Una sentenza della Cassazione ha fatto parecchio discutere nelle ultime settimane, perché tocca un nervo scoperto nel rapporto tra aziende e dipendenti. Il tema è delicato: le vittime di truffe informatiche sul posto di lavoro possono essere licenziate se il danno patrimoniale subìto dall’azienda è riconducibile alla loro condotta. Parliamo di scenari come la truffa del CEO o gli attacchi di Business Email Compromise, tecniche ormai diffusissime che colpiscono ogni giorno realtà di ogni dimensione.
Il punto centrale della sentenza è questo: un dipendente che cade in una cyber truffa, causando un danno economico concreto al proprio datore di lavoro, può essere ritenuto responsabile fino al punto da giustificare il licenziamento. La Corte ha riconosciuto che esiste un dovere di diligenza anche quando si maneggiano comunicazioni digitali e disposizioni di pagamento. Non basta dire “non sapevo” o “sembrava tutto autentico”. Se la truffa riesce perché non sono state seguite procedure minime di verifica, la responsabilità ricade su chi ha materialmente eseguito l’operazione.
Fin qui, la logica giuridica fila. Ma la questione è tutt’altro che semplice.
I lati problematici: servono formazione e governance
Quello che rende questa sentenza un tema caldo non è solo il principio in sé, ma tutto ciò che gli gira attorno. Perché sì, è vero che i dipendenti hanno una responsabilità. Però è altrettanto vero che molte aziende non fanno praticamente nulla per preparare il proprio personale a riconoscere una cyber truffa. E qui si apre un problema enorme.
Le truffe di tipo Business Email Compromise, per esempio, sono costruite con una precisione impressionante. I criminali studiano le abitudini interne, replicano lo stile delle email dei dirigenti, scelgono il momento perfetto per colpire. Senza una formazione adeguata e senza protocolli chiari di verifica, anche una persona attenta può cascarci. E allora viene da chiedersi: è giusto scaricare tutta la colpa sul singolo lavoratore?
La sentenza della Cassazione, pur stabilendo la responsabilità dei dipendenti, apre implicitamente un altro fronte. Le aziende non possono limitarsi a punire chi sbaglia. Devono dotarsi di una governance solida in materia di sicurezza informatica, che includa formazione periodica, policy chiare per la gestione dei pagamenti e meccanismi di doppia verifica sulle disposizioni finanziarie ricevute via email.
Senza questi strumenti, il rischio è doppio. Da una parte, i lavoratori restano esposti a minacce sempre più sofisticate. Dall’altra, le aziende si trovano a gestire contenziosi complicati, in cui dimostrare la negligenza del dipendente diventa difficile se mancano regole interne documentate.
Cosa cambia nella pratica per aziende e lavoratori
Dal punto di vista operativo, questa sentenza potrebbe spingere molte realtà a rivedere i propri processi interni. Chi gestisce i pagamenti aziendali dovrà probabilmente attenersi a procedure più rigide, con controlli incrociati e conferme telefoniche prima di eseguire bonifici richiesti via posta elettronica. E le imprese che ancora non investono in cybersecurity awareness avranno un motivo in più per farlo, anche solo per tutelarsi legalmente.
Il messaggio che arriva dalla Cassazione è chiaro nella direzione, ma lascia aperte diverse zone grigie. La responsabilità delle vittime di truffe informatiche esiste, su questo il pronunciamento non lascia dubbi. Tuttavia, senza un ecosistema aziendale che supporti il dipendente con strumenti, formazione e regole condivise, il licenziamento rischia di apparire come una scorciatoia piuttosto che una soluzione strutturale.
