Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La truffa del CEO finisce al centro della sentenza n. 3263/2026 della Cassazione. Una dipendente, dopo aver svolto un bonifico da oltre 15.000 euro a valle di una truffa, è stata ritenuta gravemente negligente e licenziata per giusta causa. La Corte ha chiarito che non basta invocare l’errore umano o la mancanza di formazione: se esistono dei forti segnali di di frode. La decisione sta ridefinendo la responsabilità e i rischi nel lavoro digitale.
L’ordinanza n. 3263 della Sezione Lavoro della Corte di Cassazione del 13 febbraio 2026 conferma quanto statuito dalla Corte di Appello di Roma ovvero che quando l’errore del lavoratore scaturisce da una negligenza macroscopica o dall’inosservanza di protocolli elementari di prudenza, non può essere scusato come semplice “vulnerabilità umana”, ma configura una violazione dei doveri di diligenza qualificata, idonea a giustificare il licenziamento per giusta causa e ad aprire la strada ad azioni risarcitorie.
In particolare il caso sottoposto agli Ermellini riguardava la responsabilità di una dipendente di fronte alla cosiddetta “Truffa del CEO” per non essersi accorta dell’azione fraudolenta e di aver quindi disposto un bonifico internazionale, per presunte “spese estere”, superiore a 15.000 euro, credendo erroneamente provenisse dal Presidente della società.
Il provvedimento, o meglio come è stato riportato il contenuto dagli organi di stampa, ha gettato nel panico i dipendenti delle aziende ed in particolare coloro che quotidianamente utilizzano il computer e ciò per diverse ragioni. In primo luogo perché si è ritenuto che l’errore informatico non fosse più scusato ovvero che il lavoratore fosse sempre esposto alle minacce o errori cyber con gravissime conseguenze.
In secondo luogo in quanto l’eventuale assenza di corsi di formazione specifica viene letta, secondo una certa interpretazione dell’ordinanza, un argomento non spendibile davanti ad un giudice in quanto non scuserebbe il comportamento del dipendente, ritenuto comunque negligente.
Inoltre, spaventa, e non poco, il fatto che, sempre secondo una interpretazione dell’ordinanza, l’errore informatico verrebbe qualificato sempre come “negligenza grave” , consentendo, quindi il licenziamento per giusta causa e il conseguente riconoscimento di responsabilità risarcitoria.
I timori diffusi sono, invero, solo parzialmente giustificati se si legge attentamente l’ordinanza.
In premessa occorre ricordare che la Corte di Cassazione non entra nel merito delle vicende sottoposte alla sua attenzione, ma valuta se un ricorso sia ammissibile o fondato o viceversa inammissibile ed infondato, sempre e solo sotto il profilo della legittimità.
Ciò detto, per quanto riguarda il primo motivo, la ricorrente lamentava l’omesso esame di un fatto ritenuto decisivo, rappresentato dalla procedura aziendale per l’esecuzione dei bonifici. La Suprema Corte dichiara il motivo inammissibile perché il fatto addotto non sarebbe decisivo, precisando come la Corte di Appello abbia appurato che fosse pacifica l’esistenza di quella procedura e rilevato che prima ancora la lavoratrice fosse venuta meno agli ordinari doveri di prudenza e diligenza nella verifica della genuinità delle mail, con cui le era stato richiesto di effettuare il bonifico estero.
In particolare, aggiungo io, avendo letto la sentenza della Corte di Appello, quest’ultima affermava come non potesse non apparire sospetto il fatto che il Presidente della società, non sapesse come effettuare un pagamento ad una società nel Regno Unito. Dunque, sempre secondo la Corte di Appello vi erano molteplici elementi che dovevano indurre la lavoratrice ad altre e ben più pregnanti verifiche prima di effettuare il bonifico. Primo dato è che quindi la Suprema Corte di Cassazione non addebita al lavoratore il rischio informatico in genere, ritenendolo responsabile perché nel caso di specie vi erano una serie di circostanze, non necessariamente informatiche, che dovevano consentire di accorgersi della truffa.
Rispetto al secondo motivo, attraverso il quale la lavoratrice lamentava che la Corte di Appello a vesse ritenuto sussistente la sua grave negligenza, senza considerare la mancata sua formazione per la prevenzione ed il contrasto alle frodi informatiche, la Cassazione ha ritenuto questo motivo inammissibile ed a tratti infondato.
In particolare ha evidenziato come i Giudici d’Appello avessero espressamente dato atto che la lavoratrice non avesse ricevuto alcuna formazione sulla prevenzione e sul contrasto alle operazioni di truffa informatica mediante azioni di phishing” e cionostante avessero ritenuto irrilevante tale deduzione, sostenendo che da chi svolge da tempo mansioni particolarmente qualificanti è lecito aspettarsi quell’accortezza che, secondo i canoni dell’ordinaria diligenza nei rapporti commerciali, impone di operare le dovute verifiche e i necessari approfondimenti prima di dare corso al pagamento.
Dunque, sempre secondo la Corte, quella deduzione è stata presa in esame e vi è stata al riguardo una motivata decisione di rigetto fondata sulla “ordinaria diligenza”, che rende irrilevante la mancata formazione denunziata. Anche in questo caso non è che la Cassazione affermi che sono sempre inutili i corsi di formazione specifica, ma nel caso di specie, considerato che, per numerose circostanze sospette, la lavoratrice poteva e doveva comunque accorgersi dell’azione fraudolenta.
In relazione al quarto motivo, ove la ricorrente lamentava che la Corte di Appello avesse erroneamente ritenuto dimostrata la giusta causa di licenziamento, la Cassazione ritiene il motivo a tratti infondato, a tratti inammissibile, in quanto non vi sarebbe stata inversione dell’onere probatorio avendo la Corte territoriale ritenuto l’onere probatorio in capo al datore di lavoro completamente adempiuto. In particolare , aggiungo io sempre avendo letto la sentenza della Corte di Appello, il licenziamento sarebbe giustificato dal fatto che la mancanza di diligenza nei propri compiti abbia avuto carattere di gravità, arrecando un danno all’azienda.
Sempre secondo la Corte la”disattenzione” della lavoratrice, essendo particolarmente grave, esponendo la datrice di lavoro a danni patrimoniali, giustificherebbe sia il licenziamento che la richiesta della società di restituzione delle somme oggetto di bonifico. Qui il dato che emerge è che il non comprendere ciò che con la normale diligenza si doveva comprendere giustificherebbe di per sé il licenziamento e quindi le pretese risarcitorie del datore di lavoro.
Orbene, se è vero che l’ordinanza n. 3263/2026 riguardi un caso di truffa telematica, sarebbe un errore prospettico interpretare il provvedimento come un qualcosa riguardante esclusivamente il rischio informatico. Leggendo l’ordinanza della Suprema Cassazione, anche alla luce di quanto in precedenza affermato dalla Corte di Appello, è agevole rilevare come la decisione non riguardi solo il mondo delle tecnologie,ma un modo diverso di intendere il rapporto di lavoro, non solo informatico. A ben vedere, infatti, la tecnologia, in questo caso, è stata solo il “teatro” dell’evento, ma il principio di diritto espresso ha carattere generale.
Ciò che emerge è che la Suprema Corte effettua un importante passaggio da una prospettiva “paternalistica” del lavoro subordinato, in cui l’errore del dipendente veniva quasi sistematicamente assorbito dal rischio d’impresa.
La Cassazione, in sostanza , dice che, a prescindere da corsi di formazione specifici, il lavoratore deve sempre prestare attenzione nello svolgimento dei propri compiti e,quindi, a maggior ragione se opera in quel campo da diversi anni.
Poiché, anche se non esclusivamente, la decisione riguarda il lavoro subordinato che ha stretto rapporto con le tecnologie possono immaginarsi alcuni argomenti de iure condendo. In primo luogo, sarebbe opportuno ipotizzare una limitazione legale della responsabilità risarcitoria del dipendente, simile a quanto avviene in altri ordinamenti europei, per evitare che la colpa grave si traduca in un debito sproporzionato. In secondo luogo, il legislatore dovrebbe definire standard minimi di alfabetizzazione digitale obbligatoria, rendendo la formazione un vero diritto-dovere certificato che sollevi il lavoratore da interpretazioni troppo soggettive della “comune prudenza”.
Sempre in ottica de iure condendo, la contrattazione collettiva dovrebbe farsi carico di tipizzare le condotte digitali negligenti.Senza una griglia di riferimento chiara, il potere sanzionatorio del datore di lavoro rischia di diventare arbitrario, trasformando ogni errore informatico in una giusta causa di licenziamento.
