Reato di omessa custodia del personal computer da parte di un dipendente pubblico |
||
Il tema della criminalità c.d. informatica[1] si è
andato sempre più manifestando e imponendo agli occhi di tutti a partire
dagli anni ’80, favorito dalla diffusione degli elaboratori elettronici
non solo in ambiente di lavoro ma anche domestico e, successivamente, da
una serie di strumenti in grado di permettere di elaborare dati (
telefonini, palmari, i.pood, ecc.) anche in ambienti domestici. In Italia,
il legislatore ha affrontato in maniera organica tale problematica
attraverso la Legge n. 547 del 1993. Tale legge ha introdotto una serie di
condotte illecite poste in essere su elaboratori elettronici. Il reato di
omessa custodia del personal computer non rientra tra quelli contenuti
nella norma sopra richiamata ma, comunque, è un tipo di reato per la cui
realizzazione è richiesta la presenza del pc, che quindi diventa elemento
costitutivo della fattispecie. 1. LA RESPONSABILITA’ AMMINISTRATIVA DEL
PUBBLICO DIPENDENTE Alla luce delle sentenze che andremo ad illustrare
riteniamo opportuno fornire un succinto quadro in materia di
responsabilità amministrativa del pubblico dipendente, soffermandoci, in
particolare, sul “versante” della responsabilità di natura patrimoniale.
La norma fondamentale in materia di responsabilità amministrativa del
personale degli enti pubblici[2], resta il r.d. n. 2440 del 18.11.1923,
secondo cui “L’impiegato che per azione od omissione, anche solo colposa,
nell’esercizio delle sue funzioni, cagioni danno allo Stato, è tenuto a
risarcirlo”. La nozione di colpa consiste in un comportamento cosciente
dell’agente, che, sia pure senza volontà di recare danno ad altri, causa
un evento lesivo per negligenza, imprudenza, imperizia, ovvero per
inosservanza delle regole o norme di condotta. La colpa può consistere
oltre che nella violazione di leggi e di regolamenti, in negligenza o
violazione di particolari discipline. Integra una fattispecie di colpa,
sotto il profilo della imperizia o negligenza, l’inosservanza di regole
tecniche idonee ad evitare o diminuire un danno che, benché non tradotte
in leggi o regolamenti, siano però entrate nell’uso corrente ed
abitualmente applicate. Si ha fatto colposo, non soltanto per
l’inosservanza di legge, ma anche quando l’evento dannoso si verifica a
causa di negligenza o imprudenza, indipendentemente dalla volontà
dell’agente di produrre l’evento stesso. Quando una norma giuridica
prescrive l’uso di una determinata cautela al fine di evitare eventi di
danno, la prescrizione è usata nella presunzione che quella cautela sia
idonea ad impedire il verificarsi del sinistro. Oltre alla violazione di
una regola di condotta, si richiede anche la coscienza e volontà dell’atto
illecito. 2. LA RESPONSABILITA’ PATRIMONIALE La Costituzione attraverso il
secondo comma dell’art. 103 stabilisce che “la Corte dei Conti ha
giurisdizione nelle materie di contabilità pubblica e nelle altre
specificate dalla legge”. Si è così fatta luce sulla giurisdizione della
Corte dei Conti che risulta, per l’appunto, limitata alla “contabilità
pubblica”. Con tale nozione deve intendersi la materia di contabilità
pubblica in tutti quei rapporti – di responsabilità per danni nel rapporto
interno di impiego o di semplice servizio – connessi alla gestione
finanziaria e patrimoniale svolta dall’amministrazione dello Stato o di
altro ente pubblico. Elementi che concorrono ad individuare la nozione di
contabilità pubblica sono: a. l’elemento oggettivo della “qualificazione
pubblica del denaro o del bene” , b. l’elemento soggettivo, rappresentato
dalla natura pubblicistica dell’ente in questione. Si può quindi affermare
che “la responsabilità patrimoniale, individuata dalla disposizione del
secondo comma dell’art. 103 Cost., può essere complessivamente definita
come la responsabilità in cui incorrono i dipendenti e gli amministratori
degli enti pubblici nei confronti della stessa p.a., per fatti da loro
commessi in dipendenza o comunque in connessione con il loro rapporto con
l’ente pubblico, per violazione specifica o generica dei doveri nei
confronti della struttura pubblica, causa di un pregiudizio appunto
patrimoniale alla pubblica amministrazione[3]”. 3. IL REATO DI OMESSA
CUSTODIA DEL PERSONAL COMPUTER DA PARTE DI UN DIPENDENTE PUBBLICO Prima di
passare a trattare del reato oggetto di tale dissertazione riteniamo
opportuno fornire la definizione dell’elemento costitutivo della
fattispecie: il computer. Il computer[4] è una macchina elettronica
statica programmabile strutturata attorno ad un microprocessore, in grado
di eseguire calcoli ad altissima velocità. Le applicazioni dei computer
sono infinite ma, da un punto di vista oggettivo, il computer è utile e
applicabile in tutte quelle situazioni in cui esistono problemi che
possono essere tradotti in formule di tipo matematico. Gli elementi minimi
costitutivi di un computer sono: microprocessore; memoria di tipo RAM;
memoria di tipo EPROM; interfaccia per l'immissione dei dati (per esempio
tastiera); interfaccia per l'output dati (per esempio monitor). Le due
interfacce comunemente non sono considerate parte del computer, ma
comunque senza di esse il funzionamento risulta impossibile... o meglio,
per quanto il funzionamento in termini di elaborazione possa essere
possibile, senza le interfacce risulta impossibile ottenere i risultati
del lavoro eseguito e immettere comandi al fine di controllare il
funzionamento della macchina. Un esempio completo di computer è una
normale calcolatrice di tipo scientifico. Esistono alcuni microprocessori
particolari, detti microcontrollori, che oltre a contenere al loro interno
un microprocessore semplice, contengono anche una certa quantità di
memoria RAM ed EPROM, nonchè vari tipi di interfacce, per esempio seriali,
parallele o addirittura di conversione analogico/digitale: questi circuiti
integrati realizzano in un solo chip un computer completo. Il reato di
omessa custodia di un personal computer è un reato colposo[5] di tipo
omissivo che si verifica allorché un soggetto – pubblico dipendente
–assegnatario di un elaboratore elettronico – pc –omette di custodirlo e a
seguito di tale condotta negligente si determina la sottrazione dello
strumento informatico sic et simpliciter[6] oppure il suo utilizzo per
fini non legittimi[7]; comunque, in entrambi i casi si verifica un danno
all’Ente. La omissione, in questo caso, consiste nel mancato compimento di
una azione possibile che il soggetto ha il dovere di compiere e che la
legge penale comanda di realizzare,. Precisamente, si tratta di un reato
omissivo proprio, o di pura omissione, consistente nel mancato compimento
dell’azione comandata (=mancata applicazione delle misure minime di
sicurezza, così come disposte dal Codice in materia di protezione dei dati
personali). Ciò lo si desume dal punto 9[8] dell’Allegato B- Disciplinare
Tecnico in materia di misure minime di sicurezza, al Decreto Legislativo
n. 196/2003. La violazione di tale disposizione comporta la applicazione
delle sanzioni penali in quanto rappresenta una violazione delle misure
minime di sicurezza, che devono essere adottate da chi tratta dati
personali. A tale riguardo l’art. 33 del D:lgs 196/03, recita “Nel quadro
dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da
speciali disposizioni, i titolari del trattamento sono comunque tenuti ad
adottare le misure minime individuate nel presente capo o ai sensi
dell’art. 58, comma 3, volte ad assicurare un livello minimo di protezione
dei dati personali”. Il Disciplinare tecnico richiede che sia attuata la
protezione degli strumenti elettronici e dei dati rispetto ai trattamenti
illeciti di dati, agli accessi non consentiti, e a determinati programmi
informatici. Occorre, pertanto, dare attuazione ad una serie di misure
minime di sicurezza che, nel caso specifico, saranno di tipo informatico
(password, sistema di autenticazione, sistema di autorizzazione,
antivirus, ecc); organizzative (formazione del personale) e logistiche
(porte allarmate, .telecamere, ecc.). Tale reato contravviene all’obbligo
di impedire il verificarsi di un evento lesivo (= la sottrazione e/o
l’utilizzo illegittimo del pc) e deve esserci una connessione tra l’evento
stesso (=sottrazione e/o illegittimo uso del pc) e la condotta omissiva (=
il soggetto assegnatario). 4. PRONUNCE GIURISPRUDENZIALI. La Corte dei
Conti[9] è stata chiamata a pronunciarsi sul caso di furto di due personal
computer portatili avvenuto presso un Comando provinciale dei Vigili del
fuoco. Il caso ha per oggetto due funzionari - consegnatari dei pc che
sono stati sottratti. Ai due dipendenti in questione – è stato inoltrato
un “invito alle controdeduzioni”, ritenendo l’Amministrazione ricorrere
l’ipotesi di illecito amministrativo ex art. 1. L. n. 20/1994. Mediante
tale “invito” si è fatto presente che la perdita del pc portatile è da
considerarsi avvenuta a causa dell’incauta condotta del consegnatario, che
non si è preoccupato di custodire adeguatamente il computer, lasciandolo
in vista in un posto accessibile Uno dei due dipendenti ha fatto notare
che “il personal, per motivi tecnici legati ad una migliore visione, era
collegato ad un monitor a tubo catodico, sempre presente sulla scrivania,
e ad una stampante allo stesso modo posta sulla scrivania. In tale
situazione le continue connessioni della stampante con il computer in
modalità Stand –by, potevano compromettere le funzionalità del PC, ovvero
i dati in esso contenuti per mancanza di idonee protezioni hardware contro
l’accumulo di cariche elettrostatiche. Ciò considerato il Pc portatile era
pertanto a svolgere le funzioni di un PC da Tavolo” Il dipendente, a
sostegno della sua difesa faceva presente inoltre che “ il computer in
questione conteneva i software di gestione delle emergenze che dovevano
essere disponibili a tutti i colleghi funzionari in servizio presso il
Comando,…e, quindi, il PC doveva rimanere sulla scrivania, nelle
condizioni d’uso, accessibile agli altri possibili utilizzatori.” In
merito ad eventuali misure di sicurezza da adottare a salvaguardia del
computer, il dipendente precisa che “ la chiusura a chiave dell’accesso
all’ufficio non era possibile, non essendovi, all’epoca dei fatti,
dotazione di chiavi, e che non vi erano ordini di servizio in tal senso,
anche perché ciò avrebbe impedito l’uso del PC da parte di altri
funzionari.” La Procura regionale, non ha ritenuto sufficienti gli
elementi addotti dal funzionario in quanto lo stesso “avrebbe dovuto
assumere tutte le misure idonee ad evitare rischi di trafugamento del
compiuter, quali, in particolare la chiusura a chiave della stanza o il
riporre il p.c. in un cassetto o in un armadio” e lo citava in giudizio
ritenendo che sussistesse una ipotesi di responsabilità amministrativa..
In giudizio la difesa del funzionario sosteneva che “sarebbe assente il
nesso causale tra il comportamento del ..(funzionario) ed il furto poiché
la sottrazione si è verificata a causa della prassi, instauratasi prima
della sua presa di servizio, di libero accesso agli uffici, oppure per il
comportamento disattento del personale in servizio nei giorni in cui
avvenne”. Sempre secondo la difesa dell’imputato, “mancherebbe inoltre
l’elemento della colpa grave, atteso che …(il funzionario) non ha avuto
alcun comportamento negligente, considerata l’oggettiva necessità di
lasciare collegato il p.c. ad altre periferiche sulla scrivania nelle
condizioni d’uso”. Attesa la obsolescenza del computer all’epoca dei fatti
per la difesa mancherebbe anche “il danno erariale”. La Corte dei Conti ha
così deciso: “L’ipotesi di danno erariale sottoposta al giudizio di questa
Corte è collegata al comportamento del convenuto, che in qualità di
consegnatario di un computer…avrebbe causato con la propria incauta
condotta la sottrazione dello strumento operativo, per non averlo
cautamente custodito, lasciandolo in vista in un posto accessibile”. Nel
merito della causa, “Il collegio rileva come l’accertamento della
sussistenza o meno della colpa grave nel comportamento contestato al
convenuto sia assorbente di tutte le altre questioni. La responsabilità
per colpa sussiste solo nei limiti in cui sia individuabile un
comportamento non conforme al buon andamento…In sostanza , la colpa va
valutata in riferimento all’attività di cooperazione richiesta, cioè come
comportamento all’evidenza non adeguato a tali fini o a tali criteri”. In
buona sostanza, il collegio giudicante, richiamando la legge n. 639/96, ha
sancito che la responsabilità contabile a carico del dipendente sussiste
solo “allorché l’attività del pubblico operatore si discosti ampiamente da
tali indici di adeguatezza”. Il Collegio, pertanto, non ha accolto la
richiesta della Procura regionale dovendo ritenersi rilevante “il fatto
evocato dalla difesa della necessità di lasciare in disponibilità d’uso il
computer anche e soprattutto nei momenti di assenza dal servizio da parte
del convenuto, ai fini della gestione di una eventuale emergenza”. Altra
pronuncia giurisprudenziale che si porta alla attenzione del lettore
riguarda il caso di un dipendente dell’Agenzia delle entrate accusato di
avere lasciato incustodito il Pc. Ci riferiamo alla sentenza della Corte
dei Conti della Sicilia[10] chiamata a pronunciarsi sul caso di un
dipendente della Agenzia delle entrate, assegnato all’uso di una
postazione informatica. Lo stesso dopo una ispezione dalla quale era
emersa una anomalia nelle procedure di sgravio, aveva negato di essere
stato l’autore materiale della irregolare procedura di sgravio, ma aveva
al contempo ammesso di avere lasciato incustodita la postazione in
modalità tale da consentire l’accesso a terzi estranei. Ebbene, “Il
procuratore regionale della Corte dei conti ha rilevato che il negligente
comportamento del dipendente aveva prodotto una grave inosservanza delle
disposizioni dettate dall’Agenzia sulle modalità di utilizzo del sistema
operativo, inerenti l’utilizzo del sistema operativo nell’ipotesi di
temporaneo allontanamento dalla postazione di lavoro nella fase di
trattamento di dati sensibili.”. Il Collegio ha fatto propria la tesi
esposta dalla procura in merito al “comportamento gravemente colposo del
convenuto, dalla cui postazione informatica, lasciata incustodita ed
attiva (con la “password” personale assegnata al dipendente inserita) è
stato operato illecitamente l’indebito sgravio di imposta in favore di un
contribuente”. A parere della Corte “la negligenza del convenuto è
consistita nella violazione delle disposizioni di servizio impartite…agli
operatori incaricati del trattamento di dati sensibili mediante procedura
informatica. Tali disposizioni impongono lo spegnimento del personal
computer al termine della giornata di lavoro,…e, nell’ipotesi di un
momentaneo allontanamento, l’attivazione della funzione di blocco della
postazione oppure, nel caso in cui non sia possibile il blocco, lo
spegnimento del computer”. CONCLUSIONE La mancata custodia della propria
postazione informatica, da parte del dipendente pubblico preposto, assume
una particolare rilevanza alla luce sia delle ipotesi criminose
riguardanti la sottrazione dell’elaboratore elettronico sia, soprattutto,
alla luce delle disposizioni contenute in materia di trattamento dei dati
personali. Tale problematica[11] va, quindi, affrontata previa
sensibilizzazione degli utenti pubblici al problema e delle conseguenze ad
esso connesse. Molto si dovrà lavorare sul versante della formazione del
personale incaricato a trattare i dati personali con strumenti
elettronici; formazione che, peraltro, rientra tra le misure minime di
sicurezza che il Titolare del trattamento dei dati deve adottare. Allorché
il settore pubblico si trova a dovere competere con quello privato, la
gestione del dato contenuto nel computer, perché è di questo che si
tratta, la sua sicurezza, le sue modalità di trattamento diventeranno gli
elementi di valutazione di una amministrazione efficace ed efficiente. Un
ente che non sia in grado di proteggere i suoi dati, e, quindi, la
strumentazione informatica attraverso i quali vengono trattati, è
destinato a scomparire dal mercato! Bibliografia: [1] Bibliografia di
riferimento: Corrias L., Informatica e Diritto Penale: elementi per una
comparazione con il diritto statunitense; 1987; La mia privacy, Guida
normativa Il sole 24 Ore, AA.VV., 2004; Rossi D., Personal computer…home
sweet home, in WWW.filodiritto.com; Farolfi F., I crimini informatici, in
www.ei.unibo.it/materie/pdf/reati_informatici.pdf; Costabile G., Internet,
posta elettronica e privacy: esigenze di sicurezza e comportamenti a
rischio, in www.filodiritto.com/diritto/privato/informaticagiuridica/accessoabusivosisinformaticogiurismodesti.htm;
[2] per una esauriente trattazione si rimanda a: Garri G. e Giovagnoli R.,
Responsabilità civile delle amministrazioni e dei dipendenti pubblici,
Itaedizioni, 2003; Perulli G., “La responsabilità civile, penalòe,
amministrativa degli amministratori pubblici”, Giuffrè editore, 1995;
Rapetto U.., Rametto Freddi B., Privacy & sicurezza, EPC libri., [3]
Perulli G., op. cit.. [4] La definizione, contenuta in
www.dizionarioinformatico.com è a cura di Marco Steccanella [5] Mantovani
F., Diritto Penale – Parte Generale, Cedam; il reato omissivo è quella
categoria di reati che si pone in essere con una condotta omissiva e si
rimprovera all’agente di no avere preveduto il fin eoffensivo o di averlo
preveduto ma, al contempo, di non essersi astenuto da quella condotta. [6]
Si rimanda al commento della sentenza n. 1437/01 adottata dalla Corte dei
Conti della Regione Veneto. Paragrafo 4 [7] Si rinvia al commento della
sentenza n. 390/05, della Corte dei Conti della Regione Sicilia. Paragrafo
4 [8] 9. Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una sessione di
trattamento. [9] Sezione Giurisdizionale Regionale per il Veneto, con
sentenza del 26 ottobre 2001, n. 1437/2001. [10] Corte dei Conti, sezione
giurisdizionale della Sicilia, sentenza n. 390 del 2 marzo 2005. [11]
http://oc.uniroma3.it;
|
Indennità di fine rapporto spettante ai dipendenti non di ruolo defunti: in mancanza dei soggetti indicati nella legge, si deve procedere secondo le regole della successione legittima e testamentaria. Lo stabilisce una sentenza della Consulta depositata oggi nella quale la Corte ha dichiarato l'illegittimità costituzionale dell'articolo 9, terzo comma, del decreto legislativo del Capo provvisorio dello Stato n. 407 risalente al 4 aprile 1947 e relativo al Trattamento giuridico ed economico del personale civile non di ruolo in servizio nelle Amministrazioni dello Stato nella parte in cui non prevede che l'indennità di fine rapporto spettante al dipendente non di ruolo defunto, in mancanza dei soggetti ivi indicati, si devolva secondo le regole della successione legittima e testamentaria.
La Corte ha aggiunto che "Si deve ritenere ormai pacifico che anche per l'impiego non di ruolo... presentando i caratteri essenziali del rapporto di lavoro subordinato, non v'è ragione di escludere la spettanza delle medesime voci retributive riconosciute ai lavoratori del settore privato ed ai dipendenti pubblici di ruolo. E ciò vale anche per il rapporto di lavoro dei cappellani militari".
I giudici costituzionali hanno concluso stabilendo che "la connotazione unitaria, per natura e funzione, delle varie categorie di indennità di fine rapporto, anche se governate da diversi sistemi di finanziamento e di erogazione dei singoli trattamenti, impone di dichiarare l'illegittimità di quelle norme che non consentono l'applicabilità delle regole della successione mortis causa... la disparità di trattamento nella disciplina di fine rapporto riservata dalla legge al dipendente non di ruolo rispetto agli altri dipendenti è palese con riguardo a qualsiasi rapporto di lavoro, sia pubblico che privato".