L’altro giorno, mentre si svolgeva la settimanale riunione con i nostri commerciali, è emerso il racconto di una sentenza che ha contribuito a creare un bel confronto tra di noi! Una storia che parla di phishing, di responsabilità, di errori umani… e di un licenziamento ritenuto legittimo dalla Corte di Cassazione.
Una storia che, al di là del caso specifico, riguarda ogni azienda italiana.
Il CASO: una mail falsa, un bonifico da 15.812 euro e un licenziamento
La vicenda è ormai nota: una dipendente amministrativa, con oltre trent’anni di anzianità, riceve una mail apparentemente proveniente dal presidente dell’azienda. La richiesta è urgente: eseguire un bonifico internazionale.
La Cassazione ricostruisce così il fatto:
“La lavoratrice aveva ricevuto una mail che sembrava provenire dai vertici aziendali con richiesta di eseguire un pagamento urgente verso l’estero.”
La dipendente esegue il bonifico.
Il giorno dopo, arriva una mail del vero presidente che segnala la truffa.
Nonostante ciò, la lavoratrice non blocca il pagamento (pur avendo una giornata lavorativa a disposizione)
L’azienda la licenzia.
Lei ricorre.
La Cassazione conferma il licenziamento.
Perché la Cassazione ha dato ragione all’azienda?
La Suprema Corte è stata molto chiara: essere vittima di phishing non esonera automaticamente dalla responsabilità disciplinare, soprattutto quando la truffa era evitabile con un minimo di attenzione.
Nell’ordinanza si legge:
“Molteplici elementi dovevano indurre la lavoratrice ad altre e ben più pregnanti verifiche prima di effettuare il bonifico.”
“La condotta ha dimostrato scarsa attenzione per gli interessi aziendali, superficialità e imprudenza.”
La Corte sottolinea tre aspetti:
| 1. La dipendente aveva un ruolo qualificato | 2. Le anomalie erano evidenti | 3. La mancata formazione NON è una scusante |
| Chi gestisce pagamenti deve avere un livello di attenzione superiore. | Causale generica, assenza di documenti, dati bancari incompleti. | La Cassazione afferma: “La mancanza di formazione specifica sulle frodi informatiche è irrilevante quando il comportamento risulta comunque negligente.” |
Il lavoratore può essere chiamato anche a risarcire il danno!
La Cassazione conferma anche la legittimità della richiesta di rimborso:
“L’evento dannoso è direttamente riconducibile alla condotta imprudente della lavoratrice.”
Questo significa che, in casi simili, un dipendente può essere:
- licenziato
- chiamato a restituire il denaro perso dall’azienda
Cosa cambia per le aziende italiane ?
Questa sentenza è un campanello d’allarme per tutte le organizzazioni.
| 1. Le procedure interne non sono più un optional | 2. La formazione non salva il dipendente… ma salva l’azienda | 3. Il phishing del 2026 non è il phishing del 2022 |
| Questa sentenza è un campanello d’allarme per tutte le organizzazioni. | Anche se la mancata formazione non assolve il lavoratore, resta fondamentale per: 1) prevenire incidenti 2) dimostrare di aver adottato misure organizzative adeguate 3) ridurre il rischio di responsabilità aziendale | La Cassazione ha giudicato un caso “classico”: una mail mal scritta, senza allegati, con causale generica. Oggi lo scenario è diverso: 1) deepfake vocali 2) videochiamate falsificate 3) imitazioni perfette di dirigenti 4) attacchi mirati basati su OSINT |
Come osserva l’articolo:
“Un dipendente che nel 2025 riceve una telefonata dal direttore finanziario potrebbe trovarsi di fronte a un deepfake indistinguibile dall’originale.”
Il criterio della “ordinaria diligenza” diventa sempre più difficile da applicare.
Cosa devono fare oggi CEO, CFO e IT Manager ?
1. Implementare procedure di pagamento a prova di errore umano
- autenticazione forte
- doppia verifica
- limiti automatici
- obbligo di documentazione
2. Formare i dipendenti in modo realistico
Non basta un corso teorico.
Servono simulazioni, casi reali, esercitazioni.
3. Prepararsi ai deepfake
Il social engineering del 2025 non è più “una mail sospetta”.
È psicologia, OSINT, AI, manipolazione.
4. Creare una cultura aziendale della sicurezza
Non è un tema tecnico.
È un tema di governance.
La posizione di SafeBreach
Le aziende dovrebbero proteggere i propri dipendenti prima, non giudicarli dopo.
E dovrebbero farlo con strumenti, procedure e formazione adeguata al mondo reale — non al phishing di qualche anno fa!
Scopri il nostro servizio Cyber S.A.T (Security Awarness Training)
