Social Debug: il click che costa una carriera

Il capro espiatorio ha un nome: si chiama "ordinaria diligenza" - e vale sempre, tranne quando conviene non investirci.

Social Debug #13, 26.03.2026
Sul giradischi: Rage against the machine - Killing in the name

---

//.intro
“Social Debug“ nasce per ascoltare ciò che normalmente ignoriamo; è un’estensione di Rumore di Fondo. È qui che si nascondono le abitudini, i riflessi automatici, le mode che crediamo di scegliere e che invece ci scelgono.
Questa rubrica entra in quel rumore, lo isola, lo smonta e lo rende leggibile.
Non per semplificare il mondo, ma per capirlo (un po’) meglio.

//.signorina37
digital strategist, retrogamer, programmatrice COBOL, diabetica, cucino e parlo giapponese, ho scritto libri, ho visto cose, frequento gente discutibile

---

Il click che costa una carriera

Questa è la notizia: https://www.open.online/2026/03/23/truffa-informatica-licenziamento-sentenza-cassazione/

E c’è un momento, in questa storia, in cui tutto sembra già deciso.

Una mail arriva, sembra legittima e arriva “dall’alto”.
E qualcuno, in azienda, esegue.

Poi arriva il resto: la truffa, il danno economico, il licenziamento.
E infine la Cassazione.

La storia (senza filtri)

Una dipendente amministrativa esegue un bonifico dopo aver ricevuto una mail apparentemente proveniente dal presidente dell’azienda.

È una classica frode: impersonificazione, urgenza, fiducia.
Ma qui c’è un dettaglio che cambia tutto: la dipendente aveva tempo per accorgersene.
C’erano segnali e c’erano incongruenze.

E soprattutto: il bonifico è stato eseguito senza verifiche sufficienti.

La Cassazione, confermando i giudici precedenti, arriva a una conclusione netta:

la condotta è stata gravemente negligente, tale da giustificare il licenziamento

Qui la storia si complica, perché non è sempre un “punta e spara”; la dipendente sostiene una cosa molto precisa, ovvero non aveva ricevuto formazione sul phishing e sulle frodi informatiche.

Ed è vero: e anche i giudici lo riconoscono.
Ma lo considerano irrilevante.

Ohibò, e perché?
Perché, secondo la Corte, chi svolge da anni un ruolo amministrativo qualificato:

• deve conoscere i rischi base

• deve applicare verifiche minime

• deve riconoscere anomalie evidenti

In altre parole, l’ordinaria diligenza prevale sulla mancanza di formazione formale.

È un po’ un cortocircuito: prima riconoscono che la dipendente non ha avuto sufficienti nozioni però la condannano. Il problema non è tanto giuridico quanto sistemico.

Da un lato abbiamo:

• aziende che sempre più spesso non investono davvero in formazione (in quella vera, non negli antivirus a pacchetto spciale)

• sicurezza che viene ridotta a policy scritte e firme su PDF (tanto basta averle su carta)

• phishing che è trattato come errore umano, non come rischio organizzativo (se sbagli, è perché sei pirla e credi al Principe nigeriano)

Dall’altro lato della tavola:

• quando qualcosa va storto, la responsabilità ricade sul singolo (eccerto)

• la “diligenza” diventa una soglia elastica (molto elastica)

• il contesto sparisce, resta la colpa (vai al primo punto)

A guardare bene, la sentenza non è assurda, ma nemmeno rassicurante - e non mi sentirei in una botte di ferro con questi presupposti.

La faccenda intera apre una zona grigia molto concreta:

• quanto deve sapere davvero un dipendente?

• quanto deve fare l’azienda per metterlo nelle condizioni di non sbagliare?

• dove finisce l’errore umano e dove inizia il fallimento organizzativo?

Nel caso specifico, la Corte dice: “anche senza formazione, gli indizi erano sufficienti per fermarsi”, ok ma questa linea regge sempre?

Questione di phishing

Il phishing oggi non è più “l’email scritta male”, è talmente ben fatta che inganna i più - in Baited¹ ne sappiamo qualcosa, ecco perché ci tengo sempre a battere su questo punto.

Il phishing oggi è credibile, contestuale, costruito su dinamiche interne reali dopo un attento lavoro di OSINT sull’azienda e sulla persona, e spesso passa proprio perché replica i processi aziendali esistenti.

Quindi la domanda diventa più complessa e scomoda: se un attacco funziona, è davvero solo colpa di chi clicca?

Eh, con la Direttiva NIS2 e normative simili, la formazione non è più opzionale, diventa un obbligo per certe categorie.

Nella pratica invece che succede?
Le aziende non hanno ancora ben capito come funziona la protezione dei dati, come funziona la protezione della supply chain, come funziona la sicurezza. Siamo ancorati ancora all’archibugio davanti alla finestra perché il ladro entra spaccando il vetro.
I corsi di oggi sono generici, tutti uguali, replicati sul singolo senza attenzione: quel che va bene al panettiere va bene anche al calcestruzzaio. Zero simulazioni reali, quindi nessuno vede esattamente quali sono gli errori, un sacco di roba da leggere con testi che sono aramaico e nessuna cultura operativa del perché TU devi proteggere TE stesso, la TUA azienda e i TUOI pari.

Però poi succede qualcosa e improvvisamente la sicurezza diventa responsabilità individuale. E nemmeno del titolare, del dipendente.

Nessuna morale, solo sabbia negli slip

Questa storia non ha un “giusto” e uno “sbagliato”, ha un sistema che scricchiola: una storia dove i dipendenti sono esposti a minacce sempre più sofisticate (e non hanno una formazione adeguata).
Le aziende spesso non preparano davvero (risparmia qui e risparmia lì, ma spendiamo pure per il Dom Perignon con la escort) e poi, alla fine di tutto, i giudici valutano sulla base di una diligenza “attesa”, non sempre definita.

Che cosa resta nel mezzo?
Una mail, un click, un bonifico.
E una carriera che finisce lì.

Stay Rebel. Stay Human.

Social Debug, una volta a settimana, sempre di giovedì.

Se ti va di continuare la conversazione, mi trovi qui: Web | LinkedIn | Bluesky | Mastodon | X | podcast (ci sto lavorando!)

1

ne ho scritto qui: https://blog.baited.io/2026/passive-osint-recon-attacker-infrastructure-mapping/ e qui: https://blog.baited.io/2026/exposure-the-attack-before-the-attack/

Comments

[Ai-wan]

@cladia la versione che ho letto specificava che una istruzione impartita da un dirigente, a non procedere, non è stata applicata. Questo porta gli estremi della vicenda lontani dalla tematica del phishing e più prossimi a quelli della negligenza. Per il resto, si concorda su tutto, in visione più salomonica l'azienda andava sanzionata per mancata compliance formativa per il personale (tutto, non solo la dipendente negligente), al netto della conferma del licenziamento per giusta causa (negligenza), che tuttavia poteva anche essere risolto in modo più amichevole (richiamo formale, accordo di reintegrazione del danno a mezzo ritenute in busta paga, magari su più mesi..). Per cui, appare abbastanza chiaro che qualcosa è andato storto nelle relazioni fra le parti (di solito si litiga in due..).

Riprendendo il tuo punto, parlandone anche con colleghi RSPP, sarebbe proprio ora che come per la sicurezza sul lavoro (fisica), si facessero corsi e verifiche serie sulla sicurezza sul lavoro (digitale). Però il rischio di tale catena della gestione, sono corsi standardizzati su programma ministeriale di 8hr, aggiornati se va bene, ogni 5 anni... Ci freghiamo quel poco di speranza/aziende illuminate, che magari la formazione Cyber la fanno con piattaforme di Gamification e festeggiano I dipendenti migliori con piccoli premi symbol-ici. Incredibile, ma esistono 😇

[kOoLiNuS]

lovely, come sempre …