Con l’ordinanza n. 3263 del 13 febbraio 2026, la Corte di Cassazione, sezione lavoro, ha ritenuto legittimo il licenziamento per giusta causa di una dipendente amministrativa che, a seguito di una frode di tipo CEO fraud, aveva autorizzato un bonifico internazionale di circa 16.000 euro senza effettuare le verifiche minime richieste dalle procedure aziendali e dal ruolo ricoperto. La Corte ha inoltre valorizzato il fatto che, una volta emerso l’inganno il giorno successivo, la lavoratrice non si fosse attivata con immediatezza per tentare il blocco dell’operazione.
Nel pronunciarsi sul tema della formazione aziendale, particolarmente discusso nel contenzioso relativo agli attacchi di phishing, la Cassazione ha affermato che l’assenza di uno specifico percorso formativo non esclude la responsabilità del dipendente quando le mansioni svolte richiedano un livello qualificato di diligenza professionale. Secondo la Corte, chi opera stabilmente in ambito contabile è tenuto ad adottare controlli adeguati prima di eseguire disposizioni di pagamento verso destinatari esteri non abituali.
Resta tuttavia distinto il piano della compliance privacy e della responsabilità del titolare del trattamento. Il mancato svolgimento di attività formative specifiche in materia di phishing e cybersecurity, pur non incidendo nel caso concreto sulla valutazione giuslavoristica del licenziamento, può infatti assumere rilievo ai fini del rispetto degli obblighi organizzativi previsti dal GDPR, in particolare sotto il profilo delle misure tecniche e organizzative adeguate e della formazione del personale autorizzato al trattamento dei dati.