Una sentenza della Cassazione ha stabilito che un dipendente che provoca danni patrimoniali all’azienda in quanto vittima di una cyber truffa, a determinate condizioni può essere soggetto a licenziamento. Questo vuol dire che la “sicurezza informatica assume una dimensione di responsabilità individuale, oltre che tecnica” (cit. Pierluigi Paganini). Ciò comunque "non esclude l’obbligo dell’ente di dotarsi di assetti organizzativi proporzionati alla natura e alle dimensioni aziendali” (cit. Stefano Gazzella)
Il tipico caso della Frode del CEO
L’ordinanza n. 3263, pubblicata il 13 febbraio 2026, introduce nuovi obblighi nella giurisprudenza del lavoro per l’era digitale e dell’intelligenza artificiale, spesso utilizzata per compiere attacchi mirati e sofisticati. Con questa sentenza la Corte di Cassazione ha chiarito il limite entro cui gli errori o distrazioni di un dipendente, vittima di phishing o altre truffe informatiche, possono essere considerati giustificabili e quando invece possono costituire motivo valido per il licenziamento.
Il caso specifico riguardava una contabile che aveva ricevuto una richiesta urgente di eseguire un bonifico su un conto estero da parte del CEO . Il pagamento riguardava una cifra ingente Senza effettuare verifiche incrociate, senza telefonare ai propri superiori per verificare la correttezza della richiesta e che non si trattasse di phishing, la dipendente aveva effettuato il pagamento. Solo in seguito aveva scoperto che il destinatario del bonifico era un truffatore che si celava dietro un indirizzo mail camuffato. Nel caso specifico il vero presidente aveva avvisato rapidamente della frode, ma la dipendente non aveva interrotto la transazione.
Ed è questo l’elemento che ha giustificato il licenziamento, proprio l’allerta ignorata del Presidente. Non si tratta solo di non aver riconosciuto una email sospetta: si tratta di non aver agito nemmeno quando la frode era già stata segnalata.
Quindi la vittima di una cyber truffa è passibile di licenziamento
La Suprema Corte ha tracciato una linea guida importante: chi lavora in ambienti digitali deve essere particolarmente attento. Un dipendente non può limitarsi alla normale diligenza richiesta a un cittadino senza esperienza; per chi si occupa di flussi finanziari o gestisce dati sensibili, si applica l’obbligo di diligenza professionale qualificata secondo l’articolo 2104 del Codice Civile. I professionisti che gestiscono i conti aziendali devono, per contratto, saper individuare eventuali anomalie procedurali. La consapevolezza rappresenta la prima forma di protezione, ma è fondamentale effettuare controlli incrociati: Sms e messaggi possono essere falsificati.
È sempre necessario contattare i colleghi attraverso canali sicuri: invece di rispondere alle mail, inviare un nuovo messaggio all’indirizzo abituale, utilizzare telefonate e chiamate sui canali aziendali protetti, e magari concordare in anticipo una “domanda di sicurezza” (con informazioni non reperibili sui social) a cui solo i superiori sanno rispondere, per verificare l’identità.
Phishing e deepfake rappresentano minacce costanti, per questo è essenziale che i dipendenti vengano preparati tramite simulazioni e apposita formazione aziendale, così da non cadere in trappola e causare perdite economiche all’azienda. I giudici hanno inoltre sottolineato che non è rilevante se l’impresa abbia organizzato corsi o simulazioni contro il phishing: ormai la capacità di riconoscere email sospette — caratterizzate da sintassi incerta, tono pressante e richieste urgenti o intimidatorie — dovrebbe far parte della normale attenzione di ogni dipendente moderno.
La responsabilità individuale nell’era del rischio cyber
La recente pronuncia della Cassazione segna una svolta profonda: il rischio cyber diventa pilastro della responsabilità del singolo dipendente. Non è più sufficiente appellarsi alla buona fede o a una presunta ingenuità; occorre acquisire consapevolezza dei rischi digitali e attivarsi tempestivamente, segnalando situazioni sospette e allertando chi di competenza in caso di potenziale truffa.
In questo contesto, la verifica dell’identità dei mittenti e il rispetto rigoroso delle procedure di doppia autorizzazione per i pagamenti assumono il valore di veri e propri obblighi contrattuali. La loro violazione non ammette eccezioni: ogni dipendente è chiamato ad agire con diligenza e attenzione, a tutela sia dell’azienda che di sé stesso.
Un errore evidente, in particolare se viola le procedure interne di sicurezza, espone il lavoratore non solo al rischio del licenziamento, ma anche a quello di dover risarcire, con proprie risorse, il danno economico subito dall’azienda a causa di frodi informatiche. La sentenza apre quindi scenari concreti sul piano risarcitorio: la negligenza e leggerezza (come ad esempio cliccare senza verificare per operazioni di pagamento) non vengono più tollerata e la responsabilità personale diventa centrale.
Il ruolo dei C-level e la governance aziendale
Ovviamente la responsabilità non ricade solo sul singolo lavoratore. I vertici aziendali – i cosiddetti C-level – devono dimostrare un impegno reale nella cyber security, definendo strategie, implementando controlli efficaci e promuovendo una cultura aziendale orientata alla sicurezza.
Le aziende più vulnerabili sono quelle che basano i processi interni sulla comunicazione via mail, esponendosi maggiormente alle truffe. L’adozione di sistemi ERP e procedure di approvazione multipla per i bonifici rende più difficile la riuscita di attacchi come la CEO fraud. A questo si aggiungono ad esempio policy di Password sicure, l’uso di password manager, autenticazioni multi-fattore, procedure interne anti-frode e analisi attenta di mail e domini che sono tutti elementi chiave per ridurre l'esposizione alle cyber truffe.
Occorre ribaltare la relazione di fiducia: ogni comunicazione può essere potenzialmente malevola e va analizzata criticamente. L’ingenuità non è più ammessa: la Cassazione sancisce che la mancata consapevolezza dei rischi cyber o la superficialità nell’applicazione delle procedure interne possono essere motivo di licenziamento e diventa quindi fondamentale alzare il livello di consapevolezza e attenzione in azienda, favorendo un ambiente più sicuro e meno permeabile alle minacce digitali.