A cura dell’Avv. Francesco Cervellino
La progressiva integrazione tra attività lavorativa e infrastrutture digitali ha prodotto una trasformazione silenziosa ma incisiva del parametro di diligenza richiesto al prestatore. Non si tratta più di un criterio statico, ancorato alla mera esecuzione materiale della prestazione, bensì di una clausola elastica che incorpora dimensioni cognitive, tecnologiche e organizzative. In tale contesto si colloca l’ordinanza della Corte di Cassazione, Sezione Lavoro, 13 febbraio 2026, n. 3263 , la quale offre una significativa occasione di riflessione sul rapporto tra errore indotto da frode informatica e responsabilità disciplinare.
La vicenda trae origine da un’operazione di pagamento eseguita da una lavoratrice addetta alla contabilità, indotta da una comunicazione apparentemente proveniente dal vertice societario, poi rivelatasi fraudolenta. L’evento, pur inserendosi nella fenomenologia del cosiddetto phishing, non viene qualificato dalla Corte come fattore idoneo ad assorbire la valutazione della condotta individuale. Al contrario, l’attenzione si sposta sul comportamento del prestatore, scrutinato alla luce degli obblighi di diligenza e fedeltà sanciti dagli articoli 2104 e 2105 del codice civile.
Ciò che emerge con particolare evidenza è una torsione interpretativa: la vittima della frode non è automaticamente esonerata da responsabilità, poiché il disvalore disciplinare si radica non nell’evento dannoso in sé, ma nella modalità con cui esso si è reso possibile. La Corte, infatti, valorizza la dimensione controfattuale del comportamento, interrogandosi sulla evitabilità dell’evento mediante l’adozione di cautele esigibili. La questione, pertanto, si colloca su un piano diverso rispetto alla mera constatazione della truffa, assumendo rilievo la verifica circa la conformità della condotta agli standard di diligenza qualificata.
In tale prospettiva, la nozione di diligenza si emancipa dalla sua tradizionale dimensione soggettiva per assumere una connotazione funzionale. Non è tanto la buona fede interiore del lavoratore a rilevare, quanto la sua capacità di presidiare il rischio operativo connesso alle mansioni svolte. Nel caso di specie, la Corte evidenzia come la lavoratrice, in ragione dell’esperienza pluriennale e delle responsabilità connesse alla gestione dei flussi finanziari, fosse tenuta a un livello di attenzione particolarmente elevato. L’assenza di formazione specifica in materia di sicurezza informatica, pur allegata, viene ritenuta recessiva rispetto all’obbligo generale di prudenza, il quale impone verifiche minime sulla genuinità delle richieste di pagamento.
Questo passaggio argomentativo introduce un elemento di significativa rilevanza sistemica: la formazione, pur rappresentando uno strumento essenziale di prevenzione, non costituisce un limite esterno alla responsabilità del lavoratore. La sua mancanza non determina automaticamente una riduzione del grado di diligenza esigibile, soprattutto quando il contenuto della prestazione implica competenze già strutturate e consolidate. In altri termini, la diligenza non viene parametrata esclusivamente alle conoscenze formalmente trasmesse dal datore, ma anche al bagaglio professionale concretamente posseduto.
La decisione, inoltre, si distingue per la ricostruzione del rapporto tra disciplina collettiva e clausola generale della giusta causa. La Corte esclude che le previsioni contrattuali collettive possano essere applicate in via analogica a fattispecie non espressamente contemplate, ribadendo l’autonomia del giudizio di proporzionalità fondato sull’articolo 2119 del codice civile. Ne deriva che la tipizzazione delle condotte disciplinari non esaurisce lo spazio valutativo, lasciando al giudice il compito di verificare, in concreto, la gravità dell’inadempimento.
Sotto questo profilo, la condotta della lavoratrice viene qualificata come espressione di grave negligenza, caratterizzata da superficialità e imprudenza nell’esecuzione della prestazione. La Corte sottolinea come la presenza di segnali anomali nella comunicazione ricevuta avrebbe dovuto indurre a un supplemento di verifica, tanto più in considerazione dell’impatto economico dell’operazione. L’omissione di tali controlli integra, dunque, una violazione significativa degli obblighi contrattuali, idonea a ledere il vincolo fiduciario.
È proprio la dimensione fiduciaria a rappresentare il fulcro della decisione. Il rapporto di lavoro, specie nelle posizioni che implicano gestione di risorse finanziarie, si fonda su un affidamento qualificato, che non tollera margini di trascuratezza. La fiducia, in questo senso, non è una categoria astratta, ma un criterio operativo che misura la compatibilità tra comportamento del lavoratore e prosecuzione del rapporto. La compromissione di tale affidamento, anche in assenza di dolo, può giustificare l’espulsione dal contesto organizzativo.
L’ordinanza si inserisce, pertanto, in una linea evolutiva che tende a rafforzare il nesso tra competenze professionali e responsabilità disciplinare. Il lavoratore non è più soltanto esecutore di direttive, ma soggetto chiamato a esercitare un controllo attivo sui processi in cui è inserito. In questo senso, la digitalizzazione non attenua, ma amplifica gli obblighi di diligenza, imponendo una costante vigilanza sui rischi emergenti.
La lettura offerta dalla Corte trova un significativo riscontro anche nella riflessione di taglio divulgativo contenuta nel materiale di supporto , ove si evidenzia come l’errore umano rappresenti frequentemente l’anello debole dei sistemi di sicurezza aziendale. Tuttavia, ciò che nella prospettiva organizzativa si traduce in esigenza di formazione e prevenzione, sul piano giuridico si declina come parametro di imputazione della responsabilità. Il medesimo fenomeno, dunque, assume valenze differenti a seconda dell’angolo di osservazione.
Questa duplicità evidenzia una tensione non risolta tra dimensione individuale e dimensione organizzativa del rischio. Da un lato, si afferma l’esigenza di responsabilizzare il lavoratore, imponendogli standard elevati di attenzione; dall’altro, si riconosce la necessità di strutture aziendali capaci di prevenire l’errore. La decisione in esame sembra privilegiare il primo versante, attribuendo al prestatore un ruolo centrale nella gestione del rischio digitale.
Le implicazioni di tale impostazione sono molteplici. In primo luogo, si assiste a una progressiva espansione del contenuto degli obblighi contrattuali, che inglobano competenze trasversali non sempre formalizzate. In secondo luogo, si rafforza la funzione selettiva della giusta causa, quale strumento di espulsione di comportamenti ritenuti incompatibili con l’affidabilità richiesta. Infine, si accentua la rilevanza del contesto tecnologico nella valutazione della condotta, con un conseguente adattamento dei criteri tradizionali.
Non può, tuttavia, essere trascurato il rischio di una eccessiva individualizzazione della responsabilità. Se è vero che il lavoratore deve adottare cautele adeguate, è altrettanto vero che l’organizzazione del lavoro incide in modo determinante sulla possibilità di prevenire errori. La mancanza di procedure chiare, di controlli multilivello o di sistemi di verifica automatica può contribuire a creare condizioni favorevoli all’errore. In tale prospettiva, una lettura equilibrata dovrebbe considerare la responsabilità come risultato di una interazione tra comportamento individuale e assetto organizzativo.
L’ordinanza in esame, pur non affrontando esplicitamente questo profilo, lascia intravedere la necessità di un ripensamento complessivo del rapporto tra diligenza e tecnologia. La trasformazione digitale impone di superare una concezione statica degli obblighi contrattuali, per approdare a una visione dinamica, capace di adattarsi alla complessità dei processi contemporanei.
La pronuncia della Corte di Cassazione n. 3263 del 13 febbraio 2026 rappresenta un passaggio significativo nella definizione dei confini della responsabilità disciplinare in ambito digitale. Essa afferma con chiarezza che la vittima di una frode non è, per ciò solo, esente da responsabilità, ove l’evento sia riconducibile a una condotta negligente. Al contempo, sollecita una riflessione più ampia sul ruolo dell’organizzazione nella prevenzione del rischio, evidenziando la necessità di un equilibrio tra responsabilizzazione individuale e adeguatezza dei sistemi di controllo.
24 marzo 2026
L’argomento viene trattato anche su taxlegaljob.net