Pensiamo all’ultima volta in cui sei stato sul punto di cadere in una mail sospetta. Probabilmente sapevi, in astratto, che le mail false esistono. Avevi letto qualcosa sul phishing, forse avevi persino fatto una formazione. Eppure, per un istante, il tuo dito si è mosso verso il link. Come si spiega quella distanza tra ciò che sappiamo e ciò che facciamo?
La risposta mette a disagio l’intuizione di molti programmi di sicurezza, che danno per scontato che informare basti a proteggere. Ma il phishing non è, alla radice, un problema di conoscenza. È un problema di come decidiamo. E capire questa differenza cambia completamente il modo di pensare la Cybersecurity awareness.
Perché sapere non equivale a essere al sicuro?
Le persone non prendono la maggior parte delle decisioni in modo deliberato. La scienza del comportamento descrive due modalità di elaborazione: una rapida, automatica e intuitiva, che opera quasi senza sforzo, e una lenta, analitica e consapevole, che richiede attenzione ed energia. Passiamo buona parte della giornata funzionando nella prima, perché ragionare tutto nel dettaglio sarebbe sfiancante e impraticabile.
Quella modalità automatica è efficiente e, quasi sempre, adattiva. Ci permette di rispondere a decine di mail, riconoscere un logo noto o seguire un’istruzione “urgente” senza fermarci a ogni passo. Il problema è che il phishing è progettato proprio per operare lì: nella corsia veloce, dove non c’è analisi. Un attaccante competente non cerca di ingannare il tuo ragionamento. Cerca di fare in modo che tu non lo attivi mai.
Per questo la conoscenza, da sola, offre meno protezione di quanto crediamo. Sapere che il phishing esiste vive nella modalità riflessiva, ma il momento del click avviene nella modalità automatica. Tra le due c’è uno scarto, ed è in quello scarto che accade l’incidente.
Quali condizioni ci fanno decidere in automatico?
Se il rischio compare quando non stiamo riflettendo, la domanda utile è: cosa ci spinge nella modalità automatica? La risposta ha poco a che vedere con l’intelligenza o la volontà, e molto con il contesto.
- Il carico cognitivo. Quando seguiamo più cose contemporaneamente, la capacità di analisi disponibile si riduce. Una mail che arriva nel mezzo di una riunione, tra altre cinquanta attività, non ha quasi alcuna possibilità di essere esaminata.
- La pressione del tempo. L’urgenza è l’ingrediente preferito dell’ingegneria sociale proprio perché disattiva la riflessione. Frasi come “hai due ore per rispondere” funzionano esattamente perché spingono ad agire prima di pensare.
- La familiarità. Riconoscere un logo, un nome o un formato abituale attiva una sensazione di sicurezza che l’attaccante sfrutta. Ciò che è noto viene elaborato in fretta, e ciò che è rapido non viene messo in discussione.
- La routine. Facciamo la stessa cosa così tante volte che smettiamo di guardarla. La duecentesima mail della giornata non riceve la stessa attenzione della prima.
Non è un caso che il Verizon DBIR 2026 registri tassi di click più alti negli attacchi rivolti al mobile: il telefono è dove operiamo di più al volo, con l’attenzione divisa e poco margine per la modalità riflessiva.
Nessuna di queste condizioni è un difetto della persona. Sono tratti normali di come funziona l’attenzione umana. L’errore sta nel progettare programmi di sicurezza che ignorano questo funzionamento e poi si stupiscono che le persone “non imparino”.
Perché colpevolizzare l’utente è una diagnosi sbagliata?
Quando qualcuno cade in una simulazione o in un attacco reale, la reazione frequente è leggerlo come mancanza di attenzione o di criterio. Ma se il meccanismo che ha fallito è l’elaborazione automatica (la stessa che ci permette di funzionare per il resto della giornata), colpevolizzare la persona è come rimproverare qualcuno per il fatto di respirare.
Quello sguardo, inoltre, è controproducente. La paura della sanzione non migliora l’attenzione; ciò che fa è spingere la persona a nascondere l’errore. E un errore nascosto è molto più pericoloso di uno segnalato in tempo. L’ho sviluppato dall’angolazione organizzativa in il rischio umano in cybersecurity, ma qui conta la conseguenza psicologica: una cultura punitiva allena l’occultamento, non la prudenza.
Come si allena un comportamento che avviene in automatico?
Se il problema non è di conoscenza, neppure la soluzione può essere solo più informazione. Non basta spiegare meglio cos’è il phishing. Bisogna intervenire nel momento e nel modo in cui si decide.
La ciberpsicologia suggerisce una strada diversa: invece di chiedere alle persone di stare sempre all’erta (qualcosa che nessun cervello può sostenere), conviene progettare piccole spinte che reintroducano un istante di riflessione proprio dove la corsia automatica sta per agire. È la logica dei nudge nella cybersecurity: non puntano a insegnare un dato, ma a creare una micro-pausa che restituisca per un secondo il controllo alla modalità consapevole.
Quel secondo è tutto. La differenza tra cadere e segnalare di solito non sta in quanto sa la persona, ma nel fatto che qualcosa l’abbia fatta fermare prima di agire. Per questo l’apprendimento più efficace non arriva in una formazione fissata settimane dopo, ma nel momento esatto dell’errore, quando l’attenzione è alta e l’esperienza è vivida.
Come affronta tutto questo SMARTFENSE?
In SMARTFENSE lavoriamo su questa premessa: i contenuti di Cybersecurity awareness non sono pensati per riempire le persone di informazioni, ma per attivare la riflessione nell’istante in cui conta di più. Le simulazioni riproducono le condizioni reali in cui decidiamo in automatico, e il momento educativo successivo interviene quando l’apprendimento può fissarsi, senza tono punitivo e con l’attenzione sul riflesso di fermarsi e segnalare. Non si tratta di far sapere di più alle persone, ma di fare in modo che, davanti alla prossima mail, dispongano di quel secondo di pausa che cambia la decisione.
Il phishing continuerà a puntare alla corsia veloce, perché è lì che siamo prevedibili. La Cybersecurity awareness, intesa bene, lavora con la natura dell’attenzione umana invece di combatterla. Sapere non ci rende invulnerabili. Fermarci in tempo, sì.
Lascia un commento