienda aveva precisato di aver portato a conoscenza le policy aziendali tramite affissioni in un espositore accanto al distributore del caffè e in un’apposita cartella del server aziendale accessibile a tutti i lavoratori. A pesare sono stati soprattutto il numero degli accessi effettuati e la tipologia dei siti visitati, che per il giudice hanno messo a rischio la sicurezza informatica dell’intera azienda. Il lavoratore aveva inoltre inviato comunicazioni a nome dell’azienda, usandone abusivamente la carta intestata e apponendo firme falsificate. La gravità complessiva degli addebiti per il giudice è stata ritenuta proporzionale al licenziamento irrogato.