Il rischio umano in cybersecurity inizia prima del click

Perché abbiamo cliccato, sapendo che non avremmo dovuto? Questa domanda arriva prima dell’incidente, molto prima di quanto ricordiamo. La fa chi è appena caduto in una mail di phishing e anche il team di sicurezza che la mattina dopo rivede il report. È la domanda a cui la ciberpsicologia prova a rispondere senza la dose di colpa che le viene spesso attaccata. Perché il rischio umano in cybersecurity nasce altrove. Nasce nel modo in cui le persone decidono quando guardano uno schermo, sotto pressioni che la logica dell’incidente raramente registra.

Cosa intendiamo per rischio umano in cybersecurity?

Definirlo con precisione cambia il modo di affrontarlo. Il rischio umano in cybersecurity è la probabilità che una decisione umana, presa sotto vincoli di attenzione, carico cognitivo e risposta emotiva al rischio, porti a un evento che compromette la riservatezza, l’integrità o la disponibilità di un sistema. Questa definizione separa il rischio umano dall’errore umano generico e dalla semplice somma di fallimenti individuali. Lo tratta come un fenomeno comportamentale che accade dentro un ambiente tecnico che, quasi sempre, è stato progettato pensando alle macchine prima che alle persone.

La definizione ha tre componenti operative. L’attenzione decide quali informazioni arrivano al sistema cognitivo in ogni istante. Il carico cognitivo determina quanta capacità analitica resta disponibile per valutare qualcosa di nuovo. La risposta emotiva al rischio modula la velocità e la direzione della decisione finale. Chi decide davanti allo schermo sta spingendo queste tre leve di continuo, senza vederle. La funzione di un programma di Cybersecurity awareness maturo è renderle visibili, non ricordare alla persona che “deve stare più attenta”.

Perché sbaglia chi sa perfettamente cosa deve fare?

Il paradosso si ripete in ogni questionario di sicurezza. Le persone sanno cosa non va fatto. Sanno che non si riutilizza la stessa password, che un dominio strano merita un secondo sguardo, che una richiesta urgente di bonifico del CEO va confermata su un altro canale. Quando arriva il momento del click, succede comunque. La domanda utile cambia angolo. Il punto è capire perché saperlo non basta.

La psicologia cognitiva offre tre angolazioni per guardarlo. La prima è l’attenzione selettiva. Il cervello filtra la maggior parte delle informazioni che percepisce e dà priorità a ciò che considera rilevante per il compito in corso. Quando qualcuno guarda la mail durante una riunione, l’attenzione è frammentata e i marker di frode che richiedono un’analisi fine restano fuori dal fuoco. Ciò che è strano diventa invisibile.

La seconda è il carico cognitivo. Ogni decisione consuma risorse mentali. Una giornata di lavoro richiede centinaia di microdecisioni che lasciano poco margine per analisi aggiuntive. La mail sospetta arriva alle 17:40, alla fine di una settimana intensa. La capacità analitica è esaurita e la persona sceglie il percorso di minore sforzo cognitivo, che molto spesso significa fidarsi.

La terza angolazione è il bias. Il bias di ottimismo porta a pensare che l’attacco capiterà a un’altra organizzazione. Il bias di autorità aumenta l’obbedienza verso un mittente che sembra gerarchicamente importante. Il bias di urgenza accorcia i tempi di valutazione quando il messaggio prospetta una perdita immediata. Gli attaccanti non hanno inventato questi bias. Li conoscono molto bene e li sfruttano con efficienza industriale. Lavorare sul rischio umano senza capire questi meccanismi significa operare con bende sugli occhi.

Perché la regolamentazione europea oggi guarda al fattore umano?

Per anni, la regolamentazione si è concentrata sui controlli tecnici. Le iterazioni più recenti hanno iniziato a trattare il fattore umano come un sistema in più, con i suoi requisiti di valutazione, formazione e miglioramento continuo. La Direttiva NIS2 menziona esplicitamente la formazione in cyber-igiene del personale e la responsabilità della direzione sulla sua efficacia. La normativa DORA, nel settore finanziario, rafforza la stessa idea con un livello aggiuntivo di esigenza riguardo alla cyber-igiene operativa delle persone che toccano processi critici.

Il motivo è statistico prima che filosofico. Secondo il Verizon Data Breach Investigations Report, nelle sue edizioni recenti, il fattore umano resta presente in una larga maggioranza delle brecce analizzate, sia per errore, sia per social engineering, sia per uso improprio delle credenziali. La regolamentazione si è aggiornata perché i dati non lasciano spazio per trattare il fattore umano come variabile secondaria.

Quello che è interessante è il cambio di cornice. La NIS2 non chiede che le persone smettano di sbagliare. Chiede che l’organizzazione dimostri di lavorare sistematicamente sul comportamento, di misurare l’effetto di quel lavoro e che la direzione si assuma la responsabilità dei risultati. Per chi guida il programma di Cybersecurity awareness, questo sposta il dibattito da “completare la formazione annuale” verso “evidenziare un cambiamento di comportamento misurabile”.

Come si riduce il rischio umano senza colpevolizzare le persone?

Ridurre il rischio umano richiede di riprogettare l’ambiente in cui le persone decidono. La scienza del comportamento offre quattro interventi con evidenza consistente.

Il primo è la continuità. La conoscenza in materia di sicurezza invecchia in fretta e le abitudini hanno bisogno di rinforzo periodico. Un programma annuale che consegna tutto il contenuto in una sola settimana non compete con la curva dell’oblio. La Cybersecurity awareness continua distribuisce stimoli brevi lungo tutto l’anno e sfrutta la ripetizione spaziata, uno dei risultati più solidi nella psicologia dell’apprendimento.

Il secondo sono i nudge e i momenti formativi. Un nudge ben progettato agisce proprio nell’istante della decisione. Un’etichetta che avvisa “questa mail proviene dall’esterno dell’organizzazione” o un microcontenuto che appare dopo il click in una simulazione cambia l’architettura della scelta senza limitare la libertà di chi decide.

Il terzo è la simulazione etica. Una simulazione di phishing porta valore quando viene progettata come strumento di apprendimento, con uno scopo formativo chiaro fin dal primo invio. Le metriche che contano sono la curva di reporting, la riduzione del tempo di rilevamento e il cambiamento sostenuto nel tempo. Sapere se il tuo programma sta misurando ciò che conta resta una delle decisioni più mature di chi gestisce un programma.

Il quarto è la cultura. Le persone ereditano le abitudini del loro ambiente. Una squadra in cui segnalare un errore viene trattato come input mostra un livello di reporting molto diverso da una squadra in cui l’errore viene punito. La cultura si costruisce con pratiche piccole e coerenti, sostenute dall’esempio della direzione. Nessun decreto la fabbrica.

Piattaforme di Cybersecurity awareness come SMARTFENSE integrano questi quattro principi in programmi pensati per America Latina e Spagna, con contenuto nativo in spagnolo, copertura normativa regionale e un design che mette la persona al centro della decisione. La ciberpsicologia sostiene l’architettura del programma di Cybersecurity awareness, ben oltre un ruolo puramente estetico.

Cosa succede quando smettiamo di colpevolizzare le persone

Chi decide davanti allo schermo è, in realtà, il miglior sensore che l’organizzazione abbia. È la linea di rilevamento più vicina all’attacco e la fonte di informazione più ricca su come opera l’avversario. Il rischio umano si lavora, si capisce e si progetta affinché la decisione corretta diventi anche la più probabile. Eliminarlo non è nel menù.

La prossima volta che torna la domanda “perché abbiamo cliccato, sapendo che non avremmo dovuto?”, forse possiamo sostituirla. Quella utile diventa un’altra. Quali erano le condizioni di attenzione di quella persona in quel momento? Che carico cognitivo si portava addosso? Quale emozione l’ha spinta a decidere in fretta? Rispondere con onestà è il punto di partenza del lavoro serio sul rischio umano. Per approfondire framework, strumenti ed esperienze di programmi di Cybersecurity awareness, il centro risorse di SMARTFENSE mantiene una raccolta aperta.