Phishing in azienda: per la Cassazione non scusa il dipendente esperto. Licenziamento legittimo e obbligo di rimborso del danno

24 Febbraio 2026

Una e‑mail apparentemente inviata dal presidente, una richiesta urgente di pagamento verso l’estero, un bonifico disposto senza verifiche adeguate: è lo schema, ormai noto, della truffa di tipo “CEO fraud”, una delle declinazioni più insidiose del phishing aziendale. Questa volta, però, le conseguenze non si sono fermate al danno economico per l’impresa: la dipendente che ha eseguito il pagamento è stata licenziata e chiamata a rimborsare l’importo versato agli hacker, secondo quanto evidenziato anche dalla stampa specializzata.

Con l’ordinanza n. 3263 del 13 febbraio 2026, la sezione lavoro della Corte di Cassazione ha infatti confermato la legittimità del licenziamento disciplinare e la fondatezza della richiesta di restituzione avanzata dal datore di lavoro nei confronti dell’impiegata contabile. Una pronuncia che si inserisce nel solco di un orientamento sempre più attento al ruolo del “fattore umano” nella sicurezza digitale e che solleva interrogativi importanti sulle responsabilità di chi gestisce flussi finanziari sensibili in contesti organizzativi complessi.

Il caso: l’impiegata che “abbocca” al phishing

La protagonista della vicenda è una lavoratrice con lunga anzianità di servizio alle dipendenze di una società, inquadrata come impiegata amministrativa addetta alla contabilità. Nel luglio 2022, sulla base di e‑mail apparentemente provenienti dal presidente della società, la dipendente dispone un bonifico di 15.812,46 euro a favore di una società estera, poi risultata del tutto estranea all’azienda.

Le comunicazioni contenevano plurimi elementi di anomalia: causale generica (“spese estere”), mancanza di fattura o pro‑forma a supporto, assenza dei consueti riferimenti bancari richiesti dalla procedura interna per i bonifici internazionali. A rendere il quadro ancora più grave interviene, nelle prime ore del giorno successivo, una e‑mail del vero presidente che segnala la natura fraudolenta della precedente richiesta; nonostante ciò, la lavoratrice non si attiva tempestivamente presso l’istituto di credito per bloccare l’operazione, pur avendo a disposizione l’intera giornata lavorativa.

La società avvia il procedimento disciplinare, conclude per il licenziamento per giusta causa e diffida la dipendente alla restituzione dell’intero importo bonificato. La lavoratrice impugna il recesso, lamentando, tra l’altro, l’assenza di formazione aziendale in tema di phishing e contestando la proporzionalità della misura espulsiva.

Le decisioni di merito

Il Tribunale, investito della controversia, respinge il ricorso della dipendente, ritenendo accertata una condotta gravemente negligente nella gestione dell’operazione di pagamento e un danno diretto in capo alla società. La Corte d’Appello conferma tale impostazione, valorizzando alcuni punti:

l’esistenza, non contestata, di una procedura aziendale per i bonifici esteri, non rispettata nel caso concreto;
la presenza di molteplici indici di sospetto nelle e‑mail ricevute, che avrebbero dovuto indurre a verifiche ulteriori prima di disporre il pagamento;
il ruolo della lavoratrice, da anni addetta alla contabilità, dal quale è lecito attendersi un livello di attenzione qualificato nella gestione di richieste anomale, soprattutto se destinate all’estero.

In appello viene escluso che le condotte interne successive al fatto (richiesta di restituzione del token, richieste di riepilogo delle scadenze, ferie forzate) integrino mobbing o condotte vessatorie, in quanto ritenute reazioni organizzative legittime a fronte della gravità dell’accaduto.

L’ordinanza della Cassazione n. 3263/2026

Giunta in Cassazione, la vicenda si concentra su alcuni snodi fondamentali: l’incidenza della mancata formazione sul phishing, il parametro di diligenza esigibile dal lavoratore “esperto”, la proporzionalità del licenziamento e la possibilità per l’azienda di pretendere il rimborso del danno.

Diligenza qualificata e irrilevanza della mancata formazione

La dipendente sostiene che l’assenza di formazione specifica sulla prevenzione e il contrasto delle truffe informatiche avrebbe dovuto attenuare la sua responsabilità, escludendo la giusta causa di licenziamento. La Cassazione, tuttavia, ritiene tale elemento non decisivo: i giudici di merito hanno correttamente considerato che, a prescindere dalla formazione ricevuta, le anomalie dell’operazione imponevano, secondo i canoni dell’ordinaria diligenza nei rapporti commerciali, di sospendere il pagamento e svolgere accertamenti ulteriori.

Per chi, come l’impiegata in questione, svolge da molti anni mansioni amministrativo‑contabili, il livello di diligenza richiesto dall’art. 2104 c.c. assume una connotazione “qualificata”: non basta eseguire meccanicamente le richieste ricevute, occorre valutarne coerenza, attendibilità e conformità alle procedure interne. In questo quadro, il fatto di non aver ricevuto un corso ad hoc sul phishing non elimina il dovere di porsi domande di buon senso di fronte a richieste di pagamento evidentemente anomale.

Phishing e giusta causa di licenziamento

Un secondo profilo chiave riguarda la configurabilità della giusta causa ex art. 2119 c.c. in presenza di un lavoratore che, comunque, è a sua volta vittima di un raggiro informatico. L’ordinanza chiarisce che il fatto che la truffa sia opera di terzi non esclude, di per sé, la responsabilità disciplinare del dipendente: ciò che conta è se la condotta, valutata alla luce del ruolo e del contesto, riveli o meno una grave negligenza.

Nel caso concreto, la Corte valorizza:

l’esecuzione del bonifico senza le verifiche minime di attendibilità delle e‑mail ricevute;
la mancata attivazione immediata, dopo l’avviso del vero presidente, per tentare di bloccare il pagamento;
la natura fiduciaria delle mansioni contabili e la rilevanza economica dell’operazione.

In questa prospettiva, il comportamento è ritenuto incompatibile con la prosecuzione anche provvisoria del rapporto, giustificando la misura espulsiva più grave, come confermato anche da vari commenti dottrinali che hanno sottolineato il “salto di qualità” della responsabilità del lavoratore nell’era digitale.

Responsabilità patrimoniale e rimborso del danno

Accertata la grave negligenza, la Cassazione reputa legittima anche la richiesta del datore di lavoro volta a ottenere dalla dipendente il rimborso delle somme perse a seguito del bonifico fraudolento. Il riferimento è al paradigma generale dell’art. 1218 c.c., secondo cui il debitore – in questo caso il lavoratore – risponde dei danni derivanti dall’inadempimento delle obbligazioni contrattuali, salvo prova che l’impossibilità della prestazione non sia a lui imputabile.

La Suprema Corte conferma che, nel caso di specie, l’evento dannoso (uscita di cassa verso soggetto terzo fraudolento) è direttamente riconducibile alla condotta imprudente e omissiva della lavoratrice, che avrebbe potuto evitare la perdita con un minimo di attenzione. Da qui la legittimità della richiesta risarcitoria, pur nel rispetto, in astratto, dei limiti di responsabilità del lavoratore subordinato e dei principi di proporzionalità che la giurisprudenza di legittimità ha più volte richiamato.

Cosa cambia per aziende e lavoratori

La vicenda e l’ordinanza n. 3263/2026 offrono alcune indicazioni operative di rilievo.

Per le aziende:

diventa essenziale strutturare procedure chiare per i pagamenti, in particolare verso l’estero, con definizione di step autorizzativi, limiti di importo, controlli incrociati e obbligo di documentazione giustificativa (fatture, contratti, pro‑forma);
la formazione sulla cybersecurity, pur non essendo una “scusante” automatica in caso di errore del lavoratore, rappresenta uno strumento fondamentale di prevenzione, anche per dimostrare di aver adottato misure organizzative adeguate.

Per i lavoratori, soprattutto in ambito amministrativo e contabile:

le mansioni che comportano gestione di denaro, rapporti con le banche e autorizzazione di pagamenti richiedono un dovere di controllo rafforzato: verifiche telefoniche con i vertici, riscontri documentali, attenzione alle anomalie devono entrare a far parte della normale cultura professionale.
cadere in una truffa informatica non è automaticamente giustificato dall’“astuzia” degli hacker: quando l’errore discende da una grave disattenzione rispetto ai canoni di diligenza esigibile, il rischio concreto è quello di subire non solo sanzioni disciplinari fino al licenziamento, ma anche richieste di risarcimento del danno.

In definitiva, l’ordinanza n. 3263/2026 della Cassazione conferma che, nell’ecosistema digitale, la sicurezza non è solo una questione di tecnologie e firewall, ma passa anche – e soprattutto – attraverso la responsabilità professionale di chi ogni giorno gestisce dati e risorse economiche dell’organizzazione.

Corte di Cassazione – sezione lavoro, ordinanza n. 3263 del 13.2.2026

Altri articoli

Credito al consumo, ammortamento alla francese e usura: la Corte d’Appello di Firenze conferma la validità del contratto.

La sentenza della Corte d’Appello di Firenze n°1281/2026 conferma integralmente la decisione di primo grado, riaffermando la validità del contratto di credito al consumo, escludendo

Segnalazione illegittima in Centrale Rischi: la banca non risponde senza prova del danno.

La Corte d’Appello di Perugia, con la sentenza n. 262/2026 del 5 maggio 2026, ha affrontato una complessa vicenda in materia di segnalazione illegittima alla Centrale

Segnalazioni CRIF e preavviso comunicato tramite area riservata: il Tribunale di Nocera Inferiore ne conferma la legittimità

Con ordinanza del 27.2.2026, il Tribunale di Nocera Inferiore ha rigettato un ricorso cautelare ex art. 700 c.p.c. proposto da un debitore, che lamentava l’illegittimità

Centrale Rischi e natura della segnalazione “rischi a scadenza”: alcuni chiarimenti della Corte di Appello di Genova

Con la sentenza n°187/2026, la Corte diAppello di Genova ha affrontato una questione di grande rilievo pratico nel contenzioso bancario: fino a che punto un

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.