Errore umano, negligenza o intenzione non sono la stessa cosa

Bodegón cálido de un organizador de madera con tres sobres, dos de papel kraft iguales y uno distinto, azul con un sello, que resalta de los otros dos.

Errore umano, negligenza o intenzione non sono la stessa cosa

Errore umano, negligenza o intenzione non sono la stessa cosa

Quando qualcosa va storto nella sicurezza, la spiegazione arriva quasi da sola. È stato un errore umano. La frase rassicura perché chiude il caso prima di aprirlo. Nasconde però un problema, perché raccoglie sotto la stessa etichetta situazioni che si somigliano ben poco. La persona che clicca di fretta alla fine di una giornata lunga, quella che riutilizza una password perché nessuno le ha offerto niente di meglio e quella che copia un database la settimana prima di dimettersi condividono una parola e poco altro. Secondo il Verizon Data Breach Investigations Report, il fattore umano resta presente in una quota ampia delle violazioni analizzate ogni anno. Quel dato viene spesso letto come una condanna alle persone. Leggerlo così è, per l’appunto, il primo errore, e quello sì è nostro.

Cosa intendiamo per “errore umano”?

L’errore umano è lo scarto tra ciò che una persona voleva fare e ciò che è effettivamente accaduto. Definito con questa precisione, lascia fuori buona parte di ciò che di solito ci mettiamo dentro. La psicologia dell’errore lavora su questa distinzione da decenni. In Human Error (1990), James Reason ha distinto i fallimenti non intenzionali, le sviste e gli errori di chi cercava di fare bene, dalle violazioni, le deviazioni deliberate da una regola nota. Sono meccanismi diversi, con cause diverse, e per questo richiedono risposte diverse.

Il problema pratico è che l’etichetta “errore umano” cancella quel confine. Mette insieme chi ha sbagliato senza accorgersene, chi ha preso una scorciatoia consapevole e chi ha agito per fare danno. Quando la diagnosi è così grossolana, lo è anche il trattamento. E un trattamento grossolano tende a fallire con tutti e tre i casi insieme. Peggio ancora, nasconde l’organizzazione dietro la persona. Se tutto finisce per essere “errore umano”, non si rivede mai l’ambiente che ha reso probabile quell’errore.

In cosa si distinguono errore, negligenza e intenzione?

Conviene separare tre fenomeni che la conversazione quotidiana confonde.

L’errore si verifica quando la persona voleva fare la cosa giusta e ha fallito comunque. L’attenzione era frammentata, la capacità di analisi esaurita, un bias ha fatto il resto. Non c’è stata alcuna decisione di aggirare una regola. Il rischio umano nasce lì, prima del click, nelle condizioni in cui qualcuno decide davanti allo schermo.

La negligenza compare quando la persona conosceva la regola e ha scelto la via di minor resistenza. Raramente c’è malizia. Quasi sempre c’è un’organizzazione che ha messo la sicurezza a competere con il compito che quella persona deve consegnare oggi. Riutilizzare una password, rimandare un aggiornamento o condividere un accesso “solo per questa volta” sono scorciatoie che l’ambiente rende ragionevoli.

L’intenzione è un’altra cosa. Qui la persona cerca di causare un danno o di trarne un vantaggio. Sabotaggio, frode, furto di informazioni prima di un’uscita. È una minoranza dei casi, ma esiste, e non si corregge con una buona campagna di Cybersecurity awareness.

Messi in fila, la differenza si vede subito:

  • Errore: voleva fare bene e ha fallito. Cause tipiche: attenzione limitata, carico cognitivo, bias, pressione temporale.
  • Negligenza: conosceva la regola e ha preso una scorciatoia. Cause tipiche: attrito, incentivi dell’ambiente, abitudini, processi scomodi.
  • Intenzione: ha agito per ottenere un vantaggio o causare un danno. Cause tipiche: motivazione personale, opportunità, assenza di controlli.

Uno stesso fatto può ricadere in una qualunque delle tre categorie a seconda del contesto. Condividere una password con un collega è un errore di chi non sapeva che fosse vietato, una negligenza di chi lo sapeva e ha preferito risparmiarsi la trafila, o la prima mossa di una frode. L’azione osservabile è identica nei tre casi. Ciò che cambia è l’intenzione e le condizioni che la circondavano. Un registro che annota solo “password condivisa” perde quell’informazione proprio quando serve di più, e lascia chi indaga con un dato che non distingue niente. È questa la differenza tra un cruscotto che accusa e uno che spiega.

Quale intervento è adatto a ciascun tipo?

Distinguere serve a qualcosa di molto concreto. Ogni tipo si riduce con uno strumento diverso, e usare quello sbagliato spreca lo sforzo.

L’errore si affronta ridisegnando l’ambiente decisionale. Se qualcuno fallisce perché la sua attenzione era altrove, ripetergli la regola non cambia niente. Ciò che cambia è abbassare il carico cognitivo, aggiungere un segnale al momento giusto e trasformare ogni fallimento in un breve apprendimento. I nudge e i momenti educativi agiscono su questo tipo, non sugli altri due. Che il phishing non sia un problema di conoscenza è esattamente questo. La persona sa, e fallisce lo stesso, perché la conoscenza non governa la decisione sotto pressione.

La negligenza richiede di ridurre l’attrito del fare la cosa giusta e di sostenere la responsabilità senza punizione. Se una password unica è impossibile da ricordare, un gestore di password fa più di dieci promemoria. Se la scorciatoia è la corsia veloce, la corsia sicura deve essere anche la più comoda.

La punizione come intervento spinge a nascondere l’errore invece di segnalarlo, e un’organizzazione che non viene a sapere dei propri incidenti perde la sua migliore fonte di miglioramento. Per ridurre la negligenza, conviene rivedere quali scorciatoie premia senza rendersene conto, perché quasi sempre il comportamento non sicuro è anche il più rapido.

L’intenzione va oltre il programma di Cybersecurity awareness, e conviene dirlo con chiarezza. Di fronte a qualcuno deciso a fare danno, ciò che protegge sono i controlli tecnici, la gestione degli accessi e la capacità di rilevare comportamenti anomali in tempo. È lì che entrano il monitoraggio, i segnali di comportamento che il SIEM non vede da solo e la risposta agli incidenti. Chiedere a un corso di fermare un insider carica sulla Cybersecurity awareness un peso che non le spetta. Rilevare in tempo un download massivo di file o un accesso fuori orario non è compito di una campagna, ma della correlazione tra ciò che fanno le persone e ciò che registrano i sistemi.

Distinguere è una forma di rispetto?

Sì, ed è la parte che più spesso si trascura. Nominare bene ciò che è successo significa trattare la persona per ciò che ha fatto e non per la lettura peggiore disponibile. Confondere qualcuno sovraccarico con un sabotatore è ingiusto e anche inefficace. La risposta che merita il primo non funziona per il secondo. Il rispetto, in questo campo, è precisione prima che gentilezza.

Questa precisione serve anche a chi gestisce il programma. Un cruscotto che riporta “500 errori umani” non dice niente di azionabile. Uno che separa i fallimenti per attenzione, le scorciatoie per attrito e le condotte deliberate indica tre piani di lavoro diversi, con responsabili diversi. Distinguere protegge anche la funzione stessa di Cybersecurity awareness. Quando le si attribuisce tutto, compreso ciò che non può risolvere, la si finisce per giudicare per fallimenti che non le sono mai appartenuti, e si abbandona proprio lo strumento che riduce davvero gli errori e le negligenze.

I programmi di Cybersecurity awareness che progettiamo in SMARTFENSE partono da questa distinzione, perché un contenuto pensato per l’errore non rende quanto una simulazione che misura il comportamento reale. L’etichetta “errore umano” consola chi la usa e non aiuta chi la riceve. Iniziare a nominare bene ciò che è successo è dove comincia il lavoro serio.

Tatiana Stacul

Psicóloga cognitivo-conductual enfocada en comportamiento humano en entornos digitales: estudia cómo la atención, la carga cognitiva y la respuesta emocional al riesgo condicionan la toma de decisiones frente a la pantalla. Colabora con SMARTFENSE en el diseño de contenidos de concienciación en ciberseguridad y divulga sobre ciberpsicología y bienestar digital en Código Calma. Forma parte de Women4Cyber Sweden y Cibervoluntarios.

Lascia un commento