Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Truffa del CEO: errore umano o responsabilità professionale?

Una recente pronuncia della Corte di Cassazione (ordinanza n. 3263/2026) riporta al centro dell’attenzione un tema cruciale per le organizzazioni: il ruolo del fattore umano nella sicurezza dei dati e dei processi aziendali. Il caso riguarda una dipendente amministrativa che, ingannata da una e-mail fraudolenta apparentemente inviata dal vertice aziendale, ha disposto un bonifico di oltre 15.000 euro verso un conto estero, rivelatosi riconducibile a cybercriminali. La vicenda rientra nello schema della cosiddetta CEO fraud (o Business Email Compromise), una forma evoluta di phishing che sfrutta tecniche di ingegneria sociale per indurre i dipendenti a compiere operazioni finanziarie o a comunicare informazioni riservate.

 

La Suprema Corte ha confermato la legittimità del licenziamento per giusta causa e l’obbligo di risarcimento del danno da parte della dipendente, ritenendo la sua condotta caratterizzata da grave negligenza. In particolare, è stato evidenziato come, con un livello minimo di diligenza, la truffa sarebbe stata evitabile, anche alla luce di anomalie evidenti nella richiesta di pagamento. La decisione segna un passaggio rilevante: l’errore umano, pur in presenza di una truffa sofisticata, non è più considerato automaticamente una scriminante, e la sicurezza informatica diventa una responsabilità condivisa che coinvolge direttamente anche i singoli lavoratori.

 

Dal punto di vista della protezione dei dati, il caso evidenzia diversi profili critici: l’accountability organizzativa prevista dal GDPR impone alle aziende di dimostrare l’adozione di misure tecniche e organizzative adeguate, inclusi controlli sui flussi finanziari e sulle comunicazioni interne; la formazione del personale rappresenta un presidio essenziale, soprattutto rispetto ai rischi di phishing e social engineering; inoltre, l’assenza di adeguate procedure di verifica, come la doppia autorizzazione, può configurare una carenza organizzativa rilevante. La sentenza, pur focalizzandosi sulla responsabilità individuale, riapre quindi il dibattito sull’equilibrio tra colpa del dipendente e responsabilità del titolare del trattamento, in un contesto in cui le minacce informatiche sono sempre più sofisticate.

 

Le evidenze statistiche confermano che il phishing resta una delle principali cause di violazioni di sicurezza, proprio perché fa leva sul comportamento umano più che sulle vulnerabilità tecnologiche. Il caso in esame rafforza quindi la necessità per le aziende di intervenire in modo strutturato, non solo attraverso strumenti tecnologici, ma anche mediante un rafforzamento della cultura della sicurezza. In questa prospettiva, assumono particolare rilevanza la formazione continua, le simulazioni di attacco, l’introduzione di procedure di verifica per operazioni sensibili e l’adozione di policy chiare nella gestione delle richieste urgenti.

 

La pronuncia della Cassazione rappresenta dunque un punto di svolta: la sicurezza non è più soltanto una questione tecnica, ma una componente integrante della governance aziendale e della compliance privacy. Per le imprese, ciò implica un duplice impegno, che riguarda da un lato il rafforzamento di sistemi e controlli, e dall’altro lo sviluppo di una maggiore consapevolezza da parte dei dipendenti, unico vero elemento in grado di ridurre in modo efficace il rischio di incidenti e le conseguenze, anche legali, che ne possono derivare