Sono le 16:40 di un martedì e una persona sta chiudendo le schede per uscire in orario. Arriva un’email dall’”ufficio pagamenti”: c’è una fattura bloccata e un link che promette di sbloccarla in due clic. Il cursore sta già andando verso il pulsante. Non è che non sappia cos’è il phishing. Ha fatto la formazione a marzo e ha pure preso un buon voto. Ma marzo sembra lontanissimo alle 16:40 di un martedì, con la testa già sul tragitto verso casa.
Ciò che decide quell’istante non è quello che la persona ha imparato tre mesi fa. È ciò che appare, o non appare, sullo schermo proprio alle 16:40. Ed è lì, in quel secondo in cui la decisione è ancora aperta, che un nudge si vince o si perde.
Un nudge è una spinta gentile, un promemoria o un’idea breve che cerca di inclinare una decisione di sicurezza verso il lato giusto senza obbligare a nulla. Non è un rimprovero né un avviso tecnico. Ed ecco la parte che tendiamo a saltare: per quanto sia ben scritto, se arriva nel momento sbagliato non cambia nulla. Lo stesso testo, alle 16:40 o tre giorni prima, non gioca la stessa partita.
Perché un nudge dipende così tanto dal momento?
Quasi nessuna decisione di sicurezza è deliberata. Davanti a un’email, la maggior parte delle persone non ragiona: reagisce. È il sistema rapido che descrive l’economia comportamentale, quel pilota automatico che ci permette di risolvere cento microdecisioni al giorno senza fonderci, ed è anche il primo a inciampare quando qualcuno aggiunge urgenza.
Un nudge funziona quando si infila in quel riflesso, proprio prima che il clic avvenga. Un messaggio impeccabile arrivato lunedì mattina, sepolto sotto quaranta email non lette, non è presente il martedì alle 16:40. E la presenza, qui, è quasi tutto.
Non è solo intuizione. C’è una ricerca sulla formazione antiphishing integrata, quella che arriva proprio quando qualcuno cade in un phishing simulato. Lo studio (Lain et al., presentato a ACM CCS 2024) ha trovato qualcosa di scomodo per chi punta tutto sul materiale: ciò che rende efficace quella formazione non è il suo contenuto, che quasi nessuno consuma per mancanza di tempo, ma il suo effetto promemoria, il segnale periodico che la minaccia è ancora lì. Gli autori lo dicono senza giri di parole: il phishing è un problema di attenzione, non di conoscenza. E l’attenzione non vive in un PDF, vive in un momento. Se ti interessa il dibattito di fondo su se i nudge funzionano, lo abbiamo aperto in un altro articolo.
In cosa si distingue da un momento educativo?
Conviene non confondere due cose che arrivano in tempi diversi. Il nudge appare alle 16:40, mentre la mano esita ancora. Il momento educativo appare il mercoledì, quando il clic è già avvenuto e tocca capire, senza drammi, cosa è successo.
Uno previene a caldo, l’altro ripara a freddo. Entrambi insegnano, e un programma sano usa tutti e due. Il problema inizia quando si chiede a uno il lavoro dell’altro: un momento educativo non evita il clic di oggi, e un nudge non sostituisce la spiegazione che servirà domani.
Quando un nudge arriva nel momento giusto?
La risposta breve: quando lo fa scattare qualcosa che la persona ha appena fatto, non il calendario.
Ogni nudge si aggancia a un trigger, cioè la combinazione di un tipo di contenuto e un’azione concreta. Tre esempi per capirlo:
- Qualcuno apre un phishing simulato e, invece di un rimprovero, riceve un nudge che lo invita a guardare mittente, urgenza e link prima di proseguire.
- Qualcuno finisce un corso e riceve un rinforzo che fissa ciò che ha appena visto, quando è ancora fresco.
- Qualcuno non supera un esame e riceve un messaggio che lo incoraggia a riprovare, senza rimprovero.
Nella piattaforma di SMARTFENSE questo si traduce in una cinquantina di trigger distribuiti tra i contenuti: phishing, corsi, esami, ransomware, newsletter e diversi altri. Il filo comune è che il nudge nasce da qualcosa che la persona ha appena fatto, un comportamento osservabile, e per questo arriva quando c’è ancora una decisione davanti o un apprendimento caldo da fissare. Intervenire su ciò che la persona fa, e non su ciò che supponiamo provi, è la stessa logica che regge un programma di cambiamento del comportamento che si prende sul serio.
Perché un nudge fuori tempo diventa rumore?
Ecco il lato di cui quasi nessuno parla. Un nudge mal cronometrato non è neutro. Sottrae.
Quando i messaggi arrivano sciolti, in blocco e senza relazione con ciò che la persona sta facendo, il cervello fa ciò che sa fare meglio: smette di vederli. È la stessa cecità che abbiamo con i banner, dove ciò che si ripete senza conseguenze diventa invisibile. E subito dietro quella cecità arriva la fatica, quel punto in cui un promemoria in più è un fastidio in più, e la persona finisce per ignorare l’intera fonte, compreso l’avviso che questa volta contava davvero.
Per questo inviare meglio non è inviare di più. È presentarsi nel momento e scegliere con cura quali. Che ogni nudge scatti su un fatto puntuale, che sia breve e che ogni organizzazione accenda solo quelli che servono alla sua gente. Un nudge che ha cura dell’attenzione della persona se la conserva per quando serve davvero.
Come si costruisce un programma che si presenti nel momento giusto?
Tre decisioni fanno la differenza.
Agganciare l’invio a un comportamento osservabile. Se non si può registrare che la persona ha aperto l’allegato, ha segnalato l’email o ha finito il modulo, non c’è un momento a cui aggrapparsi. Il trigger ha bisogno di un fatto, non di una data in agenda.
Arrivare dove la persona già è. Un nudge rende di più nel luogo di lavoro reale. Per questo appare nell’email, e anche in Slack o Teams quando l’organizzazione li usa, invece di inaugurare un canale nuovo che nessuno guarda.
Parlare alla persona, non alla media. Lo stesso nudge può essere personalizzato con il nome e uscire nella lingua di ciascuno, da solo. Un messaggio che si sente proprio viene letto; uno generico ingrossa il rumore.
SMARTFENSE include più di trenta nudge pronti all’uso e la possibilità di crearne di propri, tutti legati a quei trigger di comportamento. Ma lo strumento conta molto meno del principio: misurare ciò che la persona fa e presentarsi nell’istante in cui quell’informazione può ancora piegare una decisione. È lo stesso confine che percorriamo quando parliamo del rischio umano prima del clic.
Il contenuto propone, il momento decide
Un nudge brillante fuori tempo è un buon messaggio buttato via. Uno semplice nel secondo giusto cambia ciò che succede dopo. Prima di rifinire la prossima frase brillante, c’è una domanda più economica che vale la pena farsi: questo apparirà mentre c’è ancora qualcosa da decidere? Se la risposta è sì, il contenuto fa la sua parte. Se è no, non importa quanto sia buono: è arrivato a partita finita.
Per vedere come funzionano questi interventi dentro un programma, il catalogo di strumenti di Cybersecurity awareness e valutazione di SMARTFENSE mostra i nudge accanto agli altri formati che reggono il cambiamento del comportamento.
Domande frequenti
Che cos’è un nudge nella cybersecurity?
Un nudge è un messaggio breve e contestuale (un promemoria, una domanda o un’idea) che mira a influenzare positivamente una decisione di sicurezza senza imporre nulla. Non è una punizione né un avviso tecnico, ma una spinta gentile che arriva quando c’è ancora una decisione da prendere.
Perché il momento di un nudge conta più del suo contenuto?
Perché le decisioni di sicurezza si prendono in pochi secondi, con il sistema rapido e intuitivo del cervello. Un nudge cambia quella decisione solo se interrompe il pilota automatico nell’istante esatto in cui la persona sta per agire. Lo stesso messaggio, arrivato tre giorni prima o in un riepilogo mensile, perde tutta la sua forza.
Che differenza c’è tra un nudge e un momento educativo?
Il nudge agisce prima, mentre la decisione è ancora aperta; il momento educativo agisce dopo, quando qualcosa è già andato storto e conviene capire cosa è successo e perché. Il nudge previene a caldo; il momento educativo ripara a freddo. Si completano, ma intervengono in tempi diversi.
I nudge sovraccaricano le persone?
Solo se vengono inviati male. Un nudge fuori tempo, scollegato da ciò che la persona sta facendo, viene filtrato come qualsiasi messaggio ripetuto e genera fatica. Progettato bene, scatta su un evento puntuale, resta breve e l’organizzazione attiva solo quelli che hanno senso, così rispetta l’attenzione invece di consumarla.
Lascia un commento