Logo Studio Campesato
Richiedi un preventivo
Facebook Instagram Linkedin

Controllo del PC aziendale: quando è legittimo?

Controllo PC aziendale legittimo e licenziamento
Immagine di Marco Campesato

Marco Campesato

Consulente del Lavoro esperto di diritto e relazioni di lavoro, gestione strategica del capitale umano e formatore
Indice

Controllo del PC aziendale: introduzione

Il datore di lavoro può controllare il PC aziendale del dipendente, ma solo se ha rispettato alcune condizioni precise stabilite dalla legge. Lo ha ribadito la Corte di Cassazione con la sentenza n. 28365 del 27 ottobre 2025, che ha confermato la legittimità del licenziamento di un lavoratore sorpreso a sottrarre dati riservati dell’azienda. Una decisione che chiarisce i confini tra il potere di controllo del datore di lavoro e il diritto alla privacy del lavoratore.

Controllo PC Aziendale 2025 – Studio Campesato
⚡ Sentenza · Cassazione n. 28365/2025

Controllo del PC Aziendale

Guida aggiornata · Art. 4 Statuto dei Lavoratori · Cass. 27 ottobre 2025, n. 28365

🆕 2025
Condizione chiave
📄 Policy IT aziendale
🛡️
Il datore di lavoro può controllare il PC aziendale solo se ha preventivamente consegnato al dipendente una policy IT scritta che lo avvisi di possibili verifiche in caso di anomalie.
Obbligatoria per legge
Conseguenza possibile
⚖️ Licenziamento per giusta causa
🚫
Se il dipendente viola le regole in modo grave, intenzionale e reiterato — come nel caso dei 54.000 accessi non autorizzati e 125 email con dati riservati — il licenziamento in tronco è proporzionato.
Art. 2119 c.c.
💡
Il principio chiave è la trasparenza preventiva: il lavoratore deve sapere — prima — che certi comportamenti vengono monitorati e che certe condotte hanno conseguenze disciplinari. Senza informativa, il controllo rischia di essere nullo.
📋
Policy IT scritta
Deve essere consegnata e firmata da ogni dipendente all’assunzione
🔍
Controllo mirato
Non generalizzato: solo in presenza di fondato sospetto di illecito
🔒
GDPR rispettato
Necessità e proporzionalità previste dal Reg. UE 2016/679
💼
PC = strumento aziendale
L’assegnazione al dipendente non ne trasferisce la proprietà
🛡️
Controllo difensivo
Ammesso anche senza accordo sindacale se vi è sospetto fondato
📧
Email aziendali
Verificabili alle stesse condizioni del PC, se la policy lo prevede
❓ Domande Frequenti
Q Il datore di lavoro può controllare il PC aziendale?
Sì, ma solo se ha preventivamente informato i lavoratori tramite una policy IT scritta, nel rispetto dell’art. 4 dello Statuto dei Lavoratori e dei principi del GDPR. Il controllo deve essere proporzionato e non generalizzato.
Q Cos’è la “policy IT” e perché è indispensabile?
È il documento interno che stabilisce le regole di utilizzo di PC, email e gestionali aziendali: quali usi sono consentiti, quando l’azienda potrà effettuare controlli e quali sanzioni sono previste. Senza di essa, i controlli rischiano di essere dichiarati illegittimi.
Q Cosa rischia il dipendente che usa il PC per scopi non autorizzati?
Licenziamento per giusta causa (art. 2119 c.c.), responsabilità civile per i danni patrimoniali e reputazionali, responsabilità penale per accesso abusivo (art. 615-ter c.p.) e possibile coinvolgimento in procedimenti davanti al Garante della Privacy.
Q Il PC assegnato al dipendente diventa di sua proprietà?
No. Come confermato dalla Cassazione con sentenza n. 28365/2025, l’uso esclusivo dello strumento non ne trasferisce la proprietà. Il datore di lavoro resta proprietario e può verificarne l’utilizzo.
📋 Normativa di riferimento: Art. 4 L. 300/1970 (Statuto dei Lavoratori) · Art. 2119 c.c. · Art. 615-ter c.p. · Cass. n. 28365 del 27 ottobre 2025 · Cass. n. 25732/2023 · Reg. UE 2016/679 (GDPR)
Studio Campesato Consulente del Lavoro · Lonigo (Veneto)
Richiedi una consulenza →

Controllo del PC aziendale: il caso

La vicenda al centro della sentenza è emblematica. Un dipendente, nel periodo compreso tra ottobre 2020 e maggio 2021, aveva effettuato oltre 54.000 accessi non autorizzati al sistema informatico aziendale e inviato 125 email contenenti dati riservati — tra cui 133 fatture di clienti — a dieci indirizzi email esterni all’azienda.​

Quando l’azienda ha avviato le verifiche sul notebook in uso al lavoratore, quest’ultimo ha contestato la liceità del controllo, sostenendo due tesi difensive: che il computer fosse di sua proprietà personale e che mancasse un’adeguata informativa preventiva, come richiesto dall’articolo 4 dello Statuto dei Lavoratori e dal GDPR.​

Entrambe le tesi sono state respinte. Sia la Corte d’Appello di Campobasso sia la Cassazione hanno accertato che il notebook era di proprietà aziendale e che il lavoratore era stato preventivamente informato della possibilità di controlli in caso di anomalie.​​

Cosa dice la legge: l’art. 4 dello Statuto dei Lavoratori

Per capire la portata di questa sentenza, è necessario fare un passo indietro e spiegare il quadro normativo di riferimento.

L’articolo 4 della Legge n. 300/1970 (Statuto dei Lavoratori) disciplina i cosiddetti “controlli a distanza” dei lavoratori. La regola di base è chiara: gli strumenti tecnologici che permettono — anche solo indirettamente — di monitorare l’attività lavorativa non possono essere installati liberamente. In linea generale, è necessario un accordo sindacale oppure un’autorizzazione dell’Ispettorato Nazionale del Lavoro.

Tuttavia, la norma prevede anche gli strumenti di lavoro ordinari — come PC, email aziendali e gestionali — per i quali il controllo è possibile a condizioni più snelle, ma non senza regole. In questi casi, il datore di lavoro deve comunque:

  • Informare preventivamente i lavoratori sulle modalità e finalità del controllo
  • Rispettare i principi di necessità e proporzionalità previsti anche dal GDPR (Regolamento UE 2016/679)
  • Agire in modo mirato, non sistematico o indiscriminato

La “policy IT”: lo strumento chiave per rendere legittimi i controlli del PC aziendale

Nel caso esaminato dalla Cassazione, l’azienda aveva fatto la cosa giusta: aveva consegnato ai dipendenti un’informativa scritta che li avvisava esplicitamente che, in caso di anomalie rilevate nei sistemi informatici, l’azienda si riservava il diritto di effettuare verifiche sul PC e sulle email, con possibile applicazione di provvedimenti disciplinari.​​

Questa documentazione — comunemente chiamata “policy IT” o “policy sull’uso degli strumenti informatici” — è risultata decisiva. La Corte ha stabilito che quella comunicazione preventiva soddisfaceva pienamente i requisiti dell’art. 4 dello Statuto dei Lavoratori, rendendo utilizzabili le prove acquisite.

Il messaggio per i datori di lavoro è dunque molto concreto: adottare e far firmare ai propri dipendenti una policy chiara sull’uso degli strumenti informatici aziendali non è solo buona prassi — è una condizione indispensabile per poter agire legittimamente in caso di anomalie.

I “controlli difensivi”: un’eccezione importante

La giurisprudenza, inclusa la stessa sentenza n. 28365/2025, riconosce anche la categoria dei cosiddetti controlli difensivi in senso stretto: si tratta dei controlli effettuati dal datore di lavoro quando esiste un fondato sospetto di illecito, finalizzati non al monitoraggio generico dell’attività lavorativa, bensì alla tutela del patrimonio aziendale e alla prevenzione di condotte illecite.

In questi casi, la Cassazione ammette che il controllo possa essere effettuato anche in assenza della specifica autorizzazione sindacale o amministrativa, purché siano rispettati i principi di trasparenza e proporzionalità e il lavoratore sia stato comunque informato in via generale della possibilità di verifiche.

Notebook con lucchetto

Quando scatta il licenziamento per giusta causa

Una volta accertata la legittimità del controllo, la Cassazione si è occupata di valutare se il licenziamento fosse proporzionato alla condotta.

La risposta è stata netta: sì, il licenziamento è legittimo. Secondo la Corte, la violazione delle regole aziendali da parte del dipendente era stata consapevole, intenzionale e persistente, e aveva leso in modo irrimediabile il vincolo fiduciario che costituisce il fondamento di qualsiasi rapporto di lavoro subordinato.​​

Non solo. Il comportamento del lavoratore aveva esposto l’azienda a rischi concreti su tre fronti:

  1. Danni patrimoniali derivanti dalla perdita di dati commerciali riservati
  2. Danni reputazionali per la diffusione di informazioni sulla clientela
  3. Sanzioni del Garante della Privacy per la violazione delle norme sulla protezione dei dati personali​​

In presenza di tali condotte, il datore di lavoro non è tenuto a dimostrare la “proporzionalità” della sanzione: il licenziamento in tronco è ritenuto la risposta adeguata.

Cosa cambia per datori di lavoro e lavoratori

Questa sentenza — in linea con il precedente orientamento della Cassazione n. 25732/2023 — consolida un quadro di regole abbastanza chiaro per entrambe le parti del rapporto di lavoro.​​

Per i datori di lavoro

  • Dotarsi di una policy IT aggiornata è essenziale. Deve essere scritta, chiara e consegnata a ogni dipendente con firma di ricevuta
  • La policy deve specificare quali comportamenti sono vietati, quali controlli potranno essere effettuati e quali conseguenze disciplinari sono previste
  • Il controllo deve essere mirato e proporzionato, non generalizzato o preventivo senza giustificazione
  • In caso di sospetto fondato, è possibile procedere con verifiche informatiche anche retroattive, purché nel rispetto dei limiti normativi

Per i lavoratori

  • Gli strumenti informatici aziendali (PC, email, gestionali) non sono spazi privati: il datore di lavoro ha il diritto di verificarne l’uso
  • Anche se il computer è fisicamente assegnato a un singolo lavoratore, questo non ne determina la proprietà personale
  • La diffusione di dati riservati dell’azienda — anche a singoli destinatari e non alla concorrenza — può configurare giusta causa di licenziamento ai sensi dell’art. 2119 c.c.
  • Prima di utilizzare strumenti aziendali per scopi personali o non autorizzati, è essenziale leggere attentamente la policy interna

Conclusione operativa: la trasparenza protegge tutti

La sentenza n. 28365/2025 della Cassazione non amplia i poteri del datore di lavoro oltre i limiti della legge, ma conferma che, quando quei limiti vengono rispettati, i controlli informatici sono pienamente legittimi e le relative prove sono utilizzabili in sede disciplinare e giudiziaria.

Il principio chiave è la trasparenza preventiva: il lavoratore deve sapere — prima — che certi comportamenti vengono monitorati e che certe condotte hanno conseguenze disciplinari. Senza questa informativa, il controllo rischia di essere nullo. Con essa, il datore di lavoro può agire, e il lavoratore non può invocare l’ignaro.

In un’epoca in cui i dati aziendali hanno un valore enorme e le violazioni informatiche possono costare sanzioni milionarie, adottare una policy sull’uso degli strumenti informatici non è un adempimento burocratico: è un investimento nella sicurezza dell’azienda e nella chiarezza del rapporto di lavoro.

Hai bisogno di aggiornare la tua policy IT o di un supporto nella gestione di un contenzioso disciplinare? Contatta il nostro studio per una consulenza personalizzata.

FAQ — Domande Frequenti

Il datore di lavoro può controllare il PC aziendale del dipendente?

Sì, ma solo a determinate condizioni. Il controllo è legittimo se l’azienda ha preventivamente informato i lavoratori tramite una policy IT scritta, nel rispetto dell’art. 4 dello Statuto dei Lavoratori (L. 300/1970) e dei principi del GDPR (Regolamento UE 2016/679). Il controllo deve essere proporzionato allo scopo e non può essere generalizzato o indiscriminato.

Il dipendente deve essere informato prima che il datore effettui controlli informatici?

Sì, l’informativa preventiva è obbligatoria. Il lavoratore deve sapere, prima che i controlli avvengano, che l’azienda si riserva il diritto di verificare l’uso degli strumenti informatici in caso di anomalie. Questa comunicazione — solitamente contenuta nella policy IT — è la condizione fondamentale per rendere utilizzabili le prove eventualmente raccolte in sede disciplinare o giudiziaria.

Cos’è la “policy IT” e perché è così importante?

La policy IT (o policy sull’uso degli strumenti informatici aziendali) è un documento interno che stabilisce le regole di utilizzo di PC, email, gestionali e altri strumenti digitali forniti dall’azienda. Deve indicare chiaramente:

  • quali usi sono consentiti e quali sono vietati
  • in quali casi l’azienda effettuerà controlli
  • quali sanzioni disciplinari sono previste in caso di violazione
  • Senza questo documento, i controlli informatici rischiano di essere dichiarati illegittimi.

Se il PC è fisicamente assegnato al dipendente, diventa di sua proprietà?

No. L’assegnazione dello strumento di lavoro non ne trasferisce la proprietà. Come confermato dalla Cassazione con sentenza n. 28365/2025, il fatto che il notebook fosse in uso esclusivo al dipendente non lo rendeva un bene personale. Il datore di lavoro resta proprietario dello strumento e può legittimamente verificarne l’utilizzo.

Cosa rischia un dipendente che usa il PC aziendale per scopi non autorizzati?

Le conseguenze possono essere molto serie:

  • Licenziamento per giusta causa (art. 2119 c.c.), senza preavviso
  • Responsabilità civile per i danni patrimoniali e reputazionali causati all’azienda
  • Responsabilità penale per accesso abusivo a sistemi informatici (art. 615-ter c.p.) o violazione del segreto aziendale
  • Coinvolgimento in procedimenti davanti al Garante della Privacy in caso di diffusione illecita di dati personali

Il datore di lavoro può controllare le email aziendali del dipendente?

Sì, alle stesse condizioni valide per il PC. Le email aziendali sono strumenti di lavoro e, se la policy IT lo prevede espressamente, possono essere verificate in caso di fondato sospetto di condotte illecite. Attenzione: il controllo sistematico e continuativo della posta elettronica, senza una motivazione specifica, potrebbe configurare una violazione del diritto alla riservatezza del lavoratore.

Cosa si intende per “controllo difensivo”?

Il controllo difensivo è quello effettuato dal datore di lavoro in presenza di un fondato sospetto di illecito, con lo scopo di tutelare il patrimonio aziendale o prevenire danni. La giurisprudenza (tra cui Cassazione n. 28365/2025 e n. 25732/2023) lo ritiene ammissibile anche senza accordo sindacale preventivo, purché rispetti i principi di trasparenza e proporzionalità e il lavoratore sia stato informato in via generale della possibilità di verifiche.

Quand’è che il licenziamento per uso improprio del PC aziendale è proporzionato?

Il licenziamento è ritenuto proporzionato quando la condotta del dipendente è grave, intenzionale e reiterata, tale da ledere irrimediabilmente il vincolo fiduciario su cui si fonda il rapporto di lavoro. Nel caso deciso dalla Cassazione nel 2025, oltre 54.000 accessi non autorizzati e 125 email con dati riservati inviati all’esterno sono stati ritenuti sufficienti a giustificare il licenziamento in tronco, senza che si potesse invocare la sproporzione della sanzione.

Il lavoratore può opporsi al controllo del PC sostenendo la violazione della privacy?

Può farlo, ma difficilmente avrà successo se l’azienda ha rispettato le regole. Se la policy IT è stata correttamente adottata e consegnata al lavoratore, il diritto alla privacy recede di fronte al legittimo interesse del datore di lavoro a tutelare il proprio patrimonio e a garantire il rispetto delle regole aziendali. Il bilanciamento tra i due interessi è al centro della giurisprudenza più recente, che tende a privilegiare la trasparenza preventiva come criterio risolutivo.

Come deve comportarsi un’azienda per essere in regola?
In sintesi, ogni azienda dovrebbe:

  • Redigere e aggiornare una policy IT chiara e dettagliata
  • Far firmare la policy a ogni dipendente al momento dell’assunzione e ad ogni aggiornamento
  • Conservare la documentazione che prova la consegna e la presa visione
  • Effettuare i controlli in modo mirato, solo in presenza di segnali di anomalia
  • Consultare un consulente del lavoro prima di avviare verifiche informatiche o procedimenti disciplinari

Autore dell’articolo – Marco Campesato: esperto di diritto del lavoro e della previdenza sociale di Studio Campesato – Consulente del lavoro a Vicenza

Autore dell'articolo - Marco Campesato: esperto di diritto del lavoro e della previdenza sociale di Studio Campesato - Consulente del lavoro a Vicenza
Marco Campesato – Esperto di diritto del lavoro e della previdenza sociale
Condividi

Potrebbe interessarti anche

modello 730 scadenza 2024

Modello 730 2026: tutto quello che devi sapere

Il Modello 730/2026 è la dichiarazione dei redditi semplificata destinata a lavoratori dipendenti e pensionati, da presentare entro il 30 settembre 2026. Si può inviare online (tramite SPID, CIE, CNS) oppure tramite CAF, consulenti o sostituti d’imposta.

Il modello consente di ottenere rimborsi fiscali direttamente in busta paga o sulla

Continua a leggere »
11 Maggio 2026
RSS Il Sole 24 Ore
RSS INPS
Come possiamo aiutarti?

Contattaci ora per ottenere una consulenza professionale e personalizzata per le tue esigenze aziendali.

Facebook Instagram
Richiedi un preventivo