Il caso riguarda un’addetta alla contabilità licenziata dopo aver disposto un bonifico internazionale da oltre 15mila euro su richiesta di una mail di phishing, apparentemente inviata dal presidente della società.

Con l’ordinanza n. 3263 del 13 febbraio 2026, i giudici della Cassazione hanno stabilito che essere vittima di una frode informatica non esonera automaticamente da responsabilità disciplinare, quando la condotta rivela grave negligenza.

Il caso riguarda un’addetta alla contabilità licenziata dopo aver disposto un bonifico internazionale da oltre 15mila euro su richiesta di una mail di phishing, apparentemente inviata dal presidente della società.

La vicenda di luglio 2022

La vicenda risale al luglio 2022. La lavoratrice, con oltre trent’anni di anzianità e mansioni amministrative, riceve una mail che sembra provenire dai vertici aziendali, con richiesta di effettuare un pagamento urgente verso l’estero. Il giorno successivo arriva anche una comunicazione autentica del presidente, alle ore 01:22, che segnala la natura fraudolenta della richiesta. Nonostante ciò, il bonifico – pari a 15.812,46 euro – viene comunque eseguito il 22 luglio. Il rapporto di lavoro si interrompe con il licenziamento comunicato l’8 settembre 2022.

In giudizio, la dipendente sostiene di non aver ricevuto formazione specifica sulle frodi informatiche. Una linea difensiva che però non trova accoglimento nei vari gradi di giudizio, fino alla Cassazione.

La posizione della Cassazione: la diligenza prevale sulla formazione

Il nodo centrale dell’ordinanza è il rapporto tra raggiro subito e responsabilità del lavoratore. La Corte chiarisce che l’assenza di formazione specifica non è determinante, se il comportamento risulta comunque negligente rispetto al ruolo ricoperto. Nel caso in esame, trattandosi di una figura esperta in ambito contabile, era ragionevole attendersi verifiche più accurate prima di autorizzare il pagamento.

I giudici individuano diversi segnali che avrebbero dovuto insospettire la lavoratrice: la richiesta proveniente da un presidente che non indicava correttamente i dati bancari, l’uso di una causale generica come “spese estere”, l’assenza di documentazione come fatture o proforma previste dalle procedure interne. Elementi che, secondo la Corte, avrebbero imposto controlli ulteriori prima di procedere.

Phishing: perché il licenziamento è stato ritenuto legittimo

La Cassazione respinge anche la tesi secondo cui la sanzione espulsiva fosse sproporzionata. Nell’ordinanza si sottolinea come la condotta della dipendente evidenzi “superficialità”, “imprudenza” e “scarsa attenzione per gli interessi aziendali”, con un danno patrimoniale concreto e rilevante. La disattenzione viene qualificata come particolarmente grave, tale da escludere sanzioni conservative come multa o sospensione.

Non viene accolta neppure l’argomentazione relativa a una presunta prassi aziendale che consentiva pagamenti su semplice richiesta via mail. Anche in presenza di procedure meno rigide, secondo i giudici, restava comunque l’obbligo di valutare la credibilità della richiesta.

Phishing e fattore umano: cosa cambia per le aziende

La decisione rafforza le aziende: il lavoratore è chiamato a esercitare una diligenza qualificata, soprattutto quando opera in ambiti sensibili come la gestione dei pagamenti. Tuttavia, il pronunciamento solleva anche questioni organizzative per le imprese.

Se la formazione non incide direttamente sul giudizio di responsabilità, resta comunque evidente la necessità di rafforzare i sistemi di prevenzione. Procedure di autorizzazione multilivello, verifiche incrociate, autenticazioni forti per i bonifici internazionali diventano strumenti indispensabili per ridurre il rischio operativo. L’errore umano, anche quando qualificato come negligente, può generare danni difficilmente recuperabili.

Vai al sito di Cybersecurity Italia.

L'articolo La Cassazione dice che il lavoratore vittima di phishing è licenziabile sembra essere il primo su CyberSecurity Italia.