Phishing e responsabilità del lavoratore: quando l’errore diventa giusta causa di licenziamento

L’ordinanza della Corte di Cassazione n. 3263 del 7 febbraio 2026 affronta una questione che sta emergendo con sempre maggiore frequenza nella prassi aziendale: la rilevanza disciplinare della condotta del lavoratore che, nell’esercizio delle proprie mansioni, esegua un pagamento a seguito di una comunicazione fraudolenta riconducibile a fenomeni di phishing o business e-mail compromise.
Il caso sottoposto alla Corte riguarda una dipendente amministrativa che disponeva un bonifico sulla base di una richiesta apparentemente proveniente da un fornitore, rivelatasi poi fraudolenta. Il danno economico subito dall’azienda conduceva al licenziamento per giusta causa, impugnato dalla lavoratrice sul presupposto di essere stata vittima di un raggiro.
Il punto centrale della decisione non è la truffa in sé, ma la qualificazione giuridica della condotta: la Cassazione esclude che la mera qualità di vittima sia sufficiente a escludere la responsabilità disciplinare, spostando l’attenzione sulla verifica della diligenza esigibile ai sensi dell’art. 2104 c.c. In materia, consigliamo il volume Cybersecurity, fattore umano e manipolazione psicologica. La psybersecurity tra AI e Social Engineering , disponibile su Shop Maggioli e su Amazon, e il volume Il nuovo processo del lavoro dopo la Riforma Cartabia, disponibile su Shop Maggioli e su Amazon

1. La diligenza come parametro di imputazione della condotta

La Corte ribadisce un principio consolidato, ma lo applica in un contesto tecnologicamente evoluto: la diligenza del lavoratore non è standardizzata, bensì calibrata sulla natura delle mansioni e sul grado di professionalità richiesto.
Nel caso di specie, il ruolo amministrativo-contabile della dipendente comportava un livello di attenzione elevato nella gestione dei pagamenti. La valutazione della condotta viene dunque effettuata alla luce di una diligenza “qualificata”, che include non solo l’esecuzione materiale dell’operazione, ma anche la capacità di intercettare elementi di anomalia.
Non si richiedono competenze tecniche avanzate in materia di sicurezza informatica, ma l’adozione di cautele ordinarie, coerenti con la responsabilità del ruolo. In materia, consigliamo il volume Cybersecurity, fattore umano e manipolazione psicologica. La psybersecurity tra AI e Social Engineering , disponibile su Shop Maggioli e su Amazon, e il volume Il nuovo processo del lavoro dopo la Riforma Cartabia, disponibile su Shop Maggioli e su Amazon.

2. Gli indici di negligenza nella gestione delle richieste di pagamento

La motivazione della Cassazione consente di ricostruire, in modo piuttosto chiaro, quali siano gli elementi che trasformano un errore in una condotta colposa.
In particolare, assumono rilievo:

• la mancata verifica di variazioni nelle coordinate bancarie, soprattutto se comunicate in modo improvviso;
• l’assenza di controlli incrociati attraverso canali alternativi rispetto alla comunicazione ricevuta;
• l’esecuzione dell’operazione in presenza di richieste connotate da urgenza non giustificata;
• la mancata rilevazione di incongruenze linguistiche o formali nel messaggio ricevuto;
• il mancato rispetto delle procedure aziendali eventualmente previste per la gestione dei pagamenti.

Questi elementi, letti complessivamente, non vengono considerati come semplice disattenzione, ma come violazione di regole di comune prudenza, esigibili in relazione alla posizione professionale della lavoratrice.

3. Il ruolo delle procedure aziendali e dell’organizzazione interna

Pur non essendo il fulcro esplicito della decisione, il tema organizzativo emerge con chiarezza.
La presenza di procedure interne relative alla gestione dei pagamenti rafforza il giudizio di imputabilità della condotta, in quanto:

• rende il rischio prevedibile;
• definisce standard operativi chiari;
• consente di qualificare il discostamento come comportamento negligente.

Al contrario, l’assenza di procedure o di formazione non esclude automaticamente la responsabilità del lavoratore, specie quando si tratti di figure esperte. Tuttavia, questo profilo apre una questione rilevante sul piano sistematico: la distribuzione del rischio tra organizzazione e individuo.

4. Danno economico e compromissione del vincolo fiduciario

La Corte valorizza il danno subito dall’azienda non come elemento autonomo, ma come indice della gravità della violazione.
Il ragionamento si sviluppa lungo una direttrice nota:

• la condotta negligente determina un pregiudizio economico;
• tale pregiudizio incide sull’affidamento datoriale;
• il venir meno della fiducia giustifica la sanzione espulsiva.

Il licenziamento per giusta causa viene dunque ritenuto proporzionato in relazione alla gravità complessiva del comportamento.

5. Cybersecurity e obblighi lavorativi: una convergenza inevitabile

L’aspetto più interessante della pronuncia risiede nella sua portata sistemica.
La decisione riflette un’evoluzione ormai evidente: la sicurezza informatica non è più un tema esclusivamente tecnico, ma entra a far parte del contenuto stesso della prestazione lavorativa.
In questo quadro, il lavoratore è chiamato a svolgere un ruolo attivo nella gestione del rischio digitale, attraverso comportamenti che includono:

• la verifica dell’attendibilità delle comunicazioni ricevute;
• il rispetto delle procedure interne;
• l’adozione di cautele nella gestione delle operazioni dispositive;
• la tempestiva segnalazione di anomalie.

La diligenza richiesta si estende, quindi, alla dimensione digitale dell’attività lavorativa.

6. Il collegamento con il GDPR e il principio di accountability

La pronuncia si presta a essere letta anche alla luce del Regolamento (UE) 2016/679.
Il principio di accountability impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate, tra le quali rientrano:

• la formazione del personale;
• la definizione di procedure interne;
• la gestione del rischio umano.

Tuttavia, tali obblighi non esauriscono il quadro delle responsabilità. La decisione della Cassazione evidenzia come il fattore umano non sia solo un elemento da gestire sul piano organizzativo, ma anche una fonte di responsabilità individuale, laddove la condotta del lavoratore si discosti dagli standard di diligenza esigibili.

7. Considerazioni conclusive

L’ordinanza n. 3263/2026 non si limita a risolvere un caso concreto, ma chiarisce un passaggio che molte organizzazioni hanno già sperimentato empiricamente: il rischio informatico non è più un fattore esterno, bensì una componente strutturale della prestazione lavorativa.
La decisione segna uno spostamento preciso. Non interessa stabilire se il lavoratore sia stato ingannato, ma se avrebbe potuto non esserlo. Il giudizio si concentra sulla qualità della condotta, sulla capacità di riconoscere anomalie evidenti, sul rispetto di regole operative che non richiedono competenze specialistiche, ma attenzione e metodo.
In questo quadro, la diligenza si arricchisce di contenuti nuovi. Non è più soltanto corretto adempimento della mansione, ma gestione consapevole del rischio digitale. Chi opera in ambiti amministrativi o finanziari non gestisce solo dati o pagamenti, ma decisioni esposte a minacce che, proprio perché ricorrenti, non possono più essere considerate eccezionali.
La pronuncia, letta in controluce, restituisce anche un messaggio organizzativo: le procedure interne e la formazione non sono meri strumenti difensivi dell’azienda, ma diventano il parametro attraverso cui si misura la responsabilità individuale. Dove esiste un sistema di regole, l’errore difficilmente resta neutro.
Il punto, allora, non è la punizione della vittima, ma la qualificazione dell’errore. E l’errore, quando nasce dall’inosservanza di cautele elementari, perde la sua natura scusabile.
È su questa linea che si gioca, oggi, l’equilibrio tra tutela del lavoratore e affidabilità dell’organizzazione: non nell’eliminazione del rischio, ma nella sua gestione responsabile.

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!