Licenziata per la truffa del CEO. La svolta della Cassazione: Il dipendente è ora responsabile!

La Corte di Cassazione, con l’ordinanza n. 3263 pubblicata il 13 febbraio 2026, ha tracciato un solco profondo nella giurisprudenza del lavoro nell’era digitale.

Al centro della vicenda, una truffa informatica che è costata cara ad una dipendente e non solo alle casse aziendali. La decisione chiarisce definitivamente che l’ingenuità o la disattenzione, di fronte a minacce cyber macroscopiche, può configurare una giusta causa di licenziamento.

La lavoratrice aveva ricevuto un messaggio che sembrava provenire dal vertice dell’azienda, con la richiesta urgente di effettuare un bonifico di rilevante entità su un conto estero. Senza procedere a verifiche telefoniche o incrociate, la dipendente ha eseguito l’ordine, scoprendo solo troppo tardi che il destinatario era in realtà un truffatore professionista nascosto dietro un indirizzo e-mail abilmente camuffato, ma con evidenti anomalie testuali. Si tratta della cosiddetta “Trutta del CEO”.

Il punto di rottura sancito dalla Suprema Corte riguarda il livello di attenzione richiesto oggi a chi opera in contesti digitalizzati. Non è più sufficiente la diligenza generica che ci si aspetta da un qualunque cittadino inesperto. Per chi maneggia flussi finanziari o dati sensibili, vige l’obbligo della diligenza professionale qualificata, prevista dall’articolo 2104 del Codice Civile. Questo significa che un addetto ai conti deve possedere, per contratto, le competenze minime per riconoscere un’anomalia procedurale.

Uno degli aspetti più dibattuti del processo riguardava la formazione.

La difesa sosteneva che l’azienda non avesse mai erogato corsi specifici di cybersecurity contro il phishing. Tuttavia, i giudici di legittimità hanno respinto questa tesi con fermezza: la capacità di distinguere una mail sospetta, caratterizzata da sintassi incerta, toni intimidatori e richieste fuori protocollo, rientra ormai nel bagaglio di “comune prudenza” di un professionista moderno, indipendentemente dai corsi aziendali ricevuti.

Perché il licenziamento sia considerato legittimo, deve esserci una proporzionalità tra l’errore e la sanzione. In questo caso, la Cassazione ha ritenuto che la grave negligenza della dipendente abbia irrimediabilmente compromesso il vincolo fiduciario. Un datore di lavoro non può più fare affidamento sulla capacità di giudizio di un collaboratore che espone l’azienda a rischi patrimoniali così elevati per pura superficialità, rendendo impossibile la prosecuzione del rapporto.

L’ordinanza non si ferma alla perdita dell’impiego, ma apre scenari inquietanti sul piano risarcitorio. Viene ribadito il principio per cui il lavoratore negligentepuò essere chiamato a rispondere economicamente del danno provocato. Se l’errore è grossolano e viola le procedure interne di sicurezza, il dipendente rischia di dover risarcire di tasca propria le somme sottratte dai pirati informatici, aggravando pesantemente la sua posizione legale oltre quella lavorativa.

Questa sentenza lancia un segnale inequivocabile a tutti i reparti amministrativi d’Italia. Il rischio informatico non è più un tema puramente tecnico relegato agli esperti IT, ma diventa un pilastro della responsabilità individuale di ogni lavoratore. La verifica dell’identità del mittente e il rigido rispetto delle procedure di doppia autorizzazione per i pagamenti sono ormai considerati obblighi contrattuali a tutti gli effetti, la cui violazione non ammette scuse basate sulla “buona fede”.

Mentre le associazioni datoriali accolgono la sentenza come un necessario richiamo alla responsabilità, i sindacati esprimono preoccupazione per un possibile inasprimento dei controlli disciplinari. Il rischio è che la “vulnerabilità umana”, intrinseca in ogni sistema di sicurezza, diventi un’arma per risolvere rapporti di lavoro senza i costi degli ammortizzatori sociali. Resta però il fatto chela giurisprudenza si sta adeguando rapidamente alla velocità della criminalità informatica.

In conclusione, l’ordinanza 3263/2026 segna la fine dell’era dell’innocenza digitale negli uffici.

La protezione del perimetro aziendale non passa solo per i firewall o gli antivirus, ma soprattutto per la testa di chi sta davanti allo schermo. Essere “analfabeti digitali” non è più un’opzione tollerata per chi ricopre ruoli di responsabilità, e il prezzo per un click di troppo può essere, d’ora in avanti, la perdita definitiva della scrivania.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.