Immaginiamo una scena che si ripete ogni anno in migliaia di organizzazioni. Un collaboratore apre il modulo obbligatorio di sensibilizzazione. Legge che il phishing è pericoloso, che bisogna controllare il mittente, che le password non si condividono mai. Passa alla diapositiva successiva. Appare un video di tre minuti. Altra diapositiva. Un quiz con quattro opzioni, tre ovviamente sbagliate. Segna la risposta corretta in venti secondi, ottiene il certificato e torna a lavorare.
Il lunedì successivo, alle nove del mattino, riceve un’email che recita “fattura scaduta – azione immediata”. Clicca. Non è che non sapesse cos’è il phishing. Lo aveva visto venerdì. È che non aveva mai praticato la decisione di non cliccare in un contesto reale.
Questo è il vuoto silenzioso della sensibilizzazione tradizionale. Un programma può rispettare le ore, superare l’audit e lasciare allo stesso tempo il comportamento dei collaboratori esattamente dov’era. Per chiudere quel vuoto serve un cambiamento che non sta nel contenuto, ma in come lo si presenta. È qui che entrano in gioco le diapositive interattive.
Perché l’e-learning tradizionale sulla cybersecurity non cambia i comportamenti?
Daniel Kahneman ha descritto due sistemi di pensiero: un Sistema 1 rapido, automatico ed emotivo, e un Sistema 2 lento, deliberato e analitico. Le decisioni critiche di cybersecurity avvengono quasi sempre nel Sistema 1. Quando arriva l’email urgente, quando squilla il telefono con una voce familiare, quando appare il pulsante rosso che chiede un’azione immediata, il cervello non sta analizzando con calma i segnali. Sta reagendo.
Il problema è che l’e-learning classico allena il Sistema 2. Lettura, video, quiz a scelta multipla. Tutto quel contenuto viene elaborato nella modalità lenta del cervello: quella che interviene quando c’è tempo per pensare. E il lunedì mattina, davanti a un’email sospetta, non è quella la modalità che decide.
Il risultato è conosciuto: i programmi informano sui rischi, ma le risposte automatiche non cambiano. Si soddisfa il requisito normativo; non si riduce il rischio reale.
Imparare facendo, non leggendo
La differenza tra informare e addestrare è la stessa che c’è tra leggere un manuale di navigazione e salire su una barca a vela. Una persona può conoscere a memoria la teoria dei nodi e, quando la corda è nelle sue mani con il vento di traverso, non sapere da dove cominciare. Il cervello impara a decidere nel contesto in cui dovrà decidere.
È quello che cerca un modulo di sensibilizzazione ben progettato: riprodurre lo scenario, non descriverlo. Il collaboratore non legge cos’è un’email fraudolenta: la guarda, la analizza, segna i segnali. Non ascolta cosa fare davanti a un incidente di ransomware: vede la schermata rossa, sente la pressione del tempo, decide il primo passo.
Quando la pratica avviene nel contesto, l’allenamento si archivia nel sistema che poi reagirà. È lo stesso principio che applica qualsiasi disciplina presa sul serio: i piloti si addestrano nei simulatori, non nei libri di testo. La sensibilizzazione sulla cybersecurity merita lo stesso livello di rigore didattico.
Varietà che sostiene l’attenzione
L’altro nemico dell’e-learning tradizionale è la prevedibilità. Quando la terza diapositiva somiglia alla seconda, e la quarta alla terza, il cervello entra in pilota automatico: legge senza leggere, clicca senza guardare, aspetta la prossima schermata. L’apprendimento si spegne prima di arrivare al quiz finale.
Rompere quell’inerzia richiede una vera varietà di formati. Non cambiare il colore di sfondo. Cambiare il tipo di attività mentale che si chiede all’utente. Una diapositiva mette il collaboratore a identificare segnali in un’email. La successiva gli chiede di classificare informazioni come confidenziali o pubbliche. Quella dopo lo porta in una scena di ufficio virtuale a individuare rischi fisici. Ogni schermata attiva un processo cognitivo diverso.
La curiosità si mantiene perché l’utente non sa cosa arriverà dopo. E quella curiosità, come ho esplorato in altri articoli sull’apprendimento basato sul gioco e sulla ludicizzazione applicata alla sensibilizzazione, è esattamente lo stato mentale in cui il cervello fissa nuovi apprendimenti. Senza curiosità, non c’è memoria a lungo termine.
Feedback che accompagna, non che giudica
C’è una decisione di tono nei moduli interattivi che sembra piccola e non lo è: come ci si rivolge all’utente quando sbaglia.
La reazione istintiva di molti progetti è segnare l’errore con il rosso, un punto esclamativo e una frase correttiva. “Errore. Devi sempre segnalare i tentativi di phishing.” Suona fermo e didattico, ma produce l’effetto opposto a quello voluto: aumenta l’ansia dell’apprendimento e riduce la disponibilità a provare. L’utente impara che sbagliare fa male, non che sbagliare insegna.
L’alternativa è riconoscere prima ciò che si è fatto bene. Se qualcuno ha chiuso una chiamata sospetta ma non l’ha segnalata, il feedback utile non è “te ne sei dimenticato”. È: “hai chiuso la chiamata, questo è stato corretto. Il passo che manca è segnalarla al team IT”. Il messaggio è lo stesso; l’impronta emotiva è diversa. In uno, l’errore chiude la porta. Nell’altro, la lascia aperta.
Questo principio, accompagnare invece di giudicare, è al centro dei momenti educativi e dei nudge, gli interventi brevi che modellano comportamenti senza affrontarli direttamente. La sensibilizzazione non è un esame. È un processo di costruzione di cultura, e la cultura non si costruisce con i rimproveri.
Tre momenti di allenamento, raccontati come esperienza
Il modo migliore per mostrare come cambia l’e-learning interattivo è raccontare cosa vive il collaboratore davanti allo schermo. Abbiamo scelto tre scene della nuova libreria di diapositive interattive di SMARTFENSE, progettata con oltre quaranta risorse e ventisei diversi tipi di interazione.
Simulatore di incidente: ransomware. Appare una schermata nera con un messaggio in rosso: “I tuoi file sono stati cifrati!”. Un conto alla rovescia parte da trentatré secondi. Sotto, una domanda semplice: qual è la tua PRIMA azione?. Quattro opzioni, alcune plausibili, una corretta. Il collaboratore deve decidere sotto la stessa pressione temporale che sentirebbe nel momento reale dell’attacco. La risposta corretta non si impara in astratto. Si allena dove servirà.
Alloggio reale o generato con IA? Appare la foto di un soggiorno ampio, con un divano grigio, una tavola da surf appesa al muro e un paio di piante. Due pulsanti sotto: reale o generato con IA. Poi un’altra immagine. Poi un audio. Poi un video. Il collaboratore allena l’occhio e l’orecchio per una minaccia che tre anni fa non esisteva: la frode con contenuti sintetici, usata oggi sia nelle truffe immobiliari sia nell’impersonificazione vocale di familiari.
Chat di ingegneria sociale. Si apre un’interfaccia di messaggistica. L’attaccante inizia amichevole, quasi innocente. Un messaggio, due messaggi, cinque messaggi. Il collaboratore risponde riga per riga e vede come una conversazione ordinaria scala fino a trasformarsi in una richiesta specifica di informazioni confidenziali. Quello che un bullet descriverebbe come “gli attaccanti manipolano la fiducia nel tempo” diventa un’esperienza concreta: la fiducia, in effetti, si costruisce a piccoli passi. E l’apprendimento si deposita in un’altra parte del cervello.
Cosa cambia quando la sensibilizzazione smette di essere una formalità
Un programma di sensibilizzazione smette di essere una formalità quando i collaboratori possono raccontare cosa hanno imparato il lunedì mattina, non quante ore hanno accumulato a fine anno. Per arrivare a quel risultato, il contenuto non basta. Serve un modo di presentarlo che attivi il Sistema 1, sostenga l’attenzione e trasformi ogni errore in una porta aperta.
Per l’organizzazione, il cambiamento si misura anche nel reporting. Quando ogni diapositiva interattiva registra performance granulari (quali segnali di phishing sono stati ignorati, in quale punto si è interrotta la conversazione di ingegneria sociale, quante volte l’utente ha confuso contenuto generato con IA con contenuto reale), il responsabile della sicurezza ha informazione utilizzabile, non solo un “modulo completato”. Passa dal sapere che le persone hanno fatto il corso al sapere cosa non hanno imparato e dove intervenire. E quella differenza, come discusso parlando di come misurare ciò che conta in un programma di awareness, è quella che separa i programmi che si presentano bene in audit da quelli che riducono effettivamente il rischio.
L’invito è semplice: provare in prima persona la nuova libreria di diapositive interattive all’interno di SMARTFENSE e vedere cosa cambia quando l’e-learning smette di chiedere attenzione e inizia a chiedere decisioni.
Lascia un commento