Licenziamento accesso abusivo: il danno non conta

Un dipendente di banca, licenziato per aver acceduto senza autorizzazione a numerosi dati di clienti, era stato reintegrato dai giudici di merito perché l’istituto di credito non aveva provato un danno concreto. La Corte di Cassazione ha annullato tale decisione, stabilendo che per il licenziamento per accesso abusivo è sufficiente la grave violazione degli obblighi di fedeltà e diligenza che mina il rapporto di fiducia, a prescindere dalla causazione di un pregiudizio effettivo.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 14 settembre 2025 in Diritto del Lavoro, Giurisprudenza Civile

Licenziamento per accesso abusivo: irrilevante la prova del danno

Il licenziamento per accesso abusivo ai sistemi informatici aziendali è legittimo anche senza la prova di un danno concreto per l’azienda o per terzi. Ciò che conta è la gravità della condotta del dipendente, che incrina in modo irreparabile il rapporto di fiducia. È questo il principio fondamentale ribadito dalla Corte di Cassazione, Sezione Lavoro, con l’ordinanza n. 4945/2025, che cassa la decisione di merito favorevole a un lavoratore.

I Fatti di Causa

Un dipendente con la qualifica di area manager di un noto istituto di credito veniva licenziato per giusta causa. Le contestazioni disciplinari erano due: la prima, e più rilevante, riguardava l’accesso indebito e reiterato a circa 70 schede di clienti per motivi extralavorativi, in palese violazione della privacy; la seconda concerneva presunti comportamenti dispotici e vessatori nei confronti dei colleghi.

Il lavoratore impugnava il licenziamento. Il Tribunale, in prima istanza, dopo una fase istruttoria, accoglieva il ricorso, ordinando la reintegrazione del dipendente. Secondo il giudice, la contestazione relativa agli accessi abusivi era tardiva e, per le altre condotte, la banca non aveva fornito prove sufficienti.

La Corte d’Appello confermava la decisione, rigettando il reclamo della banca. Pur riconoscendo la violazione della normativa sulla privacy, la Corte territoriale riteneva il licenziamento sproporzionato, in quanto l’istituto di credito non aveva dedotto né provato l’esistenza di danni conseguenti alla condotta del manager. In assenza di un pregiudizio concreto, la sanzione espulsiva era stata giudicata eccessiva.

La Decisione della Corte di Cassazione e il licenziamento per accesso abusivo

Investita della questione, la Corte di Cassazione ha ribaltato completamente la prospettiva dei giudici di merito. Accogliendo il motivo di ricorso principale della società, la Suprema Corte ha affermato che la Corte d’Appello ha errato nel ritenere decisiva l’assenza di un danno conseguenziale per escludere la giusta causa di licenziamento.

Le Motivazioni

Il ragionamento della Cassazione si fonda su un consolidato orientamento giurisprudenziale. In materia di licenziamento disciplinare, la valutazione della gravità della condotta non può essere limitata alla verifica delle sue conseguenze patrimoniali. L’elemento centrale da considerare è il valore sintomatico del comportamento del lavoratore rispetto ai suoi futuri adempimenti e, soprattutto, la sua idoneità a ledere l’elemento fiduciario, che è alla base del rapporto di lavoro.

L’accesso non autorizzato a dati sensibili di clienti, di per sé, costituisce una gravissima violazione degli obblighi di diligenza e fedeltà, a prescindere dal fatto che da tale accesso derivi un danno economico o di immagine per l’azienda o per i clienti stessi. La condotta è intrinsecamente grave perché dimostra l’inaffidabilità del dipendente e la sua noncuranza verso le più elementari norme di comportamento e di tutela della privacy, fondamentali in un settore delicato come quello bancario.

La Corte ha precisato che fattori come la modesta entità del danno o l’assenza di un vantaggio per il lavoratore possono essere considerati nella valutazione complessiva, ma non sono sufficienti, da soli, a escludere la rilevanza disciplinare del fatto. La rottura del vincolo di fiducia, una volta avvenuta, giustifica la sanzione espulsiva.

Le Conclusioni

La pronuncia ha importanti implicazioni pratiche. Per i datori di lavoro, viene confermato che non è necessario attendere o provare un danno effettivo per poter procedere con un licenziamento per giusta causa di fronte a una grave violazione delle policy aziendali, specialmente in materia di trattamento dei dati. La semplice commissione del fatto, se idonea a minare la fiducia, è sufficiente.

Per i lavoratori, questo rappresenta un monito sulla serietà degli obblighi legati alla gestione delle informazioni aziendali. L’accesso a dati per curiosità personale o per motivi non legati all’attività lavorativa è una condotta che può costare il posto di lavoro, anche se non si intende arrecare alcun danno.

Per giustificare un licenziamento per accesso abusivo a dati informatici, è necessario che l’azienda dimostri di aver subito un danno concreto?
No. Secondo la Corte di Cassazione, l’assenza di danni conseguenziali o di vantaggi per il lavoratore non esclude di per sé la giusta causa di licenziamento. Ciò che rileva è la gravità della condotta nel minare il rapporto di fiducia con il datore di lavoro.

La violazione delle norme sulla privacy da parte di un dipendente può costituire giusta causa di licenziamento?
Sì. L’accesso indebito a dati sensibili, come quelli dei clienti di una banca, rappresenta una grave violazione degli obblighi del lavoratore e può compromettere irrimediabilmente il vincolo fiduciario, legittimando la sanzione espulsiva.

Cosa si intende per ‘valore sintomatico’ della condotta del lavoratore?
Si intende che il comportamento del dipendente viene valutato non solo per le sue conseguenze immediate, ma anche come indicatore (sintomo) della sua affidabilità futura e della sua capacità di rispettare gli obblighi contrattuali. Una condotta grave può far dubitare della futura correttezza del lavoratore, giustificando la fine del rapporto.

Testo del provvedimento

Ordinanza di Cassazione Civile Sez. L Num. 4945 Anno 2025

Civile Ord. Sez. L Num. 4945 Anno 2025

Presidente: NOME COGNOME

Relatore: COGNOME

Data pubblicazione: 25/02/2025

ORDINANZA

sul ricorso iscritto al n. 16850/2023 r.g., proposto da

Unicredit spa RAGIONE_SOCIALE in persona del legale rappresentante pro tempore , elett. dom.ta in presso la Cancelleria di questa Corte, rappresentata e difesa dagli avv.ti NOME COGNOME, NOME COGNOME e NOME COGNOME.

ricorrente

contro

NOME COGNOME , elett. dom.to in INDIRIZZO Roma, rappresentato e difeso dall’avv. NOME COGNOME.

contro

ricorrente

avverso la sentenza della Corte d’Appello di Roma n. 2378/2023 pubblicata in data 07/06/2023, n.r.g. 26/2023.

Udita la relazione svolta nella camera di consiglio del giorno 28/01/2025 dal Consigliere dott. NOME COGNOME

Viste le conclusioni scritte depositate dal P.M., in persona del Sostituto Procuratore Generale dott. .

RILEVATO CHE

1.- NOME COGNOME era stato dipendente di Unicredit spa fino al 05/11/2020, quando era stato licenziato per giusta causa sulla base della contestazione disciplinare del 21/07/2020, con cui gli erano stati addebitati illegittimi

OGGETTO:

licenziamento disciplinare -accesso abusivo a sistema informatico -reiterazione -rilevanza -apprezzamento del giudice di merito ai fini della gravità – necessità

comportamenti nei confronti dei colleghi nonché l’indebito accesso a numerose schede clienti (in numero di 70).

Deduceva la tardività e la genericità della contestazione disciplinare e comunque l’insussistenza dei fatti addebitati, in quanto aveva incrementato notevolmente la vendita di prodotti bancari ed aveva allargato la clientela.

Quindi impugnava il licenziamento dinanzi al Tribunale di Roma, chiedendo la tutela c.d. reale.

2.Costituitosi il contraddittorio, all’esito della fase c.d. sommaria introdotta dalla legge n. 92/2012 il Tribunale rigettava l’impugnazione, ritenendo documentalmente dimostrato l’accesso alle schede clienti per motivi extralavorativi, con grave violazione della privacy .

A seguito di opposizione del lavoratore, veniva istruita la causa con l’assunzione delle prove testimoniali. Indi il Tribunale accoglieva l’impugnazione, ordinava la reintegrazione del dipendente nel posto di lavoro e condannava l’istituto di credito al pagamento dell’indennità risarcitoria.

3.Con la sentenza indicata in epigrafe la Corte d’Appello rigettava il gravame interposto da Unicredit spaRAGIONE_SOCIALE

Per quanto ancora rileva in questa sede, a sostegno della sua decisione la Corte territoriale affermava:

con il motivo di reclamo la banca lamenta l’erronea valutazione di tardività della contestazione disciplinare relativa all’abusivo accesso alle schede clienti;

il Tribunale ha accertato che già a febbraio 2020 la banca aveva avuto piena cognizione dai tecnici informatici degli abusivi accessi a quelle schede clienti, risalenti al periodo tra febbraio 2018 e febbraio 2020;

avendo ritenuto di non dover compiere ulteriori accertamenti istruttori in relazione a tale condotta (ad esempio contattare i clienti ai quali si riferivano le schede), il Tribunale ha ritenuto che non vi fosse alcun motivo di attendere gli ulteriori e complessi accertamenti relativi agli altri fatti poi contestati, inerenti ai comportamenti tenuti dal Tito rispetto ai suoi colleghi;

per tale ragione il Tribunale ha ritenuto tardiva quella contestazione, anche perché ha ritenuto violato il diritto di difesa del dipendente, che

poteva non ricordare le ragioni per le quali aveva compiuto quegli accessi risalenti ad oltre 24 mesi prima;

il motivo di reclamo al riguardo è fondato, sia perché non si ravvisa alcuna violazione del diritto di difesa, non dedotto in sede di opposizione; in ogni caso la necessità di accertamento dei fatti, la loro peculiarità, il quadro di insieme dei fatti riconducibili ai singoli accessi non giustificati neppure ex post rendono congruo il tempo trascorso per la verifica per poi procedere alla contestazione disciplinare;

peraltro proprio la posizione del NOMECOGNOME nella sua qualità di area manager che aveva conseguito ottimi risultati, richiedeva un’accortezza e una ponderazione maggiore da parte del datore di lavoro;

il Tribunale dunque ha fatto malgoverno dei principi giurisprudenziali, che pure ha esattamente richiamato;

occorre allora procedere all’accertamento di tale addebito;

nelle sue giustificazioni il Tito ha offerto una spiegazione per ciascuno dei 70 accessi reputati illegittimi, e per ogni singolo episodio ha richiamato motivazioni non aziendali;

dunque è stata violata la normativa della privacy , senza possibilità di individuare esimenti;

tuttavia la banca non ha dedotto la sussistenza di danni consequenziali all’illecita condotta tenuta dal Tito, sicché all’esito di una valutazione di proporzionalità, questa Corte ritiene che non sia giustificata la più grave delle sanzioni;

è dunque procedere alla valutazione anche delle altre condotte contestate, inerenti a fatti ‘comportamentali’, rappresentati da una gestione dispotica e clientelare dell’area da parte del Tito, come denunciato da molteplici dipendenti della banca, che avrebbero fatto riferimento anche ad un sistema di intimidazioni, ricatti e ritorsioni nei confronti dei dipendenti non compiacenti, ad un controllo ossessivo sull’operato dei colleghi, all’intromissione nella loro vita privata, alle relazioni personali intrattenute a vantaggio di colleghe privilegiate nella carriera;
m) ma la banca non ha prodotto in giudizio i verbali di audizione dei colleghi denuncianti, né le loro spontanee relazioni scritte;

le testimonianze raccolte non sono univoche e quindi l’onere probatorio gravante sul datore di lavoro non risulta assolto, come condivisibilmente ritenuto dal Tribunale;

in assenza di deduzioni alternative in ordine alla possibilità di comminatoria di una sanzione conservativa relativamente all’accesso abusivo alle schede clienti, ‘ne consegue … la conferma del reclamo’, con le conseguenze di cui all’art. 18, co. 4, L. n. 300/1970.

4.Avverso tale sentenza Unicredit spa ha proposto ricorso per cassazione, affidato a sei motivi.

5.- NOME COGNOME ha resistito con controricorso.

6.- Entrambe le parti hanno depositato memoria.

Nella sua memoria Unicredit spa ha invocato Cass. 16/11/2021, n. 34717, contraddittoriamente citata dalla stessa Corte territoriale nella sentenza impugnata (a pag. 5), relativa a caso identico (accesso abusivo a schede clienti).

7.- Il collegio si è riservata la motivazione nei termini di legge.

CONSIDERATO CHE

1.Con il primo motivo, proposto ai sensi dell’art. 360, co. 1, n. 3), c.p.c. la ricorrente lamenta la violazione o la falsa applicazione degli artt. 2106, 2119 e 2697 c.c. per avere la Corte territoriale ritenuto che la mancata deduzione di danni conseguenziali all’illecita consultazione dei rapporti bancari di decine di clienti avrebbe escluso la giusta causa di licenziamento.

Il motivo è fondato.

Questa Corte ha ripetutamente affermato che affermato che in tema di licenziamento disciplinare, l’assenza di effettive conseguenze pregiudizievoli per il datore di lavoro o per terzi, ovvero di concreti vantaggi a favore proprio del lavoratore o di terzi, così come l’eventuale comportamento successivo volto ad eliderne gli effetti dannosi, non valgono di per sé ad escludere la rilevanza disciplinare del fatto, potendo piuttosto concorrere, unitamente ad ogni altro fattore oggettivo e soggettivo palesato dal caso concreto, nella complessa valutazione giudiziale circa l’idoneità della condotta a giustificare la sanzione espulsiva In questa prospettiva è
stato altresì precisato che in tema di licenziamento per giusta causa, la modesta entità del fatto addebitato non va riferita alla tenuità del danno patrimoniale subito dal datore di lavoro, dovendosi valutare la condotta del prestatore di lavoro sotto il profilo del valore sintomatico che può assumere rispetto ai suoi futuri comportamenti, nonché all’idoneità a porre in dubbio la futura correttezza dell’adempimento e ad incidere sull’elemento essenziale della fiducia, sotteso al rapporto di lavoro (Cass. ord. n. 23318/2024; Cass. 8816/2017; Cass. 19674/2014).
La sentenza impugnata non ha fatto quindi corretta applicazione dei consolidati principi di questa Corte.

Peraltro, la stessa Corte territoriale, dopo aver disatteso la valutazione del Tribunale in termini di tardività di quella contestazione disciplinare -profilo sul quale, in mancanza di ricorso incidentale del Tito, si è formato il giudicato interno -ha evidenziato la gravità di quelle condotte, laddove ha ricordato la severità ed il rigore con cui il Garante della privacy ha trattato la materia (v. sentenza impugnata, p. 5).

La sentenza impugnata va pertanto cassata con rinvio per la rivalutazione di quelle condotte secondo il parametro di gravità desumibile dall’art. 2119 c.c.

2.Con il secondo motivo, proposto ai sensi dell’art. 360, co. 1, n. 3), c.p.c. la ricorrente lamenta la violazione o la falsa applicazione degli artt. 2119 c.c., 7 L. n. 300/1970, 2697 c.c., 112, 115 e 116 c.p.c., per avere la Corte territoriale ritenuto insufficienti gli indebiti accessi alle schede clienti a legittimare il recesso datoriale e quindi per aver ritenuto necessario procedere anche alla disamina degli addebiti comportamentali ai fini di una valutazione complessiva.

Il motivo è assorbito dall’accoglimento del primo motivo .

3.Con il terzo motivo, proposto ai sensi dell’art. 360, co. 1, n. 3), c.p.c. la ricorrente lamenta violazione o falsa applicazione degli artt. 2697 e 2119 c.c., 18, co. 4, L. n. 300/1970, per avere la Corte territoriale ritenuto che essa banca non avesse assolto l’onere probatorio relativo agli addebiti comportamentali.

Con il quarto motivo, proposto ai sensi dell’art. 360, co. 1, n. 3), c.p.c. la ricorrente lamenta violazione o falsa applicazione degli artt. 2697 c.c., 420,

112, 115, 116 c.p.c., 24, co. 2, e 111 Cost. per non avere la Corte territoriale dato corso alla prosecuzione della prova orali richiesta da essa banca.

Entrambi i motivi sono assorbiti dall’accoglimento del primo motivo .

4.Con il quinto motivo, proposto ai sensi dell’art. 360, co. 1, n. 3), c.p.c. la ricorrente lamenta violazione o falsa applicazione dell’art. 18, co. 4, L. n. 300/1970 per avere la Corte ritenuto applicabile la tutela reale depotenziata pur in presenza della prova del fatto contestato, sulla base soltanto della ritenuta sproporzione del licenziamento rispetto a quel fatto.

Il motivo è assorbito dall’accoglimento del primo motivo.

5.Con il sesto motivo, proposto ai sensi dell’art. 360, co. 1, nn. 3) e 4), c.p.c. la ricorrente lamenta violazione o falsa applicazione degli artt. 18, co. 4, L. n. 300/1970, 1227 e 2697 c.c., 115 e 116 c.p.c. per non avere la Corte territoriale considerato e deciso le eccezioni di aliunde perceptum e di aliunde percipiendum pur da essa sollevate sin dalla fase sommaria del primo grado di giudizio e poi riproposte in grado di reclamo

Il motivo è assorbito dall’accoglimento del primo motivo.

Al giudice del rinvio è demandato il regolamento delle spese di lite del giudizio di legittimità.

P.Q.M.

La Corte accoglie il primo motivo e dichiara assorbiti gli altri; cassa la sentenza impugnata e rinvia alla Corte d’Appello di Roma, in diversa

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.