La Cassazione, con l’ordinanza n. 3263/2026, indaga se la mancanza di una formazione specifica in materia di cybersecurity possa costituire una scusante per il dipendente esperto che, attraverso un’operazione finanziaria incauta, arrechi un danno economico rilevante all’azienda. Il caso in esame affronta la complessa questione della responsabilità disciplinare del lavoratore vittima di phishing, analizzando il confine tra l’errore umano indotto da raggiri informatici e la grave negligenza professionale.
Consiglio: per approfondimenti in materia, segnaliamo il volume “NIS 2 ed Evoluzione della Cybersicurezza Nazionale”, acquistabile cliccando su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.
Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti.
- Quadro normativo europeo “all-in-one”
Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.
- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2
Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).
- Requisiti minimi e misure di sicurezza spiegati punto per punto
Ampio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).
- Protezione dei dati personali, domini e obblighi di notifica
Integrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.
- Governance aziendale e responsabilità degli organi di gestione
Capitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).
- Condivisione delle informazioni e notifiche degli incidenti al CSIRT Italia
Analisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).
- Crittografia e transizione post-quantum
Approfondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.
- Vigilanza ACN, ispezioni e sanzioni
Commento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.
- Cooperazione nazionale, CSIRT e gestione delle crisi
Trattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).
- Riforma dei reati informatici e del D.Lgs. 231/2001
Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001.
Perché non puoi farne a meno ora
Con l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.
Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative.
Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Leggi descrizione
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, 2025, Maggioli Editore
36.00 €
34.20 €
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.
Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti.
- Quadro normativo europeo “all-in-one”
Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.
- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2
Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).
- Requisiti minimi e misure di sicurezza spiegati punto per punto
Ampio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).
- Protezione dei dati personali, domini e obblighi di notifica
Integrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.
- Governance aziendale e responsabilità degli organi di gestione
Capitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).
- Condivisione delle informazioni e notifiche degli incidenti al CSIRT Italia
Analisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).
- Crittografia e transizione post-quantum
Approfondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.
- Vigilanza ACN, ispezioni e sanzioni
Commento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.
- Cooperazione nazionale, CSIRT e gestione delle crisi
Trattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).
- Riforma dei reati informatici e del D.Lgs. 231/2001
Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001.
Perché non puoi farne a meno ora
Con l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.
Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative.
Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Il caso
La vicenda trae origine dal licenziamento per giusta causa di un’impiegata amministrativa con un’anzianità di servizio ultratrentennale, addetta alla contabilità e inquadrata al quinto livello del CCNL Confapi PMI.
La lavoratrice era stata tratta in inganno da una mail di phishing che appariva provenire dal presidente della società, nella quale veniva sollecitato un pagamento urgente di oltre 15.000 euro verso un conto estero nel Regno Unito. Senza attivare i protocolli di verifica previsti dalla prassi aziendale e ignorando palesi anomalie nel testo del messaggio, la dipendente aveva dato esecuzione al bonifico.
L’azienda contestava alla dipendente non solo la violazione delle procedure interne per i pagamenti internazionali, ma anche una condotta imprudente caratterizzata dalla mancata analisi dei segnali d’allerta. In particolare, la lavoratrice aveva ricevuto, quasi in contemporanea, una comunicazione autentica dal vero presidente della società che avrebbe dovuto renderla edotta dell’estraneità di quest’ultimo alla richiesta di denaro.
Nonostante tale evidenza, l’impiegata procedeva con l’operazione, cagionando un danno economico immediato e irreversibile. Impugnato il provvedimento espulsivo, la lavoratrice lamentava nei gradi di merito la sproporzione della sanzione e l’assenza di una specifica formazione aziendale volta a riconoscere e contrastare le frodi informatiche.
Consiglio: il Master in Cybersecurity e compliance integrata è un percorso formativo avanzato pensato per imprese e pubbliche amministrazioni, professionisti, DPO, responsabili IT, compliance officer e consulenti legali (clicca qui per iscriverti).
Formazione sulla cybersecurity e diligenza qualificata: irrilevanza dell’assenza di corsi
Uno dei profili giuridici più rilevanti trattati dalla Suprema Corte riguarda l’incidenza della formazione aziendale sulla responsabilità del prestatore. La difesa della lavoratrice sosteneva che, in assenza di corsi di aggiornamento sulla sicurezza informatica, il dipendente non potesse essere ritenuto pienamente responsabile di una caduta in errore dovuta a tecniche fraudolente esterne.
La Corte d’Appello, con un ragionamento confermato in sede di legittimità, ha tuttavia ribaltato tale prospettiva, ritenendo la mancanza di istruzioni specifiche del tutto irrilevante di fronte a mancanze macroscopiche dei doveri minimi di prudenza. Secondo i giudici, da un profilo professionale qualificato che gestisce flussi finanziari da decenni è lecito attendersi un’accortezza basata sui canoni generali della diligenza richiesti dall’articolo 1176, comma 2, del Codice Civile.
Nel caso di specie, la mail fraudolenta presentava criticità rilevabili senza competenze informatiche avanzate: il sedicente mittente appariva ignorare i codici SWIFT e le causali necessarie per i bonifici verso il Regno Unito, e la richiesta era priva dei consueti documenti giustificativi come fatture o proforma. L’aver prestato fede a una comunicazione palesemente irrituale, omettendo di sollevare il telefono per una conferma verbale, integra una negligenza che non può essere sanata dalla mancata partecipazione a seminari sulla cybersecurity.
La diligenza richiesta non è quella generica del buon padre di famiglia, ma quella specifica del professionista contabile, che impone un rigore superiore nella protezione del patrimonio aziendale.
Giusta causa e vincolo fiduciario: proporzionalità del licenziamento oltre le sanzioni del CCNL
La Cassazione ha rigettato il ricorso della lavoratrice, confermando che l’illecito disciplinare era tale da integrare la giusta causa di licenziamento ai sensi dell’articolo 2119 del Codice Civile. La ragione a base della decisione risiede nel definitivo venir meno del vincolo fiduciario che lega il datore di lavoro al dipendente.
La Corte ha ribadito che l’accertamento della gravità della condotta è un compito esclusivo del giudice di merito, il quale deve valutare non solo il danno oggettivo, ma anche la portata soggettiva dell’inadempimento.
Un punto di particolare interesse riguarda il coordinamento tra il potere disciplinare e le previsioni del CCNL. Sebbene il contratto collettivo applicabile prevedesse sanzioni conservative (come la multa o la sospensione) per i casi di disattenzioni involontarie, la Corte ha ritenuto che la condotta della dipendente travalicasse il mero errore veniale.
La persistenza nel disattendere le regole di cautela, unita alla gravità dell’esposizione economica per l’azienda, ha reso legittima la sanzione espulsiva. Inoltre, i giudici hanno chiarito che, ai fini della valutazione della proporzionalità, è possibile considerare anche i precedenti disciplinari o professionali del lavoratore, anche se non contestati formalmente come recidiva, poiché essi contribuiscono a delineare l’affidabilità complessiva del prestatore e la gravità della specifica mancanza.
Conclusioni
L’ordinanza n. 3263/2026 segna un punto fermo nell’era del lavoro digitale: la tecnologia e le insidie del web non attenuano la responsabilità individuale, ma semmai ne accentuano i doveri di controllo per chi ricopre ruoli fiduciari. Il principio espresso è chiaro: l’astuzia del truffatore informatico non scusa l’inerzia intellettuale del dipendente.
La sentenza funge da monito per i lavoratori amministrativi, chiamati a un ruolo attivo di sentinelle dei processi contabili, e al contempo offre alle aziende uno scudo giuridico per tutelarsi contro condotte superficiali che, pur non essendo dolose, minano alla base la sicurezza finanziaria dell’impresa.
In definitiva, la Suprema Corte riafferma la centralità della diligenza professionale come dovere inderogabile, che non può essere delegato né a sistemi automatici né alla presunta mancanza di istruzioni su come non farsi ingannare.
