La crescente esposizione delle organizzazioni al rischio cyber ha progressivamente spostato il baricentro della responsabilità anche sul fattore umano.

In questo contesto, la recente ordinanza n. 3263/2026 della Corte di Cassazione assume un rilievo operativo di primo piano: il fatto che un evento dannoso sia originato da un attacco di phishing non esclude, di per sé, la responsabilità del lavoratore, né impedisce – in presenza di determinate condizioni – l’irrogazione del licenziamento per giusta causa.

La pronuncia si inserisce nel solco degli artt. 2104 e 2105 c.c., che disciplinano rispettivamente l’obbligo di diligenza e quello di fedeltà del lavoratore, ma ne offre una lettura aggiornata alla realtà digitale.

La Corte chiarisce che, soprattutto in presenza di mansioni con contenuto amministrativo o finanziario, la diligenza richiesta non è quella generica del “buon padre di famiglia”, bensì una diligenza qualificata, parametrata al ruolo ricoperto e al livello di rischio connesso alle attività svolte.

Nel caso esaminato, una dipendente aveva autorizzato un pagamento sulla base di una comunicazione fraudolenta, apparentemente riconducibile al vertice aziendale. Tuttavia, ciò che assume rilievo non è la sofisticazione dell’inganno, bensì la condotta concretamente tenuta.

La Corte ha infatti valorizzato l’assenza di verifiche, il mancato rispetto delle procedure interne e l’omissione di controlli minimi a fronte di segnali anomali (per esempio, il cambio improvviso e non concordato delle coordinate bancarie o dell’IBAN, l’utilizzo di coordinate bancarie estere per fornitori nazionali, uno stile linguistico della comunicazione incoerente con quello del presunto mittente, un senso di urgenza ingiustificato finalizzato a spingere verso un’azione immediata, la discrepanza tra il nome visualizzato e l’effettivo indirizzo e-mail di provenienza, ecc.). In altri termini, l’errore non è stato considerato inevitabile, ma evitabile con l’adozione di adeguate cautele.

Ed è proprio su questo punto che si innesta il profilo più significativo della decisione: quando il lavoratore, per negligenza, omette quelle verifiche che la sua funzione impone – come la conferma su canali alternativi, il controllo delle coordinate bancarie o il rispetto di procedure autorizzative multilivello – la sua condotta può integrare una violazione grave degli obblighi contrattuali. Una violazione che, se idonea a compromettere il vincolo fiduciario, legittima il recesso datoriale per giusta causa, ai sensi dell’art. 2119 c.c.

‍

Non meno rilevante è il collegamento con la disciplina della protezione dei dati personali.

Le procedure aziendali che regolano autorizzazioni, flussi informativi e operazioni sensibili costituiscono infatti vere e proprie misure di sicurezza organizzative ai sensi dell’art. 32 del Regolamento (UE) 2016/679.

La loro violazione non incide solo sul piano lavoristico, ma può determinare una compromissione dell’intero sistema di sicurezza, con possibili conseguenze anche in termini di violazione dei dati (data breach).

Tuttavia, la pronuncia non deresponsabilizza il datore di lavoro, rimane fermo l’obbligo di predisporre un assetto organizzativo adeguato, che includa procedure chiare, controlli efficaci e percorsi formativi specifici. Ma l’eventuale carenza formativa non esonera automaticamente il lavoratore quando l’errore sia evitabile con l’adozione di cautele basilari, coerenti con la professionalità richiesta.

‍

Ne emerge un modello di responsabilità integrata, in cui la sicurezza non è più solo una questione tecnica o organizzativa, ma anche comportamentale.

Il phishing, da rischio puramente informatico, diventa rischio operativo, capace di incidere direttamente sul rapporto di lavoro.

‍

In definitiva, la decisione della Cassazione segna un passaggio chiaro: l’errore umano non è più, di per sé, una zona franca: quando si traduce in negligenza qualificata, può incrinare irrimediabilmente il rapporto fiduciario e legittimare il licenziamento per giusta causa.

‍