È legittimo il licenziamento di un dipendente che, pur essendo vittima di una truffa informatica, dispone un pagamento arrecando un danno patrimoniale all’azienda. Lo ha chiarito la Cassazione con l’ordinanza n. 3263 del 13 febbraio 2026, definendo i limiti entro cui l’errore di un lavoratore colpito da phishing può essere ritenuto giustificabile. Il caso – riporta il Sole 24 Ore – riguardava un’addetta alla contabilità licenziata per aver effettuato un pagamento sulla base di una e-mail apparentemente proveniente dal presidente della società, rivelatasi poi fraudolenta.Il phishing, infatti, rappresenta una delle minacce informatiche più diffuse nel mondo del lavoro: i truffatori inviano comunicazioni che sembrano legittime per indurre il destinatario a rivelare dati sensibili o ad autorizzare operazioni indebite. Le statistiche dimostrano come comportamenti superficiali o errati dei dipendenti costituiscano spesso l’anello debole della sicurezza aziendale, mettendo a rischio anche sistemi tecnologicamente avanzati.Cosa ha stabilito la Cassazione?Per valutare la responsabilità del dipendente, occorre verificare se la truffa fosse evitabile adottando un livello di diligenza adeguato. Gli articoli 2104 e 2105 del Codice civile impongono infatti al lavoratore di svolgere le proprie mansioni con l’attenzione richiesta dal ruolo, calibrando il comportamento alle responsabilità affidate e agli interessi del datore di lavoro. La Cassazione ha ribadito che tali obblighi non vengono meno neppure quando il dipendente sia stato ingannato: essere vittima di phishing non esonera automaticamente da responsabilità. È necessario, invece, valutare se, in base alle competenze, all’esperienza e alla delicatezza dell’incarico, il lavoratore avrebbe potuto riconoscere l’anomalia e prevenire il danno con adeguate cautele.Negligenza o imprudenza del lavoratoreNel caso specifico, la mancanza di formazione non è stata ritenuta sufficiente a giustificare la condotta. Chi ricopre ruoli qualificati, soprattutto con potere di disporre pagamenti, è tenuto a un livello di attenzione maggiore. La giurisprudenza è chiara: il principio dell’“incolpevole affidamento” non può essere invocato quando il dipendente avrebbe dovuto effettuare controlli minimi, come verificare l’indirizzo e-mail del mittente o contattare direttamente il soggetto indicato. Se la frode poteva essere evitata con semplici verifiche, l’errore diventa non scusabile. In questo senso, non è la truffa in sé a costituire l’infrazione disciplinare, ma la negligenza o imprudenza del lavoratore, tale da legittimare anche il licenziamento.Lo strumento più efficace resta la formazioneDiventa quindi centrale il ruolo del datore di lavoro nella prevenzione. È necessario adottare un approccio integrato che combini strumenti tecnici e misure organizzative. Sul piano tecnologico, le aziende devono dotarsi di sistemi di cybersecurity evoluti, capaci di operare in modo predittivo e proattivo. A questi si affiancano procedure interne chiare, controlli multilivello e verifiche automatiche sui pagamenti, così da evitare che un singolo errore produca conseguenze gravi. Tuttavia, lo strumento più efficace resta la formazione.Foto copertina: Pexels/Kampus ProductionL'articolo È licenziabile chi abbocca a una truffa informatica: la sentenza della Cassazione proviene da Open.