Nella corsa alla trasformazione digitale, le aziende spendono milioni in tecnologie all’avanguardia, convinte che basti blindare i sistemi per sentirsi al sicuro. Ma trascurano spesso l’unico elemento davvero decisivo nella catena della sicurezza: le persone

Un paradosso attraversa il mondo delle imprese. Si spendono milioni in firewall di ultima generazione, sistemi di detection basati sull’intelligenza artificiale, soluzioni cloud blindate, ma si trascura clamorosamente la formazione delle persone che ogni giorno usano quegli strumenti. Con effetti che sono sotto gli occhi di tutti: l’essere umano come anello debole della sicurezza. Non stiamo parlando di dipendenti infedeli o hacker “geniali” che bucano sistemi impenetrabili, ma di lavoratori che cliccano sul link sbagliato, usano la stessa password ovunque, condividono dati senza pensarci. Comportamenti che confermano che nonostante sia l’uomo l’origine della maggior parte delle violazioni, le aziende continuano a investire di più in tecnologie che in programmi di formazione.

Che si parli di phishing, smishing, vishing o social engineering in generale, la maggior parte delle minacce passa per l’inganno psicologico, non per lo sfondamento tecnico. Ma questa visione è solo parziale. Perché lo stesso essere umano se formato nel modo corretto e consapevole, può diventare il miglior sensore di sicurezza in grado di riconoscere il tentativo di frode, segnalare l’anomalia, spezzare la catena dell’attacco prima che arrivi a destinazione. Un segnale di innovazione intesa come capacità di trasformare le persone da potenziali vulnerabilità a risorse. Fare formazione significa costruire cultura, alimentare senso critico, dare ai propri collaboratori strumenti pratici per difendersi. Non basta sapere che il rischio esiste. Serve interiorizzare comportamenti, allenare i riflessi, sviluppare quell’istinto che porta a dire “qualcosa non torna” prima di cadere nella trappola. E prima si comincia meglio è. Partendo come si fa in molti paesi dalle scuole.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

FATTORE STRUTTURALE

Secondo i dati dell’Osservatorio Proxima, realizzato da Enzima12, meno del 36% degli adulti tra i 25 e i 64 anni ha partecipato a un’attività formativa nell’ultimo anno, contro una media europea del 45%. Questo dato evidenzia una significativa carenza strutturale nella formazione continua, soprattutto nelle piccole e medie imprese dove solo il 21,1% delle microimprese ha formato i propri lavoratori, rispetto al 54,2% delle grandi aziende. La mancanza di investimenti nella formazione non solo limita la crescita delle imprese, ma espone anche a rischi economici significativi. Nel 2023, secondo quanto emerge dal report “Formazione e Lavoro 2025” dell’Osservatorio Proxima, il disallineamento tra le competenze richieste dal mercato e quelle disponibili – stante la difficoltà di reperire personale qualificato e i tempi di inserimento che variano da due a dodici mesi – ha causato una perdita economica di 43,9 miliardi di euro, pari al 3,4% del PIL dei settori analizzati: stima calcolata a partire dai dati del sistema Excelsior di Unioncamere. Riconoscere la formazione come un investimento strategico per il futuro delle organizzazioni e dell’intero sistema economico nazionale è più che mai urgente.

LE INSIDIE DELLA FORMAZIONE

Ancora in troppe aziende la formazione in materia di cybersecurity spesso si riduce a un rituale sterile: corsi e-learning frettolosi, una batteria di quiz finali, una firma, quando va bene PDF scaricati e mai letti. Modalità passive, generiche, che trasmettono informazioni ma non generano consapevolezza reale. Inutile sottolineare che così si tradisce la funzione stessa della formazione. Che non è quella di fornire nozioni astratte, ma incidere sui comportamenti quotidiani. «La consapevolezza in materia di cybersecurity non può ridursi a una formalità. Per generare valore reale, deve diventare un percorso culturale che incide sui comportamenti quotidiani» – concorda Massimo Littardi, cyber security solution manager di NovaNext. Il rischio è evidente. Si crea l’illusione di aver formato il personale, quando in realtà non si è spostato di un millimetro il livello di consapevolezza. Mentre il pericolo rimane intatto.

«Nella mia esperienza ho visto diverse aziende acquistare corsi di security awareness per il personale, ma con una scarsa partecipazione. Questo è il problema» – riporta Fabio Naccazzani, amministratore delegato di Akito (gruppo HWG Sababa). «I rischi associati a comportamenti potenzialmente scorretti non vengono adeguatamente percepiti internamente. In Akito promuoviamo una cultura della cybersecurity a tutti i livelli come primo step di una strategia efficace: ne parliamo di persona, i nostri System Engineer condividono best practice con i clienti, proponiamo percorsi di formazione su misura, progettati per essere il più coinvolgenti possibile».

La sicurezza viene spesso considerata esclusivamente un problema delle aziende, legato al lavoro e all’impresa. Per Giancarlo Butti del Comitato Scientifico di CLUSIT, sarebbe molto più produttivo evidenziare come un comportamento responsabile possa influire sulla sicurezza personale dei lavoratori. «Aprire una mail sospetta costituisce un rischio sia che si tratti di un account di lavoro sia personale. Far comprendere che le regole di sicurezza incidono direttamente sulla vita quotidiana, proteggendoci da truffe e furti di identità, è il modo più efficace per accrescere l’interesse e la consapevolezza sul tema della cybersecurity.

A Cyber Guru il concetto di formazione, inteso nella sua accezione più classica, è sempre andato stretto. «La tecnologia e il crimine informatico, vivono uno stato di costante accelerazione» – spiega il fondatore e CEO Gianni Baroni. «L’impegno è cambiare il modo in cui le persone percepiscono il rischio cyber: non più utenti passivi, ma protagonisti attivi della propria protezione digitale, rafforzando la loro postura di sicurezza e rendendoli parte integrante del processo difensivo».

Leggi anche:  La profilazione automatica dei container favorisce il rilevamento delle minacce

Per proteggere un’azienda o un’organizzazione non basta più blindare i sistemi o investire in tecnologie protettive, anche se rimangono azioni necessarie. La sicurezza nasce dall’insieme di pratiche, attenzioni e decisioni che le persone assumono ogni giorno. Un clic in meno su un link sospetto, una password scelta con maggiore cura, la prontezza nel segnalare un’anomalia. Solo così la formazione diventa un investimento strategico. Servono simulazioni realistiche, laboratori pratici, scenari vicini al vissuto quotidiano del lavoratore. Occorre mostrare, in modo interattivo, come un’email ben costruita possa trarre in inganno anche l’occhio più attento. Solo così si passa dal sapere al saper fare, e soprattutto al saper riconoscere. «Ma non basta più neanche scegliere una formazione concepita in modo passivo che si risolve in qualche noiosa ora di teorica lezione frontale e nei classici quiz, magari con il solo obiettivo di assolvere un obbligo formale» – continua Baroni.

Il fattore umano rimane il vero vulnus della sicurezza, oggi ulteriormente indebolito dall’intelligenza artificiale. «Per spalancare la porta al criminale di turno basta un clic sbagliato in un momento umano di debolezza, distrazione, fretta» – spiega Baroni. «La formazione efficace lavora proprio sulla catena di pensieri che si sviluppano prima di quel fatidico momento, per invertire la rotta e determinare un esito diverso del processo. Per farlo bisogna “resettare” le cattive abitudini attraverso un processo di apprendimento continuo e permanente». Teoria organizzata in pillole da gestire in libertà, ma soprattutto tanta pratica. Allenamento personalizzato, coinvolgimento attivo, divertimento (gamification), identificazione (web serie che narrano di esperienze reali), e tante altre azioni che si traducono in abilità operative di cui ognuno può diventare dispensatore anche nella vita privata. «L’obiettivo è trasformare ogni singolo individuo in un “guardiano della soglia” a difesa della sua azienda. Ma anche diffondere in contesti diversi una nuova cultura della sicurezza. Più partecipata, più attiva, più responsabile» – conclude Baroni.

CYBERDIDATTICA SU MISURA

La consapevolezza in materia di cybersecurity non può essere relegata a una casella da spuntare nei programmi di formazione aziendale, né a un obbligo burocratico da assolvere una volta all’anno con un corso online. Per generare valore reale, la formazione deve trasformarsi in un vero percorso culturale, capace di incidere sui comportamenti quotidiani di chiunque utilizzi strumenti digitali. È questo il senso di una nuova cyberdidattica su misura: Formazione che non distribuisce nozioni in serie, ma adatta percorsi e scenari al ruolo e al contesto. Nessuno fuori dall’IT ha bisogno di conoscere le policy di rete, ma tutti dovrebbero essere in grado di riconoscere email fraudolente, allegati sospetti, messaggi e telefonate ingannevoli. Per Alessio Aceti, CEO HWG Sababa la consapevolezza non è un obbligo, ma un investimento culturale. «La cybersecurity è troppo importante per ridursi a un gioco a premi. I nostri programmi puntano su coinvolgimento continuo, contesto reale e formati alternativi: online, in presenza, poster e persino un cyber bus con escape room, per formare ovunque e chiunque».

Ma in che modo i programmi formativi tengono conto delle differenze tra i ruoli aziendali, i profili di rischio e i contesti operativi? «Non tutti i ruoli aziendali affrontano gli stessi rischi» – spiega Littardi di NovaNext. «Un CFO, un tecnico IT o una figura commerciale vivono minacce differenti, in contesti diversi. Per questo i nostri programmi non sono standardizzati, ma adattati alle reali esigenze delle persone. Offriamo percorsi modulari, linguaggi mirati e scenari concreti, costruiti in base al settore, al livello di esposizione e all’attività svolta. Il risultato è una formazione che informa e coinvolge, perché ogni utente si riconosce nei contenuti. Così la sicurezza non è solo teoria, ma pratica quotidiana, parte del proprio ruolo professionale». L’esperienza insegna che a seconda dei ruoli e delle funzioni si può risultare più o meno sensibili a tipologie d’attacco diverse.

«Lo spear phishing e il classico “CEO fraud” risultano particolarmente efficaci quando sono indirizzati al reparto amministrativo» – spiega Michelangelo Uberti, head of marketing di Trend Micro Italia. «Personalizzazione e gestione “always on” consentono di memorizzare i concetti e mantenere viva l’attenzione degli utenti, abituandoli a adottare un atteggiamento cauto anche quando usano strumenti più esposti al rischio».

CONTENUTI E CONTESTO

Se la formazione è parte integrante della capacità di rispondere alle minacce, uno dei fattori chiave di successo è sicuramente la personalizzazione dei contenuti. «Messaggi mirati per ruolo, settore e contesto aumentano la rilevanza percepita» – spiega Littardi di NovaNext. «L’apprendimento continuo, con moduli brevi, simulazioni e feedback costanti, favorisce l’assimilazione graduale delle buone pratiche. Le simulazioni di attacco, come il phishing, diventano occasioni di crescita più che di giudizio, mentre la gamification stimola partecipazione e spirito di squadra».

Un approccio condiviso anche da Naccazzani, AD di Akito, secondo cui la formazione per essere efficace deve essere personalizzata. «I nostri system engineer si trovano spesso a testare le soluzioni e lavorare su percorsi su misura. Anche perché alcune figure aziendali sono più esposte di altre, per esempio se rivestono ruoli strategici o gestiscono informazioni sensibili – dati bancari, organizzativi, password – oppure lavorano a stretto contatto con i vertici aziendali».

Un direttore finanziario e un responsabile della produzione affrontano rischi diversi – come spiega il CEO di HWG Sababa Alessio Aceti. «I percorsi di formazione devono essere personalizzati in base a ruolo, settore e maturità aziendale. Con la piattaforma HyperSOC colleghiamo i contenuti alle minacce reali. Niente moduli generici, ma formazione mirata e attuale». La formazione di base resta un bene comune a tutte le organizzazioni. «I sistemi incentivanti possono rappresentare un rischio per la sicurezza se premiano solo la produttività, senza valutare la qualità dei risultati. In particolare quando si applicano alla catena di comando della sicurezza. Sbaglia chi crea un sistema incentivante di questo tipo, dove si usano solo parametri quantitativi, che danno una falsa parvenza di oggettività, senza misurare i risultati raggiunti».

Leggi anche:  Più attacchi informatici, meno gang (-5,5%) ma sempre più forti con l'IA

Approcci formativi innovativi trasformano la teoria in esperienza concreta e coinvolgente. La gamification porta dinamiche di gioco nei percorsi di apprendimento, rendendo l’utente partecipe e motivato. Le simulazioni immersive e le esercitazioni di phishing realistico mettono i dipendenti alla prova in ambienti controllati, replicando con fedeltà le trappole usate dagli attaccanti. Il microlearning, con pillole formative brevi e mirate, si adatta ai ritmi di lavoro, favorendo una continuità che non interrompe la produttività ma mantiene alta la soglia di attenzione.

Barracuda Networks, per esempio, punta su esperienze di apprendimento immersive e misurabili. «Per mostrare ai dipendenti l’impatto delle loro azioni, utilizziamo simulazioni di attacco realistiche, come il phishing, tramite un approccio dinamico e personalizzato» – spiega Stefano Pinato, country manager per l’Italia. «Grazie a soluzioni come Barracuda Email Protection offriamo centinaia di modelli di messaggi di posta e landing page personalizzabili, ma anche una vasta libreria di video di microlearning e giochi per mantenere il coinvolgimento. Le simulazioni multivettoriali non sono somministrate solo via email con interazioni avanzate (allegati, moduli per credenziali, CAPTCHA), ma anche tramite supporti fisici come unità USB».

RISCHIO GUIDATO

L’apprendimento efficace passa anche dalla simulazione dell’errore. In cybersecurity, come nello sport, l’allenamento è la chiave. Imparare sbagliando in un ambiente sicuro permette di riconoscere e gestire situazioni critiche nel mondo reale. Un clic su un link malevolo in una simulazione non causa un disastro, ma produce un insegnamento duraturo. La piattaforma Vision One di Trend Micro include il modulo Security Awareness che permette di eseguire campagne di phishing simulate altamente personalizzate.

«I template si basano su attacchi reali e includono sia l’email che la landing page usata per sottrarre i dati personali. La reportistica consente di quantificare con precisione il rischio umano e aiuta a pianificare le azioni successive» – spiega Uberti di Trend Micro Italia.

«Gli utenti che non superano il test possono essere invitati automaticamente a seguire uno dei diversi corsi di formazione online inclusi nel modulo, al fine di aiutarli a comprendere l’errore e colmare le lacune». Naturalmente occorre anche misurare il grado di apprendimento raggiunto. Per Littardi di NovaNext la misurazione dell’impatto deve andare oltre il test, ma bisogna analizzare comportamenti, tempi di reazione e aderenza alle policy. «Solo così la sicurezza evolve da obbligo a cultura diffusa, diventando parte dell’identità organizzativa».

L’ESEMPIO PARTE DALL’ALTO

Lo scorso febbraio una banda di truffatori ha messo in scena un inganno sofisticato e al tempo stesso inquietante, contattando al telefono diversi imprenditori italiani, utilizzando la voce di Guido Crosetto, titolare del Ministero della Difesa – o quella di un suo collaboratore – perfettamente riprodotta con strumenti di intelligenza artificiale. Al telefono gli “scammer” mettevano in scena emergenze drammatiche come presunti rapimenti di cittadini illustri in Medio Oriente o giornalisti in pericolo di vita. E con toni concitati chiedevano trasferimenti immediati di denaro su conti esteri, presentati come riscatti, promettendo che le somme sarebbero state restituite o compensate dalla stessa Banca d’Italia. A finire nel mirino non piccoli imprenditori, ma alcuni dei nomi più noti dell’industria e della moda italiana: Giorgio Armani, Patrizio Bertelli, Marco Tronchetti Provera, Diego Della Valle, e ancora famiglie come Aleotti, Beretta, Caltagirone. Secondo le ricostruzioni, almeno un imprenditore, Massimo Moratti, sarebbe caduto nella trappola, autorizzando un versamento di circa un milione di euro in due tranche su un conto indicato dagli estorsori.

La formazione, da sola, evidentemente non basta. Anche se tutti i dipendenti partecipano ai corsi di cybersecurity, un singolo comportamento superficiale ai vertici può mettere in pericolo l’intera organizzazione. Quello che spesso non si dice è che anche i top manager non sono immuni alle truffe. In realtà la vicenda dimostra che anche personalità con risorse elevate e grande esperienza possono cadere in trappola, se le procedure aziendali non prevedono controlli adeguati anche per le richieste che sembrano provenire dal management stesso. Senza una regia che guidi comportamenti e decisioni, il rischio cresce in modo esponenziale. I comportamenti dei vertici possono innescare comportamenti pericolosi a cascata. Quando un dirigente condivide la password con l’assistente “per fare prima” o quando ignora gli avvisi dell’IT e ironizza su chi segnala un rischio, legittima quella stessa leggerezza nell’intera organizzazione. Il booster di credibilità immesso dalla leadership gioca un ruolo importante. Il CEO che partecipa a un’esercitazione di phishing accanto ai colleghi o il direttore che ammette di aver sbagliato e racconta cosa ha imparato trasmettono autenticità e responsabilità che nessuna slide può sostituire.

«La cultura della sicurezza non può essere imposta né riservata a figure tecniche o specifiche» – sottolinea Littardi di NovaNext. «Per funzionare davvero, serve il coinvolgimento di tutta l’organizzazione, a partire dai vertici. Il top management orienta le priorità, comunica con coerenza e dimostra con l’esempio che la sicurezza è un valore strategico. Partecipazione visibile, supporto alle policy e coerenza nella comunicazione interna sono leve fondamentali per modellare comportamenti diffusi. Il supporto del top management legittima l’iniziativa e ne facilita l’integrazione nei valori aziendali».

Leggi anche:  VIDEO - Franco Bernabè interviene a WeChangeIT Forum 2024

L’equivoco è pensare che formare dipendenti e collaboratori in materia di cybersecurity significhi insegnare loro le funzionalità dei protocolli di rete o la configurazione di un firewall. Non è così. La formazione efficace passa dalla capacità di far comprendere la logica degli attacchi: come, quando e perché un hacker prova a colpire, quali leve psicologiche sfrutta, quali scenari costruisce. La minaccia oggi è soprattutto psicologica, sociale, contestuale. Il malware più sofisticato può essere meno pericoloso di un’email di phishing ben costruita che fa leva sull’ansia, sull’urgenza o sulla curiosità del destinatario. Gli attacchi, più che codice sono storie. Di fiducia tradita, di allettanti opportunità, di scelte rapide fatte sotto pressione. Raccontarle significa trasformare dati e procedure astratte in esperienze vissute, facendo comprendere al dipendente cosa non fare, ma soprattutto come ragiona chi attacca. A loro volta, le esercitazioni realistiche, i role-play, le simulazioni immersive sono strumenti narrativi. Creano esperienze che coinvolgono emotivamente chi le affronta, e permettono di esercitare il pensiero critico in contesti sicuri.

RESPONSABILITÀ TRASVERSALE

Nel dialogo con le aziende utenti, i vendor sanno quanto è difficile superare la convinzione che la sicurezza sia solo una responsabilità dell’IT. «Una percezione che deriva in molti casi da strutture organizzative nelle quali i dipartimenti IT sono effettivamente i principali custodi degli asset digitali e dell’infrastruttura» – spiega Paolo Lossa, country sales director di CyberArk Italia. «Tuttavia, il panorama delle minacce è radicalmente cambiato. Oggi, ogni dipendente, interagisce con sistemi digitali, gestisce dati sensibili e rappresenta un potenziale punto di accesso per gli attaccanti».

Secondo Lossa, il modo migliore per far capire alle aziende questo cambiamento è attraverso casi pratici e dati oggettivi. «L’identità è il nuovo perimetro. Con l’erosione dei confini di rete tradizionali, le identità – uomo e macchina – sono la principale superficie di attacco. Chiunque disponga di un’identità ha un ruolo nella postura complessiva di sicurezza dell’azienda». L’errore umano è una delle cause principali di violazioni e attacchi. «Non si tratta di attribuire colpe, ma di condividere il rischio» – afferma Lossa. «La sicurezza, se interpretata come responsabilità condivisa, si trasforma da costo a fattore abilitante per il business, promuovendo fiducia, conformità e resilienza. In questo modo, il focus si sposta da “problema dell’IT” a “rischio e opportunità collettiva dell’azienda”. E la sicurezza si trasforma in un ecosistema condiviso nel quale la tecnologia fornisce la struttura, ma la vigilanza e la comprensione umana completano il quadro».

Quando la sicurezza dipende da ciascuno, ogni comportamento individuale contribuisce alla responsabilità complessiva. «Il fattore umano ha un ruolo chiave nella messa in sicurezza di un’organizzazione» – afferma Naccazzani, AD di Akito. «Puntare sulla formazione per accrescere la consapevolezza è parte di una vera strategia di prevenzione efficace, e rappresenta un investimento contenuto se confrontato al costo economico e reputazionale di un attacco». Anche per Barracuda Networks, la cybersecurity awareness è un pilastro strategico. E occorre superare la convinzione che la sicurezza sia solo appannaggio dell’IT. «Ogni dipendente è il primo anello della catena di difesa, che è completa solo quando ciascuno è responsabilizzato» – ribadisce Pinato. «La sicurezza deve essere integrata nel lavoro di tutte le funzioni. Attraverso esempi concreti di social engineering o data breach, rendiamo tangibili le conseguenze degli errori umani». L’investimento in formazione crea una sorta di firewall umano: «Dimostrare il suo impatto economico rafforza la strategia aziendale» – spiega Pinato. «Un utente consapevole può intercettare una minaccia prima che raggiunga i sistemi, prevenendo costi enormi legati a downtime, ripristino dati e danni reputazionali. Solo la combinazione di strumenti avanzati – email security, XDR, Zero Trust – e di una cultura della sicurezza diffusa può rendere un’azienda veramente resiliente».

PROVE DI RESILIENZA

Immaginiamo un teatro. La scenografia è perfetta, i fari sono accesi, le quinte pronte a svelarsi. Il regista ha tutto sotto controllo. C’è solo un piccolo problema: gli attori non conoscono la parte. C’è chi dimentica le battute, chi esce di scena al momento sbagliato, un terzo si lascia ingannare da un finto tecnico che gli porge un microfono manomesso. Il risultato non è difficile da immaginare. Ora mettiamoci una fabbrica, un ospedale, una banca. Adesso facciamo lo sforzo di sostituire i costumi con le credenziali di accesso, i microfoni con i terminali industriali e gli attori con i dipendenti. Quando un’azienda investe in tecnologia, ma non in formazione, è molto probabile che accada qualcosa di simile.

La cybersecurity è una prova collettiva, un impegno per difendere la continuità dell’impresa e in definitiva il proprio posto di lavoro. La responsabilità è distribuita, perché la sicurezza non si delega. È una cultura che si deve respirare in ogni reparto, in ogni ruolo. Un linguaggio, fatto di attenzione, prudenza, collaborazione, esercizio quotidiano. Il vero obiettivo della formazione è creare una grammatica condivisa che permetta a tutti – dal CEO all’ultimo stagista – di capirsi, riconoscere i segnali e agire in maniera coordinata.