Corte dei conti
Sezione giurisdizionale per la Campania
Sentenza 3 maggio 2023, n. 254
Presidente: Novelli - Estensore: Minichini
FATTO
1. Con atto depositato in data 31 agosto 2022 e ritualmente notificato, la Procura regionale presso questa Sezione giurisdizionale citava in giudizio l'odierno convenuto M. Gerardo, all'epoca dei fatti contestatigli dipendente della sede Inps Agenzia Costiero Vesuviana di Portici (già Agenzia n. 4 di San Giovanni - NA), per l'illecito utilizzo durante l'orario di lavoro della banca dati informatica dell'ufficio, in violazione dei doveri di servizio e del principio sinallagmatico che regge la corresponsione della retribuzione.
A fondamento della domanda il Pubblico ministero esponeva che, a seguito della segnalazione del 15 gennaio 2021 del direttore regionale dell'Inps della Campania, emergeva un'ipotesi di danno erariale a carico del convenuto in quanto risultavano a esso riferibili 16.488 accessi abusivi al sistema informatico dell'Istituto nel periodo dal 6 aprile 2017 al 5 giugno 2018. In base a tali elementi e in considerazione del tempo (in secondi) necessario a effettuare ogni singola operazione di accesso non consentito, la Procura avrebbe stimato in 178 ore complessive (3.821,58 secondi) il periodo in cui il M., durante l'orario di servizio, si dedicava all'attività non consentita, per un danno patrimoniale di euro 3.821,58 pari alla retribuzione media indebitamente percepita in occasione del comportamento illecito.
L'attore erariale precisava che l'attività ispettiva dell'Inps, dalla quale aveva avuto origine l'odierno giudizio, ben avrebbe rappresentato che l'utilizzo da parte del M. della banca dati dell'Istituto era estraneo ai compiti attribuiti, avendo lo stesso interrogato senza alcuna giustificazione e in assenza di autorizzazione il sistema attraverso molteplici richieste di posizioni fuori dal territorio di competenza (nello specifico la gran parte dei codici fiscali visualizzati era di utenti esterni alla Provincia di Napoli).
Per il grave comportamento contrario ai doveri d'ufficio, l'Inps con provvedimento dirigenziale del 16 marzo 2020 licenziava il M. che lo impugnava innanzi al Giudice del lavoro del Tribunale di Napoli che definiva il giudizio con la sentenza n. 6927 del 28 febbraio 2022 di rigetto del ricorso, sentenza questa appellata con relativo procedimento ancora pendente.
1.1. Nella fase preprocessuale, in riscontro all'invito a fornire deduzioni notificato il 18 febbraio 2022, il M. inviava nota difensiva il 30 marzo 2022 a seguito della quale la Procura ai sensi dell'art. 58 c.g.c. richiedeva ulteriori informazioni all'Inps con particolare riferimento alla possibilità del M. di accedere alla banca dati informatica fuori dagli orari di servizio ed eventualmente, in funzione di tali indicazioni, di rivedere la quantificazione del danno. La risposta dell'Inps alla predetta integrazione istruttoria determinava la modifica della quantificazione del quantum ai fini risarcitori, e comunque la Procura considerava sussistenti tutte le componenti strutturali dell'illecito erariale.
2. Con la memoria del 18 gennaio 2023 la difesa del M. in via preliminare chiedeva ai sensi dell'art. 106 del c.g.c. la sospensione dell'odierno processo in attesa della definizione del giudizio civil-lavoristico pendente presso la Corte d'appello di Napoli; nel merito contestava la fondatezza dei fatti come rappresentati dall'Inps in occasione dell'attività ispettiva e dalla Procura erariale nell'atto di citazione, avendo sempre il convenuto utilizzato il sistema informatico dell'Istituto nel perimetro dei compiti attribuiti e ciò non è diversamente dimostrato in considerazione della carente documentazione offerta in giudizio dalla parte attrice che non avrebbe sufficientemente dimostrato il contegno illecito contestato.
Al riguardo, per la difesa del convenuto, risulterebbe decisivo prendere in considerazione i compiti attribuiti al M. relativi all'attività di front-office per le prestazioni a sostegno del reddito (Naspi, bonus bebè, congedi, assegni al nucleo familiare, cassa integrazione, mobilità, Tfr), che consentirebbero l'accesso alla banca dati senza limiti territoriali in quanto i richiedenti le prestazioni potevano anche essere soggetti non residenti nella sede territoriale di riferimento. A ciò si aggiungerebbe la vulnerabilità e l'obsolescenza dei sistemi informatici in uso all'Inps che consentirebbe la captazione da parte di terzi delle relative credenziali d'accesso.
In definitiva e in via subordinata la difesa del M. contestava la determinazione del danno riferita a 178 ore di lavoro, in quanto il tempo di accesso alla banca dati per ogni singola operazione ritenuta abusiva non sarebbe in media di 36 secondi come indicato dall'Inps e dalla Procura erariale ma di 8,21 secondi, quindi le ore effettivamente impiegate per la presunta attività illecita ammonterebbero a 37,6 per un danno erariale pari a euro 807,23 in considerazione della paga oraria pari a euro 21,469.
Per tutte le suddette ragioni il M. chiedeva il rigetto della domanda attorea.
3. Nell'odierna pubblica udienza le parti concludevano riportandosi alle memorie scritte e confermando i contenuti ivi rassegnati.
Nello specifico, il P.M. in via preliminare contestava l'eccezione di sospensione e di pregiudizialità del giudizio contabile in attesa degli esiti del giudizio innanzi al Giudice del lavoro, ricordando che il primo ha carattere autonomo rispetto al procedimento civile; evidenziava di aver effettuato un'accurata istruttoria e che gli accessi non consentiti erano stati tutti effettuati durante l'orario di lavoro; rilevava che gli accessi abusivi erano stati eseguiti con la username e password del convenuto e che pertanto non potessero esserci dubbi in ordine alla relativa riferibilità; infine, sulla possibilità per il M. di interrogare il sistema informatico anche in riferimento a soggetti non inclusi nel territorio di competenza, rilevava l'assenza di istanze da parte dell'utenza in tal senso.
L'avv. Sasso Del Verme, nel riportarsi agli atti depositati, insisteva per la sospensione del giudizio in attesa della decisione della Corte d'appello di Napoli; evidenziava la peculiarità del presente giudizio rispetto a fattispecie simili, atteso che la Procura contestava un numero limitato di accessi abusivi in un ampio arco di tempo (uno al giorno in diciotto mesi) e che il M. aveva la possibilità anche di effettuare operazioni per soggetti residenti fuori dalla provincia di Napoli. Per tali ragioni insisteva per il rigetto delle pretese attoree.
All'udienza del 9 febbraio 2023 la controversia è passata in decisione.
DIRITTO
1. La fattispecie di responsabilità portata al vaglio del Collegio riguarda un'ipotesi di danno erariale pari a euro 3.821,58 contestata al sig. M. Gerardo, all'epoca dei fatti dipendente della sede Inps Agenzia Costiero Vesuviana di Portici (già Agenzia n. 4 di San Giovanni - NA), per l'indebito utilizzo durante l'orario di lavoro della banca dati informatica dell'ufficio, in violazione dei doveri di servizio e per l'alterazione del nesso sinallagmatico tra le prestazioni lavorative e la retribuzione, la cui corresponsione diventa così in tutto o in parte priva di causa.
1.1. Secondo la Procura erariale il convenuto nel periodo dal 6 aprile 2017 al 5 giugno 2018 avrebbe operato una serie di accessi abusivi al sistema informatico dell'Istituto in numero di 16.488; e, in base a tali elementi e in considerazione del tempo (in secondi) necessario a effettuare ogni singola operazione di accesso non consentito, la Procura avrebbe stimato in 178 ore complessive (3.821,58 secondi) il periodo in cui il M., durante l'orario di lavoro, si sarebbe dedicato all'attività non consentita.
2. In via preliminare va disattesa l'istanza di sospensione del presente giudizio in attesa degli esiti del giudizio pendente innanzi alla Corte d'appello di Napoli.
Al riguardo secondo i convenuti la pendenza del giudizio civile - sezione lavoro - dinanzi alla Corte d'appello di Napoli avente ad oggetto i medesimi fatti dell'asserito illecito amministrativo comporterebbe la necessità della sospensione del presente processo sino alla definizione del processo civile con effetto di giudicato.
Si osserva che tra il giudizio contabile e il giudizio civile (e penale) sussiste piena autonomia, cosicché la sospensione, ai sensi dell'art. 295 c.p.c., è ammissibile solo in caso di pregiudizialità in senso tecnico-giuridico e non in senso meramente logico (Cass. civ., Sez. un., ord. 26 luglio 2004, n. 14060; Sez. II, 11 agosto 2011, n. 17212; Corte conti, Sez. riun., ord. 11 aprile 2012, n. 7).
Al riguardo, l'art. 106 del codice di giustizia contabile (c.g.c.), che in sostanza corrisponde all'art. 295 del c.p.c., prevede che il Giudice ordina la sospensione del processo qualora penda dinanzi a sé o ad altro Giudice una controversia che costituisce il necessario antecedente dal quale dipende la decisione della causa pregiudicata e il cui accertamento sia richiesto con efficacia di giudicato.
Quindi, il rapporto di dipendenza tra due controversie si configura qualora la causa pregiudicante abbia un elemento (costitutivo, impeditivo, modificativo, estintivo) della causa pregiudicata e tale elemento per legge dev'essere accertato con efficacia di giudicato, come nei casi di questioni concernenti lo stato e la capacità delle persone e la risoluzione dell'incidente di falso (art. 14 del c.g.c.).
Ad avviso del Collegio, nel caso in esame, non sussiste il legame di pregiudizialità, in quanto le condotte contestate dalla Procura presentano caratteristiche proprie differenti dalla qualificazione civile dei fatti, essendo il giudizio contabile orientato a individuare la responsabilità amministrativa del convenuto seguendo propri parametri; né la circostanza che il materiale probatorio utilizzato dall'attore pubblico per supportare le proprie tesi sia quello del giudizio civile può incidere sull'autonomia di valutazione del Giudice contabile, in considerazione dei contenuti specifici di cui sono composti gli elementi strutturali della responsabilità gestoria (danno, condotta, nesso di causalità, rapporto di servizio, dolo e colpa grave) rispetto agli eventuali esiti del parallelo giudizio civile.
Il condivisibile principio giurisprudenziale appena citato e qui seguito corrisponde, inoltre, al fondamentale principio processuale della giusta durata del processo.
In definitiva, il giudizio civile pendente innanzi al[la] Corte d'appello di Napoli non rileva quale indiscutibile antecedente logico-giuridico la cui definizione pregiudichi in tutto o in parte l'esito del presente giudizio in modo che possa astrattamente configurarsi un'ipotesi di conflitto di giudicati. E invero la controversia civil-lavoristica riguardante il qui prevenuto ha ad oggetto il licenziamento in tronco dal lavoro di quest'ultimo, mentre la responsabilità contabile contestata verte sul del tutto diverso versante del danno erariale prodotto scientemente o con colpa grave all'Amministrazione pubblica dei cui presupposti in fatto, come appresso ampiamente si chiarirà, sicuramente sussistono nella fattispecie per cui si controverte.
3. Nel merito la domanda della Procura è fondata e va accolta.
3.1. Al riguardo il Collegio ritiene integrati tutti gli elementi tipici della responsabilità amministrativa, consistenti nel danno patrimoniale economicamente valutabile arrecato alla pubblica amministrazione, nella condotta connotata da dolo, nel nesso di causalità tra detta condotta e l'evento dannoso, nonché nella sussistenza di un rapporto di servizio fra colui che ha provocato il danno e l'ente danneggiato.
È incontestabile che il M., dipendente dell'Inps, abbia serbato una condotta scientemente illegittima consistente nella estrazione di dati dagli archivi dell'Istituto in maniera complessivamente massiva e senza giustificazione anche per un bacino di utenza differente da quello di competenza territoriale della sede di appartenenza e per scopi diversi dalle specifiche esigenze di servizio, in violazione dei doveri del dipendente pubblico e con utilizzo di credenziali di accesso personali, orientando le proprie capacità e forze lavorative a finalità egoistiche-personali e non istituzionali.
Risulta inoltre documentalmente accertato, senza persuasiva smentita ex adverso, che i predetti accessi non consentiti sono stati compiuti in orario di lavoro in modo continuativo e in giornate in cui il dipendente era in servizio, conseguendone che in tale periodo la retribuzione è priva del rapporto di sinallagmaticità che comporta il parametro prestazione e controprestazione.
Risulta al pari innegabile che la condotta illecita sia supportata dal dolo atteso che il convenuto ha agito con la consapevolezza di porre in essere una condotta contra legem e con la coscienza di arrecare un danno all'Erario consistente nella rappresentazione e previsione del danno che ne sarebbe conseguito per la Pubblica Amministrazione di appartenenza.
Il danno è, infine, eziologicamente collegabile alla specifica condotta dell'odierno convenuto, avendo l'Inps inutilmente retribuito il M. nonostante lo stesso in orario di lavoro abbia utilizzato le credenziali assegnate e il sistema informatico per scopi estranei alle finalità istituzionali in base alle quali le credenziali medesime gli erano state attribuite.
Risulta così ravvisabile non solo la violazione dei canoni di lealtà e buona fede, che presiedono all'esecuzione dei rapporti contrattuali, tra cui quello di lavoro, ex art. 1375 c.c., e la lesione dell'obbligo di diligenza statuito dall'art. 1176 c.c., ma anche un parziale inadempimento dell'obbligazione lavorativa, poiché, durante l'orario di lavoro, il convenuto ha indirizzato le proprie energie a favore di attività estranee all'Amministrazione, con consequenziale disutilità della spesa sostenuta dall'Amministrazione di appartenenza per la corresponsione delle spettanze retributive e con evidenti profili negativi sulla funzionalità del servizio (Corte conti, Sez. giur. Campania, sentt. n. 136 del 28 febbraio 2023 e n. 146 del 3 marzo 2023).
In particolare, seguendo il condivisibile orientamento espresso dalla Corte dei conti, il danno derivante da interruzione/violazione del nesso sinallagmatico "è ravvisabile, per consolidata giurisprudenza, allorquando le energie lavorative del dipendente vengano distratte dai compiti istituzionali al medesimo spettanti, il cui perseguimento giustifica l'erogazione della retribuzione da parte della P.A., per essere destinate al compimento di condotte illecite (nel caso all'esame, di rilievo anche penale), con conseguente disutilità della relativa spesa (in termini, tra le altre, Corte conti, Sez. giur. Toscana, 19 giugno 2019, n. 259; Sez. giur. Lombardia, 20 marzo 2012, n. 187)" (Sez. giur. Toscana, sent. n. 106/2020).
In definitiva ritiene il Collegio che la condotta del convenuto abbia violato i basilari doveri del dipendente pubblico come prevede l'art. 11, comma 3, del d.lgs. 16 aprile 2013, n. 62 (codice di comportamento dei dipendenti pubblici) a tenore del quale "Il dipendente utilizza il materiale o le attrezzature di cui dispone per ragioni di ufficio e i servizi telematici e telefonici dell'ufficio nel rispetto dei vincoli posti dall'amministrazione" e il codice di comportamento dei dipendenti dell'Inps che impone (art. 14) al dipendente di preservare il patrimonio informatico dell'Istituto, osservando le regole di utilizzo delle risorse informatiche assegnate. Inoltre, il convenuto ha anche disatteso a quanto previsto dall'art. 60, lett. K), del codice disciplinare del contratto collettivo nazionale di lavoro (triennio 2016-2018) relativo al personale delle funzioni centrali, che impone al dipendente di non utilizzare quanto di proprietà dell'amministrazione per ragioni che non siano di servizio.
Per le suddette ragioni il Collegio non condivide le affermazioni della difesa del convenuto riferite all'assenza di responsabilità del M.
La difesa di quest'ultimo insiste nel considerare determinante, quale elemento di esclusione dalla responsabilità, la circostanza della possibilità da parte del convenuto di effettuare operazioni di accesso al sistema anche nei confronti di soggetti residenti fuori dalla provincia di Napoli.
Al riguardo il Collegio osserva che si deve tenere conto che il riferimento relativo alla possibilità del convenuto di operare anche fuori della provincia non rileva in quanto nella fattispecie si tratta di uso della banca dati non per fini istituzionali, ma per utilità personale, tant'è che proprio l'utilizzo distorto del sistema informatico fuori provincia ha dato luogo all'attivazione dell'indagine da parte dell'Inps. Al riguardo, in base al materiale probatorio depositato in giudizio, risulta che gli accessi abusivi in questione non sono giustificati da esigenze di servizio, né da istanze scritte dell'utenza come per prassi si operava da parte degli altri dipendenti svolgenti le medesime mansioni del convenuto, come è emerso negli atti depositati relativi al giudizio civile. A conferma di ciò, il dirigente dell'Area normativa contenzioso della Direzione centrale risorse umane della Direzione generale dell'Inps all'epoca dei fatti di causa nel giudizio civile ha affermato che "i residenti fuori territorio non competono né all'attività dell'Agenzia né alla precipuità del lavoro svolto dal M.; nelle regole generali della competenza territoriale dell'Istituto ogni sede ha la competenza nell'ambito del bacino di utenza assegnato".
Inoltre, risulta che il convenuto è l'unico a conoscenza della propria password e che anche se altri colleghi utilizzavano il suo computer accedevano al sistema con la propria utenza (username e password), a ciò si aggiunge che la cronologia degli accessi al sistema risulta specifica, perché indica la data, l'ora, le operazioni effettuate, username, cognome, nome, matricola, account di rete e utente.
Quindi, non sussistono gli elementi a comprova del fatto che gli accessi contestati possano essere riferibili a soggetto diverso dal convenuto, e ciò anche perché gli accessi si sono protratti per mesi con estrazione di informazioni (estratto contributivo) prima visionate e poi prodotte in file pdf stampabili; le credenziali usate sono quelle del M. così come l'I.P. che identifica la postazione di lavoro che appunto corrisponde a quella del convenuto; e nei giorni di assenza dal lavoro del prevenuto o quando lo stesso era in permesso orario o si assentava dalla postazione non risulta alcun accesso al sistema informatico.
Nemmeno risulta provata, nei termini come rappresentato dalla difesa, l'effettiva fragilità e obsolescenza del sistema informatico dell'Inps, in quanto non è stata fornita alcuna prova di un'eventuale captazione e conseguente utilizzo delle credenziali del M. da soggetto estraneo. In sostanza agli atti non vi è alcuna indicazione che dia un reale riscontro rispetto all'ipotizzata fragilità del sistema né risulta direttamente ricollegabile a un eventuale funzionamento distorto da parte di terzi del sistema informatico dell'Agenzia di Portici al punto che l'estrazione di dati non sia dipesa dal M.
Si deve aggiungere che l'Inps utilizza avanzati antivirus a protezione della propria banca dati previdenziale, nonché una serie di sistemi di protezione della posta elettronica attraverso la difesa da spam e fishing bloccando mail provenienti da siti sospetti.
Inoltre, il sistema informatico impone il cambio di password ogni tre mesi e il computer dopo dieci minuti di inattività blocca automaticamente la sessione di lavoro cosicché per riprenderla occorre inserire nuovamente le credenziali d'accesso.
3.2. Invero, in via meramente teorica, non può essere escluso in modo assoluto che con la tecnica di remotizzazione del desktop (che può avvenire attraverso l'installazione di un software o mediante un virus) un soggetto da remoto possa visualizzare il desktop e interagire con il sistema utilizzato da altro soggetto/utente senza che quest'ultimo se ne avveda. Con la remotizzazione si possono conoscere le password altrui non criptate (trasmesse in chiaro). Invece le credenziali di autenticazione criptate, come quelle fornite dall'Inps, nella fattispecie in questione, possono essere captate con diverse proprie modalità, e cioè dall'esterno da soggetto vicino al P.C. che memorizza la password mentre essa viene digitata dall'utente o perché scritta su un foglietto, oppure attraverso siti finti creati ad hoc per sottrarre le credenziali.
In proposito, però, si deve osservare che l'Inps raccomanda ai dipendenti di mantenere la segretezza della password e in caso di allontanamento dalla postazione di bloccare la sessione di lavoro.
In sostanza il Collegio ritiene che non siano stati indicati dati certi di un attacco informatico alla sede Inps di Portici, né della asserita fragilità del sistema informatico, né sussistono elementi che forniscano almeno un dubbio rispetto al fatto che siano stati effettuati accessi con le credenziali del convenuto da parte di terzi.
3.3. Contrariamente a quanto sostiene il convenuto, il danno quantificato dalla Procura erariale in euro 3.821,58 a seguito di specifico approfondimento istruttorio (v. riscontro istruttorio del 26 luglio 2022, prot. n. 14912) è, a giudizio di questo Collegio, correttamente determinato perché corrisponde alla misura pari alla retribuzione indebitamente percepita in funzione dell'attività illecita perpetrata, tenuto anche conto del valore del complessivo orario lavorativo accertato (n. ore stimate pari a 178) come illecitamente impiegato al fine dell'esercizio della abusiva attività di ingiustificato accesso ai sistemi informatici e in relazione al numero e alla tipologia di accessi illegittimi contestati pari a 16.488, precisandosi che il calcolo corrisponde alla retribuzione media percepita nel periodo in contestazione.
Non risulta, inoltre, corretta la contestazione della difesa del M. in ordine all'erroneo conteggio da parte dell'Inps e della Procura dei tempi necessari per effettuare le operazioni non consentite, in quanto il tempo impiegato in media per ogni accesso sarebbe di 8,21 secondi e non come si rileva negli atti del giudizio di 36 secondi in media.
Ciò comporterebbe una sensibile riduzione della richiesta risarcitoria da euro 3.821,58 a euro 807,23.
A supporto delle predette ragioni la difesa del M. prende in considerazione la giornata di lavoro del 30 novembre 2017 in cui gli accessi abusivi hanno avuto inizio alle ore 12,59 e 41 secondi e terminano alle ore 13,22 e 08 secondi per un totale di 22 minuti e 27 secondi (1.347 secondi) e in tale arco temporale gli accessi sono stati 164 per una media appunto di 8,21 secondi e non di 36 secondi come indicato dall'Inps.
Il Collegio al riguardo evidenzia che il convenuto ha preso in considerazione solo una giornata di lavoro e solo un limitato arco di tempo e non l'intera giornata lavorativa inclusi gli accessi non abusivi. Infatti, proprio il 30 novembre 2017 l'attività di accesso al sistema del M. ha avuto inizio alle ore 7,47 e 41 secondi e si è conclusa alle 13,22 e 8 secondi per un totale di 5 ore, 34 minuti e 27 secondi (per un totale di 19.224 secondi) con un numero di accessi complessivo pari a 496 con una media di 38,7 secondi (19.224/496).
In sostanza l'attività di accesso al sistema non ha avuto inizio alle ore 13,22 e 08 come affermato dalla difesa, ma dalle ore 7,47 e 41 per un numero di accessi (inclusi quelli non consentiti) pari a 496 e non a 164. Prendendo così in considerazione la media dell'intera giornata, e non un limitato arco temporale, le valutazioni della difesa del convenuto non sono ex actis pertinenti, mentre risultano corretti e coerenti i dati temporali (media di 36 secondi ad accesso) forniti dall'Inps alla Procura.
4. Alla luce delle esposte considerazioni, la domanda attorea va accolta e il convenuto M. Gerardo va condannato al pagamento, in favore dell'Inps, della somma di euro 3.821,58 oltre rivalutazione monetaria a decorrere dal 1° gennaio 2018, individuata quale data mediana rispetto al periodo in cui sono avvenute le condotte contestate, nonché interessi legali dalla data del deposito della presente sentenza sino al soddisfo.
5. Le spese di giudizio seguono la soccombenza e si liquidano come in dispositivo.
P.Q.M.
La Corte dei conti, sezione giurisdizionale per la Campania, definitivamente pronunciando, accoglie la domanda della Procura erariale e, per l'effetto, condanna M. Gerardo al risarcimento del danno erariale pari a euro 3.821,58, in favore dell'Inps, con rivalutazione monetaria, come precisato in parte motiva, e interessi legali dalla data di deposito della sentenza fino al dì del soddisfo.
Condanna altresì il convenuto al pagamento delle spese di giudizio liquidate dal funzionario di segreteria con nota a margine, ai sensi dell'art. 31, comma 5, c.g.c.
Manda alla Segreteria per gli adempimenti di rito.