Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

cybercrime e norme

CEO Fraud, perché il licenziamento per giusta causa: cosa dice la Cassazione

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

La sentenza n. 3263/2026 conferma il licenziamento di una dipendente vittima di CEO Fraud e attribuisce rilievo decisivo alla sua diligenza individuale. Il caso però riapre il confronto su formazione procedure e protezioni tecniche che oggi dovrebbero concorrere alla sicurezza aziendale

Pubblicato il 24 mar 2026
sovranità digitale europea; compliance as a service
AI Questions Icon
Chiedi allʼAI Nextwork360
Riassumi questo articolo
Approfondisci con altre fonti

In questi giorni, il dibattito sulla perimetrazione della responsabilità disciplinare nell’era del cybercrime si è arricchito di un nuovo tassello, con la sentenza della Suprema Corte di Cassazione, Sezione Lavoro, n. 3263 del 13 febbraio 2026 (Pres. Pagetta, Rel. Panariello), oggetto delle prime analisi sulla rete.

Il provvedimento affronta il delicato crinale tra la “ordinaria diligenza” del prestatore di lavoro e i doveri di protezione e organizzazione in capo al datore di lavoro, offrendo un’interpretazione che, pur ancorata ai canoni classici del diritto civile, sollecita una riflessione critica alla luce dei moderni paradigmi di risk management.

Cyber-resilienza: perché la postura del leader conta più del software

Il caso concreto della CEO Fraud esaminato dalla Cassazione

I fatti di causa esaminati dai giudici di legittimità riguardano una dipendente di 5° livello del CCNL Confapi PMI, impiegata amministrativa addetta alla contabilità con un’anzianità di servizio ultra-trentennale (assunta nel 1989). La lavoratrice è rimasta vittima di una truffa di ingegneria sociale nota come “CEO Fraud”: una mail, apparentemente inviata dal presidente della società, le intimava di disporre un bonifico estero verso il Regno Unito per l’importo di euro 15.812,46.

La Corte ha dato particolare rilievo alla tempistica dell’evento: la richiesta fraudolenta è pervenuta il 20 luglio 2022; il 21 luglio, alle ore 01:22, il vero presidente inviava una e-mail che avrebbe dovuto allertare la dipendente su possibili anomalie. Nonostante avesse a disposizione l’intera giornata del 21 per avvedersi dell’inganno e bloccare l’operazione, la lavoratrice ha proceduto all’esecuzione del pagamento il 22 luglio.

La diligenza individuale e il peso attribuito alla seniority

Sotto il profilo giuridico, la Corte territoriale ha ritenuto legittimo il licenziamento per giusta causa, ravvisando una negligenza talmente grave da incrinare irrimediabilmente il vincolo fiduciario. Il punto nodale della sentenza risiede nell’irrilevanza attribuita alla mancata formazione specifica in materia di phishing: secondo i giudici, a fronte di mansioni particolarmente qualificanti e di una lunga esperienza professionale, l’accortezza richiesta dal codice civile avrebbe dovuto indurre la dipendente a verifiche elementari, quali il controllo dell’attendibilità del mittente o la richiesta di fatture proforma, come previsto dalle prassi aziendali.

Questa pronuncia sposta l’asse della responsabilità interamente sul fattore umano, sollevando il dubbio se l’esperienza possa davvero essere considerata un surrogato della formazione e dei sistemi tecnici di difesa.

L’insufficienza della formazione e il fallimento del paradigma “Human-as-Problem”

Dall’analisi della sentenza emerge una visione del dipendente come unico punto di fallimento del sistema di sicurezza, un approccio che la letteratura tecnica definisce Human-as-Problem. La Corte assume che la “qualifica senior” renda “superflua” la formazione specifica, poiché l’anzianità di servizio agirebbe come uno scudo naturale contro l’errore. Tuttavia, nel prisma della Psybersecurity, questa assunzione appare come una fallacia psicologica.

La seniority non garantisce immunità; al contrario, può generare vulnerabilità specifiche. In un ruolo amministrativo di 5° livello, la ripetitività delle mansioni contabili porta inevitabilmente alla “automazione cognitiva”. Il dipendente opera prevalentemente attraverso il Sistema 1 (pensiero veloce, intuitivo, euristico), lasciando silente il Sistema 2 (analitico e riflessivo). La cosiddetta Security Fatigue (stanchezza da sicurezza) e il Sovraccarico Informativo (information overload) tipici degli uffici contabili moderni riducono la vigilanza attentiva.

La lavoratrice, abituata per trent’anni a gestire flussi documentali, può essere caduta vittima di un “automatismo procedurale” che l’ha portata a ignorare i segnali di allarme (i cosiddetti red flags), nonostante la finestra temporale di un’intera giornata identificata dalla Corte come prova di colpa grave.

Limitare la valutazione alla sola diligenza individuale significa ignorare che la sicurezza è un ecosistema socio-tecnico. Se la formazione è il baluardo teorico, essa non può reggere l’urto di un attacco di ingegneria sociale se non è supportata da procedure tecniche che riducano il peso del discernimento umano. Il paradigma deve evolvere verso l’Human-as-Solution, dove l’uomo è protetto da un’architettura organizzativa che prevede l’errore come variabile sistemica e lo neutralizza prima che diventi danno patrimoniale.

L’H-Factor e il paradosso del senior: una prospettiva psicologica

Per comprendere la sussunzione della colpa operata dalla Cassazione, è necessario analizzare l’H-Factor attraverso le leve di persuasione codificate da Robert Cialdini, che gli attaccanti sfruttano per bypassare i controlli razionali. Nel caso di specie, la mail del finto presidente ha attivato tre leve fondamentali:

Le leve persuasive attivate dall’attacco

autorità: la gerarchia aziendale impone un rispetto reverenziale che, in culture con alta Distanza dal Potere (Power Distance), inibisce il dubbio.

urgenza: la richiesta di bonifici esteri per “spese estere” generiche induce pressione temporale, forzando la vittima verso una decisione rapida.

fiducia cognitiva e affettiva: l’anzianità di servizio della dipendente ha consolidato un legame di fiducia verso l’istituzione-presidente.

Qui si palesa il paradosso del senior: proprio chi è in servizio da più tempo è più incline a soccombere alla Truth-Default Theory, ovvero la tendenza innata a considerare veritiere le comunicazioni interne. Dopo trent’anni, il “default” mentale è la fiducia, non il sospetto. Il bias dell’ottimismo (“conosco il mio lavoro e le procedure, non posso essere ingannata”) porta a un abbassamento paradossale della guardia.

La sentenza n. 3263/2026 interpreta questa riduzione di vigilanza come “disattenzione particolarmente grave”, ma un’analisi psicologica suggerisce che si tratti di un fenomeno di “cecità da disattenzione” indotto dalla routine. La Corte si aspetta che la lavoratrice analizzi criticamente ogni mail come se fosse il primo giorno di servizio, ignorando che la biologia del cervello umano tende al risparmio energetico e alla semplificazione euristica proprio nei profili più esperti.

Oltre la formazione: sistemi di protezione e il nuovo standard di diligenza datoriale

Una tesi centrale che deve emergere dal commento accademico è la necessità di ridefinire l’obbligo di protezione del datore di lavoro alla luce della complessità delle minacce attuali. Se il licenziamento della dipendente è stato confermato sulla base di una colpa individuale, non si può esimere l’azienda da una valutazione sulla robustezza dei propri processi.

A parere di chi scrive, un’organizzazione che affida la sicurezza di transazioni finanziarie internazionali esclusivamente alla “accortezza” di un dipendente di 5° livello è un’organizzazione intrinsecamente negligente.

La responsabilità datoriale deve oggi misurarsi sulla gestione della “superficie di attacco psicologica”. Lo standard di diligenza per l’impresa moderna non può prescindere da:

Le barriere organizzative e tecniche necessarie

principio del “doppio controllo” (Four-eyes principle): per pagamenti verso l’estero, la procedura deve prevedere un secondo livello di approvazione o una verifica tramite canali secondari (es. conferma telefonica callback su numero registrato).

filtri e-mail avanzati: strumenti che evidenzino visivamente la provenienza esterna del messaggio o discrepanze nel dominio del mittente, riducendo drasticamente il carico cognitivo richiesto al dipendente per smascherare un pretexting.

Un’azienda che non implementa queste barriere tecniche concorre alla creazione del rischio. La “diligenza” del datore di lavoro deve tradursi in un’architettura che renda l’errore umano difficile da compiere e, se compiuto, privo di effetti catastrofici. Affidarsi alla sola “anzianità” della contabile per prevenire una CEO Fraud è tecnicamente paragonabile a lasciare la porta del caveau aperta confidando nella vista del custode.

Dalla logica punitiva alla resilienza: il ruolo della cultura aziendale

La sentenza n. 3263/2026 riflette una visione punitiva: a fronte del danno e dell’errore, la sanzione espulsiva è vista come l’unica risposta per la rottura del vincolo fiduciario. Tuttavia, in ottica di cybersecurity, il licenziamento non risolve la vulnerabilità. Se il processo aziendale permette a una singola mail di generare un bonifico estero non autorizzato, quel processo rimarrà vulnerabile anche dopo l’allontanamento della dipendente.

Il passaggio strategico necessario è l’adozione di una No-Blame Culture (cultura non colpevolizzante). In un ambiente resiliente, l’errore della dipendente del 2022 sarebbe stato trattato come un asset strategico: un’opportunità per analizzare il fallimento delle procedure e implementare contromisure. Se la dipendente avesse percepito l’ambiente come psicologicamente sicuro, avrebbe potuto segnalare il dubbio nato durante la giornata del 21 luglio, permettendo un intervento tempestivo.

La minaccia del licenziamento, al contrario, spesso induce il dipendente a nascondere l’errore o a tentare di risolverlo in autonomia, aggravando il danno.

La CEO Fraud come punto di partenza per una nuova cultura della sicurezza

L’ordinanza n. 3263/2026 della Cassazione rappresenta da un lato un monito per i lavoratori, ma deve essere letta con estrema cautela anche dai datori di lavoro. L’illusione che la seniority esoneri dall’obbligo di formazione e protezione è un rischio sistemico. La “Psybersecurity” simbiotica ci insegna che la sicurezza non è un attributo del singolo, ma una qualità dell’organizzazione nel suo complesso.

Superare la logica del “Human-as-Problem” per approdare a una responsabilità condivisa è l’unica via per garantire la reale resilienza delle imprese nel complesso scenario dei rischi informatici moderni. La sfida per la giurisprudenza sarà quella di definire un nuovo standard di “diligenza” che riconosca la sofisticazione estrema del social engineering, trasformando la sentenza n. 3263/2026 non in un punto di arrivo, ma in un punto di partenza per una nuova cultura della sicurezza socio-tecnica.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Gerardo Costabile
Dinova
M
Ilenia Mercuri
Dinova

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Agenti AI tecnologie emergenti - genai in azienda soluzioni di intelligenza artificiale; AI codice penale AI generativa in azienda

  • security aziendale

    Agentic AI: cinque problemi di sicurezza che non ti aspetti

    13 Giu 2025

    di Yuval Moss

    Condividi
  • ai-sovrana-agenda-digitale ia e studi ritirati; ai cybersecurity; AI scrittura manuale

  • approfondimento

    AI al servizio della cybersecurity: quando è un alleato contro le minacce

    13 Nov 2025

    di Federica Maria Rita Livelli

    Condividi
  • gdpr

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    04 Giu 2025

    di Anna Cataleta e Alessandro Longo

    Condividi
0
Lascia un commento, la tua opinione conta.x