Una mail apparentemente inviata dal capo, una richiesta urgente di pagamento verso l’estero, e un bonifico disposto senza verifiche adeguate: lo schema, ormai noto come la “truffa del Ceo”, una delle declinazioni più insidiose del phishing aziendale. Questa volta, però, le conseguenze non si sono fermate al danno economico per l’impresa: la dipendente che ha eseguito il pagamento è stata licenziata e chiamata a risarcire l’importo versato agli hacker.
Con l’ordinanza n. 3263 del 13 febbraio 2026, la sezione lavoro della Corte di Cassazione ha infatti confermato la legittimità del licenziamento disciplinare e la fondatezza della richiesta di restituzione avanzata dal datore di lavoro nei confronti dell’impiegata contabile. Una pronuncia che si inserisce nel solco di un orientamento sempre più attento al ruolo del “fattore umano” nella sicurezza digitale e che solleva interrogativi importanti sulle responsabilità di chi gestisce flussi finanziari sensibili in contesti organizzativi complessi.
Il caso: l’impiegata che “abbocca” - La protagonista della vicenda è una lavoratrice con lunga anzianità di servizio alle dipendenze di una società, inquadrata come impiegata amministrativa addetta alla contabilità. Nel luglio 2022, sulla base di una mail apparentemente provenienti dal presidente della società, la dipendente dispone un bonifico di 15.812,46 euro a favore di una società estera, poi risultata del tutto estranea all’azienda.
Le comunicazioni contenevano plurimi elementi di anomalia: causale generica (“spese estere”), mancanza di fattura o pro forma a supporto, assenza dei consueti riferimenti bancari richiesti dalla procedura interna per i bonifici internazionali. A rendere il quadro ancora più grave interviene, nelle prime ore del giorno successivo, una mail del vero presidente che segnala la natura fraudolenta della precedente richiesta; nonostante ciò, la lavoratrice non si attiva tempestivamente presso l’istituto di credito per bloccare l’operazione, pur avendo a disposizione l’intera giornata lavorativa.
La società avvia il procedimento disciplinare, conclude per il licenziamento per giusta causa e diffida la dipendente alla restituzione dell’intero importo bonificato. La lavoratrice impugna il recesso, lamentando, tra l’altro, l’assenza di formazione aziendale in tema di phishing e contestando la proporzionalità della misura espulsiva.
Le decisioni di merito - Il Tribunale, investito della controversia, respinge il ricorso della dipendente, ritenendo accertata una condotta gravemente negligente nella gestione dell’operazione di pagamento e un danno diretto in capo alla società. La Corte d’Appello conferma tale impostazione, valorizzando fattori come l’esistenza, non contestata, di una procedura aziendale per i bonifici esteri, non rispettata nel caso concreto, la presenza di molteplici indici di sospetto nelle mail ricevute, che avrebbero dovuto indurre a verifiche ulteriori prima di disporre il pagamento, nonché il ruolo della lavoratrice, da anni addetta alla contabilità, dal quale è lecito attendersi un livello di attenzione qualificato nella gestione di richieste anomale, soprattutto se destinate all’estero.
In appello viene escluso che le condotte interne successive al fatto (richiesta di restituzione del token, richieste di riepilogo delle scadenze, ferie forzate) integrino mobbing o condotte vessatorie, in quanto ritenute reazioni organizzative legittime a fronte della gravità dell’accaduto.
L’ordinanza della Cassazione n. 3263/2026 – Giunto in Cassazione, il caso si concentra su alcuni snodi fondamentali: l’incidenza della mancata formazione sul phishing, il parametro di diligenza esigibile dal lavoratore “esperto”, la proporzionalità del licenziamento e la possibilità per l’azienda di pretendere il rimborso del danno.
La dipendente sostiene che l’assenza di formazione specifica sulla prevenzione e il contrasto delle truffe informatiche avrebbe dovuto attenuare la sua responsabilità, escludendo la giusta causa di licenziamento. La Cassazione, tuttavia, ritiene tale elemento non decisivo: i giudici di merito hanno correttamente considerato che, a prescindere dalla formazione ricevuta, le anomalie dell’operazione imponevano, secondo i canoni dell’ordinaria diligenza nei rapporti commerciali, di sospendere il pagamento e svolgere accertamenti ulteriori.
Per chi, come l’impiegata in questione, svolge da molti anni mansioni amministrativo contabili, il livello di diligenza richiesto dall’art. 2104 del Codice Civile assume una connotazione “qualificata”: non basta eseguire meccanicamente le richieste ricevute, occorre valutarne coerenza, attendibilità e conformità alle procedure interne. In questo quadro, il fatto di non aver ricevuto un corso ad hoc sul phishing non elimina il dovere di porsi domande di buon senso di fronte a richieste di pagamento evidentemente anomale.
Un secondo profilo chiave riguarda la configurabilità della giusta causa ex art. 2119 del Codice Civile in presenza di un lavoratore che, comunque, è a sua volta vittima di un raggiro informatico. L’ordinanza chiarisce che il fatto che la truffa sia opera di terzi non esclude, di per sé, la responsabilità disciplinare del dipendente: ciò che conta è se la condotta, valutata alla luce del ruolo e del contesto, riveli o meno una grave negligenza.
Nel caso concreto, la Suprema Corte ravvisa che l’esecuzione del bonifico è avvenuta senza le verifiche minime di attendibilità delle mail ricevute, poi la mancata attivazione immediata dopo l’avviso del vero presidente, per tentare di bloccare il pagamento, e la natura fiduciaria delle mansioni contabili e la rilevanza economica dell’operazione.
In questa prospettiva, il comportamento è ritenuto incompatibile con la prosecuzione anche provvisoria del rapporto, giustificando la misura espulsiva più grave, come confermato anche da vari commenti dottrinali che hanno sottolineato il “salto di qualità” della responsabilità del lavoratore nell’era digitale.
Responsabilità patrimoniale e risarcimento del danno - Accertata la grave negligenza, la Cassazione reputa legittima anche la richiesta del datore di lavoro volta a ottenere dalla dipendente il rimborso delle somme perse a seguito del bonifico fraudolento. Il riferimento è al paradigma generale dell’art. 1218 del Codice Civile, secondo cui il debitore – in questo caso il lavoratore – risponde dei danni derivanti dall’inadempimento delle obbligazioni contrattuali, salvo prova che l’impossibilità della prestazione non sia a lui imputabile.
La Suprema Corte conferma che, nel caso di specie, l’evento dannoso (uscita di cassa verso soggetto terzo fraudolento) è direttamente riconducibile alla condotta imprudente e omissiva della lavoratrice, che avrebbe potuto evitare la perdita con un minimo di attenzione. Da qui la legittimità della richiesta risarcitoria, pur nel rispetto, in astratto, dei limiti di responsabilità del lavoratore subordinato e dei principi di proporzionalità che la giurisprudenza di legittimità ha più volte richiamato.
Ordinanza della Cassazione n. 3263/2026
News ripresa da FEDERPRIVACY