La sentenza n. 23158/2025 della Corte di cassazione si inserisce in un filone giurisprudenziale ormai decennale che ruota attorno al difficile bilanciamento fra i poteri di controllo datoriale e la tutela dei dati personali dei lavoratori. La pronuncia, pur muovendo da specifiche imputazioni penali (artt. 615ter, 616 e 81 cpv. c.p.), offre spunti di estremo rilievo per le imprese che, quotidianamente, devono conciliare esigenze di sicurezza, investigazione interna e disciplina del personale con l’impianto normativo dettato dal GDPR, dal d.lgs. 196/2003 come novellato e, sul versante lavoristico, dagli artt. 4 e 8 dello Statuto dei lavoratori.
Il caso riguarda, in sostanza, un amministratore di sistema che, in prospettiva difensiva, aveva disattivato la funzione Google Vault (strumento di archiviazione e discovery) e successivamente eseguito un download selettivo di messaggi di posta elettronica aziendale al fine di ricostruire eventuali condotte illecite di un ex dipendente. La Corte territoriale, confermata dalla Cassazione, ha ravvisato la sussistenza dei reati contestati, ritenendo che le modalità di accesso e l’ampiezza del controllo travalicassero i limiti di proporzionalità e ragionevolezza imposti dalla disciplina privacy e dallo Statuto.
1. Inquadramento normativo essenziale
1.1 Statuto dei lavoratori
Art. 4 St. lav. (controlli a distanza): distingue fra impianti dai quali può derivare un controllo a distanza e strumenti impiegati dal lavoratore per rendere la prestazione. Gli “strumenti difensivi” finalizzati a tutelare il patrimonio e la sicurezza aziendale sono ammessi, ma soggetti a principi di necessità, proporzionalità, trasparenza.
Art. 8 St. lav. (divieti d’indagine): vieta indagini su opinioni e fatti non rilevanti ai fini professionali.
1.2 GDPR e Codice privacy
Principi ex art. 5 § 1: liceità, correttezza, trasparenza; limitazione della finalità; minimizzazione; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione.
Art. 6 § 1 lett. f): legittimo interesse, bilanciato con i diritti dell’interessato.
Art. 9: dati “particolari” (es. corrispondenza contenente dati sanitari, sindacali o giudiziari).
Art. 1314: informativa; art. 2425: accountability; art. 30: registri trattamenti; art. 32: misure di sicurezza; artt. 3334: data breach; art. 35: DPIA.
1.3 Norme penali a tutela dei sistemi informatici
Art. 615ter c.p.: accesso abusivo a sistema informatico o telematico; aggravante se commesso da pubblico ufficiale o operatore di sistema.
Art. 616 c.p.: violazione, sottrazione e soppressione di corrispondenza.
2. La decisione nei suoi snodi centrali
2.1 Carattere “difensivo” del controllo e parametri di liceità
La Cassazione ribadisce un principio ormai consolidato: i controlli difensivi “in senso stretto” – volti cioè a verificare specifici illeciti realmente ipotizzabili – sono leciti anche senza accordo sindacale o autorizzazione dell’Ispettorato, purché rispettino proporzionalità e siano circoscritti alle sole informazioni indispensabili. Nel caso di specie, tuttavia, la Corte rileva che:
- Il download di messaggi abbracciava un arco temporale ampio, eccedente rispetto alla finalità investigativa;
- La disattivazione di Google Vault, pur reversibile, aveva inciso sull’assetto di sicurezza aziendale;
- L’operazione era stata svolta senza tracciare adeguatamente le attività e senza previo coinvolgimento del DPO.
La stessa Corte osserva che il controllo si trasformava da “difensivo” a “massivo”, invadendo ingiustificatamente la sfera privata di colleghi terzi coinvolti in corrispondenza non penalmente rilevante.
«…le attività informatiche poste in essere dall’imputato non costituivano generici controlli volti a verificare la diligenza del lavoratore, ma un controllo difensivo in senso stretto» (p. 7)
2.2 Impatto dell’aggravante ex art. 615ter, co. 3, c.p.
Poiché l’imputato rivestiva il ruolo di amministratore di sistema, la Corte conferma l’aggravante, sottolineando che il system administrator, per la posizione di garanzia che ricopre, deve operare secondo canoni di diligenza qualificata, evitando ogni interferenza indebita nei diritti fondamentali degli utenti.
2.3 Assenza di esimenti ex art. 51 c.p. e legittima difesa “informatica”
È esclusa l’invocata scriminante dell’esercizio del diritto, atteso che non vi era correlazione immediata e necessaria fra la quantità di dati acquisiti e la tutela dei diritti patrimoniali dell’azienda. L’impresa – e, per essa, l’IT manager – avrebbe potuto adottare forme di investigazione più mirate e meno invasive, ricorrendo, ad esempio, a un fornitore di digital forensics esterno, previo sequestro mirato dei log e blocco degli account.
3. Effetti concreti per le aziende
3.1 Governance della funzione IT e nomina degli amministratori di sistema
La pronuncia offre l’occasione per ribadire la necessità di:
Nomina formale degli admin con atto scritto, definizione puntuale delle mansioni e dei limiti di operatività;
Registro delle attività ex Provv. Garante 27.11.2008 (amministratori di sistema) – da mantenere per almeno sei mesi;
Separazione dei ruoli: evitare concentrazione di poteri di audit, investigazione e indirizzo disciplinare nella stessa persona.
3.2 Policy di investigazione interna e digital forensics
Le imprese dovrebbero dotarsi di procedure stepbystep che prevedano:
- Valutazione preliminare del rischio e ragionevole sospetto (whistleblowing, alert SIEM, segnalazione HR);
- Decisione di avviare l’indagine da parte di un Investigation Committee multilivello (HR, Legal, Security, DPO);
- Conservazione immediata dei log in “writeonce” e snapshot dei sistemi;
- Nomina di un foreno esterno per estrazione selettiva;
- Coinvolgimento tempestivo del DPO e informativa successiva ai dipendenti interessati, se non compromette l’indagine.
3.3 Principio di minimizzazione e “privacy by design”
La sentenza richiama implicitamente l’art. 5 § 1 c) GDPR: l’accesso ai dati dev’essere pertinente, limitato e proporzionato. Gli strumenti di email archiving (Vault, Exchange Litigation Hold, etc.) vanno configurati in modo da consentire:
Search parcelle (query mirate per indirizzo, parole chiave, intervallo date);
Audit trail delle operazioni di export;
Redazione di contenuti irrilevanti;
Crittografia endtoend in fase di trasferimento al consulente forense.
3.4 Coinvolgimento del DPO e DPIA
Quando la sorveglianza può comportare alto rischio per i diritti dei lavoratori – come nel caso di accesso ai contenuti delle email – è buona prassi condurre una valutazione d’impatto (Art. 35 GDPR). Il DPO dovrebbe:
Redigere un parere scritto sulla liceità,
Definire misure di mitigazione (pseudonimizzazione, anonimizzazione).
3.5 Gestione contrattuale e assicurativa del rischio
La responsabilità penale, civile e amministrativa derivante da controlli illeciti può tradursi in:
Sanzioni Garante (fino a 20 M € o 4 % del fatturato);
Azioni risarcitorie ex art. 82 GDPR;
Danni reputazionali.
Le aziende dovrebbero pertanto:
4. Profili di diritto del lavoro
4.1 Utilizzabilità disciplinare delle risultanze
La liceità penale o privacy del controllo costituisce conditio sine qua non per la spendibilità disciplinare dei dati raccolti (Cass. n. 25732/2021). Se il metodo di acquisizione è illegittimo, le informazioni sono inutilizzabili non solo in sede penale, ma anche nel giudizio di licenziamento e nella fase ispettiva ITL.
4.2 Obbligo di informativa e cartellonistica
Anche nei controlli difensivi, l’azienda, per quanto possa derogare all’accordo sindacale, non può prescindere dall’informativa ex artt. 1314 GDPR, quantomeno “di secondo livello”, che specifichi l’eventualità di investigazioni ex post in caso di illeciti.
4.3 Linee guida dell’Ispettorato nazionale del lavoro
Il documento Inl 2/2017 invita a distinguere:
Controlli indiretti (strumenti ad uso esclusivo lavoratore) – no autorizzazione;
Controlli difensivi (mirati, proporzionati) – no accordo, purché “a posteriori”;
Controlli a distanza sistematici – necessaria procedura Art. 4 § 1.
La sentenza in commento conferma questo impianto, qualificando il controllo come difensivo ma giudicandolo “sproporzionato”.
5. Aspetti tecnici di cybersecurity
5.1 Hardening dei sistemi e gestione delle credential
La disattivazione di un modulo come Google Vault può compromettere l’integrità delle prove logiche e agevolare la manipolazione ex post; la Cassazione, pur senza addentrarsi in tecnicismi, rileva l’incidenza sulla sicurezza complessiva.
Best practice:
Imporre segregation of duties fra chi amministra Vault e chi amministra Gmail;
Automatizzare l’immutabilità (retention lock) per 180 giorni;
Implementare privileged access management (PAM) con session recording.
5.2 SIEM e comportamento anomalo
Un monitoraggio comportamentale continuo – su base aggregata e pseudonimizzata – consente di ridurre la necessità di indagini invasive, attivando alert solo su pattern di rischio (es. exfiltration di mailbox, disable di moduli di archiviazione).
6. Risk management “privacybydefault”
La pronuncia ribadisce l’importanza di un approccio proattivo. In sintesi:
Fase
Azioni chiave
Output necessari
Prevenzione
DPIA; policy di indagine; hardening; formazione admin
Registro trattamenti; log immutable
Detection
SIEM; UEBA; whistleblowing
Ticket investigazione
Investigazione
Comitato; acquisizione forense; legal hold
Chain of custody; report forense
Remediation
Sanzione disciplinare; denuncia; breach notification
Registro data breach; chiusura ticket
7. Confronto con la giurisprudenza europea
C13/16 (Rába Kft): legittimo l’uso di dati di localizzazione GPS se informativa adeguata.
C207/16 (Tele2 Sverige): principio di stretta necessità.
CEDU, Barbulescu II: controllo email ammissibile se proporzionato e previa informazione.
La Cassazione allinea quindi la tradizione italiana al “test in tre tempi” del garante europeo: trasparenza, necessity, proportionality.
8. Implicazioni settoriali
8.1 Banche e assicurazioni
Il settore vigilato da Banca d’Italia e Ivass già prevede obblighi stringenti di logging e alerting; tuttavia, la tentazione di “scaricare l’intera mailbox” per poi filtrare offline è ancora diffusa. La sentenza invita a ritagliare query mirate e a custodire i risultati in repository segregati.
8.2 Sanitario e lifescience
Qui la posta in gioco è ancora più alta, in quanto i messaggi potrebbero contenere dati particolari ai sensi dell’art. 9 GDPR. Ogni investigazione deve essere preceduta da DPIA e, se impatta un numero elevato di soggetti, da consultazione preventiva Garante.
8.3 Public utilities e infrastrutture critiche
Gli amministratori di sistema sono spesso soggetti a certificazioni ANSFISANIS2. Una manomissione non autorizzata di moduli di auditing può tradursi in violazione di obblighi di cyber resilience con esposizione a pesanti sanzioni AgIDACN.
9. Linee operative di compliance
Audit annuale sul ruolo e sulle attività degli admin.
Aggiornamento policy “acceptable use” con chiara distinzione tra device personali e aziendali.
Formazione mirata su GDPR e Statuto (focus: art. 4).
Implementazione di log di secondo livello firmati e timestamped.
Procedura di escalation che preveda, prima di qualunque acquisizione di contenuto, un “internal legal privilege memo” firmato dall’Avvocatura.
Checklist di minimizzazione: set di criteri per circoscrivere perimetro di ricerca (ranghi, date, keyword).
Redazione e masking by default degli allegati irrilevanti.
Retention policy da 90 a 180 giorni per i log d’indagine, con estensione solo previa valutazione motivata.
10. Questioni aperte e prospettive future
10.1 AI e strumenti di ediscovery
L’adozione di strumenti basati su AI generativa (ad es. autoclassification dei messaggi) pone nuovi problemi di responsabilità: occorre verificare che i modelli non indicizzino contenuti eccedenti e che i dataset di training siano pseudonimizzati.
10.2 Direttiva Whistleblowing e investigazioni
La Direttiva 2019/1937, recepita in Italia, impone canali di segnalazione interna che potrebbero diventare la prima “spia” di illeciti. Un’indagine che parta da whistleblowing dev’essere gestita con protocolli stringentissimi di confidenzialità e needtoknow, pena l’invalidità dei risultati.
10.3 NIS2 e supplychain monitoring
Le imprese rientranti nel perimetro NIS2 dovranno dimostrare “cyber hygiene” lungo tutta la filiera: ciò implica clausole di flowdown privacy verso fornitori di digital forensics e cloud.
Conclusioni
La sentenza n. 23158/2025 non introduce principi radicalmente nuovi, ma cristallizza in sede penale alcune regole di buona condotta già note in ambito privacy e diritto del lavoro. L’elemento di “novità” è la severità con cui la Cassazione, applicando l’aggravante dell’art. 615ter, stigmatizza l’operato dell’amministratore di sistema che, pur mosso da finalità difensive, agisce in modo sproporzionato e privo di adeguata tracciatura.
Per le aziende, le takeaway sono chiare:
Accountability first: documentare ogni step dell’investigazione.
Least privilege: ridurre il perimetro di ricerca ai soli dati indispensabili.
Transparency later (ma non troppo tardi): informare i lavoratori in modo chiaro, anche ex post, sugli esiti dei controlli.
Segregation of duties: nessun singolo soggetto deve poter disattivare moduli di auditing senza controllo terzo.
Forensics as a service: quando il caso si prospetta complesso, delegare a professionisti esterni con catena di custodia certificata.
Solo così sarà possibile evitare che l’esigenza – sacrosanta – di proteggere il patrimonio aziendale si trasformi in un “Grande Fratello” incompatibile con la dignità e la riservatezza dei lavoratori, nonché fonte di pesanti esposizioni penali e reputazionali.
Global com Technologies
Avv. Luca Sagneri
