lunedì 30 marzo 2026
Quante volte è capitato di ricevere delle e-mail che celano dietro una truffa informatica? E se l’e-mail arriva direttamente nella casella di posta aziendale, quali sono le accortezze da adottare? Secondo una recente pronuncia della Corte di Cassazione, il dipendente che cade nella rete della cyber truffa, causando un danno patrimoniale all’azienda, è passibile di licenziamento. Come è noto il phishing aziendale è una variante specifica e molto più insidiosa del phishing tradizionale. Esso altro non è che un tentativo di intercettazione fraudolenta di credenziali o dati sensibili, attuato mediante la manipolazione psicologica del dipendente. A differenza del phishing massivo, esso si configura spesso come un attacco mirato (Advanced persistent threat), dove l’aggressore riveste l’inganno con una patina di autorevolezza e urgenza istituzionale. L’operazione di adescamento ha inizio con la fase di reperimento delle informazioni (Open source intelligence). In questo stadio, l’aggressore conduce un preliminare studio analitico dell’ecosistema digitale dell’azienda bersaglio. Analizza i profili social professionali, gli organigrammi pubblicati sui siti istituzionali, le relazioni gerarchiche e identifica i quei dipendenti che gestiscono i flussi finanziari. Una volta individuato il bersaglio, l’attaccante procede con la costruzione del pretesto, viene in altre parole elaborato uno scenario verosimile. Non si tratta di una semplice mail generica, ma di un documento che imita l’estetica aziendale, adottandone il lessico tecnico-burocratico e inserendosi in un contesto operativo verosimile. L’azione termina, poi, nella sollecitazione cognitiva, il momento in cui la manipolazione psicologica induce la vittima, sfruttando il timore dell'autorità o il senso di urgenza, a bypassare i protocolli di sicurezza standard e compiere l’azione richiesta.
Ebbene la Cassazione, con l’ordinanza numero 3.263 del 13 febbraio 2026, sezione lavoro, ha affermato la legittimità del licenziamento disciplinare e la fondatezza della richiesta di restituzione della somma da parte del dipendente, definendo, altresì, i limiti entro cui l’errore di un lavoratore colpito da phishing può essere ritenuto giustificabile. Il caso riguarda un’impiegata con lunga anzianità di servizio presso la società e addetta alla contabilità, la quale si è vista licenziata per aver effettuato un pagamento di 15.812,46 euro a favore di una società estera, sulla base di una e-mail apparentemente proveniente dal presidente della società, ma in realtà fraudolenta. Secondo la Corte, al fine di valutare la responsabilità del dipendente, occorre verificare se la truffa possa ritenersi evitabile adottando un livello di diligenza adeguato. Gli articoli 2.104 e 2.105 del Codice civile impongono infatti al lavoratore di svolgere le proprie mansioni con l’attenzione richiesta dal ruolo, adeguando il comportamento alle responsabilità affidate e agli interessi del datore di lavoro. La Cassazione ha ribadito come sia necessario valutare se, in base alle competenze, all’esperienza e alla delicatezza dell’incarico, il lavoratore avrebbe potuto riconoscere l’anomalia e prevenire il danno con le necessarie cautele.
In altre parole, la difesa della dipendente circa l’assenza di formazione specifica sulla prevenzione e il contrasto delle truffe informatiche, non convince la Cassazione, ritenendolo elemento non decisivo. Si afferma, infatti, che, a prescindere dalla formazione ricevuta, le anomalie dell’operazione richiesta nell’e-mail imponevano alla dipendente, secondo i canoni dell’ordinaria diligenza, di sospendere il pagamento e svolgere accertamenti ulteriori. Ad ogni modo, il phishing aziendale rappresenta una vulnerabilità moderna, dove i confini della sicurezza non coincidono più con le mura fisiche dell'ufficio o con i limiti digitali del firewall, ma risiedono nella capacità critica di ogni singolo dipendente.
di Ilaria Cartigiano