Nel film Blackhat, un singolo errore umano è sufficiente a compromettere sistemi complessi. La realtà lavorativa non è diversa: basta una mail credibile, un click impulsivo, una procedura non verificata.
Le norme italiane ed europee lo confermano: un comportamento negligente può esporre il dipendente a responsabilità disciplinare, patrimoniale e, nei casi più gravi, al licenziamento.
Il caso reale: la mail “del presidente”
Nel febbraio 2026 la Corte di Cassazione ha affrontato una vicenda significativa: una dipendente dell’area contabile aveva ricevuto una mail che sembrava inviata dal presidente del CdA e, senza ulteriori verifiche, aveva disposto un bonifico da 16.000 euro.
La mail era falsa.
Il giorno dopo il vero presidente aveva segnalato l’anomalia, ma la dipendente non aveva attivato subito i controlli per bloccare il pagamento. Per i giudici, questa omissione non era una semplice mancanza: era una condotta gravemente negligente.
Risultato? Licenziamento confermato e obbligo di rimborsare le somme perse.
Il cuore della questione: l’obbligo di diligenza del lavoratore (art. 2104 c.c.)
L’art. 2104 del Codice Civile stabilisce che il lavoratore deve operare con la diligenza richiesta dalla natura delle mansioni e nel rispetto delle direttive aziendali.
Questo comporta che chi opera in aree amministrative, contabili o gestionali ha un obbligo di attenzione più elevato rispetto a chi svolge mansioni che non incidono su fondi o dati sensibili.
In altre parole, se gestisci pagamenti o dati sensibili, una mail che “sembra strana” non va ignorata: ogni dettaglio sospetto deve far scattare una verifica.
Inadempimento e risarcimento (art. 1218 c.c.)
L’art. 1218 del Codice Civile, prevede che il debitore (in questo caso, il lavoratore) risponda dei danni derivanti dall’inadempimento, salvo provi che l’impossibilità non dipende da lui.
Nel contesto del phishing: se il dipendente lascia aperta la porta all’attacco con condotta imprudente, l’azienda può chiedere il risarcimento.
La sicurezza informatica secondo normativa UE: art. 32 GDPR
Il Regolamento UE 2016/679 (GDPR), stabilisce all’articolo 32 che titolari e responsabili del trattamento devono adottare “misure tecniche e organizzative adeguate” per garantire la sicurezza dei dati e dei sistemi, tenendo conto dei rischi e della natura del trattamento. Tra queste misure rientrano anche la formazione del personale e la capacità degli utenti di riconoscere e prevenire comportamenti potenzialmente rischiosi.
Interpretazione pratica:
- l’azienda deve predisporre procedure e percorsi formativi adeguati;
- il lavoratore deve applicare tali procedure con attenzione, senza ignorarle.
Il principio della Cassazione: maggiore responsabilità per ruoli qualificati
La Corte di Cassazione valuta sempre il comportamento del lavoratore tenendo conto della delicatezza delle mansioni che svolge. In pratica, più un ruolo comporta responsabilità, più cresce l’obbligo di vigilanza, prudenza e attenzione richiesto a chi lo ricopre, soprattutto quando si ha a che fare con fondi aziendali, dati sensibili o informazioni strategiche.
Nel caso affrontato con l’ordinanza 3263/2026, la dipendente contabile operava in un’area particolarmente esposta a rischi economici e informatici: proprio per questo avrebbe dovuto riconoscere subito le anomalie della richiesta e verificarne l’attendibilità prima di eseguire il pagamento.
Come in Blackhat: il problema non è la tecnologia, ma la disattenzione
Nel film, un attacco globale parte da un singolo errore nelle procedure di sicurezza industriale.
Analogamente, nel lavoro quotidiano una falla apparentemente piccola — una mail non controllata, un documento non verificato — può innescare:
- violazioni di dati;
- danni economici;
- responsabilità disciplinari;
- e perfino la risoluzione del rapporto di lavoro.
La normativa non richiede al dipendente di essere un esperto informatico, ma impone:
- diligenza;
- prudenza;
- rispetto delle procedure di sicurezza;
- evitamento di comportamenti negligenti.
La cybersecurity è un dovere condiviso
La protezione dei dati e dell’azienda non è solo un fatto tecnico, è un impegno condiviso:
- il datore di lavoro deve formare, informare e fornire gli strumenti adeguati;
- il dipendente deve adottare comportamenti responsabili e proporzionati al ruolo.
Un “semplice errore informatico” oggi può essere molto più che una distrazione: può diventare una vera responsabilità giuridica.
Michela Fabbruzzo – Centro Studi CGN
Vuoi capire come proteggere davvero il tuo studio dal phishing e dagli attacchi informatici?
Unoformat ha realizzato il webinar on demand “Cybersecurity essenziale: protezione efficace, costi sostenibili. 10 mosse intelligenti per studi e PMI”, dedicato ai professionisti che desiderano ridurre i rischi digitali con soluzioni concrete, accessibili e spesso gratuite.
Durata: 2 ore – Crediti: 2 CFP DCEC (richiesta in corso) – Prezzo: € 75,00 + IVA
Scopri strategie pratiche per riconoscere minacce, evitare errori costosi e mettere in sicurezza dati e processi del tuo studio.
👉 Accedi qui al webinar on demand e inizia quando vuoi.
