Security awareness: come trasformare le persone nella prima linea di difesa cyber

L'errore umano resta il rischio principale (per ora)  

Secondo la ricerca dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano (2026), il 96% dei CISO italiani identifica la gestione del fattore umano come la prima criticità aziendale. Non le tecnologie obsolete né i firewall mal configurati, ma le persone.

Il paradosso è che le persone nella vita quotidiana proteggono istintivamente casa, portafoglio e oggetti di valore, eppure online abbassano la guardia: cliccano su link sospetti, riutilizzano password deboli e condividono dati sensibili con leggerezza. Non è superficialità, è una dissonanza cognitiva tra il mondo fisico, in cui i riflessi di sicurezza sono già automatici, e il mondo digitale, dove quei riflessi non si sono ancora formati.

Un dipendente non adeguatamente formato non è un punto debole inevitabile: è un human firewall potenziale mai attivato. Con il giusto metodo, il fattore umano può trasformarsi dalla vulnerabilità più diffusa alla risorsa più potente per proteggere la rete aziendale.

I limiti della security awareness tradizionale

Il 74% delle aziende non fornisce alcuna formazione strutturata in cybersecurity ai dipendenti (European Commission, 2024). Anche chi la fornisce può non ottenere i risultati desiderati: solo il 2% degli attacchi di phishing viene evitato grazie ai modelli formativi tradizionali (University of Chicago, 2025).

I limiti dei modelli attuali sono tre:

1. Assenza di continuità: la formazione avviene una tantum e in modo passivo. Il cervello dimentica rapidamente le informazioni che non vengono rinforzate nel tempo, è quello che la neuroscienza chiama "curva dell'oblio".

2. Contenuto uniforme: un CEO esposto a spear phishing e un neoassunto ricevono lo stesso corso standardizzato ma le esigenze, i ruoli e i livelli di esposizione al rischio sono radicalmente diversi.

3. Mancanza di coinvolgimento: slide noiose e quiz puramente nozionistici non stimolano il cambiamento comportamentale.

Neuroscienze e apprendimento: la chiave del cambiamento

Le evidenze neuroscientifiche dimostrano che per trasformare l'apprendimento in un riflesso automatico servono tre elementi combinati:

1. Ripetizione distribuita nel tempo (spacing effect): la memoria a lungo termine si consolida attraverso esposizioni reiterate, non sessioni intensive isolate.
2. Variabilità contestuale (interleaving): alternare argomenti e scenari diversi potenzia la flessibilità cognitiva e la capacità di trasferire le competenze a situazioni nuove.
3. Coinvolgimento emotivo: i contenuti che attivano l'amigdala, il centro delle reazioni istintive nel cervello, vengono memorizzati in modo molto più efficace rispetto a informazioni neutre.

Il percorso che trasforma la conoscenza in comportamento automatico passa attraverso tre fasi: codifica (l'informazione entra nella memoria a breve termine), consolidamento (attraverso ripetizione ed emozione, si sposta in quella a lungo termine) e automatizzazione (il comportamento diventa un riflesso, senza sforzo cognitivo cosciente).

La maggior parte dei programmi si ferma alla prima fase, l’obiettivo è raggiungere la terza.

KEATRIX e il metodo NELP: neuroscienze applicate alla sicurezza informatica

Per rispondere a questa sfida, Cyberoo ha sviluppato KEATRIX - Human Risk & Security TrAIning Platform: una piattaforma evolutiva che non si limita a trasmettere contenuti, ma genera un cambiamento comportamentale duraturo. Il nome unisce due riferimenti culturali emblematici: il professor Keating di L'attimo fuggente, simbolo di apprendimento critico e libero, e Neo di Matrix, che sceglie la conoscenza autentica al posto del conformismo.

Il metodo scientifico alla base di KEATRIX si chiama NELP (Neuroscientific Learning Pattern) e si articola in quattro fasi progressive:

• acquisizione contestualizzata dei concetti
• codifica multimodale (testi, audio, immagini, video)
• simulazioni e scenari realistici per sviluppare riflessi automatici
• richiamo rinforzato nel tempo per contrastare la curva dell'oblio.

I pilastri della piattaforma:

1. Adaptive Learning: grazie all'Intelligenza Artificiale ogni percorso è personalizzato in base al ruolo, al livello di partenza e alle modalità di apprendimento di ciascun utente.
2. Interleaving & Spacing: l'alternanza degli argomenti (interleaving) e la distribuzione dei contenuti nel tempo (spacing) corrispondono ai meccanismi neurali che consolidano la memoria a lungo termine, coinvolgendo strutture come l'ippocampo e la corteccia prefrontale.
3. Edutainment: storytelling, avatar digitali, video animati e cortometraggi rendono la formazione coinvolgente e memorabile, elementi che imprimono i contenuti nella memoria a lungo termine.
4. Certificazioni ad personam: il percorso formativo è legato alla persona tramite un codice univoco, che lo accompagna anche in caso di cambio azienda.

 Misurare l'efficacia: dalla compliance al rischio reale

Una cultura della sicurezza informatica non si misura con le percentuali di completamento dei corsi, ma con cambiamenti comportamentali osservabili. Gli indicatori rilevanti includono il tasso di segnalazione degli incidenti, la riduzione degli errori ripetuti, i tempi di reazione agli stimoli critici e le performance nei test di phishing simulato.

KEATRIX monitora questi parametri in modo continuo, fornendo al management dati concreti per decisioni basate sul rischio reale. Il Return on Security Investment (ROSI) si calcola in riduzione misurabile degli incidenti e aumento della resilienza organizzativa. Gartner prevede che le aziende che adottano un approccio human-centric possono ridurre gli incidenti fino al 30%.

I trend nel 2026: il fattore umano al centro

Nel 2026 le minacce informatiche sfruttano sempre più il fattore umano: deepfake, clonazione vocale, agenti AI autonomi capaci di gestire fino al 90% di una catena d'attacco senza alcun intervento umano. In questo scenario, la cultura della sicurezza non è un obbligo burocratico imposto dal reparto IT ma un vantaggio competitivo per l’azienda.

Ogni dipendente che impara a riconoscere un tentativo di phishing, a verificare l'identità di chi richiede dati sensibili, a segnalare comportamenti sospetti, diventa un livello aggiuntivo di difesa, la resilienza cresce e l'azienda continua a operare anche mentre l'attacco è in corso.

Per saperne di più su come il metodo NELP e KEATRIX possono trasformare l’approccio alla difesa nella tua organizzazione, scarica il nuovo ebook di Cyberoo "KEATRIX - Human Risk & Security TrAIning Platform".