L’ordinanza 3263/2026 ribadisce che la truffa informatica non esonera il lavoratore da responsabilità disciplinare quando l’errore deriva da negligenza evitabile.

In un sistema sempre più orientato ad escludere l’incidenza della condotta umana, la Cassazione ci ricorda come ad oggi la sicurezza informatica non dipenda ancora esclusivamente da sistemi tecnologici, ma richieda comportamenti diligenti da parte di chi gestisce funzioni critiche.

Frodi informatiche e responsabilità del lavoratore: un nuovo fronte per il diritto del lavoro

La diffusione delle frodi informatiche, in particolare della cosiddetta “CEO fraud”, ha aperto un fronte delicato nella gestione del rischio aziendale. L’ordinanza della Cassazione n. 3263/2026 affronta il tema con un approccio netto, affermando che «essere vittima di phishing non esonera automaticamente da responsabilità». Il caso riguardava un’addetta alla contabilità che aveva disposto un pagamento sulla base di una e-mail apparentemente proveniente dal presidente della società, rivelatasi poi fraudolenta. La Corte ha confermato la legittimità del licenziamento disciplinare, valorizzando il ruolo centrale dell’obbligo di diligenza e la necessità di tutelare l’impresa da comportamenti superficiali in ambiti operativi particolarmente sensibili.

Obbligo di diligenza come parametro di giudizio

Come accade nelle pronunce che riguardano l’impatto dell’innovazione tecnologica sui rapporti di lavoro, anche nel contesto delle frodi informatiche il giudice valorizza la specificità delle mansioni svolte. La Cassazione ricorda che il lavoratore deve modulare il proprio comportamento “alle responsabilità affidate e all’interesse del datore di lavoro”, soprattutto quando gestisce funzioni delicate come i pagamenti. In tali casi, la diligenza richiesta non è quella dell’uomo comune, ma quella del professionista che opera in un settore in cui l’errore può generare danni immediati e rilevanti. È in questa prospettiva che la Corte d’appello dell’Aquila ha affermato che l’omessa segnalazione di un sospetto phishing «esclude la buona fede e determina una lesione irreparabile del vincolo fiduciario», evidenziando come la tempestività delle comunicazioni interne sia parte integrante dell’obbligo di diligenza.

Nemmeno la mancanza di formazione esclude la colpa

La giurisprudenza più recente, anche in ambiti diversi come quello della sicurezza negli appalti, adotta un approccio rigoroso nel valutare la responsabilità individuale. Nel caso delle frodi informatiche, la Corte d’appello di Trieste ha chiarito che «la mancanza di adeguata formazione specifica non esclude la responsabilità» quando il lavoratore omette cautele minime esigibili, come verificare l’indirizzo del mittente, riconoscere anomalie evidenti o attivare le procedure interne. Si tratta di un principio che tutela l’imprenditore, poiché evita che la responsabilità venga automaticamente trasferita sull’organizzazione ogni volta che il dipendente invochi carenze formative. La diligenza richiesta è quella professionale, non quella tecnica: non occorre essere esperti di cybersecurity per riconoscere un IBAN estero sospetto o un linguaggio incoerente.

 I limiti dell’incolpevole affidamento

La Cassazione restringe l’ambito applicativo dell’incolpevole affidamento per il dipendente, affermando che il dipendente non può invocarlo quando, per ruolo e competenze, è tenuto a svolgere controlli minimi e immediatamente esigibili. «Se la frode poteva essere evitata tramite un semplice controllo, l’errore non è più scusabile».

Questo orientamento sembra bilanciare il favore per il lavoratore adottato in altri settori del diritto del lavoro, come quello della responsabilità del committente, dove non basta affermare l’assenza di interferenze per escludere la colpa, ma occorre dimostrare l’adempimento degli obblighi previsti dalla legge. Allo stesso modo, il dipendente non può limitarsi a sostenere di essere stato ingannato: deve provare di aver adottato tutte le cautele richieste dal ruolo.

Un ulteriore elemento favorevole alla difesa dell’imprenditore proviene dalla giurisprudenza della Corte d’appello di Milano, secondo cui, quando un’operazione illecita è compiuta tramite strumenti assegnati al lavoratore, «grava su quest’ultimo l’onere di dimostrare la propria estraneità ai fatti». Applicato al phishing, ciò significa che il dipendente deve dimostrare di aver seguito le procedure interne, di aver segnalato tempestivamente eventuali anomalie e di non aver utilizzato in modo improprio le credenziali aziendali. In mancanza di tali elementi, la responsabilità disciplinare è pienamente imputabile.

La proporzionalità della sanzione e il difficile bilanciamento di tutti i fattori presenti nel contesto aziendale

La Cassazione ammette che fattori contingenti, come stress o carichi di lavoro particolarmente elevati, possano incidere sulla valutazione della proporzionalità della sanzione. Tuttavia, come avviene nelle pronunce in tema di riorganizzazione tecnologica, il giudice non può ignorare la gravità del danno arrecato, la delicatezza delle mansioni svolte e la prevedibilità dell’evento. La negligenza grave resta tale anche in contesti complessi, soprattutto quando l’errore riguarda procedure elementari che avrebbero potuto evitare conseguenze dannose per l’impresa.

Implicazioni operative

Il quadro giurisprudenziale delineato impone alle imprese di adottare procedure chiare e sistemi di controllo adeguati, ma conferma al tempo stesso che la responsabilità del dipendente non può essere esclusa per il solo fatto di essere stato vittima di un attacco informatico. La formazione resta uno strumento essenziale, non solo per prevenire gli errori, ma anche per creare quel «firewall umano» che la sentenza descrive come una barriera di protezione composta da dipendenti consapevoli e responsabilizzati. Tuttavia, la formazione non sostituisce la diligenza individuale: il lavoratore resta tenuto ad applicare le cautele minime richieste dal ruolo, e la sua omissione può legittimare il licenziamento.