Phishing, errore umano e licenziamento: cosa cambia davvero dopo la Cassazione 3263/2026
La recente ordinanza della Corte di Cassazione n. 3263 del 13 febbraio 2026 non è solo una pronuncia su un caso specifico, ma un segnale chiaro di evoluzione nel modo in cui vengono interpretati i rischi digitali all’interno delle organizzazioni.
Per la prima volta in modo così netto, viene affermato un principio destinato a far discutere: anche nel contesto delle truffe informatiche, il dipendente può essere ritenuto direttamente responsabile, fino al punto di legittimare un licenziamento per giusta causa se vi sono i presupposti di contesto adeguati.
Ma il vero tema non è il phishing in sé. È il ruolo del fattore umano nella sicurezza aziendale.
Non più solo “rischio d’impresa”
Tradizionalmente, gli incidenti legati alla sicurezza informatica venivano ricondotti quasi esclusivamente al cosiddetto “rischio d’impresa”. In altre parole, era l’azienda a dover prevenire, gestire e assorbire le conseguenze di attacchi e frodi, attraverso strumenti tecnici, procedure e formazione.
La decisione della Cassazione rompe questo schema.
Senza negare la responsabilità organizzativa, i giudici introducono un elemento ulteriore: il comportamento individuale del lavoratore diventa parte integrante del sistema di sicurezza. Non più semplice “anello debole”, ma soggetto attivo, con obblighi concreti.
Questo spostamento ha implicazioni importanti: la sicurezza non è più solo una questione di infrastruttura, ma anche di condotta.
Quando l’errore diventa negligenza
Uno degli aspetti più delicati riguarda la linea di confine tra errore e negligenza.
Cadere vittima di phishing, di per sé, non è sufficiente a giustificare un licenziamento. Ciò che rileva è la qualità del comportamento tenuto dal dipendente e del suo ruolo in azienda. La Corte, infatti, non punisce l’evento, ma la modalità con cui si è verificato.
Nel caso esaminato, alcuni elementi hanno avuto un peso determinante: la presenza di segnali anomali facilmente riconoscibili, la natura dell’operazione (un bonifico significativo) e l’assenza di verifiche minime, quest’ultime legate non solo alla cosiddetta igiene informatica ma proprio al ruolo della collaboratrice.
In questo contesto, l’errore non è stato considerato inevitabile, ma evitabile. E quindi imputabile.
È qui che si inserisce il concetto di “diligenza professionale”, che non è astratto ma calibrato sul ruolo: maggiore è la responsabilità (ad esempio in ambito amministrativo o finanziario), maggiore è il livello di attenzione richiesto.
Il punto più controverso: la formazione non basta (e non salva)
Uno dei passaggi più discussi della pronuncia riguarda l’irrilevanza della mancata formazione.
La Corte afferma, in sostanza, che l’assenza di training specifico sul phishing non esonera il dipendente da responsabilità, soprattutto se ricopre un ruolo qualificato. Ci si aspetta comunque una capacità minima di riconoscere anomalie e di attivare verifiche.
Questo punto apre scenari interessanti.
Da un lato, evita che la responsabilità venga automaticamente scaricata sull’azienda in caso di carenze formative. Dall’altro, però, impone una riflessione: fino a che punto è realistico aspettarsi competenze “implicite” in materia di sicurezza digitale?
Per le aziende, questo non significa che la formazione perda valore. Al contrario, diventa ancora più strategica, non solo come misura preventiva, ma anche come elemento difensivo in eventuali contenziosi.
Cybersecurity e diritto del lavoro: un nuovo equilibrio
Questa pronuncia si inserisce in un contesto più ampio, in cui la cybersecurity sta uscendo dal perimetro esclusivamente tecnico per entrare in quello organizzativo e giuridico.
Negli ultimi anni, normative europee e standard internazionali (come NIS2 o ISO 27001) hanno già sottolineato l’importanza della governance e dei comportamenti umani. La Cassazione sembra allinearsi a questa visione, traducendola però in conseguenze concrete sul piano disciplinare.
Si delinea così un nuovo equilibrio:
- l’azienda deve predisporre strumenti, procedure e controlli adeguati
- il dipendente deve agire con consapevolezza, prudenza e spirito critico
Quando uno di questi elementi viene meno, il sistema si espone.
Il vero messaggio per le aziende
Ridurre questa decisione a un semplice “via libera ai licenziamenti” sarebbe un errore.
Il punto centrale è un altro: il fattore umano non può più essere considerato una variabile imprevedibile da gestire solo con la tecnologia. Deve essere governato, integrato e responsabilizzato.
Questo significa, concretamente:
- costruire processi di verifica chiari per operazioni sensibili
- ridurre la dipendenza da singoli individui (segregation of duties)
- promuovere una cultura aziendale in cui il dubbio è legittimo, non penalizzato
- affiancare alla formazione tecnica anche quella comportamentale
Conclusione
La Cassazione 3263/2026 segna un passaggio culturale prima ancora che giuridico.
Nell’era delle truffe digitali sempre più sofisticate, non basta più difendere i sistemi: è necessario responsabilizzare le persone. Ma responsabilità non significa colpa automatica — significa consapevolezza del proprio ruolo all’interno di un ecosistema di sicurezza.
La cybersecurity, oggi, è fatta di tecnologia, processi e persone. E ignorare uno di questi elementi non è più sostenibile — né sul piano operativo, né su quello legale.
