Secondo una sentenza della Cassazione, il dipendente che cade in una cyber truffa, causando un danno patrimoniale all’azienda, può essere licenziabile.

“La decisione della Cassazione segna un passaggio cruciale”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus, “la sicurezza informatica non è più solo un tema tecnico, ma una responsabilità individuale”.

Secondo Sandro Sana, Ethical Hacker e membro Comitato Scientifico Cyber 4.0, “la Cassazione mette un punto chiaro: l’errore umano non è più una scusa, ma una responsabilità“. Ecco perché.

Licenziabili le vittime di cyber truffe: il caso della Ceo fraud

L’ordinanza n. 3263, pubblicata il 13 febbraio 2026, stabilisce nuove responsabilità nella giurisprudenza del lavoro nell’era digitale e dell’intelligenza artificiale, usata per per sferrare attacchi sempre più mirati e sofisticati.

La Corte di Cassazione si è espressa definendoi confini entro cui gli errori e le sviste di un dipendente, vittima di phishing e di altre cyber truffe, sono giustificabili.

Essere leggeri, ingenui o poco accorti di fronte a cyber minacce come la truffa del Ceo, in grado di arrecare ingenti danni patrimoniali alla propria azienda, può trasformarsi in una giusta causa di licenziamento.

Il caso riguardava un’addetta alla contabilità che aveva subito un licenziamento per aver eseguito un pagamento dopo aver ricevuto una richiesta, poi rivelatasi truffaldina, via mail. L’apparente mittente era il presidente della società per cui lavorava, ma la lavoratrice non aveva verificato l’identità di chi aveva inviato il messaggio.

“Questo caso dimostra quanto una semplice disattenzione possa avere conseguenze enormi, non solo economiche ma anche professionali”, avverte Paganini.

La truffa del Ceo

La truffa del Ceo o Ceo fraud rappresenta uno degli attacchi cyber più pericolosi per le organizzazioni.

La dipendente aveva ricevuto una richiesta urgente di eseguire un bonifico su un conto estero. Il pagamento riguardava una cifra ingente.

Senza effettuare verifiche incrociate, senza telefonare ai propri superiori per verificare la correttezza della richiesta e che non si trattasse di phishing, la dipendente aveva effettuato il pagamento. Solo in seguito aveva scoperto che il destinatario del bonifico era un truffatore che si celava dietro un indirizzo mail camuffato.

La lavoratrice era caduta vittima della truffa del CEO e non aveva ravvisato anomalie testuali nel messaggio (anomalie che oggi l’AI generativa ha perfino cancellato), tipiche del phishing pre-AI.

Cosa stabilisce la Cassazione: la vittima di una cyber truffa è licenziabile

La Suprema Corte stabilisce un solco, affermando che chi opera in ambiti digitalizzati deve mantenere alto il livello di attenzione. Al dipendente di un’azienda non basta la diligenza generica che ci si attende da un cittadino inesperto.

Invece, chi è addetto alla gestione dei flussi finanziari o dati sensibili, deve sottostare all’obbligo della diligenza professionale qualificata, secondo l’articolo 2104 del Codice Civile.

Un dipendente addetto ai conti, per contratto, deve dunque essere in grado di riconoscere eventuali anomalie procedurali.

La consapevolezza è infatti la prima arma di difesa. Ma le verifiche incrociate sono indispensabili: Sms e messaggi possono essere contraffatti.

Occorre sempre contattare i dipendenti da canali sicuri: non rispondere alle mail, ma scrivere ex novo un messaggio di posta elettrica al consueto indirizzo, procedere con telefonate e call sui canali sicuri e aziendali e magari stabilire precedentemente una “domanda di sicurezza” (con informazioni introvabili sui social) a cui solo i superiori sanno rispondere per una verifica dell’identità.

Phishing e deepfake sono sempre in agguato e occorre che i dipendenti, attraverso simulazioni e adeguata formazione aziendale, imparino a non abboccare, arrecando danni patrimoniali all’azienda.

I giudici hanno fra l’altro stabilito che non importa se l’impresa non avesse svolto corsi o simulazioni contro il phishing, perché la capacità di riconoscere una mail sospetta (con sintassi incerta, toni incalzanti e richieste urgenti ed intimidatorie) deve ormai appartenere al bagaglio culturale di “comune prudenza” di un dipendente contemporaneo.

“È giusto pretendere maggiore consapevolezza da chi gestisce operazioni sensibili, ma resta fondamentale che le aziende investano seriamente in formazione continua e procedure chiare”, mette in guardia Paganini.

La sentenza apre a scenari di risarcimento

Con questa sentenza, il rischio cyber diventa un caposaldo della responsabilità individuale di ogni dipendente.

La verifica dell’identità del mittente e il rigoroso rispetto delle procedure di doppia autorizzazione per i pagamenti rappresentano ormai obblighi contrattuali a tutti gli effetti, la cui violazione non ammette deroghe.

La buona fede non è più una scusa, ma bisogna essere consapevoli dei rischi cyber e allertare chi di dovere se si ha la percezione di una truffa in corso.

“Nel 2026 cliccare senza verificare, soprattutto su bonifici, non è ingenuità: è negligenza. La cyber security esce dall’IT e diventa disciplina operativa per tutti. Chi non forma le persone e non mette controlli seri, oggi rischia doppio: attacco e tribunale”, mette in guardia Sandro Sana.

Tuttavia, la sentenza apre a scenari sul piano risarcitorio. Il dipendente negligente potrebbe dover rispondere economicamente del danno causato. Se l’errore è evidente e soprattutto viola procedure interne di sicurezza, il lavoratore rischia non solo il licenziamento, ma il risarcimento di tasca propria delle cifre oggetto del furto da parte di hacker e professionisti delle cyber truffa.

La responsabilità dei C-level

Allo stesso tempo, “non si può ignorare la responsabilità dei livelli apicali: i C-level devono garantire un reale commitment sulla cyber security, definendo strategie, controlli efficaci e una cultura aziendale orientata alla sicurezza”, sottolinea Paganini.

Le imprese più esposte sono quelle che fondano la maggior parte dei loro processi interni sullo scambio di mail. Se i bonifici fossero eseguibili solo tramite ERP e con l’autorizzazione esplicita di più persone, il successo di un attacco cyber come la Ceo fraud sarebbe più complessa.

“Il rischio, infatti, è di scaricare tutto il peso sul singolo lavoratore, ignorando la complessità delle minacce moderne. Serve equilibrio: responsabilità sì, ma anche governance, prevenzione e cultura diffusa della sicurezza“, conclude Paganini.

Password sicure, uso di password manager, autenticazioni multi-fattore, processi interni di gestione della posta elettronica, procedure anti-frode, analisi delle mail, dei domini e di altri indizi sono passi importanti per rendere le aziende meno esposte alle cyber truffe.

Bisogna invertire la relazione di fiducia: ogni comunicazione può essere malevola e bisogna imparare a domandarsi se rientra nell’anomalia. Mai fidarsi.

Ma l’ingenuità non è più ammessa. La Cassazione stabilisce infatti che le persone non consapevoli del rischio cyber truffe o superficiali rispetto ai processi interni, sono licenziabili.

E questo alzerà il livello di consapevolezza.