Un collaboratore apre il modulo obbligatorio di formazione. Legge che il phishing è pericoloso, che bisogna controllare il mittente, che le password non vanno mai condivise. Passa alla diapositiva successiva. Parte un video di tre minuti. Poi un’altra schermata. Infine, un quiz con quattro opzioni, tre palesemente sbagliate. Risponde in venti secondi, ottiene il certificato e torna al lavoro.
Il lunedì successivo, alle nove del mattino, riceve un’email con oggetto: “Fattura scaduta – azione immediata”. Clicca.
Non perché non sapesse cos’è il phishing. Lo aveva appena visto venerdì.
Il problema è che non aveva mai allenato la decisione di non cliccare in un contesto realistico.
Questo è il vuoto silenzioso dell’awareness tradizionale. Un programma può rispettare i requisiti formativi, superare un audit e lasciare il comportamento delle persone esattamente dov’era prima. Per colmare quel vuoto serve un cambio di approccio. Non tanto nei contenuti, ma nel modo in cui vengono proposti. È qui che entra in gioco l’e-learning interattivo.
Perché l’e-learning tradizionale spesso non cambia i comportamenti
Daniel Kahneman ha descritto due sistemi di pensiero:
- Sistema 1: rapido, automatico, intuitivo, emotivo
- Sistema 2: lento, riflessivo, analitico
Le decisioni critiche in ambito cyber avvengono quasi sempre nel Sistema 1.
Quando arriva un’email urgente, quando squilla il telefono con una voce apparentemente familiare, quando compare un pulsante rosso che richiede un’azione immediata, il cervello non si ferma a riflettere con calma. Reagisce.
Il problema è che l’e-learning classico allena soprattutto il Sistema 2:
- leggere contenuti
- guardare video
- rispondere a quiz teorici
Tutto questo accade in una modalità lenta e controllata. Ma nel momento reale del rischio non è quella modalità a decidere.
Il risultato è noto: i programmi informano, ma non trasformano i riflessi automatici.
Si soddisfa un requisito normativo, ma non si riduce il rischio concreto.
Imparare facendo, non solo leggendo
C’è la stessa differenza che passa tra leggere un manuale di vela e salire davvero su una barca con vento forte. Una persona può conoscere la teoria dei nodi a memoria e, nel momento pratico, non sapere da dove iniziare. Il cervello impara a decidere soprattutto nel contesto in cui dovrà poi agire.
Per questo un modulo di awareness efficace non si limita a spiegare uno scenario: lo ricrea. Il collaboratore non legge cos’è un’email fraudolenta: la osserva, la analizza, individua i segnali sospetti. Non ascolta cosa fare in caso di ransomware: vede la schermata di blocco, sente la pressione del tempo, sceglie la prima azione.
Quando la pratica avviene nel contesto corretto, l’apprendimento si consolida proprio nel sistema mentale che reagirà nella realtà. È lo stesso principio usato nei simulatori di volo: i piloti si addestrano in simulazione, non solo sui libri. La cyber awareness merita lo stesso rigore.
La varietà mantiene viva l’attenzione
Un altro limite dell’e-learning tradizionale è la prevedibilità. Quando la terza diapositiva assomiglia alla seconda, e la quarta alla terza, il cervello entra in modalità automatica: legge senza leggere, clicca senza osservare, aspetta la schermata finale.
L’apprendimento si spegne prima ancora del quiz conclusivo.
Per evitarlo serve vera varietà di formato. Non basta cambiare grafica o colori. Bisogna cambiare il tipo di attività mentale richiesta all’utente.
Una schermata può chiedere di riconoscere segnali di phishing. La successiva di classificare dati come pubblici o riservati. Quella dopo ancora può portare in un ufficio virtuale a individuare rischi fisici. Ogni passaggio attiva processi cognitivi diversi.
La curiosità si mantiene perché l’utente non sa cosa arriverà dopo. E quella curiosità, come ho esplorato in altri articoli sull’apprendimento basato sul gioco e sulla ludicizzazione applicata alla sensibilizzazione, è esattamente lo stato mentale in cui il cervello fissa nuovi apprendimenti. Senza curiosità, non c’è memoria a lungo termine.
Feedback che guida, non che giudica
Un dettaglio apparentemente minore fa una grande differenza: come si comunica l’errore.
Molti percorsi formativi reagiscono così: “Errore. Devi sempre segnalare i tentativi di phishing.”
È diretto, ma spesso controproducente. Aumenta l’ansia e riduce la disponibilità a sperimentare. L’utente impara che sbagliare è negativo, non che sbagliare può insegnare.
Un approccio più efficace è questo: “Hai interrotto la conversazione sospetta: ottima scelta. Il passaggio successivo è segnalarla al team IT.”
Il contenuto è lo stesso. Cambia l’impatto emotivo. Nel primo caso, l’errore chiude la porta. Nel secondo, apre una possibilità di miglioramento.
Questo principio, accompagnare invece di giudicare, è al centro dei momenti educativi e dei nudge, gli interventi brevi che modellano comportamenti senza affrontarli direttamente. La sensibilizzazione non è un esame. È un processo di costruzione di cultura, e la cultura non si costruisce con i rimproveri.
Tre esempi concreti di e-learning interattivo
Il modo migliore per mostrare come cambia l’e-learning interattivo è raccontare cosa vive il collaboratore davanti allo schermo. Abbiamo scelto tre scene della nuova libreria di diapositive interattive di SMARTFENSE, progettata con oltre quaranta risorse e ventisei diversi tipi di interazione.
Simulatore di incidente: ransomware. Appare una schermata nera con un messaggio in rosso: “I tuoi file sono stati cifrati!”. Un conto alla rovescia parte da trentatré secondi. Sotto, una domanda semplice: qual è la tua PRIMA azione?. Quattro opzioni, alcune plausibili, una corretta. Il collaboratore deve decidere sotto la stessa pressione temporale che sentirebbe nel momento reale dell’attacco. La risposta corretta non si impara in astratto. Si allena dove servirà.
Alloggio reale o generato con IA? Appare la foto di un soggiorno ampio, con un divano grigio, una tavola da surf appesa al muro e un paio di piante. Due pulsanti sotto: reale o generato con IA. Poi un’altra immagine. Poi un audio. Poi un video. Il collaboratore allena l’occhio e l’orecchio per una minaccia che tre anni fa non esisteva: la frode con contenuti sintetici, usata oggi sia nelle truffe immobiliari sia nell’impersonificazione vocale di familiari.
Chat di ingegneria sociale. Si apre un’interfaccia di messaggistica. L’attaccante inizia amichevole, quasi innocente. Un messaggio, due messaggi, cinque messaggi. Il collaboratore risponde riga per riga e vede come una conversazione ordinaria scala fino a trasformarsi in una richiesta specifica di informazioni confidenziali. Quello che un bullet descriverebbe come “gli attaccanti manipolano la fiducia nel tempo” diventa un’esperienza concreta: la fiducia, in effetti, si costruisce a piccoli passi. E l’apprendimento si deposita in un’altra parte del cervello.
Cosa cambia quando la sensibilizzazione smette di essere una formalità
Un programma di sensibilizzazione smette di essere una formalità quando i collaboratori possono raccontare cosa hanno imparato il lunedì mattina, non quante ore hanno accumulato a fine anno. Per arrivare a quel risultato, il contenuto non basta. Serve un modo di presentarlo che attivi il Sistema 1, sostenga l’attenzione e trasformi ogni errore in una porta aperta.
Per l’organizzazione, il cambiamento si misura anche nel reporting. Quando ogni diapositiva interattiva registra performance granulari (quali segnali di phishing sono stati ignorati, in quale punto si è interrotta la conversazione di ingegneria sociale, quante volte l’utente ha confuso contenuto generato con IA con contenuto reale), il responsabile della sicurezza ha informazione utilizzabile, non solo un “modulo completato”. Passa dal sapere che le persone hanno fatto il corso al sapere cosa non hanno imparato e dove intervenire. E quella differenza, come discusso parlando di come misurare ciò che conta in un programma di awareness, è quella che separa i programmi che si presentano bene in audit da quelli che riducono effettivamente il rischio.
L’invito è semplice: provare in prima persona la nuova libreria di diapositive interattive all’interno di SMARTFENSE e vedere cosa cambia quando l’e-learning smette di chiedere attenzione e inizia a chiedere decisioni.
Lascia un commento