L’innovazione tecnologica ha trasformato radicalmente le dinamiche dei luoghi di lavoro, esponendo aziende e dipendenti a nuove vulnerabilità. Attacchi informatici come il phishing, le frodi BEC (Business Email Compromise) e i raggiri perpetrati tramite e-mail apparentemente legittime rappresentano una minaccia crescente per le organizzazioni, con ripercussioni che vanno ben oltre il semplice danno economico immediato. La sicurezza digitale, oggi, non è più circoscritta ai reparti IT: coinvolge direttamente ciascun lavoratore, che si trova a operare quotidianamente con dati sensibili e sistemi finanziari digitalizzati. La disciplina giuridica e la recente giurisprudenza sottolineano come la responsabilità individuale sia strettamente legata al ruolo ricoperto e alle mansioni svolte, chiamando il personale a una maggiore consapevolezza. L’approccio delle Corti italiane e le normative di riferimento, a partire dagli articoli 2104 e 2119 del Codice Civile, impongono un livello elevato di attenzione nelle operazioni informatiche al fine di tutelare sia il patrimonio aziendale che il valore fiduciario del rapporto di lavoro.
Obblighi di diligenza e doveri del lavoratore nella prevenzione delle truffe informatiche
Il quadro normativo stabilisce che ogni dipendente sia tenuto a rispettare stringenti obblighi di diligenza, specialmente quando la propria mansione prevede la gestione di fondi e dati sensibili. L’art. 2104 del Codice Civile prescrive una diligenza parametrata alla natura della prestazione: ciò significa che chi si occupa di amministrazione o contabilità è chiamato a un maggiore livello di attenzione e perizia rispetto ad altre figure professionali. La giurisprudenza più evoluta interpreta la diligenza come l’attitudine a riconoscere segnali di allarme e a non eseguire in modo meccanico gli ordini ricevuti tramite e-mail o altri canali digitali.
- Verifica dell’autenticità degli ordini: ogni disposizione, soprattutto se riguarda pagamenti significativi, deve essere supportata da adeguata documentazione e, in caso di dubbi, da riscontri tramite altri canali.
- Analisi delle anomalie: un indirizzo e-mail alterato o un tono insolito nelle comunicazioni richiedono attenzione immediata; il mancato riconoscimento di questi segnali configura negligenza grave.
- Responsabilità personale: l’indifferenza verso le procedure e l’assenza di verifiche trasformano un errore in una violazione dei doveri fondamentali del rapporto di lavoro.
Nell’era digitale, il comportamento richiesto non si esaurisce nell’esecuzione di ordini, ma comprende la protezione attiva delle risorse aziendali. La magistratura tende a riconoscere una responsabilità rafforzata per chi gestisce pagamenti e transazioni, definendo come grave negligenza ogni condotta che ignori i più basilari controlli tecnici e documentali.
Quando il comportamento negligente comporta il licenziamento per giusta causa
Il Codice Civile, all’art. 2119, disciplina la possibilità per il datore di lavoro di recedere immediatamente dal rapporto lavorativo in presenza di comportamenti che ledano irrimediabilmente la fiducia. Negli scenari in cui un dipendente esegue pagamenti senza le dovute verifiche, nonostante chiare anomalie, i giudici considerano la condotta incompatibile con la prosecuzione del rapporto lavorativo, anche solo temporaneamente.
- Superficialità e imprudenza: l’esecuzione di un bonifico all’estero sulla sola base di e-mail sospette, senza il rispetto delle procedure aziendali, è il caso tipico di condotta censurabile.
- Irreversibilità del vincolo fiduciario: il datore di lavoro, dopo aver subito una perdita a causa di comportamenti azzardati, non può più affidarsi alla professionalità del dipendente.
- Giurisprudenza costante: recenti sentenze confermano la legittimità del licenziamento disciplinare quando viene accertata grave negligenza, specie se il dipendente ha ruoli di responsabilità finanziaria.
Il giudizio non si basa sull’evento truffaldino in sé, ma sullo scarto rispetto ai parametri di diligenza ordinaria e sulle conseguenze per la sicurezza patrimoniale dell’organizzazione. Il quadro risulta aggravato dal mancato rispetto delle procedure e dalla sottovalutazione di segnali di rischio evidenti, elementi che giustificano una misura espulsiva anche in assenza di dolo.
Responsabilità patrimoniale: obbligo di rimborso e conseguenze economiche
Oltre all’interruzione del rapporto lavorativo, la recente giurisprudenza – come nel caso deciso con l’ordinanza n. 3263/2026 dalla Suprema Corte – evidenzia come il lavoratore possa essere chiamato a rimborsare le somme perse dall’azienda a causa della frode agevolata dalla sua condotta negligente. Il riferimento normativo principale è l’art. 1218 c.c., che impone a chi non adempie correttamente le prestazioni obbligatorie di risarcire il danno causato.
| Evento | Conseguenza per il lavoratore |
| Esecuzione di bonifico fraudolento | Possibile richiesta del rimborso integrale o parziale dell’importo perso |
| Accertata grave negligenza | Legittimità della richiesta risarcitoria, anche se non vi è stato arricchimento personale |
La responsabilità patrimoniale si configura a prescindere da un vantaggio diretto del dipendente: ciò che conta è l’aver creato le condizioni per il danno. Il debito nei confronti dell’azienda può risultare particolarmente gravoso e la sua entità può essere determinata in sede giudiziale, valutando la proporzionalità e la specificità delle mansioni svolte. È dunque essenziale la consapevolezza, soprattutto nelle posizioni che gestiscono risorse finanziarie, del rischio economico e reputazionale legato a comportamenti imprudenti.
La formazione sulla sicurezza informatica: limiti e aspettative di legge
Uno degli argomenti di difesa più ricorrenti da parte dei lavoratori coinvolti in incidenti di sicurezza è la mancanza di adeguata formazione sui rischi digitali e sulle truffe di natura informatica. Tuttavia, le Corti ribadiscono che, per ruoli qualificati, la legge presume un bagaglio minimo di competenze e l’applicazione di regole di buon senso e prassi bancarie universalmente riconosciute.
- Mancata formazione non esonera dal controllo attivo: chi si occupa di contabilità o gestione dei flussi finanziari è tenuto, anche in assenza di corsi specifici, a segnalare e approfondire eventuali anomalie.
- Il peso della responsabilità cresce con l’anzianità e le competenze dichiarate: l’esperienza lavorativa viene valutata come fattore aggravante in caso di errore grossolano.
- La tutela giuridica offre copertura solo in presenza di lacune organizzative sistemiche, mai per mancanza di diligenza personale.
Spesso gli elementi che avrebbero dovuto destare sospetto – assenza di codice SWIFT, IBAN anomalo, documentazione inadeguata – richiedono un’attenzione minima e ordinaria, non necessariamente una specializzazione cyber. L’obiettivo normativo e giurisprudenziale è promuovere una cultura di responsabilità condivisa, dove la formazione rappresenta un valore aggiunto e non una condizione sine qua non per l’assolvimento dei doveri professionali.
Il ruolo delle procedure aziendali e il comportamento post-errore
L’efficacia delle misure preventive e la rigorosa applicazione delle procedure interne sono elementi determinanti nel valutare la responsabilità in caso di attacco informatico. Le linee guida giurisprudenziali indicano chiaramente che la conformità alle policy aziendali costituisce un parametro oggettivo per misurare la diligenza e la professionalità del lavoratore.
- Conferme multi-canale: ogni ordine di pagamento ricevuto va contro-verificato attraverso un secondo sistema di comunicazione (telefonata, messaggio privato) per ridurre i rischi di attacchi di tipo BEC.
- Attivazione tempestiva in caso di errore: nel caso in cui un dipendente si accorga di aver effettuato un’operazione sospetta, è fondamentale contattare immediatamente la banca o i referenti interni per bloccare la transazione.
- Segnalazione di anomalie: la mancata denuncia di richieste o comunicazioni inspiegabili è elemento aggravante, indice di passività o scarsa attenzione al patrimonio aziendale.
L’atteggiamento post-errore è spesso decisivo agli occhi dei giudici: se il lavoratore omette di agire tempestivamente per limitare i danni, la sua responsabilità si aggrava. L’osservanza rigorosa delle procedure non è solo uno strumento di prevenzione, ma anche un mezzo per dimostrare la propria diligenza e buona fede in sede giudiziale. In sintesi, la protezione delle risorse aziendali dipende tanto dalla qualità dei sistemi quanto dalla consapevolezza e dalla reattività delle persone coinvolte.
