Per prima cosa, è necessario capire se il dipendente avrebbe potuto evitare di incappare nella truffa, usando la diligenza adeguata alla tipologia di mansione affidata.

L’art. 2104 del codice civile (diligenza del prestatore di lavoro) prevede che il dipendente deve svolgere le proprie mansioni usando la diligenza richiesta dalla natura della prestazione, nell’interesse dell’impresa e seguendo le disposizioni impartite dal datore di lavoro.

Ne deriva, quindi, che la diligenza richiesta al lavoratore va calibrata proprio in base al ruolo che lo stesso ricopre all’interno dell’azienda.

La Cassazione, nella sua ordinanza, ha statuito che questi obblighi non vengono meno nemmeno quando il dipendente subisce una truffa informatica. Ciò significa che, se il dipendente è vittima di “phishing”, affinchè possa essere esclusa la responsabilità nei suoi confronti, è necessario verificare che abbia adottato tutte le misure idonee a riconoscere l’irregolarità (es. verifica dell’effettiva provenienza della e-mail mediante contatto telefonico con il mittente).

Inoltre, la Cassazione ha statuito che non esonera da responsabilità il dipendente che non abbia ricevuto dall’azienda una idonea “formazione sulla prevenzione e sul contrasto alle operazioni di truffa informatica mediante azioni di phishing”; ciò, in quanto, è lecito aspettarsi che, “chi svolge da tempo mansioni particolarmente qualificanti, debba adottare quell’accortezza che, secondo i canoni dell’ordinaria diligenza nei rapporti commerciali, imponeva di operare le dovute verifiche e i necessari approfondimenti, prima di dare corso al pagamento”.

Quindi, la mancata formazione anti-phishing, impartita dall’azienda, non esclude la responsabilità del dipendente. Di conseguenza, il suo comportamento negligente può integrare una giusta causa di licenziamento.