Pochi temi mettono alla prova il sistema della proprietà industriale quanto la exit di figure apicali o dipendenti chiave che, costituendo una nuova impresa concorrente, portino con sé, tanto in forma materiale quanto sui dispositivi aziendali, l’archivio informativo accumulato negli anni di servizio.
Il fenomeno è frequente nell’ingegneria di precisione, nei sistemi industriali “chiavi in mano” e in tutti i settori in cui il vantaggio competitivo si fonda non su un singolo brevetto, ma su un patrimonio informativo stratificato: distinte tecniche, parametri di processo, listini, condizioni contrattuali, anagrafiche di clienti e fornitori, esiti di trattative.

In questi casi il datore di lavoro si trova davanti a un dilemma. Da un lato, deve raccogliere rapidamente le prove dell’illecito — pena la cristallizzazione della perdita competitiva e la difficoltà di dimostrarne nesso causale e quantum. Dall’altro, le fonti probatorie naturali (account di posta aziendali, dispositivi, server) sono pieni di dati personali, e ogni controllo è suscettibile di scontrarsi con la disciplina del GDPR, del Codice Privacy, dello Statuto dei lavoratori, della normativa sulla corrispondenza.

Ad inquadrare sistematicamente la tensione di cui tratta questo nostro articolo, soccorre la sentenza del Tribunale di Milano, Sezione Specializzata in materia di Impresa, 9 luglio 2025 n. 5705 (Pres. Giani, Est. Vanini), pronunciata nel contenzioso tra Geico S.p.A. e Fidia Automotive Engineering Systems S.r.l. con tre ex ingegneri della prima.

Il provvedimento fornisce una mappa molto chiara del modo in cui le sezioni specializzate stanno componendo i due piani ed è una decisione utile da leggere su due livelli: come riepilogo dei requisiti di tutela del segreto ex art. 98 c.p.i. (e dei “segreti minori” ex art. 2598 n. 3 c.c.) e come case-study sui limiti del diritto di difesa rispetto al trattamento di dati personali contenuti nelle caselle e-mail aziendali.

Il caso Geico c. Fidia: la mole probatoria e la sua qualificazione

Geico è una società leader nella progettazione di impianti automatizzati per la verniciatura di scocche automobilistiche. Tre suoi ingegneri con ruoli dirigenziali, dopo le dimissioni del marzo 2019, hanno costituito Fidia, operante nel medesimo settore. Geico ha promosso un procedimento cautelare ante causam (r.g. 51062/2019), nel cui ambito un consulente tecnico ha rinvenuto sui dispositivi dei resistenti 945.287 file riconducibili a Geico, pari a 149.562 documenti al netto delle copie, oltre a 686 documenti cartacei.

Nel merito, il Tribunale ha qualificato l’imponente massa documentale in cinque categorie tecnico-funzionali (segreto tecnico, segreto commerciale, banche dati, software, “file segreti nel loro insieme”), per un totale, dopo l’esclusione di documenti irrilevanti o meramente probatori della copiatura massiva, di 127.841 elementi. Tra questi: archivi di disegni Autocad editabili, calcoli dimensionali e di resistenza, grafici di temperatura forni, layout di progetto, manuali, ma anche contabilità di commessa, documenti previsionali, offerte e contratti commerciali, piani di cash flow di produzione, anagrafiche clienti e fornitori.

Sul piano della qualificazione giuridica, il Collegio ha aderito alla domanda attorea: la sottrazione costituisce violazione dei segreti commerciali ex art. 98 c.p.i. e, in subordine, atto di concorrenza sleale ex art. 2598 n. 3 c.c. La decisione, tuttavia, è di grande interesse soprattutto sul piano del danno (accolto solo nei limiti del danno emergente documentato per € 130.076,12) e sul fronte delle domande riconvenzionali dei convenuti per la violazione della disciplina privacy connessa alla conservazione delle loro caselle di posta lavorativa dopo le dimissioni.

I requisiti del segreto commerciale ex art. 98 c.p.i.

La sentenza ricostruisce con cura i tre requisiti dell’art. 98 c.p.i, segretezza, valore economico e misure di protezione ragionevolmente adeguate, alla luce di una giurisprudenza milanese ormai consolidata.

La segretezza

Per integrare il requisito della segretezza (art. 98 co. 1 lett. a c.p.i.), le informazioni non devono essere nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti del settore. Il Tribunale richiama tre principi consolidati:

Questa ultima precisazione è cruciale: in casi come quello Geico-Fidia, la maggior parte dei singoli documenti potrebbe non essere segreta in sé, ma lo è la loro aggregazione strutturata, che cattura il know-how organizzativo dell’impresa.

Il valore economico

L’art. 98 c.p.i. lega valore economico e segretezza (valore economico in quanto segrete): è dunque il vantaggio competitivo derivante dalla disponibilità esclusiva e non un ipotetico valore di scambio, a integrare il requisito. La sentenza valorizza l’idoneità delle informazioni sottratte a consentire ai convenuti di elaborare un più efficace progetto di marketing nonché di predisporre più agevolmente delle proposte tecniche, sfruttando la conoscenza della situazione del concorrente.

Le misure di protezione “ragionevolmente adeguate”

È sul requisito delle misure di sicurezza che la sentenza fornisce l’indicazione più operativa. Il Tribunale distingue:

Le due categorie operano in funzione complementare: la sola previsione di obblighi di riservatezza in capo ai dipendenti, non accompagnata da idonee misure di protezione fisica, non consente di ritenere integrato il requisito dell’art. 98 lett. c) c.p.i. (Trib. Bologna, sez. spec. impr., 16 maggio 2023 n. 1033, citata in sentenza). Viceversa, le sole misure tecniche, senza un regolamento interno e/o impegni di riservatezza con il personale, sono insufficienti.

Nel caso Geico la sussistenza è stata riconosciuta in concreto: accesso alla rete subordinato a credenziali individuali, uso esclusivo dei dispositivi forniti dalla società, e adozione dal 20 aprile 2015  di un regolamento interno (“Istruzione Operativa IS 6188”), consegnato in copia ai dipendenti, recante divieti specifici (uso di software non installato dal servizio IT, blocco del PC con password in caso di allontanamento dalla postazione, divieto di delega delle credenziali).

È interessante l’argomento con cui il Collegio respinge l’eccezione dei convenuti relativa alla tardività del regolamento: la condotta censurata non è la formazione di copie in costanza di rapporto, ma la mancata distruzione delle informazioni al momento della cessazione e il loro riversamento sui server della concorrente.

L’art. 2105 c.c: la fedeltà come fonte autonoma dell’obbligo di non-uso

Uno degli snodi argomentativi più rilevanti della sentenza riguarda il rapporto tra l’accesso lecito alle informazioni in costanza di rapporto e l’obbligo di non utilizzarle ex post. Il Tribunale afferma, riprendendo l’ordinanza di reclamo già pronunciata nel medesimo contenzioso, che l’accesso dei dipendenti (anche con ruoli apicali) alle informazioni aziendali non basta a rendere queste ultime non segrete, proprio perché la regola di fedeltà al datore di lavoro impone ex lege (e, quindi, al di là di singole misure specifiche aziendali) l’obbligo di non acquisire e/o utilizzare le informazioni al di fuori dell’assolvimento delle prestazioni lavorative, indipendentemente dalla specifica conclusione di un patto di riservatezza.

Il principio non è nuovo, ma la sua chiara enunciazione è significativa: l’eventuale patto di riservatezza ha la funzione di rendere incontestabile la segretezza, non di costituirla. Di conseguenza, la copiatura massiva di un patrimonio informativo aziendale e la sua conservazione dopo la cessazione del rapporto, anziché la sua distruzione, costituiscono in sé una violazione, anche quando l’acquisizione originaria fosse stata lecita.

I “segreti minori” e la sussidiarietà con la concorrenza sleale

La sentenza torna sul tema dei c.d. “segreti minori”: informazioni riservate non sussumibili nella fattispecie dell’art. 98 c.p.i. per carenza di uno o più requisiti, ma comunque tutelabili attraverso la disciplina della concorrenza sleale ex art. 2598 n. 3 c.c. La tutela aquiliana è più ampia di quella industrialistica, operando ogni qualvolta sussistano violazione dei principi della correttezza imprenditoriale e idoneità dell’atto a danneggiare l’altrui azienda.

Il riferimento, anche giurisprudenziale, è ampio: la sentenza richiama Cass., sez. I, 12 luglio 2019 n. 18772, secondo cui un complesso di informazioni aziendali non costituenti oggetto di un vero e proprio diritto di proprietà industriale può comunque essere tutelato avverso l’abuso concorrenziale a fronte di atti contrari alla correttezza professionale del concorrente, che sfrutti le informazioni soggette al legittimo controllo del detentore, ottenendo così un indebito vantaggio competitivo; con la precisazione che deve trattarsi di un complesso organizzato e strutturato di dati cognitivi, capace di fornire al concorrente un vantaggio che trascenda le capacità e le esperienze del lavoratore acquisito. Nello stesso senso la sentenza richiama Cass. civ., sez. I, 27 maggio 2025 n. 14098, Cass. civ., sez. I, 13 gennaio 2023 n. 956, e Cass. civ., sez. VI, 3 febbraio 2022 n. 3454.

Il rapporto tra i due regimi è di sussidiarietà necessaria, alla luce della formula testuale dell’art. 99 c.p.i. (ferma la disciplina della concorrenza sleale [...]). Nel caso di specie, il Tribunale lo enuncia come ratio di chiusura del sistema: anche ove non si fosse ritenuta integrata la fattispecie ex art. 98 c.p.i., la condotta dei Convenuti costituirebbe comunque una evidente forma di concorrenza sleale, perpetrata tramite la copiatura massiva di una mole sterminata di dati e informazioni riconducibili a Geico.

Sul punto è opportuno ricordare che, secondo la nota Cass. civ. n. 11309/2017, le domande aventi ad oggetto le sole ipotesi di concorrenza sleale c.d. pura (senza interferenza con diritti di proprietà intellettuale) spettano al giudice ordinario e non alle Sezioni Specializzate; circostanza che ha riflessi pratici nella scelta del rimedio e nella possibilità di avvalersi degli istituti tipici del diritto processuale industrialistico (in particolare la descrizione).

Il rovescio della medaglia: la disciplina privacy nella raccolta delle prove

Il vero nodo della pronuncia (e ciò che la rende preziosa per la pratica) riguarda la domanda riconvenzionale degli ex dipendenti, che lamentavano il mantenimento attivo degli account di posta aziendali a loro intestati dopo le dimissioni e l’esame delle relative comunicazioni, costituente, a loro dire, violazione degli artt. 2 e 15 Cost., 8 CEDU, e di numerose disposizioni del Codice Privacy e del GDPR.

Il precedente provvedimento del Garante

Sui medesimi fatti era già intervenuto il Garante per la Protezione dei Dati Personali, con il provvedimento n. 171 del 27 aprile 2023 (doc. web n. 9909235), che aveva accertato l’illiceità del trattamento ai sensi dell’art. 143 del d.lgs. 196/2003 per la violazione degli artt. 5, par. 1, lett. a), b), c), e), f) e 13 del Regolamento (UE) 2016/679, irrogando a Geico una sanzione amministrativa pecuniaria di € 40.000.

Le contestazioni del Garante erano sostanzialmente tre: (i) le dimissioni dei reclamanti non potevano costituire, in sé, evidenza di una condotta “sospetta” idonea a giustificare un controllo, trattandosi di accadimento ordinario; (ii) l’esame della corrispondenza era cominciato prima e a prescindere dall’insorgenza di motivi di sospetto; (iii) le operazioni erano state compiute in violazione dell’obbligo di previa informativa e dei principi di minimizzazione, limitazione delle finalità e limitazione della conservazione.

L’improcedibilità ex art. 140-bis Codice Privacy

Su questo sfondo, il Tribunale ha dichiarato improcedibile la domanda riconvenzionale di accertamento del trattamento illecito di dati personali fondata sugli artt. 113 e 114 d.lgs. 196/2003 e sugli artt. 1.2, 5, 6, 7, 9, 12, 13, 24 e 32 GDPR. La ragione è il principio di alternatività di cui all’art. 140-bis del Codice Privacy, secondo cui la presentazione del reclamo al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto, salvo quanto previsto dall’articolo 10, comma 4, del d.lgs. 1° settembre 2011 n. 150.

Pare doveroso evidenziare la dubbia legittimità di questa scelta del legislatore nazionale rispetto agli artt. 77-79 GDPR, i quali sembrano espressamente escludere l’alternatività e prevedere il cumulo delle tutele, e segnala come la sentenza CGUE 12 gennaio 2023, causa C-132/21, BE c. NAIH, sembri fornire indiretto conforto a tale tesi. Il punto resta aperto, ma la sentenza milanese si attiene all’interpretazione restrittiva e applicativa già consolidatasi nella giurisprudenza di legittimità (Cass. sez. lav. 7 giugno 2016 n. 6775; Cass. sez. I, 17 settembre 2014 n. 19534).

Il Tribunale, peraltro, ha ritenuto che la riconvenzionale fondata sulla violazione degli artt. 2 e 15 Cost. e 8 CEDU non incorresse nell’improcedibilità, perché formalmente avente oggetto diverso dalla violazione della normativa privacy, ed è quindi entrato nel merito di tale ulteriore profilo. È una distinzione che pare artificiosa, atteso che la normativa speciale sia espressione anche dei principi costituzionali e convenzionali invocati.

Il diritto di difesa come scriminante: portata e limiti

Nel merito della riconvenzionale fondata su norme costituzionali e convenzionali, il Tribunale ha rigettato la domanda, ritenendo che la condotta di Geico fosse scriminata dall’esercizio legittimo del diritto di difesa. L’argomento, sviluppato ai punti D.5 e seguenti della motivazione, può essere così riassunto:

(i) in materia di trattamento di dati personali, il diritto di difesa in giudizio prevale sul diritto alla inviolabilità della corrispondenza, in virtù del generale principio di cui all’art. 51 c.p. (esercizio del diritto), dell’art. 24 cod. privacy (oggi abrogato dal d.lgs. 101/2018, ma di cui la sentenza richiama l’eredità contenutistica) e degli artt. 93 e 94 l.d.a.;

(ii) condizione di legittimità è che i dati siano trattati esclusivamente per far valere o difendere un diritto in sede giudiziaria e per il periodo strettamente necessario al suo perseguimento (art. 24 lett. f cod. privacy nella sua versione storica, ora trasfusa nelle basi giuridiche dell’art. 6 e nella scriminante dell’art. 9 GDPR per i dati particolari);

(iii) la prevalenza del diritto di difesa si estende non solo alla sede processuale in senso stretto, ma a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata. Il Tribunale richiama, a tal proposito, Cass. civ. sez. lav. 12 novembre 2021 n. 33809, secondo la quale è legittima l’attività di recupero dei dati cancellati dal dipendente prima della riconsegna del computer, in funzione del giudizio risarcitorio intentato dall’azienda.

Nel caso di specie, il Tribunale ha ritenuto soddisfatte tali condizioni perché: il trattamento è avvenuto in funzione dell’esercizio del diritto di difesa e non per ricercare contenuti personali; i convenuti si sono limitati a contestare genericamente la permanenza dell’apertura degli account, senza indicare quali e-mail avrebbero effettivamente leso la propria identità personale; le e-mail riguardavano per lo più iscrizioni a mailing list di prodotti o servizi commerciali; Geico non ha dedotto in giudizio né diffuso all’esterno fatti o dati relativi alla vita privata dei convenuti né, comunque, dati finalizzati a screditarli o a ledere la loro dignità.

In altre parole, la motivazione fa leva sul principio di necessità e proporzionalità: il mantenimento e l’accesso alle caselle di posta è stato necessitato e limitato alla previsione di una acquisizione in sede giudiziale, senza divulgazione a terzi estranei.

La tensione (apparente) con il Garante

La tensione con la lettura del Garante è evidente, l’autorità aveva ritenuto che i controlli fossero cominciati prima e a prescindere dall’insorgenza di un fondato sospetto, e fossero in violazione dei principi di minimizzazione, limitazione delle finalità e limitazione della conservazione. Questa divergenza tocca anche profili di fatto, e non solo questioni interpretative.

Soprattutto, è notevole che il Tribunale rigetti la domanda riconvenzionale risarcitoria per difetto di prova del danno. Restano i punti aperti circa la possibilità di considerare “dato per accertato” l’illecito già sanzionato dal Garante: l’unica lettura del decisum apparentemente compatibile è che il Tribunale abbia dato per accertati gli illeciti privacy (in virtù della decisione del Garante), pur dichiarando improcedibile la domanda di accertamento per alternatività; e abbia poi rigettato la riconvenzionale risarcitoria per difetto di prova del danno. Una soluzione che non sembra avere appigli nel diritto positivo, ma che probabilmente è l’unica praticabile in un sistema di tutele alternative.

Profili risarcitori: la necessaria prova del danno

La sentenza è esemplare anche sul fronte dei criteri risarcitori. Il Collegio richiama l’orientamento di legittimità secondo cui al fine della liquidazione in via equitativa del danno da violazione di un diritto di proprietà industriale o concorrenza sleale è necessaria la prova specifica dell’esistenza del danno, poiché esso non è configurabile in re ipsa (Cass. civ., sez. I, 14 ottobre 2022 n. 30331). Conformemente, viene rigettata la domanda di risarcimento del lucro cessante e quella relativa al danno non patrimoniale, in difetto di allegazione e prova specifiche.

Sul piano probatorio, il Tribunale evidenzia che le informazioni segrete sono rimaste poco nella disponibilità dei convenuti e — per quanto consta agli atti — non sono state utilizzate sul mercato; la c.t.u. ha rilevato solo l’apertura di alcuni file o la modifica di singole parole, senza un’effettiva utilizzazione. Nessun cliente storico di Geico ha abbandonato la società per passare a Fidia; il fatturato di Geico nel 2020 è cresciuto del 22% rispetto all’esercizio precedente, superando gli obiettivi attesi. È un quadro che esclude la stessa configurabilità di un lucro cessante.

Il risarcimento è dunque limitato al danno emergente, costituito dalle spese di investigazione (€ 9.760 + € 42.700 + € 77.616,12 = € 130.076,12), oltre rivalutazione monetaria e interessi compensativi. Sono state invece escluse le spese sostenute in procedimenti connessi (penale, brevettuale, davanti al Garante) come voci di danno autonomo, andando esse a regolarsi secondo le regole della soccombenza nei rispettivi giudizi.

La pronuncia conferma poi l’inibitoria definitiva all’utilizzo dei file individuati negli allegati al doc. A di Geico, l’ordine di eliminazione dai server e dai supporti, e fissa penali (€ 5.000 al giorno per ogni ritardo nella distruzione; € 10.000 per ogni indebito utilizzo dei file).

Non è stata invece accolta la domanda di pubblicazione della sentenza ex art. 166 l.d.a. e 126 c.p.i., ritenuta sproporzionata in considerazione del tempo trascorso e dei comandi inibitori già concessi.

Considerazioni conclusive: lezioni operative

Dalla lettura combinata della sentenza e del provvedimento del Garante emergono alcune indicazioni operative (sia preventive, sia per la gestione del contenzioso) di non secondaria importanza.

Sul versante preventivo (impresa detentrice del segreto)

Un livello adeguato di tutela del segreto richiede oggi una combinazione, non alternativa, di misure:

Sul versante reattivo (gestione del controllo post-cessazione)

L’esperienza Geico-Fidia mostra che il controllo post-dimissioni delle caselle di posta aziendali — anche se finalisticamente orientato all’esercizio del diritto di difesa — rimane esposto a contestazione davanti al Garante, e la sanzione amministrativa è quasi inevitabile in assenza di informativa preventiva specifica, base giuridica documentata, limitazione temporale dell’accesso, minimizzazione effettiva (selezione preventiva delle e-mail rilevanti, idealmente con il filtro di un terzo soggetto qualificato).

Il punto di equilibrio indicato dalla sentenza milanese è che, in sede civile, il trattamento si salva se è effettivamente strumentale all’acquisizione di prove utilizzabili in giudizio e per il tempo strettamente necessario, senza divulgazione a terzi estranei. Ma la coesistenza di un procedimento davanti al Garante e di un giudizio civile genera, come si è visto, problemi di coordinamento delicati, non risolti dall’art. 140-bis cod. privacy.

Sul versante probatorio (allegazione del danno)

L’esito Geico conferma che, in mancanza di una prova specifica del nesso causale tra sottrazione e perdita di utili, non è ammessa la liquidazione equitativa del lucro cessante: il c.d. costo storico degli asset intangibili non è di per sé indice di danno, né lo sono le spese di ricerca e sviluppo “vanificate” dall’illecito ove non emerga un’effettiva utilizzazione delle informazioni da parte del concorrente. Le imprese che intendano valorizzare la voce di lucro cessante o la retroversione degli utili dovrebbero costruire la prova fin dalla fase cautelare, ad esempio mediante c.t.u. mirate all’identificazione di gare perse, clienti abbandonati, condizioni economiche ribassate proprio in conseguenza della disponibilità delle informazioni sottratte presso il concorrente.

Sul versante sistematico

La sentenza n. 5705/2025 conferma una linea giurisprudenziale che, da almeno un decennio, le Sezioni Specializzate milanesi vanno sviluppando: tutela ampia del segreto commerciale anche quando consista in un insieme aggregato di informazioni non singolarmente nuove; valorizzazione del dovere di fedeltà ex art. 2105 c.c. come autonomo titolo di obbligazione di non-uso; sussidiarietà necessaria della concorrenza sleale come rete di sicurezza per le informazioni non ancora elevate a segreto in senso stretto. La novità rispetto al passato sta nella sistematica considerazione del versante privacy: il quale, lungi dal costituire un ostacolo all’enforcement industrialistico, ne ridisegna le modalità, imponendo al detentore una preparazione probatoria orientata sin dall’origine ai principi di liceità, necessità e proporzionalità del trattamento.

Resta sullo sfondo, e merita attenzione futura, la questione del coordinamento tra tutela amministrativa davanti al Garante e tutela giurisdizionale ordinaria, su cui è auspicabile un intervento chiarificatore della Corte di Giustizia o, in difetto, una riforma del legislatore nazionale, posto che l’attuale impianto dell’art. 140-bis cod. privacy continua a generare incertezze applicative non trascurabili, soprattutto nei contenziosi in cui le parti perseguono la duplice via.

La sottrazione di know-how, file tecnici, banche dati, listini, offerte, anagrafiche clienti e informazioni commerciali da parte di ex dipendenti o collaboratori può compromettere in modo significativo il vantaggio competitivo dell’impresa.

Allo stesso tempo, la raccolta delle prove digitali deve essere gestita con metodo, evitando accessi indiscriminati a caselle e-mail, dispositivi aziendali e archivi informatici che possano generare violazioni privacy o contestazioni davanti al Garante.

P&S Legal assiste imprese, gruppi industriali, società tecnologiche e management nella protezione dei segreti commerciali, nella tutela del know-how aziendale, nella gestione di casi di sottrazione di informazioni riservate da parte di ex dipendenti, nella predisposizione di NDA, policy interne, procedure di off-boarding e misure di protezione dei dati aziendali, nonché nel contenzioso in materia di concorrenza sleale, violazione dei segreti commerciali, prova digitale e privacy nei controlli aziendali.

Per assistenza e consulenza in materia di tutela dei segreti commerciali contro ex dipendenti, protezione del know-how aziendale, controlli sulle e-mail aziendali dopo le dimissioni o azioni giudiziarie per sottrazione di dati aziendali riservati, è possibile contattare lo Studio per una prima valutazione strategica del caso.