Il 90% dei report di awareness che vedo parte dallo stesso punto: il click rate sulle simulazioni di phishing. In calo rispetto al periodo precedente, in aumento, stabile. Viene presentato in una slide con una percentuale grande, un colore verde o rosso, e una conclusione implicita: “siamo a posto” o “non siamo a posto”.
E con questo, la riunione di sicurezza va avanti.
Il problema è che quella metrica, da sola, non dice quasi nulla sullo stato reale del tuo programma di sensibilizzazione. Secondo il Verizon DBIR 2025, circa il 60% delle violazioni confermate coinvolge un’azione umana: un clic, una chiamata di ingegneria sociale, l’invio di dati al destinatario sbagliato. Se il rischio umano continua a rappresentare più della metà degli incidenti, basta misurare il click rate per sapere se il programma sta funzionando?
È come valutare la salute di una persona misurando solo la temperatura. Può essere un dato utile, ma se è l’unica cosa che guardi, trarrai conclusioni pericolosamente incomplete.
Cosa misura davvero il click rate?
Il click rate misura quanti utenti hanno cliccato un link all’interno di una simulazione di phishing. Né più né meno.
Non misura se gli utenti hanno imparato qualcosa. Non misura se hanno cambiato comportamento al di fuori della simulazione. Non misura se la tua organizzazione è più sicura di sei mesi fa. Misura un’azione puntuale, in un momento preciso, davanti a uno scenario specifico.
Inoltre, questa metrica è estremamente sensibile a fattori che non hanno nulla a che vedere con il livello di consapevolezza degli utenti:
- La difficoltà della simulazione. Un phishing che impersona il CEO con contesto interno avrà più clic di un generico “aggiorna la tua password”. Se ne hai inviato uno facile e il tasso è sceso, non è perché gli utenti sono migliorati. È perché il phishing era più evidente.
- I falsi positivi. Strumenti di sicurezza, sandbox e bot che interagiscono con i link prima degli utenti. Se non li filtri, le tue metriche sono contaminate da rumore che non rappresenta comportamento umano.
- Il momento dell’invio. Un lunedì alle 9 non produce gli stessi risultati di un venerdì alle 17. E questo non riflette differenze di consapevolezza, ma di attenzione disponibile.
Ci sono organizzazioni che dedicano settimane a preparare la simulazione perfetta e poi concentrano tutta l’attenzione su quell’unica metrica. È come allenarsi per una maratona e misurare solo la velocità del primo chilometro.
Quali metriche riflettono un reale cambiamento comportamentale?
Se stai cercando la prova che il tuo programma di awareness stia generando un cambiamento comportamentale sostenuto, che è, in definitiva, l’obiettivo reale, serve guardare un insieme più ampio di indicatori. Nessuno è perfetto preso singolarmente, ma combinati raccontano una storia molto più completa.
Tasso di segnalazione del phishing. Di tutte le metriche disponibili, è probabilmente la più sottovalutata. Un utente che segnala un’email sospetta sta dimostrando un comportamento attivo: non solo ha identificato la minaccia, ma ha fatto qualcosa al riguardo. Questa è cultura della sicurezza in azione.
Tempo di prima segnalazione. Non basta che gli utenti segnalino; conta quando lo fanno. Se la prima segnalazione arriva nei primi minuti, l’organizzazione ha una finestra di reazione reale. Se arriva tre giorni dopo, il danno di un attacco vero sarebbe già stato fatto. Questa metrica misura la velocità di risposta collettiva.
Recidività. Gli stessi utenti cadono più e più volte nelle stesse tecniche di persuasione? O migliorano nel tempo? Il tasso di recidività mostra se le azioni di sensibilizzazione hanno effetto sugli utenti che ne hanno più bisogno. Un programma che non muove questa metrica ha un problema di design, non degli utenti.
Correlazione tra sensibilizzazione e simulazione. Questa metrica incrocia due dimensioni: ciò che gli utenti sanno (valutato attraverso contenuti di awareness) con ciò che gli utenti fanno (misurato nelle simulazioni). Se un utente ha completato tutti i moduli ma continua a cadere nelle simulazioni, c’è un divario tra conoscenza e comportamento. Se un altro non ha completato nulla ma segnala correttamente, c’è un bias di sopravvivenza. I report di correlazione permettono di rilevare questi pattern e agire di conseguenza.
Copertura reale del programma. Che percentuale di utenti è davvero esposta al programma di sensibilizzazione? Non quelli che hanno ricevuto un’email, ma quelli che hanno completato i contenuti e partecipato alle simulazioni. Un programma con il 95% di open rate ma il 30% di completamento ha un problema di engagement che il click rate non mostra.
L’errore di confrontarsi con gli altri
C’è una tentazione frequente tra i CISO: cercare un benchmark esterno per capire se il proprio click rate sia “normale”. Se la mia organizzazione è al 15% e la media del settore è al 20%, sto andando bene?
Non necessariamente. E l’abbiamo già analizzato: il benchmarking esterno in ambito awareness è, nella maggior parte dei casi, fuorviante. Le variabili sono troppe (dimensione dell’organizzazione, settore, maturità del programma, difficoltà delle simulazioni, strumenti di filtraggio, frequenza di invio) perché un confronto diretto abbia un valore reale.
L’unico benchmarking che conta è quello che fai rispetto a te stesso, periodo dopo periodo. È migliorato il tasso di segnalazione? È diminuita la recidività? Si è accorciato il tempo di prima segnalazione? Questi trend interni, misurati con costanza, sono quelli che parlano davvero dell’efficacia del programma.
Come costruire una dashboard che racconti la storia completa
Se dovessi consigliare una dashboard minima da presentare alla direzione, includerei questi indicatori:
- Click rate per tipo di scenario: non una media globale, ma segmentata per tecnica di persuasione (urgenza, autorità, ricompensa). Mostra dove sono le vulnerabilità reali.
- Tasso di segnalazione e tempo di prima segnalazione: la metrica che dimostra comportamento attivo e capacità di risposta.
- Recidività: utenti che cadono più di una volta nello stesso tipo di scenario. Identifica dove concentrare gli interventi.
- Correlazione sensibilizzazione-simulazione: per mostrare che le azioni formative stanno (o meno) impattando sul comportamento osservabile.
- Copertura del programma: percentuale di utenti che ha effettivamente partecipato, non solo quelli raggiunti.
Cosa lascerei fuori: medie globali senza contesto, confronti con altre organizzazioni e qualunque metrica che non puoi collegare a un’azione concreta di miglioramento.
Piattaforme come SMARTFENSE permettono di consolidare queste metriche in un unico posto, correlando le azioni di sensibilizzazione con i risultati delle simulazioni e il comportamento di segnalazione. Questo trasforma dati sparsi in una visione azionabile del rischio umano.
Misurare bene conta quanto sensibilizzare bene
Il click rate non è una metrica sbagliata. È una metrica incompleta. Il problema nasce quando diventa l’unica lente con cui valutiamo un programma di awareness.
Un programma maturo misura comportamenti, non solo azioni puntuali. Misura i propri trend, non le medie altrui. E misura l’impatto dei propri interventi, non solo l’esposizione ad essi.
Se il tuo prossimo report di awareness partirà dal click rate, assicurati almeno che non finisca lì.
Lascia un commento