Corte di Cassazione, ordinanza n. 3263 del 13/02/2026.
La Corte di Cassazione, nell’ordinanza in commento, ha ribadito la legittimità del licenziamento disciplinare di un’impiegata amministrativa, la quale, a causa di una frode informatica di cui non si era resa conto, aveva disposto un pagamento all’estero di quasi 16.000 euro.
Quando il lavoratore dipendente è vittima di phishing
La dipendente aveva disposto – senza effettuare le opportune verifiche – un bonifico estero di euro 15.812,46, sulla base di un’e‑mail apparentemente proveniente dal presidente della società, rivelatasi in seguito fraudolenta.
Si tratta del c.d. “phishing”, ossia una truffa informatica che induce a compiere un’azione dannosa – ad esempio un pagamento o la condivisione di dati sensibili – attraverso comunicazioni (solitamente e‑mail) che sembrano legittime.
Il fenomeno è particolarmente rilevante e pericoloso in ambito aziendale poiché queste comunicazioni, spesso, sembrano provenire da soggetti interni all’organizzazione che richiedono operazioni urgenti. La frode si basa proprio sullo sfruttamento della fiducia e della routine lavorativa, le quali spesso possono indurre il lavoratore ad agire in modo automatico, senza approfondire la vera natura e provenienza della richiesta.
Nel caso di specie, la richiesta di pagamento sembrava provenire da un soggetto qualificato (il presidente e socio di maggioranza dell’azienda), ma presentava degli elementi anomali, inducendo compiere un’operazione senza il rispetto delle procedure aziendali.
Secondo il datore di lavoro, la dipendente avrebbe pertanto dovuto senz’altro avvedersi della natura fraudolenta della comunicazione, e provvedeva dunque al licenziamento per giusta causa, chiedendo altresì la restituzione della somma disposta con bonifico.
Irrilevanza della mancata formazione e diligenza esigibile
La lavoratrice impugnava il licenziamento per insussistenza del fatto e asserendo, tra le altre cose, di non aver ricevuto dall’azienda alcuna formazione specifica in materia di prevenzione delle frodi informatiche.
Sia in primo grado sia in secondo grado la mancata formazione veniva ritenuta del tutto irrilevante: svolgere verifiche prima di disporre un pagamento, infatti, configura un comportamento rientrante nell’ordinaria diligenza che ci si può aspettare da chi svolge mansioni impiegatizie e contabili, a maggior ragione quando, come nel caso in esame, si tratta di un dipendente con molti anni di esperienza.
Il cuore della decisione risiede proprio nella valutazione della diligenza esigibile dal lavoratore ai sensi dell’art. 2104 c.c., in relazione alla specifica posizione professionale rivestita.
Anche la Corte di Cassazione, intervenuta sulla vicenda in seguito a ricorso, ha confermato quanto stabilito dai giudici di merito, sottolineando come la condotta della lavoratrice configuri una grave negligenza, e non un mero errore, tale da rendere legittimo il licenziamento.
Viene inoltre ribadito che la mancanza di formazione sul phishing non rilevi e non abbia un impatto specifico nel caso di specie: essa non esclude la responsabilità disciplinare, poiché l’attenzione nell’effettuare operazioni di pagamento rientra nei criteri di comune prudenza professionale.
La decisione è particolarmente interessante, sul piano giuridico, per le sue ricadute applicative: l’aver subito un attacco informatico, e dunque l’essere vittima di phishing, non esclude di per sé la responsabilità del lavoratore. L’attenzione alle frodi digitali rientra ormai nell’ordinaria diligenza professionale esigibile da chi svolge mansioni amministrative e contabili, soprattutto quando tali mansioni comportano la gestione di operazioni di pagamento.
L’ordinanza si inserisce in un orientamento giurisprudenziale ormai consolidato, secondo cui determinate conoscenze di base in ambito informatico non possono più essere considerate specialistiche o riservate agli addetti ai lavori ma costituiscono parte integrante delle competenze richieste nell’utilizzo quotidiano degli strumenti di lavoro.
