Un'importante sentenza della Corte di Cassazione chiarisce i confini della responsabilità lavorativa di fronte alle truffe digitali. Con l'ordinanza numero 3263 dello scorso 13 febbraio, i giudici hanno stabilito che il licenziamento di un dipendente vittima di phishing non è automaticamente illegittimo. Al centro della vicenda c'era un'impiegata addetta alla contabilità che aveva autorizzato un pagamento in seguito a un'email contraffatta, apparentemente inviata dal presidente dell'azienda. Il danno patrimoniale causato ha portato al suo allontanamento.
La decisione della Cassazione riporta in primo piano la questione della sicurezza informatica negli ambienti lavorativi. Gli attacchi phishing rappresentano oggi una delle minacce più comuni: i malfattori creano messaggi di posta che sembrano provenire da figure autorevoli o enti affidabili, spingendo il ricevente a compiere azioni indebite o rivelare informazioni riservate. Gli esperti di cybersecurity concordano nel ritenere che spesso sono proprio gli errori umani, più che le debolezze tecnologiche, a compromettere la sicurezza complessiva di un'organizzazione.
Secondo quanto stabilito dalla Cassazione, per determinare se un dipendente è responsabile del danno subito dall'azienda, bisogna verificare se la truffa poteva essere evitata attraverso una condotta ragionevolmente diligente. Il Codice civile italiano, nei suoi articoli 2104 e 2105, obbliga il lavoratore a svolgere le proprie funzioni con l'impegno e l'attenzione richiesti dal ruolo specifico. Il tribunale supremo ha sottolineato che questa responsabilità non scompare semplicemente perché il dipendente è stato ingannato: ciò che conta è se una persona con le competenze e l'esperienza di quel lavoratore avrebbe dovuto accorgersi dell'anomalia.
Nel caso specifico dell'impiegata di contabilità, la mancanza di formazione sulla sicurezza informatica non è stata considerata una scusante valida. Chi gestisce pagamenti e autorizzazioni di movimento di denaro è tenuto a uno standard di vigilanza particolarmente elevato. La jurisprudenza ribadisce che il principio della "fiducia incolpevole" non può proteggere chi non compie verifiche elementari: controllare l'indirizzo esatto del mittente, contattare direttamente la persona indicata per confermarne l'autenticità, o richiedere autorizzazioni doppie per operazioni delicate sono procedure basilari che un responsabile di contabilità dovrebbe osservare.
La sentenza sposta quindi l'attenzione dalle vulnerabilità tecniche del sistema al comportamento professionale del singolo lavoratore. Se semplici controlli avrebbero potuto fermare la frode, allora l'errore non è più tollerabile. Questo orientamento giurisprudenziale avrà probabilmente ripercussioni significative su come le aziende affrontano il tema della responsabilità nel caso di episodi di cybercriminalismo. Da un lato, sollecita le imprese a investire maggiormente in formazione e consapevolezza del personale; dall'altro, traccia un confine chiaro: la negligenza rimane negligenza, anche quando mascherata da sofisticazione tecnologica.
