La sessione obbligatoria di sicurezza inizia alle dieci del mattino. Trenta persone in una sala. Slide piene di bullet, una voce che ripete le stesse regole dell’anno scorso, caffè tiepido. Alle dieci e un quarto, la maggior parte sta già rispondendo alle email dal cellulare sotto il tavolo.
Cambiamo scena. Stessa sala, stessa ora, ma ora qualcuno proietta la prima pagina di un fumetto: una città oscura, una torre imponente, un cassiere di banca che ha appena visto la propria azienda crollare dopo un cyberattacco. La sala cade in silenzio. Vogliono sapere cosa succede dopo.
Stesso tema. Stesso obiettivo formativo. Risultati molto diversi. La domanda è perché.
I fumetti nella Cybersecurity awareness attivano, contemporaneamente, tre meccanismi cognitivi ben studiati che la formazione tradizionale raramente riesce a innescare insieme. È quella sovrapposizione a spiegare la differenza. Vale la pena vederli uno alla volta.
Perché un fumetto supera la barriera del “lo so già”?
Il primo meccanismo si chiama trasporto narrativo: lo stato mentale in cui una persona finisce dentro una storia, perde la cognizione del tempo e abbassa le difese critiche verso il messaggio. L’hanno descritto Melanie Green e Timothy Brock in un lavoro seminale pubblicato nel 2000 sul Journal of Personality and Social Psychology, e da allora è stato replicato in decine di contesti, fra cui la persuasione sanitaria, l’educazione civica e, più di recente, la formazione in sicurezza.
L’idea centrale è controintuitiva. Quando una persona ascolta un argomento diretto (per esempio, “non cliccare su link sospetti”), la mente attiva ciò che la psicologia cognitiva chiama controargomentazione: cerca ragioni per scartare il messaggio, lo confronta con ciò che già crede, lo etichetta come “ovvio” o “non riguarda me”. L’esito conosciuto nei programmi di awareness: la persona annuisce, firma il foglio presenze e torna alla casella di posta senza aver cambiato nulla.
Il racconto funziona diversamente. Una storia ben costruita assorbe l’attenzione prima che la mente abbia il tempo di alzare le difese. Mentre la persona vuole sapere se Will avrà il coraggio di agire dopo l’attacco alla banca, sta elaborando, senza accorgersene, concetti come ingegneria sociale, pressione psicologica dell’attaccante e conseguenze reali di un singolo clic. Il muro del “lo so già” non si abbatte a spallate: si aggira.
Questo spiega perché un fumetto di sei vignette può fissare un’idea che cento slide non sono riuscite a piazzare. E perché i formati che assomigliano di più a una storia (fumetto, video narrativo, apprendimento basato sul gioco) tendono a superare i formati puramente dichiarativi nei test di memorizzazione a medio termine.
Perché testo e immagine fissano di più di entrambi separati?
Il secondo meccanismo è la dual coding, una teoria che Allan Paivio iniziò a formulare negli anni Settanta e che resta una delle basi del multimedia learning. L’idea, in una frase citabile: la memoria umana elabora il linguaggio verbale e l’informazione visiva in due canali separati ma complementari, e l’informazione codificata in entrambi i canali viene recuperata con probabilità maggiore rispetto a quella codificata in uno solo.
Un paragrafo di istruzioni viene immagazzinato, se viene immagazzinato, come sequenza verbale. Un’immagine isolata si salva come rappresentazione visiva, ma perde il dettaglio concettuale. Una vignetta di fumetto, invece, costringe il cervello a integrare entrambe le cose: l’espressione del personaggio, il disegno dell’email sospetta sullo schermo e il testo del balloon che commenta ciò che sta accadendo. Quell’integrazione crea due strade di accesso al ricordo. Quando, settimane dopo, arriva un phishing reale, basta che una delle due strade si attivi perché la persona riconosca la scena.
Richard Mayer ha esteso questa linea con i suoi principi del multimedia learning, una serie di studi sperimentali su come la combinazione di parole e immagini massimizza la comprensione. Due dei suoi risultati sono particolarmente rilevanti per la awareness: le immagini funzionano meglio quando sono integrate con il testo nella stessa scena, e il sovraccarico testuale riduce l’efficacia del rinforzo visivo. È l’esatto opposto di una slide con bullet e una clip-art nell’angolo.
Per i team che producono contenuti, l’implicazione è chiara: il fumetto non compete con il manuale scritto né con il video sobrio. Svolge una funzione che nessuno dei due fa bene da solo, e per questo merita un posto nel catalogo dei formati di awareness accanto agli altri, non come sostituto.
Perché provare un dilemma in testa altrui cambia le decisioni proprie?
Il terzo meccanismo è il più sottile e, in sicurezza, forse il più importante. Si chiama identificazione con il personaggio ed è stato concettualizzato da Jonathan Cohen in un articolo influente del 2001. Identificarsi con un personaggio significa, in termini cognitivi, assumere temporaneamente la sua prospettiva: vedere il mondo con i suoi occhi, sentire le sue emozioni, anticipare le sue decisioni.
Questo conta perché la maggior parte degli errori di sicurezza non avviene per mancanza di informazione. Avviene perché, nel momento chiave, la persona è di fretta, distratta o emotivamente attivata (curiosità, urgenza, paura di un capo arrabbiato). Studiare elenchi di buone pratiche non addestra la mente a riconoscere quel momento. Vivere il dilemma, anche per interposta persona, sì.
Quando qualcuno vede Will esitare prima di cliccare, sta provando quell’esitazione nella propria testa. Quando vede Sara accorgersi di essere stata dalla parte sbagliata, sta provando la sensazione di scoprire un inganno. La psicologia cognitiva moderna chiama questo fenomeno simulazione mentale: usare il sistema immaginativo del cervello per far girare scenari mai vissuti fisicamente. E la simulazione mentale, quando si ripete, lascia tracce che assomigliano molto a quelle dell’esperienza diretta.
Questo si collega a qualcosa di cui abbiamo già parlato sul blog quando abbiamo trattato come i Nudge e i Momenti Educativi modellano il comportamento: i momenti educativi funzionano perché agganciano la persona nell’istante esatto dell’errore. Il fumetto aggiunge un pezzo diverso e precedente: permette di provare il momento dell’errore in un ambiente sicuro, prima che accada in produzione.
Come si nota tutto questo in una vera campagna di awareness?
I tre meccanismi non operano in astratto. Quando un team di sicurezza sostituisce una slide generica con un fumetto con personaggi riconoscibili, tendono ad apparire tre cambiamenti concreti: le persone arrivano alla fine del contenuto (i tassi di completamento salgono), il linguaggio del fumetto inizia a comparire nelle conversazioni di corridoio (“attento, sembra uno dei ciber-ninja”) e le segnalazioni di email sospette aumentano nei mesi successivi.
Uno studio pubblicato da Lain e colleghi alla conferenza ACM CCS 2024 (Content, Nudges and Incentives: A Study on the Effectiveness and Perception of Embedded Phishing Training) ha misurato, in una grande organizzazione, gli effetti comparati di diversi formati di formazione integrata nelle simulazioni di phishing. I formati narrativi e contestualizzati hanno superato in modo consistente quelli puramente informativi, sia nella riduzione dei clic successivi sia nell’aumento delle segnalazioni. La conclusione: il formato narrativo produce un tipo di apprendimento diverso da quello puramente informativo.
In SMARTFENSE produciamo fumetti propri (la prima stagione di La Lega della Cibergiustizia è ancora nel catalogo) proprio perché combinano i tre meccanismi in un unico formato: la trama trasporta, le vignette attivano la dual coding e i personaggi abilitano l’identificazione. È l’unico formato in cui abbiamo visto, con costanza, che lo stesso messaggio arrivi a profili molto diversi all’interno di una stessa organizzazione.
Cosa vale la pena portarsi a casa
Il fumetto non è un capriccio di catalogo né una concessione per rendere la formazione meno pesante. Svolge una funzione cognitiva che la formazione lineare non svolge, e la svolge in tre dimensioni simultanee:
- Trasporto narrativo: aggira le difese che la mente alza contro i messaggi diretti.
- Dual coding: lascia due strade di accesso al ricordo invece di una.
- Identificazione con i personaggi: permette di provare i dilemmi prima di viverli.
Mescolare i formati resta la ricetta migliore per un programma serio di awareness. Ma se il fumetto non è ancora entrato nel mix, i tre meccanismi descritti sopra sono una buona ragione per iniziare a pensare a dove inserirlo.
Lascia un commento