La responsabilità del lavoratore che cade vittima di una truffa via email non viene meno solo perché c’è stato un inganno. Lo ha stabilito la Corte di Cassazione, Sezione Lavoro, con una sentenza che mette dei paletti piuttosto netti su cosa succede quando un dipendente esegue disposizioni ricevute tramite una comunicazione fraudolenta, senza verificarne l’autenticità. Il principio è chiaro: se la condotta rivela una grave negligenza, il fatto di essere stati ingannati non basta a cancellare ogni addebito.
Il caso concreto riguarda un’addetta alla contabilità che ha disposto un bonifico da oltre 15.000 euro dopo aver ricevuto quella che sembrava una richiesta legittima del presidente della società. Peccato che l’email fosse falsa. Una truffa costruita ad arte, certo, ma secondo i giudici la lavoratrice avrebbe dovuto e potuto accorgersi che qualcosa non tornava. O quantomeno, avrebbe dovuto attivare i normali controlli previsti dalla procedura aziendale prima di autorizzare un pagamento di quella portata.
Quando la buona fede non basta a evitare il licenziamento
Qui sta il punto cruciale della vicenda. La dipendente ha sostenuto di aver agito in buona fede, convinta che la richiesta provenisse davvero dal vertice aziendale. E probabilmente era sincera. Ma la Cassazione ha ragionato su un piano diverso: non conta solo l’intenzione, conta anche il grado di attenzione che ci si aspetta da chi ricopre un determinato ruolo. Chi gestisce i pagamenti ha un obbligo di diligenza rafforzato. Non si può semplicemente eseguire un ordine ricevuto via email senza fare un minimo di verifica, soprattutto quando si parla di somme consistenti.
La Sezione Lavoro ha quindi confermato che il licenziamento per giusta causa era legittimo. La grave negligenza, in sostanza, ha rotto il rapporto di fiducia tra azienda e lavoratrice in modo irreparabile. E questo anche se la truffa via email era sofisticata e ben confezionata.
Il fenomeno del phishing e le sue conseguenze sul rapporto di lavoro
Questo tipo di frode ha un nome ben preciso: si chiama Business Email Compromise, ed è una delle varianti più insidiose del phishing. I truffatori studiano l’organigramma aziendale, replicano indirizzi email quasi identici a quelli reali, usano toni autoritari e urgenti per spingere il destinatario ad agire in fretta. È un meccanismo che funziona proprio perché fa leva sulla fretta e sulla gerarchia.
Eppure, la sentenza della Cassazione dice una cosa molto pratica: le aziende hanno tutto il diritto di aspettarsi che i propri dipendenti, specialmente quelli con responsabilità contabili, non si facciano travolgere dall’urgenza senza verificare. Un controllo telefonico, una conferma interna, anche solo un secondo sguardo all’indirizzo del mittente. Sono accorgimenti minimi che avrebbero potuto evitare sia la perdita economica sia le conseguenze disciplinari.
