Un errore può costare il posto di lavoro. Anche se si è vittima di una truffa informatica. La Corte di Cassazione, con l’ordinanza n. 3263 del 13 febbraio 2026, ha chiarito un principio destinato a incidere su molte realtà aziendali: il licenziamento può essere legittimo se il dipendente non ha adottato la dovuta diligenza.
Il caso: pagamento autorizzato dopo una mail truffa
La vicenda riguarda un’addetta alla contabilità che aveva disposto un pagamento dopo aver ricevuto una e-mail apparentemente inviata dal presidente della società. In realtà si trattava di una classica truffa del cosiddetto “Ceo fraud”, una forma evoluta di phishing.
Il danno economico subito dall’azienda ha portato al licenziamento della lavoratrice. Da qui il contenzioso, arrivato fino in Cassazione.
Obbligo di diligenza: cosa deve fare il lavoratore
La Corte ha richiamato gli articoli 2104 e 2105 del Codice civile. Il dipendente deve svolgere le proprie mansioni con attenzione, prudenza e nell’interesse del datore di lavoro.
Questo obbligo non viene meno nemmeno in caso di truffa. Essere vittima di phishing non basta per evitare responsabilità.
Bisogna valutare se il lavoratore, in base al ruolo e alle competenze, avrebbe potuto accorgersi dell’anomalia. Nel caso concreto, chi gestisce pagamenti deve effettuare controlli minimi: verificare l’indirizzo e-mail confermare la richiesta con il mittente reale valutare eventuali elementi sospetti Se questi controlli non vengono fatti, l’errore diventa negligenza.
Quando il licenziamento è legittimo
La Cassazione è chiara: non è la truffa in sé a giustificare il licenziamento, ma la condotta imprudente del dipendente.
Il principio dell’”incolpevole affidamento” non vale se il lavoratore, per il ruolo ricoperto, doveva effettuare verifiche basilari. Inoltre, la mancanza di formazione specifica non esclude la responsabilità, soprattutto per chi svolge mansioni qualificate.
Come le aziende possono difendersi
Da questa pronuncia emerge anche un altro punto: la prevenzione. Le aziende devono rafforzare i sistemi di sicurezza informatica, ma non basta. Servono procedure interne, controlli sui pagamenti e verifiche a più livelli.
Soprattutto, è centrale la formazione continua dei dipendenti. Simulazioni, corsi e canali di segnalazione aiutano a creare un vero “firewall umano”, capace di bloccare i tentativi di phishing prima che producano danni.
