Corte Suprema di Cassazione: legittimo il licenziamento del dipendente per accesso indebito ai dati aziendali durante il periodo feriale.

La Suprema Corte di Cassazione, con l'ordinanza n. 4371/2026, ha consolidato l'orientamento giurisprudenziale in materia di licenziamento per giusta causa, confermando la legittimità del recesso datoriale nei confronti di un dipendente che, pur in regime di sospensione dell'attività lavorativa per ferie, abbia effettuato accessi e movimentazioni massive di dati aziendali non giustificate dalle mansioni assegnate.

Il caso di specie concerne l'impugnazione di un licenziamento irrogato a seguito di un'attività di auditing informatico. Era emerso che il prestatore di lavoro, alle ore 06:00 di un giorno festivo/feriale, aveva proceduto alla sincronizzazione e al trasferimento di un ingente volume di file contenuti nei server aziendali.

L’elemento dirimente ai fini della decisione è stato individuato nella violazione del vincolo fiduciario (intuitu personae), pilastro del rapporto di lavoro subordinato ai sensi dell'art. 2119 c.c.

La Corte ha fondato il proprio convincimento sui seguenti punti di diritto:

Assenza di nesso funzionale: la condotta del lavoratore è stata ritenuta priva di qualsivoglia finalità lavorativa. L'accesso ai sistemi in orario antelucano e durante il godimento delle ferie esclude la presunzione di adempimento contrattuale.

Violazione dei doveri di fedeltà e riservatezza: ai sensi dell'art. 2105 c.c., il lavoratore è tenuto a un obbligo di fedeltà che persiste anche durante la sospensione del rapporto per ferie. La manipolazione di dati riservati senza autorizzazione integra una potenziale sottrazione di asset immateriali (know-how).

Proporzionalità della sanzione: i giudici di legittimità hanno ritenuto che la gravità della condotta, per le modalità temporali e la natura dei dati coinvolti, sia tale da non consentire la prosecuzione, neppure provvisoria, del rapporto di lavoro, rendendo la sanzione espulsiva proporzionata al disvalore del fatto.

La Corte ha chiarito che non è necessario che il lavoratore abbia effettivamente arrecato un danno economico o divulgato i dati a terzi; la mera creazione di un rischio per la sicurezza e la segretezza delle informazioni aziendali è sufficiente a integrare la giusta causa di licenziamento.

L'ordinanza in oggetto sottolinea l'importanza per le aziende di dotarsi di protocolli di sicurezza informatica chiari e vincolanti, di regolamenti interni che disciplinino l'accesso ai dati da remoto (VPN) e al di fuori dell'orario di servizio. Importante anche avere sistemi di log monitoring conformi al GDPR e all’art. 4 dello Statuto dei Lavoratori, atti a provare l'eventuale condotta illecita.