Le truffe informatiche rappresentano una minaccia costante per chiunque utilizzi il web. Non si tratta soltanto del rischio di violazione dei dati personali dei cittadini, ma anche di pericoli concreti per aziende ed enti pubblici. Questi sono infatti sempre più esposti a intrusioni di cybercriminali, attraverso sofisticate tecniche di phishing.
In questi casi, può accadere che sia proprio il dipendente, in modo del tutto involontario, a diventare l’anello debole della catena, compromettendo la sicurezza informatica dell’impresa. Ma anche mettendo a rischio la propria posizione lavorativa.
Le domande, allora, sorgono spontanee: se l’azienda subisce una frode digitale a causa di una disattenzione o un errore del lavoratore, può scattare il licenziamento? Esiste una responsabilità disciplinare in capo al dipendente che crea, involontariamente, un danno economico al datore di lavoro?
Sulla questione si è pronunciata la Corte di Cassazione con la sentenza n. 3263/2026. Vediamo che cos’ha chiarito e quali accortezze devono adottare tutti i lavoratori, che operano quotidianamente con strumenti informatici.
Indice
Il caso, una truffa via e-mail e un bonifico verso l’estero
La disputa giudiziaria è nata dal licenziamento per giusta causa di un’addetta alla contabilità, con oltre trent’anni di anzianità di servizio. La lavoratrice aveva ricevuto un’e-mail, apparentemente proveniente dal presidente della società. Nel messaggio si chiedeva, con urgenza, di effettuare un bonifico di circa 15-16 mila euro verso un conto corrente nel Regno Unito.
Si trattava, in realtà, di una tipica frode nota come CEO fraud, una variante evoluta del phishing aziendale. In sostanza, il truffatore si finge un dirigente apicale per indurre un dipendente a disporre un pagamento dal conto aziendale.
Come ricostruito nei fatti di causa, la donna ha eseguito il bonifico senza attivare le procedure di verifica interne, previste per i pagamenti internazionali, e senza richiedere ulteriori conferme. C’erano, però, alcune evidenti anomalie:
- causale generica (“spese estere”);
- assenza di documentazione giustificativa;
- mancanza di dati bancari completi, come i codici richiesti per bonifici internazionali (es. SWIFT);
- richiesta diversa dalla prassi aziendale.
Non solo. Quasi contemporaneamente era arrivata una comunicazione autentica del vero presidente, che smentiva la richiesta di versamento. Nonostante ciò, la dipendente non aveva attivato tempestivamente le procedure per bloccare l’operazione, pur avendo l’intera giornata lavorativa a disposizione. Il danno economico è così risultato immediato e irreversibile.
I motivi dell’espulsione e l’impugnazione della sanzione disciplinare
La dipendente aveva violato le procedure interne e si era comportata imprudentemente nello svolgimento delle sue mansioni. Inoltre, secondo l’azienda, non aveva prestato la dovuta attenzione ai segnali di allerta, omettendo verifiche elementari (come una semplice telefonata di conferma). C’erano quindi elementi sufficienti per procedere prima con la contestazione disciplinare e poi con il licenziamento in tronco.
L’impiegata ha impugnato la sanzione, sostenendone la sproporzione rispetto ai fatti e la mancanza di una formazione specifica sulla cybersecurity, come pure la natura involontaria dell’errore. Le sue difese sono state però respinte dalla magistratura.
La formazione aziendale in cybersecurity può “scusare”?
Anche per la Cassazione, non aver fatto un corso interno sui rischi delle frodi informatiche non esclude le conseguenze sanzionatorie. Non significa cioè non poter essere considerati pienamente responsabili, per essere caduti nella trappola.
Questo è un punto chiave: secondo i giudici, nel valutare la responsabilità del dipendente occorre sempre fare riferimento al criterio della diligenza professionale, così come prevista dall’art. 1176 Codice Civile. In questo caso, non si tratta della diligenza generica del “buon padre di famiglia”, ma di quella specifica richiesta a chi esercita una determinata attività professionale.
In termini semplici, a chi svolge da decenni mansioni contabili e gestisce flussi finanziari è richiesto un grado di attenzione superiore alla media.
Qui le irregolarità della richiesta erano talmente palesi da essere riconoscibili anche senza competenze informatiche avanzate. Oltre alla svista in sé, la Corte ha sottolineato che l’aver eseguito il bonifico, senza verifiche, integra una negligenza grave e non giustificabile con la mancata partecipazione a corsi di aggiornamento. In breve: l’astuzia del truffatore non elimina il dovere minimo di prudenza.
Il rapporto con il contratto collettivo
La sentenza evidenzia il rapporto tra potere disciplinare del datore di lavoro e previsioni del Ccnl Questo, infatti, per semplici disattenzioni involontarie prevedeva solo sanzioni conservative.
Nel caso concreto, però, i giudici hanno escluso che si trattasse di un errore veniale, evidenziando una reiterata violazione delle regole di cautela e un grave rischio economico per l’azienda. Tale da giustificare il licenziamento disciplinare.
È inoltre chiarito che, nella valutazione della proporzionalità della sanzione, possono essere considerati anche precedenti disciplinari o professionali del lavoratore, pur non formalmente contestati come recidiva. Sono infatti ritenuti indicativi della sua affidabilità complessiva.
Non solo licenziamento, anche responsabilità patrimoniale
La Cassazione ha valutato come sostanzialmente corretto il ragionamento logico-giuridico del giudice d’appello. Oltre alla conferma dell’espulsione, è stata ritenuta fondata anche la richiesta di restituzione delle somme avanzata dall’azienda.
Questo significa che, oltre alla perdita del posto di lavoro, la dipendente è stata obbligata al risarcimento del danno economico, subìto dall’impresa.
Che cosa cambia
La Corte ha chiarito un punto cruciale nell’era tecnologica. La digitalizzazione dei processi non attenua le colpe di un lavoratore, ma può anzi amplificare i doveri di controllo per chi ricopre ruoli fiduciari e qualificati
Perciò, il fatto di essere stati ingannati da un attacco di phishing non esclude automaticamente la responsabilità disciplinare e patrimoniale, soprattutto se il lavoratore gestisce risorse finanziarie.
A ben vedere, l’esito della causa suggerisce alle aziende di rafforzare le procedure interne di verifica e di formalizzare protocolli chiari per i pagamenti. Dal lato dei lavoratori che gestiscono denaro o dati sensibili, la sentenza n. 3263 della Corte implicitamente invita a mantenere un atteggiamento attento e critico verso richieste anomale o insolite. Per scongiurare rischi di truffe online, è opportuno attivare sempre controlli incrociati.
D’altronde, come chiarisce indirettamente la Corte, la sicurezza informatica non è soltanto una questione di software e firewall, ma anche di responsabilità individuale. E, se è vero che la tecnologia espone le imprese a nuove forme di rischio, è altrettanto vero che non trasforma automaticamente ogni sbaglio in un evento inevitabile o perdonabile. Anzi, l’errore marchiano non evita né l’espulsione dall’azienda, né l’obbligo di pagare i danni.
Concludendo, in un “ecosistema” digitale sempre più complesso, la prevenzione passa tanto dai sistemi quanto dalle persone. E la diligenza professionale resta sempre un dovere centrale, non delegabile e non sostituibile da corsi o automatismi tecnologici.
