Truffe informatiche: il dipendente distratto rischia il licenziamento

La Cassazione conferma la legittimità del recesso per chi effettua pagamenti dopo un phishing senza svolgere i controlli minimi richiesti.

Il dipendente che cade vittima di una truffa informatica e dispone pagamenti non dovuti rischia il licenziamento per giusta causa. Questa è la regola generale che emerge dalla recente giurisprudenza della Corte di Cassazione. Il principio stabilisce che la qualifica di vittima di un attacco di phishing non esonera automaticamente il lavoratore dalle proprie responsabilità disciplinari. Il punto centrale dell’analisi non risiede nell’inganno subito, ma nella condotta negligente o imprudente del lavoratore che non ha saputo riconoscere segnali di allarme evidenti. La legge impone infatti un obbligo di

diligenza che cresce con l’importanza delle mansioni affidate. Se un errore poteva essere evitato con un controllo minimo, come una telefonata di verifica o il controllo dell’indirizzo e-mail, il danno patrimoniale causato all’azienda giustifica l’interruzione del rapporto di lavoro. La sicurezza aziendale dipende spesso dall’attenzione del singolo dipendente.

L’obbligo di diligenza e le responsabilità del lavoratore

La valutazione della colpevolezza del lavoratore ruota attorno al concetto di

diligenza professionale. Il codice civile stabilisce che il dipendente deve eseguire le proprie mansioni con l’attenzione richiesta dal ruolo ricoperto (art. 2104 cod. civ.) e nell’interesse del datore di lavoro (art. 2105 cod. civ.). Secondo la Cassazione (ord. 3263/2026), questi obblighi rimangono validi anche di fronte a sofisticate truffe informatiche. Non basta dunque dichiarare di essere stati tratti in inganno per evitare sanzioni. I giudici verificano se, in base alle competenze e alla delicatezza dell’incarico, il lavoratore avrebbe potuto accorgersi dell’anomalia. Un addetto alla contabilità, ad esempio, deve possedere un livello di attenzione superiore rispetto ad altri profili, poiché gestisce direttamente ilpatrimonio aziendale. La negligenza nel compiere verifiche elementari trasforma un errore in un’infrazione disciplinare grave, tale da ledere il vincolo fiduciario con l’azienda.

La formazione non esclude la colpa per negligenza grave

Un aspetto molto dibattuto riguarda la responsabilità in assenza di specifici corsi di aggiornamento sulla sicurezza. La giurisprudenza ha però chiarito che la mancanza di una formazione anti-phishing specifica non giustifica il dipendente con mansioni qualificate. Chi ha il potere di autorizzare pagamenti deve adottare i canoni della normale diligenza professionale a prescindere dall’addestramento ricevuto. Il principio dell’incolpevole affidamento non trova spazio se il lavoratore omette controlli minimi, come la verifica dell’indirizzo e-mail del mittente. La condotta è ritenuta grave se espone l’azienda a una

frode informatica evitabile. Anche in presenza di un avviso preventivo del datore di lavoro, la persistenza nell’errore rafforza la legittimità del provvedimento espulsivo. La competenza tecnica attesa per certi ruoli include intrinsecamente la capacità di gestire comunicazioni digitali in sicurezza.

Segnali di allarme e dovere di controllo preventivo

Le truffe informatiche, per quanto evolute, presentano spesso elementi di incoerenza che un occhio attento può rilevare. La Corte d’appello di Trieste (sent. 346/2025) ha elencato alcuni segnali che devono indurre il lavoratore a sospendere ogni operazione. L’errore non è scusabile se il dipendente ignora anomalie palesi, quali:

• il cambio improvviso e non concordato delle coordinate bancarie o dell’Iban;

• l’utilizzo di coordinate bancarie estere per fornitori nazionali;

• uno stile linguistico della comunicazione incoerente con quello del presunto mittente;

• un senso di urgenza ingiustificato finalizzato a spingere verso un’azione immediata;

• la discrepanza tra il nome visualizzato e l’effettivo indirizzo e-mail di provenienza.

In questi casi, il dipendente ha il dovere di attivare le procedure interne di verifica o di contattare direttamente l’interessato. L’omessa segnalazione di un sospetto phishing ai superiori esclude la buona fede e aggrava la posizione disciplinare del lavoratore (C. App. L’Aquila sent. 286/2025).

Proporzionalità della sanzione e onere della prova

Non ogni errore informatico conduce automaticamente alla perdita del posto di lavoro. Il giudice deve sempre valutare la proporzionalità della sanzione rispetto al contesto in cui si è svolto il fatto. La Cassazione (ord. 3261/2026) ha precisato che fattori come lo stress lavorativo o carichi di lavoro eccessivi possono attenuare la responsabilità e portare a una revisione della sanzione. Tuttavia, rimane fermo il principio dell’onere della prova a carico del dipendente.

Se un’operazione illecita parte da un computer o da credenziali assegnate a un lavoratore, spetta a quest’ultimo dimostrare la propria estraneità (App. Milano sent. 1575/2017).

Il dipendente deve fornire prove che dimostrino l’uso abusivo dei suoi strumenti da parte di terzi o l’impossibilità tecnica di accorgersi dell’attacco. In assenza di tali elementi, l’azione resta imputabile alla sua condotta negligente.