Phishing in azienda, la Cassazione conferma: licenziamento legittimo e risarcimento dovuto

Una e-mail apparentemente proveniente dal presidente del consiglio di amministrazione, una richiesta urgente di pagamento verso una società inglese e un bonifico eseguito senza ulteriori verifiche. È lo schema, ormai noto, del cosiddetto CEO fraud, una delle varianti più insidiose del phishing aziendale. Ma questa volta la vicenda non si è conclusa solo con un danno economico per l’impresa: la dipendente che ha disposto il pagamento è stata licenziata e condannata a rimborsare l’importo trasferito agli hacker.

A sancirlo è la Corte di Cassazione, sezione lavoro, con l’ordinanza n. 3263 del 13 febbraio 2026, che ha ritenuto legittimo il licenziamento disciplinare e fondata la richiesta di restituzione avanzata dall’azienda.

Le anomalie ignorate

La lavoratrice, addetta alla contabilità con mansioni qualificate, aveva autorizzato un bonifico di quasi 16mila euro verso una società con sede nel Regno Unito, sulla base di una e-mail risultata poi fraudolenta. Il messaggio presentava però diversi elementi sospetti: causale generica (“spese estere”), assenza di documentazione giustificativa (fattura o pro-forma), mancanza di dati bancari completi richiesti per operazioni internazionali.

Non solo. Nelle prime ore del giorno successivo, il vero presidente aveva avvisato via e-mail che la richiesta di pagamento non proveniva da lui. Nonostante ciò, la dipendente non aveva attivato tempestivamente le procedure per bloccare la disposizione, pur avendo a disposizione l’intera giornata lavorativa.

Secondo i giudici, tali circostanze dimostrano una condotta connotata da superficialità e imprudenza, incompatibile con il livello di responsabilità richiesto a chi opera in ambito contabile.

Diligenza “qualificata” e responsabilità

Uno dei punti centrali della decisione riguarda il parametro di diligenza. La difesa della lavoratrice aveva sostenuto l’assenza di una formazione specifica in materia di truffe informatiche. La Corte, tuttavia, ha ritenuto irrilevante tale circostanza.

Per chi svolge da tempo funzioni contabili, afferma la Cassazione, è esigibile un grado di attenzione superiore alla media, coerente con i canoni dell’ordinaria diligenza nei rapporti commerciali. In presenza di richieste anomale, specie se aventi a oggetto trasferimenti di denaro verso l’estero, è doveroso effettuare verifiche e approfondimenti prima di procedere al pagamento.

Non è stata inoltre dimostrata l’esistenza di una prassi aziendale che consentisse di disporre bonifici su semplice richiesta via e-mail della proprietà, in assenza dei controlli previsti dalle procedure interne.

Implicazioni per imprese e PA

La pronuncia si inserisce in un contesto in cui il phishing rappresenta una delle principali minacce alla sicurezza informatica delle organizzazioni, pubbliche e private. Il caso evidenzia due profili complementari: da un lato, la necessità per le aziende di rafforzare i presìdi organizzativi e le procedure di verifica; dall’altro, la responsabilità individuale di chi gestisce flussi finanziari sensibili.

Per le strutture che operano in ambienti digitalizzati – incluse le amministrazioni che utilizzano piattaforme di pagamento e gestione documentale – la sentenza rappresenta un monito: la sicurezza non è solo una questione tecnologica, ma anche di cultura organizzativa e di responsabilità professionale.

La Cassazione, in definitiva, chiarisce che l’errore indotto da una frode informatica non esclude automaticamente la responsabilità disciplinare e patrimoniale, quando la condotta riveli una carenza di diligenza esigibile in relazione al ruolo ricoperto. In un ecosistema digitale sempre più esposto a tentativi di ingegneria sociale, la prevenzione passa tanto dai sistemi quanto dalle persone.

---

LEGGI ANCHE