E’  stata pubblica in G.U. n. 272 del 20 novembre 2019 la Legge 18 novembre 2019, n.133 di “Conversione con modificazioni del Decreto Legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di Perimetro di sicurezza nazionale e cibernetica”.

La nuova versione del Decreto Legge convertito  prevede una serie di importanti scadenze tra  le quali:

-          entro  il 22 Marzo 2020, con decreto del Presidente del Consiglio dei ministri verranno individuate le amministrazioni pubbliche, enti ed operatori pubblici e privati aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica;

-           entro il 22 Settembre 2020, tra l’altro:

a) saranno definite le procedure per notificare gli incidenti aventi impatto sulla sicurezza cibernetica al CSIRT italiano (Gruppo di intervento per la sicurezza in caso di incidenti);

b) saranno stabilite le misure volte a garantire elevati livelli di sicurezza delle reti sulla base degli standard UE ed internazionali riguardo alle politiche di sicurezza, alla protezione dei dati, all'integrità delle reti.

“Criterio del blocco unitario”

È legittima la scelta della stazione appaltante, operata in sede di indizione di una gara pubblica per l’affidamento di un appalto di lavori secondo il criterio del minor prezzo ex art. 96 c. 4, D. Lgs. n. 50 del 2016, di non applicare il c.d. “criterio del blocco unitario”, alla stregua del quale, ai fini del calcolo della soglia di anomalia, le offerte aventi identico ribasso percentuale sono considerate come un’unica offerta, e, quindi, di considerare ogni singola offerta, ove l’Amministrazione si sia avvalsa del sistema di sorteggio ex art.97, comma 2, d. lgs. n. 50 del 2016 e, segnatamente, abbia sorteggiato quello previsto dalla lett. b) della stessa norma. Infatti, la scelta dell’amministrazione di non avvalersi del criterio del c.d. “blocco unitario”, oltre a non trovare alcun ostacolo normativo nel D. Lgs. n. 50 del 2016, risulta chiaramente esplicitata e motivata nella stessa lex specialis di gara.

Entro il giorno 16 del mese successivo, il committente deve effettuare un controllo e verificare la congruità tra l’ammontare complessivo degli importi ricevuti (da appaltatori, affidatari e/o subappaltatori) e le trattenute effettuate dalle imprese. A tal fine queste ultime trasmettono via PEC al committente (e le imprese subappaltatrici anche all’appaltatrice):

-          elenco nominativo dei lavoratori impiegati nel mese precedente per l’esecuzione dei lavori e/o dei servizi  (identificati con codice fiscale), con dettaglio ore lavoro prestate, ammontare della retribuzione corrisposta e dettaglio delle ritenute fiscali eseguite nel mese precedenti;

-          dati utili per compilare le deleghe di pagamento volte al versamento di quanto dovuto;

-          dati del bonifico effettuato.

Versamento diretto delle imprese esecutrici

In alternativa, il Decreto fiscale prevede la possibilità per le imprese esecutrici di provvedere al versamento diretto delle ritenute qualora sussistano i requisiti indicati nel Decreto stesso (tra cui essere in attività da almeno 5 anni, non avere subito accertamenti esecutivi per tributi e contributi previdenziali superiori a € 50.000,etc.).

Sono accessibili gli atti posti in essere dalle SOA nell’ambito dell’attività di certificazione

Le SOA, pur avendo natura giuridica di società per azioni di diritto speciale, svolgono una funzione pubblicistica di certificazione, che sfocia nel rilascio di un’attestazione con valore di atto pubblico, sicché la loro attività configura un “esercizio privato di pubblica funzione” e le attestazioni di qualificazione, risultato dell’attività di certificazione delle SOA, sono peculiari atti pubblici, destinati ad avere una specifica efficacia probatoria. Ne discende che gli atti posti in essere nell’ambito della suddetta attività sono certamente accessibili.

Una recente sentenza del Tribunale di Padova (550/2019 del 16 luglio 2019), che si inserisce nel filone della sentenza sui così detti riders, si è pronunciata in materia di genuinità e regolarità dell’appalto laddove le direttive sono impartite da un software del Committente.

Il caso ha riguardato alcuni dipendenti di una cooperativa che svolgevano la mansione di picker, ossia di addetti al prelievo e movimentazione della merce.

Secondo questi dipendenti (ricorrenti) le istruzioni di lavoro erano ricevute direttamente  dal committente, sia attraverso un terminale mobile in dotazione ai lavoratori, sia , in un successivo momento, a voce, tramite collegamento mediante cuffie e microfono.  Tale sistema combinato consentiva al committente di conoscere in tempo reale le operazioni svolte dal singolo lavoratore e la durata di ciascuna di esse.

I ricorrenti hanno chiesto l’accertamento di un rapporto di lavoro direttamente in capo al committente con il versamento delle differenze retributive,  chiedendo in subordine il riconoscimento della responsabilità solidale della Cooperativa con il Committente, ai sensi dell’Art. 29 del D. Lgs. 276/2003.

Il Tribunale di Padova è stato, dunque, chiamato a decidere chi fosse il reale datore di lavoro, ossia chi “presiedeva all’organizzazione del lavoro nel magazzino e chi quindi esercitava la direzione sui lavoratori che vi erano addetti”.

Il concetto di subordinazione deve, secondo il Tribunale di Padova, tener conto dell’evoluzione tecnologica che ha reso per molti settori obsoleta la relazione tra “superiore” e “subordinato”, soprattutto laddove è rimesso alle macchine guidare il processo produttivo. I software ed il sistema di riconoscimento vocale dei singoli dipendenti della cooperativa messi a disposizione dalla Committente hanno posto quest’ultima nella posizione di poter controllare e dirigere le operazioni di lavoro, oltre a trattare dati di soggetti terzi senza aver dato evidenza dell’esistenza di pre-autorizzazioni in tal senso.

Tali circostanze sono state considerate ritenute dal Tribunale di Padova elementi  utili a ritenere che  il Committente abbia esercitato i poteri del datore di lavoro. Infatti, il governo complessivo dell’attività aziendale e la direzione del lavoro dei singoli addetti  possono essere intesi come elementi di un rapporto informatizzato con l’apparente committente.
Il Tribunale, accogliendo il ricorso, ha quindi accertato che la cooperativa dovesse intendersi come mera “interposta” nei rapporti di lavoro facenti capo alla Committente; pertanto, i ricorrenti sono stati ritenuti dipendenti di quest’ultima con inquadramento adeguato al c.c.n.l. applicato dalla stessa.

Consorzi stabili – obbligo di indicazione quote di esecuzione dei consorziati – esclusione – inammissibile

La sentenza ha ad oggetto il provvedimento con cui è stato escluso da una gara pubblica un consorzio stabile che non aveva ottemperato all’obbligo previsto da disciplinare di gara - in asserita applicazione dell’art. 48, comma 4, d.lgs. 50/2016 - di indicare la quota parte del servizio che avrebbe svolto ciascun consorziato.

Secondo il TAR Lombardia, l’esclusione è illegittima, poiché l’art. 48, comma 4, d.lgs. 50/2016 si applica ai raggruppamenti temporanei di imprese ed ai consorzi ordinari, non ai consorzi stabili, che invece costituiscono un’autonoma struttura organizzativa, cui imputare integralmente la prestazione da eseguirsi, della quale il consorzio stabile risponde in proprio, senza dover specificare la quota di esecuzione di ciascun consorziato..

Con Decreto Legge n. 105 del 21 settembre 2019 sono state emanate “Disposizioni urgenti in materia di Perimetro di sicurezza nazionale cibernetica” .
Il D.L. in questione prevede, al fine  di assicurare un livello elevato di sicurezza delle reti e dei sistemi informativi  ed informativi delle amministrazioni pubbliche e degli enti nazionali, pubblici e privati,  che svolgono una funzione essenziale dello Stato o prestano un servizio  essenziale per il mantenimento  di attività fondamentali per gli interessi dello Stato, l’istituzione di un  perimetro di sicurezza nazionale cibernetica.
Entro 4 mesi dall’entrata in vigore della relativa  legge di conversione verrà predisposto, con Decreto del Presidente del Consiglio,  un elenco dei soggetti, pubblici e privati, interessati dalla nuova  normativa e tenuti al rispetto delle misure e degli obblighi in essa previsti.
Nei successivi 10 mesi, sempre con Decreto del Presidente del Consigli , verranno inoltre:

-          definite le procedure di notifica degli incidenti di data breach che impatteranno sui sevizi informativi al nuovo Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT- Cyber Security incident response team), il quale inoltra poi tali segnalazioni al Dipartimento delle informazioni per la sicurezza ed in ultimo al Ministero dell’interno;

-          stabilite le misure volte a garantire livelli di sicurezza delle reti (tra cui le politiche di sicurezza, la mitigazione e gestione degli incidenti e loro prevenzione, integrità delle reti etc.).

 Il Decreto Legge 105/2019, inoltre,  menziona espressamente la tecnologia 5G e la necessità di prevenire attacchi informatici, assicurando così l’integrità dei sistemi di comunicazione a banda larga destinata ad una sempre maggiore diffusione.
La normativa in commento vuole rappresentare un adeguamento dell’Italia agli standard internazionali di sicurezza informatica, rinviando poi alla normativa  di secondo livello il dettaglio della disciplina in oggetto.

CORTE DI GIUSTIZIA U.E., SEZ. V – sentenza 26 settembre 2019 (causa C‑63/18)
Limite subappalto al 30% – incompatibilità con diritto comunitario

Nella sentenza in esame, la Corte di Giustizia Europea, tra l’altro, si è pronunciata sul tema della conformità al diritto comunitario della disciplina nazionale italiana sui contratti pubblici nella parte in cui fissa il limite massimo subappaltabile al 30% dell’importo contrattuale.
Come riporta la Corte, il Governo italiano ha giustificato tale limitazione alla luce di particolari circostanze rilevanti in Italia, dove il subappalto è sempre setato uno dei meccanismi utilizzati per perseguire intenti criminali.
La Corte di Giustizia ha rilevato che la normativa italiana proibisce, in termini generici ed astratti, il ricorso al subappalto che superi una percentuale fissa dell’appalto pubblico, che si applica indipendentemente dal settore economico interessato dall’appalto di cui trattasi, dalla natura dei lavori o dall’identità dei subappaltatori. Un siffatto divieto generale, ha ritenuto la Corte, non lascia alcuno spazio a una valutazione caso per caso da parte da parte dell’ente aggiudicatore.
Peraltro, come già rilevato dalla Commissione europea, misure meno restrittive sarebbero idonee a raggiungere l’obiettivo perseguito dal legislatore italiano, come nel caso di  quelle previste dall’articolo 71 della direttiva 2014/24 e richiamate nella sentenza. D’altronde, come indica il giudice del rinvio, il diritto italiano già prevede numerose attività interdittive espressamente finalizzate ad impedire l’accesso alle gare pubbliche alle imprese sospettate di condizionamento mafioso o comunque collegate a interessi riconducibili alle principali organizzazioni criminali operanti nel Paese.
La Corte di Giustizia ha quindi ritenuto che il limite al ricorso del subappalto come quella indicato non può essere ritenuta compatibile con la Direttiva 2014/24, la quale deve essere interpretata nel senso di precludere alle legislazioni nazionali che limitino al 30% la quota del contratto che l’appaltatore può subappaltare a terzi.

 

Consiglio di Stato, SEZ. V – sentenza 4 ottobre 2019 n. 6698
Revisione tariffe concessione raccolta e smaltimento rifiuti – esercizio poteri autoritativi - giurisdizione amministrativa

Il Consiglio di Stato si è pronunciato in merito alla questione di giurisdizione sussistente in materia di revisione delle tariffe di una concessione per la raccolta e lo smaltimento dei rifiuti delle navi scalanti.
Il Collegio afferma la sussistenza della giurisdizione amministrativa alla luce dell’art. 133, comma 1, lett. c) c.p.a., che, nel circoscrivere le materie di giurisdizione esclusiva del giudice amministrativo, assegna al giudice ordinario le controversie “di contenuto meramente patrimoniale, ovvero inerenti quantificazione e pagamento dei corrispettivi in questione”, sempreché non siano con esse posti in discussione i poteri discrezionali dell’amministrazione concedente.
La revisione delle tariffe richiede l’esercizio di poteri amministrativi di carattere discrezionale, mediante i quali vengono determinate autoritativamente le tariffe applicate all’utenza, con il necessario contemperamento delle ragioni dell’utenza di accesso al servizio con quelle del gestore di mantenimento dell’equilibrio economico del contratto.
La giurisdizione ordinaria sussisterebbe invece nel diverso caso di controversia relativa alle somme dovute – solitamente in aggiunta alle tariffe praticate nei confronti dell’utenza - dall’amministrazione concedente al concessionario nel rapporto bilaterale, e solo ove si controverta della mera quantificazione, di tali indennità, canoni o corrispettivi.

 

CDS, SEZ. V, 27 settembre 2019, n. 6490.
Omessa dichiarazione di una precedente esclusione per irregolarità fiscale – Necessità che le informazioni risultino, comunque, dal Casellario informatico dell’ANAC.

Una precedente espulsione da una gara pubblica per irregolarità fiscale non può assumere rilievo, quale motivo di esclusione, in termini di grave illecito professionale e, quindi, di circostanza da dichiarare, posto che diversamente opinando, si realizzerebbe un’indefinita protrazione di efficacia, “a strascico”, delle violazioni relative all’obbligo di pagamento di debiti per imposte e tasse, laddove l’art. 80, comma 4, riconosce efficacia escludente alla partecipazione alla gara solamente sino al momento in cui il concorrente non provveda alla regolarizzazione della propria posizione.
Inoltre, per potersi ritenere integrata la causa di esclusione di cui all’art. 80, comma 5, lettera c) è necessario che le informazioni di cui si lamenta la mancata segnalazione risultino, comunque, dal Casellario informatico dell’ANAC in quanto solo rispetto a tali notizie potrebbe porsi un onere dichiarativo ai fini della partecipazione alle procedure di affidamento; eventuali esclusioni da precedenti procedure, per quanto accertate dal giudice amministrativo, assumono pertanto rilevanza solo se e fino a quanto risultino iscritte nel Casellario, qualora l’ANAC ritenga che emerga il dolo o la colpa grave dell’impresa interessata, in considerazione dell’importanza e della gravità dei fatti.

 

CDS, SEZ. III, 25 settembre 2019, n. 6433.
Onere dichiarativo di risoluzione contrattuale sub judice.

Nel caso di precedenti risoluzioni contrattuali sub judice – quantunque sia stata eliminata dall’attuale lettera c-ter) dell’art. 80, comma 5,  del D.lgs. 50/2016, la connotazione della risoluzione contrattuale rilevante come “non contestata in giudizio ovvero confermata all’esito di un giudizio” – con la sentenza in commento, il Consiglio di Stato, in linea con i più recenti orientamenti dell’Anac ha ritenuto che ove gli eventi che avrebbero dovuto essere dichiarati non risultino dal Casellario informatico dell’ANAC la relativa omissione non può considerarsi idonea all’applicazione di una sanzione automaticamente espulsiva. In tal senso, infatti, l’esclusione dell’operatore per omessa dichiarazione sarebbe sproporzionata e lesiva del legittimo affidamento suscitato anche da atti interpretativi dell’Autorità di settore.

 

TAR Lazio, Roma, Sez. III, sentenza 3 ottobre 2019, n. 11522
Natura giuridica di Trenitalia – Sussistenza di una “rete” nell’attività di trasporto AV/AC – Nozione della “gestione della rete” destinata a fornire un servizio al pubblico nel campo del trasporto (ferroviario)

La natura giuridica di Trenitalia va accomunata a quella della sua holding, Ferrovie dello Stato italiane s.p.a., succeduto all’Ente Ferrovie dello Stato nella qualità di concessionario ex lege del servizio ferroviario ed ente geneticamente preposto ad un servizio pubblico essenziale di trasporto
2. L’attività di trasporto ad alta velocità, ancorché liberalizzata, non esula dal concetto di “rete” di cui all’art. 118 del D.lgs. n. 50/2016, i cui presupposti si concretizzano nei rilevanti compiti che il d.lgs. 112/15 attribuisce al gestore dell’infrastruttura (quale è Rete Ferroviaria Italiana RFI) in relazione alla individuazione (a titolo esemplificativo) delle tratte, degli orari, della frequenza e della capacità di trasporto.
Rientrano nell’ambito di applicazione dell’art. 118 del D.lgs. n. 50/2016 – e, qualora riconducibili al novero degli “enti aggiudicatori”, soggiacciono quindi alle regole dell’evidenza pubblica per l’affidamento di attività strumentali – anche i “vettori ferroviari”; questi ultimi vanno ricompresi a pieno titolo tra i soggetti incaricati della “gestione della rete” (che ricomprende qualsiasi attività svolta da un’impresa ferroviaria, consistente nel fornire servizi di trasporto al pubblico esercitando un diritto di utilizzo della rete ferroviaria – v. Corte di Giustizia dell’unione Europea, sent. 2019, C – 388/17 – Konkurrensverket contro SJ AB).

 

CDS, Sezione V, 20 settembre 2019, n. 6251
Il termine per impugnare scatta solo con la piena conoscenza dell’aggiudicazione

In materia di appalti, ai fini della decorrenza del termine per impugnare gli atti di gara, la comunicazione dell’aggiudicazione da parte della stazione appaltante resta la via esclusiva che non può essere surrogata da altre forme di pubblicità legali, quali la pubblicazione all’albo pretorio del Comune o sul profilo della committente e neppure dalla pubblicazione sulla Gazzetta Ufficiale dell’Ue. Lo afferma è il Consiglio di Stato accogliendo il ricorso di una società estromessa da un appalto per il trasporto scolastico, aggiudicato alla società concorrente dopo una ulteriore verifica dei requisiti, resa necessaria per la presenza di alcune anomalie in un primo momento. La ricorrente non aveva ricevuto alcuna comunicazione e solo dopo l’accesso agli atti era riuscito a conoscere l’esito della procedura, impugnandola secondo i giudici di primo grado tardivamente. Per il Consiglio di Stato, invece, non è possibile desumere la cosiddetta piena conoscenza dell’aggiudicazione «da un elemento indiziario», dovendo il termine per impugnare decorrere da quando il concorrente abbia acquisito piena contezza del nominativo dell’aggiudicatario e del carattere definitivo dell’aggiudicazione.

 

CORTE DI GIUSTIZIA UE, SEZ. V, 18 settembre 2019 (Causa C-526/17)
Illegittimità proroga concessione lavori pubblici

Secondo la Corte di Giustizia, avendo l’Italia con convenzione del 2009 prorogato dal 31 ottobre 2028 al 31 dicembre 2046 la concessione di lavori pubblici di un’autostrada senza pubblicare alcun bando di gara è venuta meno agli obblighi previsti dall’art. 2 della direttiva 2004/18/CEE, che impone il rispetto dei principi di parità di trattamento, non discriminazione e trasparenza in tema di appalti pubblici, e l’art. 58 che stabilisce che “le amministrazioni aggiudicatrici che intendono procedere alla concessione di lavori pubblici rendono nota tale intenzione mediante un bando”.
Tale proroga, infatti, ad avviso della Corte di Giustizia costituisce “una modifica sostanziale delle condizioni della concessione”.

 

CDS, SEZ. II, 30 settembre 2019, n. 6534
Ammissibilità della memoria di replica.

Con la pronuncia in esame, il Consiglio di Stato ha chiarito che le memorie di replica, previste e regolate dall’art. 73, comma 1, c.p.a., hanno fine esclusivo di consentire di rispondere alle deduzioni contenute nelle nuove memorie depositate dalle controparti in vista dell’udienza di discussione.
Da ciò ne segue che la replica è inammissibile qualora controparte non abbia depositato memoria conclusionale e che il suo oggetto deve restare, comunque, contenuto nei limiti della funzione di contrasto alle difese svolte nella memoria conclusionale avversaria, onde evitare che si traduca in un mezzo per eludere il termine per il deposito delle memorie conclusionali, proponendo tardivamente argomenti che avrebbero dovuto trovare posto nella memoria per l’udienza di discussione.

 

CASSAZIONE N. 15724, 11/06/2019
Consecuzione tra procedure concorsuali: la traslazione dall’una all’altra procedura consente di trasferire la precedenza derivante dalla prededuzione (articolo 69bis l.f.).

La consecuzione è un fenomeno generalissimo, consistente nel collegamento tra procedure concorsuali di qualsiasi tipo, volte a regolare una coincidente situazione di dissesto dell’impresa, che trova nell’articolo 69-bis della legge Fallimentare una sua particolare disciplina, nel caso in cui esso si atteggi a consecuzione tra una o più procedure minori e un fallimento finale. Il fenomeno della consecuzione funge elemento di congiunzione tra procedure distinte e consente di traslare dall’una all’altra procedura la precedenza procedimentale in cui consiste la prededuzione, facendo sì che la stessa valga non solo nell’ambito in cui è maturata, ma anche nell’altro che alla prima sia conseguito.

 

CASSAZIONE, SEZIONE III, ORDINANZA 7 MARZO 2019 N. 6590
Necessità di reiterazione delle istanze istruttorie in sede di conclusioni.

La parte che si sia vista rigettare dal giudice di primo grado le proprie richieste istruttorie ha l’onere di
reiterarle al momento della precisazione delle conclusioni  poiché, diversamente, le stesse debbono intendersi rinunciate e non possono essere riproposte in appello, non potendosi ritenere assolto tale onere attraverso il richiamo generico al contenuto dei precedenti atti difensivi, atteso che la precisazione delle conclusioni deve avvenire in modo specifico, coerentemente con la funzione sua propria di delineare con precisione il “thema” sottoposto al giudice e di porre la controparte nella condizione di prendere posizione in ordine alle richieste, istruttorie e di merito, definitivamente
proposte.

 

CASSAZIONE, SEZIONE VI, ORDINANZA 6 MARZO 2019 N. 6444
L’accordo transattivo a seguito del ricorso in cassazione comporta la cessazione della materia del contendere. Differenza tra rinuncia agli atti e rinuncia all’azione sul piano della definizione del processo.

Nell’ipotesi in cui nel corso del giudizio di legittimità le parti raggiungano un accordo che definisce la controversia, si deve dichiarare cessata la materia del contendere, con conseguente venir meno dell’efficacia della sentenza impugnata, non essendo riconducibile la situazione a una delle tipologie di decisione di cui agli articoli 382, terzo comma, 383 e 184 c.p.c., né risultando configurabile un sopravvenuto disinteresse delle parti alla decisione del ricorso, cioè una sopravvenuta inammissibilità del ricorso stesso.
Si veda anche: Tribunale di Roma n. 1206/2018 del 18/01/2018: “A differenza della rinuncia agli atti del giudizio – atto processuale indipendente dalle cause e dalle finalità, che produce l’effetto tipico di estinguere la fase processuale nella quale interviene – la transazione – atto stragiudiziale di definizione della lite – non incide direttamente sul processo, determinandone l’estinzione, ma sul diritto sostanziale che ne forma oggetto, comportando cessazione della materia del contendere (ex plurimis Cass. 23.4.1999, n. 4035; Cass. 27.2.1998, n. 2197). Mentre la rinuncia agli atti priva la parte del potere di ottenere una pronuncia di merito e, corrispondentemente, il giudice del potere – dovere di emetterla, lasciando impregiudicata la situazione sottostante, di tal che la domanda può essere riproposta in altro processo, diversamente avviene nella transazione, che, appunto, perché pone fine al contrasto insorto tra le parti mediante un nuovo regolamento di interessi, incide sul diritto sostanziale e preclude la proposizione di una nuova domanda sul medesimo oggetto” (in tal senso, ex plurimis, Cass. Civ., Sez. III, 21 febbraio 2003, n. 2647).

Con provvedimento n. 157  in data 30 luglio 2019 il Garante privacy ha indicato alcune prescrizioni di natura tecnica per coloro che hanno necessità di notificare al Garante stesso la violazione di dati personali, ai sensi dell’art. 33 del Regolamento GDPR UE 2016/679 sul trattamento dei dati personali (il così detto data breach).

In particolare, il Garante ha messo a punto un modulo rinvenibile sul sito istituzionale dell’Autorità  stessa, che dovrebbe facilitare i titolari di trattamento oggetto di data breach nell’adempiere all’obbligo di notifica nel più breve tempo possibile –  e comunque non oltre le 72 ore dall’evento– dall’avverarsi di un episodio di data breach, ossia di violazione della sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati .

Il Titolare del trattamento dati, quindi, ha adesso un modulo formulato dal Garante privacy che dovrebbe facilitare la trasmissione delle informazioni richieste dal Regolamento 2016/679, avendole identificate il Garante stesso. Tale modulo dovrà essere trasmesso al Garante  mediante i sistemi telematici indicati sul sito istituzionale del Garante. Il provvedimento peraltro ha chiarito che con riferimento ai termini temporali, al contenuto e alle modalità delle comunicazioni delle violazioni dei dati personali indicati in precedenti provvedimenti (tra cui quelli ion tema di biometria del 204, in materia di informazioni bancarie del 2011, in materia di Dossier sanitario del 2015) si intendono eliminati e sostituiti da quelli di cui al Provvedimento in commento, in conformità con il Regolamento 2016/679.

Il Provvedimento n. 157/2019 si aggiunge alla restante documentazione in materia di data breach , tra cui si rammentano le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 “ del Gruppo di Lavoro art. 29 del 2017 aggiornate,  modificate e fatte proprie dal Comitato Europeo per la protezione dei dati con provvedimento del 25 maggio 2018; nonché la Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, adottata dal Comitato europeo per la protezione dei dati in data 12 marzo 2019.

Infine, si fa presente che il Garante Privacy ha fatto partire in data 23 settembre u.s.  il "Privacy Sweep 2019", un’indagine a carattere internazionale dedicata quest’anno alla gestione dei data breach da parte di soggetti pubblici e privati. Allo Sweep (indagine a tappeto) del 2019 partecipano, oltre a quella italiana, altre 17 Autorità garanti della privacy di vari Paesi del mondo.

Il Garante per la protezione dei dati personali concentrerà la sua attività sul settore dell’e-commerce attraverso l’analisi di un campione significativo di aziende italiane.

Si informa che il 26 giugno 2019  è  entrato in vigore il Regolamento (UE) 2019/881 del Parlamento europeo del Consiglio del 17 aprile 2019, pubblicato sulla Gazzetta Ufficiale UE del 7 giugno u.s., relativo all’ENISA (European Union Agency for Network and Information Security)  - l’Agenzia dell’Unione europea per la cibersicurezza - e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione,  che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).

Il Regolamento ha il duplice obiettivo, da un lato, di rinforzare il ruolo dell’Agenzia europea sulla cibersicurezza (ENISA) e, dall’altra, di creare le base per una certificazione uniforme a livello europeo per la sicurezza informatica dei prodotti ITC e dei servizi digitali.

Si tratta di un Regolamento importante emanato nel solco della normativa comunitaria in materia di protezione dei dati personali (GDPR Regolamento UE 2016/679) nonché della direttiva UE 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione , recepita in Italia con Decreto Legislativo n. 65 del 18 maggio 2018.

Obiettivo del Regolamento è quello di creare una disciplina comune che garantisca un elevato standard di sicurezza dei dispositivi telematici e un uso sicuro dei servizi TlC.

Compito dell’ENISA sarà quello di conseguire un elevato livello comune di cibersicurezza nell’Unione sostenendo attivamente gli Stati membri, le istituzione, gli organi e gli organismi dell’Unione Europea.

Inoltre, obiettivo dell’ENISA sarà quello di promuovere l’uso della certificazione europea della cibersicurezza a livello Europeo, per evitare la frammentazione del mercato interno.

Quanto sopra è una primissima informativa  a cui seguiranno approfondimenti ulteriori sul Regolamento UE 2019/881.

“In data 17 giugno 2019 è stata pubblicata in Gazzetta Ufficiale la legge di conversione 14 giugno 2019, n. 55 che ha convertito il decreto-legge 18 aprile 2019, n. 32 recante: «Disposizioni urgenti per il rilancio del settore dei contratti pubblici, per l'accelerazione degli interventi infrastrutturali, di rigenerazione urbana e di ricostruzione a seguito di eventi sismici.»
 
Si riportano qui di seguito, sinteticamente, le principali modifiche apportate dal citato provvedimento al Codice Appalti (D.Lgs. 50/2016 s.m.i.).


·         Regolamento di attuazione: entro 180 giorni dall’entrata in vigore del decreto dovrà essere emanato il regolamento di esecuzione, attuazione e integrazione del codice. Le Linee Guida e i decreti adottati in attuazione delle previgenti disposizioni rimarranno in vigore e o resteranno efficaci fino alla data di entrata in vigore del regolamento.

·         Limite del 40% al subappalto: fino al 31 dicembre 2020 il limite massimo subappaltabile sarà pari al 40% dell’importo complessivo del contratto. Tuttavia, sarà la Stazione Appaltante ad indicare nel bando, per ogni gara, la quota di lavoro o servizi subappaltabili; inoltre, non sarà obbligatorio indicare la terna dei subappaltatori.

·         Procedura negoziata fino a 1 milione di euro:

1)      nelle gare di importo compreso tra 40 mila euro e 150 mila euro per i lavori, o fino alle soglie comunitarie (221 mila euro) per i servizi e le forniture si procederà con affidamento diretto previa consultazione, ove esistenti, di almeno 3 operatori economici per i lavori e di almeno 5 operatori per i servizi e le forniture;
2)      nelle gare di importo compreso tra 150 mila euro e 350 mila euro si procederà con procedura negoziata previa consultazione, ove esistenti, di almeno 10 operatori economici;
3)      per gli affidamenti di importo compreso tra 350 mila euro e 1 milione di euro, si utilizzerà la procedura negoziata previa consultazione, ove esistenti, di almeno 15 operatori economici;
4)      per importi superiori a 1 milione di euro per i lavori, o alle soglie comunitarie per i servizi e le forniture, si dovrà ricorrere alle procedure ordinarie.

Viene inserita una disciplina di dettaglio per gli affidamenti "sottosoglia", per le indagini di mercato e per la formazione e gestione degli elenchi degli operatori economici, stabilendosi l'utilizzo del criterio del "minor prezzo" come alternativa sempre possibile all'OEPV per l'aggiudicazione dei contratti "sottosoglia”.

·         Affidamenti a terzi da parte dei concessionari: viene differito al 31 dicembre 2020 il termine entro il quale i titolari di concessioni già in essere devono adeguarsi alla percentuale di affidamento a terzi mediante procedure ad evidenza pubblica (80% - o 60% nel caso dei concessionari autostradali - dei contratti di lavori, servizi e forniture).
 
·         Appalto integrato: fino al 31 dicembre 2020, nei casi in cui l'elemento tecnologico o innovativo delle opere oggetto dell'appalto sia nettamente prevalente rispetto all'importo complessivo dei lavori, sarà consentito l’affidamento congiunto della progettazione esecutiva ed esecuzione dei lavori. La legge di conversione prevede che i requisiti minimi per lo svolgimento della progettazione siano previsti nei documenti di gara nel rispetto del Codice e del nuovo regolamento di attuazione.
 
·        Lavori di manutenzione sulla base del progetto definitivo: fino al 31 dicembre 2020, i lavori di manutenzione ordinaria e straordinaria potranno essere affidati sulla base del progetto definitivo e l'esecuzione potrà essere avviata a prescindere dall'avvenuta redazione e approvazione del progetto esecutivo, a meno che detti lavori non prevedano il rinnovo o la sostituzione di parti strutturali delle opere o di impianti. Il progetto definitivo dovrà avere un contenuto minimo prestabilito.
 
·         Commissari di gara: fino al 31 dicembre 2020 non vi sarà l'obbligo di servirsi in fase di gara di commissari indipendenti nominati all'interno di un albo gestito dall'ANAC (mai peraltro avviato).

·         Esame offerte: fino al 31 dicembre 2020 sarà consentito alla Stazione Appaltante (ove specificamente previsto nel bando di gara o nell'avviso con cui si indice la gara) - limitatamente alle procedure aperte - espletare l'operazione di esame delle offerte prima dell'operazione di verifica dei requisiti degli offerenti.

·         Criteri di aggiudicazione: viene eliminato l'obbligo di affidare i lavori di importo fino a 5,5 milioni di euro secondo il criterio del massimo ribasso. La Stazione Appaltante potrà scegliere in autonomia il criterio e, nel caso in cui ne scelga uno diverso da quello del prezzo più basso, non dovrà fornire nessuna giustificazione.
 
·         Certificati e cause di esclusione: i documenti e le certificazioni degli operatori avranno una durata di sei mesi. Per i certificati e i documenti (tranne il Durc), già acquisiti ma scaduti da meno di 60 giorni, per i quali sia in corso la procedura di rinnovo, la Stazione Appaltante potrà verificare direttamente presso gli enti certificatori l’eventuale presenza di cause di esclusione. Se gli enti non risponderanno entro 30 giorni, si riterrà confermato il contenuto dei certificati scaduti.”

Il Parlamento europeo ha approvato una nuova Direttiva, ancora non pubblicata sulla GUCE,   per proteggere a livello europeo gli informatori che rivelano violazioni del diritto comunitario in settori quali appalti pubblici, servizi finanziari, riciclaggio di denaro, sicurezza dei prodotti e dei trasporti, sicurezza nucleare, salute pubblica, protezione dei consumatori e dei dati.

Canali  sicuri di comunicazione
Per garantire gli informatori e la loro riservatezza questi potranno  comunicare le segnalazioni attraverso più canali di comunicazione: all’interno dell’ente interessato (es. azienda), direttamente alle autorità nazionali competenti, agli organi e alle agenzie competenti dell’UE. Quindi le aziende e le autorità nazionali dovranno creare tali canali di comunicazioni. In assenza di tali canali sicuri, il segnalante sarà comunque protetto qualora decidesse di divulgare pubblicamente le informazioni.

Saranno esentati da tali obblighi le piccole aziende e i piccoli comuni.

Salvaguardia contro le ritorsioni
La Direttiva vieta rappresaglie e introduce nuove tutele per evitare che chi denuncia possa essere sospeso, declassato o si trovi ad affrontare forme di ritorsione. Stessa tutela viene estesa per chi assiste gli informatori  (ad es. colleghi e parenti).
Gli Stati membri garantiranno accesso gratuito alle informazioni riguardanti i mezzi di ricorso possibili, l’assistenza legale durante i procedimenti. Gli informatori potranno ricevere durante i procedimenti sostegno finanziario e psicologico.

Prossime tappe
La legge dovrà essere approvata formalmente anche dai Ministri UE e successivamente alla pubblicazione sulla GUCE,  gli Stati membri avranno due anni per implementare la Direttiva.

Provvedimento del Garante Privacy del 4 aprile 2019 n. 9101974

In un recentissimo provvedimento (in data 4 aprile u.s.) il Garante privacy si è pronunciato, a seguito di molteplici segnalazioni anche da parte di privati cittadini,  in merito ad un caso di Data Breach che ha coinvolto  la piattaforma Rousseau ed altri siti web connessi al Movimento 5 stelle.
Come noto, il Regolamento 2016/679 in materia di trattamento dei dati personali prescrive all’art. 33 un obbligo di notificare al Garante, entro 72 ore dall’evento e/o dal momento in cui si viene a conoscenza dello stesso, casi di violazione dei dati personali (ad esempio episodi di intrusione in un sistema informatico e violazione dei sistemi di sicurezza per l’appropriazione illegittima dei dati contenuti su un server ovvero casi di crittografia dei file  tramite malware con contestuale richiesta di riscatto con pagamento in criptovalute). 
La vicenda in esame prende le mosse nel 2017 quando, a seguito di istruttoria, il Garante privacy ha emesso un primo provvedimento (in data 21 dicembre 2017 n. 7400401) indicando specifiche azioni di miglioramento delle piattaforme in questione, avendo rilevato numerose aree di criticità, dal punto di vista informatico, che ne compromettevano la sicurezza anche ai fini di accessi non autorizzati alle piattaforme stesse, con evidente violazione della normativa sulla tutela dei dati personali (l’allora vigente Codice privacy D.Lgs. 163/1996 e numerosi Provvedimenti Generali del Garante). Tra le preliminari misure necessarie prescritte nel 2017 il Garante privacy  ha richiesto, tra l’altro, anche:
- l’adeguamento della  lunghezza minima della password di accesso al sistema;
- l’adozione di protocolli di rete https per garantirne una maggiore sicurezza;
- l’adozione di algoritmi crittografici robusti per la garantire efficacemente le password degli utenti;- misure di auditing  per la verifica della liceità dei trattamenti dei dati  con riferimento al sistema di e-voting tramite le piattaforme in questione, mediante tenuta dei registri degli accessi degli amministratori di sistema  e delle operazioni compiute (log) sul data base della Piattaforma Rousseau  (in conformità con un Provvedimento generale del Garante privacy del 2008 in tema di amministratori di sistemi); nonché
-  miglioramento delle informative agli interessati ai sensi dell’allora vigente art. 13 del D.lgs. 196/2013.
Nel provvedimento veniva, peraltro,  dichiarata l’illiceità dei trattamenti dei dati degli utenti  da parte dei titolari dei siti riconducibili al Movimento 5 stelle, in ragione della comunicazione a soggetti terzi (Wind Tre spa e ITNET srl) dei dati medesimi in  mancanza di idoneo presupposto.

A fronte di tali preliminari prescrizioni, il Garante privacy ha effettuato la  necessaria  ulteriore istruttoria per accertare se  e come fossero state implementate le misure prescritte nel 2017.

All’esito di tali verifiche   - e dopo  due provvedimenti di proroga dei termini a seguito di richiesta dall’Associazione Movimento 5 Stelle e dalla Piattaforma Russeau -   ed una volta effettuati  gli accertamenti di natura tecnica volti a verificare in concreto la robustezza dei sistemi di sicurezza adottati rispetto alle criticità rilevate dall’Autorità Garante della privacy nel 2017, sono emerse ancora delle inadempienze che hanno condotto, il Garante ad irrogare una sanzione amministrativa all’associazione Rousseau, in qualità di Responsabile del trattamento dati del Movimento 4 Stelle, pari a € 50 mila, in conformità a quanto previsto dall’art. 58 del Regolamento 2016/679 (GDPR), per essere emersa una conclamata violazione dell’art. 32 del GDPR (Sicurezza del trattamento).

Tra le maggiori violazioni alla normativa in materia di tutela dei dati personali emerse a seguito degli accertamenti del Garante privacy (Provvedimento del 4 aprile u.s.) si segnalano le seguenti:

-          obsolescenza di alcune componenti software dei siti web (il distributore del software Csm in questione non rilascia infatti più aggiornamenti dal 2013);

-          a fronte dell’adozione di un sistema di tracciatura dell’attività compiuta, il sistema in uso alle Piattaforme non consente di tracciare adeguatamente  gli accessi (lettura e/o modifica) al database da parte degli Amministratori di Sistema dell’Associazione Rousseau che possono compiere operazioni, ad esempio, sui dati degli utenti senza che il loro operato possa essere adeguatamente tracciato., per cui non è possibile effettuare l’auditing informatico richiesto dal Garante, esponendo i dati personali presenti sulle Piattaforme a rischi di violazione elevati;

-          le misure adottate non hanno eliminato la possibilità di alterare , sopprimere o estrarre copie offline dei risultati delle operazioni di e-voting sulla piattaforma: in sostanza, non è garantita l’integrità, l’autenticità e la segretezza delle espressioni di voto (caratteristiche delle operazioni di e-voting) da parte di coloro che svolgono la funzione di Data Base Administrator (sul punto il Garante così si pronuncia “In questo senso sussistono forti perplessità sul significato da attribuire al termine “certificazione” riferito dal titolare del trattamento all’intervento del notaio  o  di altro soggetto terzo di fiducia in una fase successiva alle operazioni di voto con lo scopo di asseverare gli esiti […] stante l’impossibilità di svolgere alcuna significativa verifica sui dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del procedimento di votazione e scrutinio antecedente la c.d. “certificazione”);

-          infine, utilizzo della medesime credenziali di autenticazione  assegnate ad incaricati dotati di elevati privilegi per la gestione delle piattaforme applicative a supporto dei siti www.movimento5stelle.it e rousseau.movimento5stelle.it; tale circostanza impedisce di attribuire le azioni compiute in un sistema informativo ad un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di tali figure tecniche rilevanti. 

Unitamente alla sanzione amministrativa, il Garante privacy ha assegnato termini ben precisi per l’adeguamento ed il miglioramento delle piattaforme in questione, ordinando all’ Associazione Movimento 5 stelle, quale titolare del trattamento,  e all’Associazione Rousseau, quale responsabile del trattamento, di procedere altresì con la valutazione di impatto sulla protezione dei dati con specifico riferimento alla funzionalità di e-voting delle piattaforme.

Avv. Grazia Quacquarelli, LL. M.

Il 16 marzo 2019 sono entrate in vigore alcune norme contenute nel D.lgs. 12 gennaio 2019, n. 14 (c.d. “Codice della crisi d'impresa e dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155”), che si compone di 391 articoli (molti dei quali entreranno in vigore nell’agosto del 2020) e pubblicato sulla Gazzetta Ufficiale n. 38 del 14 febbraio 2019.
Tra le norme in vigore dal 16 marzo u.s. - come puntualmente indicato dall’art. 389, comma 2, del D.lgs. 14/2019 (di seguito anche “Codice della Crisi”) – ne segnaliamo alcune più rilevanti e che modificano il Codice Civile. 
A.      Art. 375 del Codice della Crisi
Modifica l’art. 2086 del codice civile (e la relativa rubrica), introducendo un secondo comma che impone all’imprenditore che opera in forma societaria o collettiva di istituire “un assetto organizzativo, amministrativo e contabile” adeguato alla natura e alle dimensioni dell’impresa, “anche in funzione della rilevazione tempestiva della crisi d’impresa e della perdita della continuità aziendale”.
Si prevede anche l’obbligo, per l’imprenditore, di attivarsi senza indugio per l’adozione e per l’attuazione di “uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”.
Il legislatore ha inteso, quindi, responsabilizzare maggiormente l’imprenditore, obbligandolo a dotarsi di una struttura interna adeguata ed idonea a rilevare tempestivamente la crisi d’impresa e, conseguentemente, ad attivarsi per tentare di recuperare la continuità aziendale.
B.      Art. 377 del Codice della Crisi
Modifica gli artt. 2257, 2380-bis, 2409-novies e 2475 del codice civile (dettati, rispettivamente, in tema di società semplici, società per azioni e società a responsabilità limitata), imponendo l’adozione di assetti organizzativi societari adeguati e ribadendo che l’amministrazione della società spetta esclusivamente agli amministratori, i quali compiono le operazioni necessarie per l’attuazione dell’oggetto sociale.
C.      Art. 379 del Codice della Crisi
Modifica l’art. 2477 del codice civile, prevedendo, per le società a responsabilità limitata, l’obbligo di nominare l’organo di controllo (sindaco unico o collegio sindacale) o il revisore se:
I.            la società è tenuta alla redazione del bilancio consolidato;
II.            la società controlla una società obbligata alla revisione legale dei conti;
III.            la società ha superato per due esercizi consecutivi almeno uno dei seguenti limiti: 1) totale dell’attivo dello stato patrimoniale: 2 milioni di euro; 2) ricavi delle vendite e delle prestazioni: 2 milioni di euro; 3) dipendenti occupati in media durante l’esercizio: 10 unità.
Secondo quanto previsto dal quinto comma dell’art. 2477 cod. civ. l’obbligo di nomina dell’organo di controllo o del revisore deve essere adempiuto, da parte dall’assemblea dei soci, entro 30 giorni dall’approvazione del bilancio in cui vengono superati i limiti sopra indicati; in caso di inerzia da parte dell’assemblea, alla nomina provvede il tribunale, su richiesta di qualsiasi interessato o “su segnalazione del conservatore del registro delle imprese” (come introdotto dal Codice della Crisi).
Infine, le società a responsabilità limitata e le società cooperative - se ricorrono i requisiti di cui all’art. 2477, comma 1, del codice civile – dovranno nominare gli organi di controllo o il revisore e, se necessario, uniformare l’atto costitutivo e lo statuto alle novità normative in commento entro nove mesi dalla data del 16 marzo u.s. (quindi entro il 16 dicembre 2019).

Con D.L. 87/2008, convertito in Legge n. 96/2018, è stato reintrodotto il reato di somministrazione fraudolenta (ex art. 38 bis D.lgs. 81/2015) che si configura nei casi in cui “la somministrazione di lavoro è  posta in essere con la specifica finalità di eludere norme inderogabili di legge o di contratto collettivo applicate al lavoratore”. La sanzione penale prevista è quella dell’ammenda pari ad € 20 per ciascun lavoratore, per ciascun giorno di somministrazione.
L’Ispettorato del Lavoro, con circolare n 3/2019, ha fornito interessanti indicazioni in merito alle varie declinazioni di tale ipotesi di reato, che può configurarsi:
- attraverso la figura dell’appalto illecito, volto cioè ad eludere l’applicazione di norme inderogabili di legge o di CCNL con conseguente risparmio per il committente sul costo del lavoro; oppure
- attraverso il coinvolgimento di agenzia per il lavoro, laddove il datore di lavoro licenzi un proprio dipendente per riutilizzarlo tramite agenzia di somministrazione, violando le norme di legge o di CCNL; infine,
- attraverso distacchi transnazionali “non autentici”,  nella misura in cui il distacco sia funzionale all’elusione di disposizioni dell’ordinamento interno e/o del CCNL applicato dal committente italiano.
Oltre alle sanzioni di natura pecuniaria, l’Ispettorato del lavoro dovrà adottare provvedimenti prescrittivi  volti, ad esempio, all’assunzione dei lavoratori alle dirette dipendenze dell’utilizzatore  per tutta la durata del contratto. 
L’Ispettorato del lavoro, infine, ha indicato tra gli elementi  a supporto dell’esistenza di una volontà fraudolenta (oltre all’elusione delle normative inderogabili), la sussistenza di condizioni di sofferenza economica dell’impresa che potrebbe assumere rilevanza in considerazione dell’impossibilità di sostenere i costi del personale, a fronte del fatturato annuo.

In data 16 gennaio 2019 è stata  pubblicata in  Gazzetta Ufficiale (GU n. 13 del 16 gennaio 2019) la Legge 9 gennaio 2019, n. 3, recante “Misure per il contrasto dei reati contro la pubblica amministrazione, nonche' in materia di prescrizione del reato e in materia di trasparenza dei partiti e movimenti politici”,  che entrerà in vigore il 31 gennaio 2019.
Il provvedimento contiene rilevanti novità in tema di  prevenzione e contrasto della corruzione nella Pubblica Amministrazione e, più in generale, in ambito di diritto penale.
Più precisamente, viene tra l’altro modificato lo spazio edittale dei delitti di corruzione (le parole “da uno a sei anni” vengono modificate con “da tre a otto anni”) e appropriazione indebita (le parole “con la reclusione fino a tre anni e con la multa fino a euro 1.032” sono sostituite da “con la reclusione da due a cinque anni e con la multa da euro 1.000 a euro 3.000”); per il reato di corruzione impropria, inoltre, la pena è aumentata da un anno a tre anni di reclusione (nel minimo) e da sei a otto anni (nel massimo).
Infine, i condannati per reati contro la Pubblica Amministrazione (tra cui peculato, corruzione e concussione) non potranno più beneficiare delle pene alternative alla detenzione, come i permessi premio e l’assegnazione di lavoro esterno. Ogni condanna per tali reati, ove commessi in danno o a vantaggio di un’attività imprenditoriale, o comunque in relazione ad essa, comporta – a titolo di pena accessoria - l’interdizione dai pubblici uffici e l’incapacità di contrarre con la P.A. L’interdizione e l’incapacità possono essere perpetue (salvo che per ottenere le prestazioni di un pubblico servizio) o temporanee, ove la reclusione comminata sia inferiore a un dato periodo di tempo o ricorrano specifiche circostanze attenuanti.
Con la legge Anticorruzione viene modificato anche il D.lgs. 8 giugno 2001, n. 231, sia innalzando i termini di durata massima delle sanzioni interdittive a carico degli enti in conseguenza di delitti di corruzione, sia introducendo il traffico di influenze illecite (art. 346 bis c.p.) nel catalogo dei reati presupposto.

+Link+

Si segnala  un’ interessante sentenza della Corte Suprema di Cassazione (Cass. Pen., Sez. V, n. 565/2019, depositata in cancelleria l’8 gennaio 2019) in materia di accesso abusivo a un sistema informatico.
La vicenda processuale tra origine dal comportamento di un lavoratore dipendente di una banca che, utilizzando l’account di posta elettronica aziendale concessogli in uso, ha inviato due e-mail alla casella di posta elettronica di un collega  (privo dell’autorizzazione a ricevere quei dati specifici), allegando un file excel contenente informazioni bancarie riservate (nominativi dei correntisti e saldo di conto corrente), oltre ad inviare altre due e-mail (di contenuto analogo) che il destinatario ha girato al proprio indirizzo di posta personale.
La banca, scoperto quanto accaduto, decideva di denunciare i dipendenti, in considerazione della circostanza che il secondo dipendente, destinatario delle email e che aveva sollecitato le stesse, non aveva alcuna credenziale e/o autorizzazione ad accedere a tali dati; la Corte di appello di Milano, con sentenza del 10 luglio 2017 , confermava la responsabilità (accertata e dichiarata in primo grado) anche del destinatario delle e-mail, considerandolo concorrente nel reato previsto e punito all’art. 615 ter c.p. (“accesso abusivo a un sistema informatico o telematico”). L’apporto concorsuale dell’imputato, più precisamente, sarebbe consistito nell’avere istigato il collega a commettere il reato, chiedendogli di trasmettere i dati di cui sopra, pur non essendo autorizzato a prenderne visione.
Avverso la pronuncia della Corte di Appello il dipendente ha proposto ricorso per cassazione, deducendo, tra l’altro, violazione di legge e vizio di motivazione in ordine alla ritenuta sussistenza del reato di cui all’art. 615 ter cod. pen., sul presupposto che “il semplice invio di una e-mail da un collega all’altro, tramite la propria casella di posta elettronica, non possa integrare il profilo oggettivo del delitto in rassegna”.
La Corte Suprema di Cassazione, tuttavia, ha ritenuto la relativa censura infondata, ribadendo il principio di diritto contenuto in Cass. SS.UU. n. 41210 del 18 maggio 2017, secondo cui “è illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri [di fedeltà e di lealtà, n.d.a.] manifestandosi in tal modo la ontologica incompatibilità dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere”.
Ne consegue, pertanto, che anche trattenersi in un sistema informatico per un tempo maggiore rispetto a quello consentito e/o per compiere un’attività vietata - ossia la “trasmissione della lista a soggetto non autorizzato a prenderne cognizione” - configura la condotta prevista e punita dall’art. 615 ter cod. pen.; come detto, inoltre, può concorrere nel reato de quo anche il dipendente che chieda al collega di trasmettergli determinati dati di cui il primo non è autorizzato a prendere visione.

Sulla Gazzetta Ufficiale Serie Generale n.290 del 14 dicembre 2018 è stato pubblicato il Decreto Legge 14 dicembre 2018, n. 135  “Disposizioni urgenti in materia di sostegno e semplificazione per le imprese e per la pubblica amministrazione” (di seguito “Decreto semplificazioni”), che è entrato in vigore il 15 dicembre 2018. Tra le novità contenute nel Decreto Semplificazioni segnaliamo che, con l’art. 6 del menzionato provvedimento, a far data dal 1° gennaio 2019 è stato soppresso il sistema di  controllo  della tracciabilità dei rifiuti (SISTRI), previsto dall'articolo  188-ter del decreto legislativo 3 aprile 2006, n. 152 (T.U. ambiente). Conseguentemente, dall’inizio del prossimo anno e fino alla definizione di un nuovo sistema di tracciabilità dei rifiuti - il quale, secondo quanto previsto dal comma 3 dell’art. 6 del Decreto Semplificazioni, sarà organizzato e gestito direttamente dal Ministero dell’ambiente e della tutela del territorio e del mare -, i soggetti tenuti alla tracciabilità dei rifiuti continueranno ad adempiere ai propri obblighi attraverso i moduli cartacei, compilando i registri di carico e scarico e i formulari di identificazione dei rifiuti.