Il click rate sulle simulazioni di phishing non basta a misurare un programma di awareness. Quali metriche riflettono un reale cambio comportamentale.