Argomenti trattati
Negli ultimi giorni il dibattito sulla responsabilità disciplinare in presenza di attacchi informatici è tornato sotto i riflettori. La vicenda ruota attorno alla sentenza n. 3263/2026 della Cassazione, Sezione Lavoro, depositata il 13 febbraio 2026 (Pres. Pagetta, Rel. Panariello), che ha confermato il licenziamento di una dipendente coinvolta in un caso di CEO Fraud. Questo provvedimento ha richiamato l’attenzione non solo degli operatori del diritto ma anche delle funzioni aziendali responsabili di sicurezza e compliance, perché pone questioni pratiche su obblighi e limiti della responsabilità individuale.
La pubblicazione dell’articolo che ha commentato la sentenza il 24 mar 2026 ha rilanciato la discussione su come bilanciare la valutazione della condotta del dipendente con l’obbligo del datore di lavoro di offrire strumenti di prevenzione. La Corte ha assegnato rilievo decisivo alla condotta personale della lavoratrice, ma la pronuncia ha anche riacceso il confronto sulle misure organizzative e tecniche che dovrebbero ridurre la probabilità di successo di truffe informatiche sofisticate.
La decisione della Cassazione e la sua ratio
La sentenza n. 3263/2026 analizza la condotta della dipendente alla luce dei principi disciplinari tradizionali, confermando che la valutazione del comportamento non può essere dissolta dal contesto cyber. La Corte ha focalizzato l’attenzione sulla prova della mancanza di diligenza e sulla possibilità, per il datore di lavoro, di dimostrare come la condotta abbia violato obblighi contrattuali. In termini pratici, il verdetto ricorda che, anche in presenza di un attacco sofisticato, il giudizio disciplinare può fondarsi su elementi concreti che dimostrino negligenza o inosservanza delle procedure interne.
I fatti della vicenda
Nel caso esaminato la tecnica impiegata è riconducibile a CEO Fraud, ossia una frode che mira a far apparire legittime richieste finanziarie provenienti apparentemente dalla direzione aziendale. La lavoratrice ha autorizzato bonifici in seguito a comunicazioni che la Corte ha ritenuto, nel complesso, non adeguatamente verificate. La pronuncia richiama la definizione di ruolo attivo del dipendente nella protezione dell’azienda e la necessità che le azioni interne rispettino le procedure di controllo previste dall’organizzazione.
Implicazioni per datore di lavoro e dipendente
La sentenza impone una riflessione sul rapporto tra dovere di diligenza individuale e responsabilità dell’azienda. Per il giudice, non basta che l’evento sia stato causato da criminali esterni: occorre valutare se il lavoratore abbia agito secondo le regole e se l’impresa abbia predisposto misure idonee per ridurre il rischio. In questo equilibrio, assume rilievo la documentazione delle policy interne, la chiarezza delle procedure di verifica e la tempestività delle segnalazioni, perché elementi di prova utili in sede disciplinare e giudiziaria.
Formazione e procedure come elementi chiave
Questo caso sottolinea l’importanza della formazione continua e di procedure operative semplici e applicabili. L’adozione di checklist, la doppia verifica per disposizioni di pagamento e l’uso di canali ufficiali di autorizzazione sono esempi di pratiche che riducono la possibilità di errore umano. La traiettoria ideale è una combinazione tra cultura della sicurezza e strumenti concreti: l’azienda deve formare, testare e aggiornare il personale, mentre il dipendente deve attenersi ai percorsi stabiliti e segnalare anomalie.
Protezione tecnica e responsabilità condivisa
Oltre agli aspetti organizzativi, la sentenza apre il confronto sulle misure tecniche che le imprese devono adottare. Soluzioni come l’implementazione di controlli multi-fattore, sistemi di monitoraggio delle transazioni e politiche di segregazione dei compiti contribuiscono a creare una barriera tra il tentativo di frode e l’effettiva esecuzione di un’operazione dannosa. La logica è quella del principio di difesa stratificata: non bastano singoli strumenti, ma un insieme coordinato che riduca la superficie d’attacco.
In sintesi, la pronuncia della Cassazione n. 3263/2026 offre una chiave interpretativa importante: la presenza di un attacco informatico non esclude a priori responsabilità disciplinari, quando emergano elementi probatori di mancata diligenza. Per le aziende la lezione è chiara: investire in policy, formazione e misure tecniche non solo tutela il patrimonio, ma fornisce anche argomenti difensivi in caso di contenzioso. Per i dipendenti, invece, riafferma l’obbligo di rispettare le procedure e di mantenere un atteggiamento prudente e verificativo in presenza di richieste insolite.