PA, responsabilità informatiche dei dipendenti

Una sentenza della Corte dei Conti condanna due impiegati che avevano utilizzato i PC d'ufficio per attività extra-curriculari. Uno avrebbe diffuso il celebre worm Blaster. Per l'altro, 100 euro per ogni ora di navigazione abusiva
Una sentenza della Corte dei Conti condanna due impiegati che avevano utilizzato i PC d'ufficio per attività extra-curriculari. Uno avrebbe diffuso il celebre worm Blaster. Per l'altro, 100 euro per ogni ora di navigazione abusiva

Potenza – La sentenza non è recentissima ma suscita grande interesse perché prende di mira non solo l’uso personale di strumenti informatici in un ufficio pubblico da parte dei dipendenti, ma anche perché ascrive ai due coinvolti precise responsabilità in materia di diffusione di virus nell’infrastruttura informatica.

In buona sostanza la Corte dei Conti, con la sentenza 83/2006/R. dello scorso marzo, ha ritenuto colpevoli , seppure con accezioni diverse, due dipendenti della Direzione provinciale del Lavoro di Potenza perché hanno utilizzato i computer messi a disposizione dell’amministrazione in modo abusivo . In particolare, è stata loro contestata sia l’acquisizione di file infetti da Internet quanto la cancellazione, per uno dei due, dell’ intera cache del browser , un’azione che in fase dibattimentale è stata letta come un tentativo di nascondere le proprie navigazioni online extracurriculari.

Mentre S.G. avrebbe installato sul proprio computer un applicativo specifico per preparare ed emettere fatture e documenti relativi a interessi personali e in nessun modo legati al suo impiego, provvedendo anche a eliminare le pagine cachate dal browser, ad I.T. è stato ascritto l’accesso a siti web pornografici. Entrambi sono stati accusati di aver più o meno inconsapevolmente (le posizioni dei due divergono su questo) introdotto una variante del celebre worm Blaster nella rete interna della Direzione, provocando il fermo del sistema per un intero mese , l’intervento di una società specializzata che ha “ripulito” i computer in LAN e di fatto rendendo inagibili i computer di un servizio pubblico. Il virus era contenuto nei file osé scaricati sul computer.

È da segnalare anche il fatto che a S.G., in quanto considerato “tecnicamente competente”, sono state riconosciute delle aggravanti per la diffusione di Blaster, cosa che non è accaduta con I.T., ritenuto “inconsapevole” degli effetti di certe azioni, pur vietate dalle regole dell’ufficio e dalla deontologia. È per questo che solo S.G. è stato condannato a risarcire l’Amministrazione per l’intervento tecnico. Va detto però che la Corte ha anche sottolineato come la sicurezza dei sistemi avrebbe potuto e dovuto essere tenuta in maggior conto dall’Amministrazione.

Ad I.T., come detto, viene contestata la navigazione a luci rosse . Non parliamo di un’attività particolarmente intensa, 30 ore nel giro di un anno, tra dicembre 2002 e novembre 2003, ma sufficienti a mettere nei guai l’impiegato.

Di interesse poi la questione dell’attribuzione delle responsabilità: i due ritengono infatti che non possa essere provato che siano stati loro a compiere certe azioni. L’accesso al PC, a loro dire, avrebbe potuto essere eseguito anche da altro personale dell’ufficio in loro assenza . Una tesi però respinta dalla Corte, secondo cui la perizia tecnica su tempi e modalità di acquisizione dei file infetti e sulla navigazione web ha dimostrato una casualità diretta. Il primo computer infettato sarebbe stato proprio quello di S.G., in cui date ed ore di produzione di documenti non pertinenti al lavoro d’ufficio coincide con quella di contrazione del virus.

Non solo. Secondo la Corte rimane la responsabilità personale per il PC in dotazione che avrebbe dovuto, come previsto dalle regole, essere protetto da password . L’assenza delle password rappresenta quindi un’ulteriore colpa sulle spalle dei due.

Notevole il passaggio della sentenza in cui si sostiene che la navigazione extracurriculare non sia dannosa solo per le ore sottratte al lavoro ma anche perché configura un modus cogitandi e un modus operandi destinato a trasformare il lavoro in un insieme di “espedienti” e “condizioni” per garantirsi lo spazio di abuso necessario a compiere attività slegate dalla propria mansione.

La sentenza attribuisce ad I.T. un risarcimento di 100 euro per ogni ora di navigazione non prevista , ovvero 3mila euro. Somma identica quella addebitata a S.G. per il danno e la bonifica del sistema informatico e per il disservizio arrecato. I due non dovranno invece pagare il nuovo sistema di sicurezza richiesto dalla Direzione dopo questi eventi: si tratta di una novità “oggi indispensabile” indipendentemente da questo episodio.

Adele Chiodi

Link copiato negli appunti

Ti potrebbe interessare

06 06 2006
Link copiato negli appunti