Il continuo aumento delle minacce informatiche mette delle aziende di fronte a una verità scomoda ma reale: la cybersecurity è fatta di persone e ha quindi bisogno di una corretta governance, cultura e sensibilizzazione.
Oggi la formazione del personale non è più un’attività accessoria, ma rappresenta un pilastro fondamentale della cybersecurity aziendale, come riconosciuto anche dalle recenti normative europee, tra cui la Direttiva NIS2.
Tuttavia, non basta “fare formazione”: è essenziale progettare un processo di apprendimento efficace, che non si limiti a trasmettere nozioni facilmente dimenticabili, ma che punti a modificare in modo concreto e duraturo i comportamenti quotidiani, mettendo le persone nelle condizioni di compiere le scelte corrette, anche nei momenti di stanchezza o sotto pressione.
Lo conferma Andrea De Giorgio, responsabile ricerca e sviluppo della piattaforma di Security Awareness Keatrix di Cyberoo, che evidenzia come il fattore umano e le vulnerabilità comportamentali rappresentino oggi uno dei principali punti di attacco.
Secondo De Giorgio, il cambiamento di paradigma è già evidente nei dati. “I vettori di attacco più utilizzati dai cyber criminali sfruttano la fiducia delle persone nei processi interni” spiega, citando le evidenze dell’Osservatorio Cyberoo 2026.
Tecniche come business email compromise, le campagne di phishing avanzato e persino l’uso di deepfake audio dimostrano come gli attaccanti abbiano spostato progressivamente il focus dalle vulnerabilità tecniche a quelle cognitive.
Indice degli argomenti
Le persone: un firewall aziendale mal attivato
Quelli che le aziende devono affrontare sono attacchi sempre più raffinati, costruiti come vere e proprie narrazioni. “Sono spesso campagne impeccabili, contestualizzate, con follow-up coerenti – sottolinea De Giorgio – capaci di generare urgenza e pressione psicologica”.
In questo scenario, la decisione cruciale – cliccare o non cliccare su un link malevolo – non può essere demandata a un sistema di difesa automatizzato, ma dipende dal singolo individuo. “A un certo punto chi decide è un cervello, non un algoritmo”, sottolinea.
È proprio qui che la formazione assume un valore strategico. “Dobbiamo intervenire su vulnerabilità che finiscono sempre più spesso nel mirino dei criminali” osserva, spiegando come gli attacchi di questo tipo fanno leva su emozioni e meccanismi cognitivi. La finestra decisionale è estremamente ridotta: “La scelta di aprire o meno un link potenzialmente malevolo avviene in meno di 60 secondi – spiega – Preparare le persone a gestire quel momento diventa quindi essenziale”.
Tuttavia, l’approccio tradizionale alla formazione, basato su lezioni frontali e trasferimento passivo di informazioni, si rivela ormai inadeguato per garantire una reazione appropriata alla minaccia. È proprio da questa constatazione che nasce il modello sviluppato da Cyberoo. “Per capire come risolvere il problema non abbiamo guardato cosa facessero gli altri, ma abbiamo cercato di capire perché quel tipo di approccio non funzionasse” afferma De Giorgio.
Un approccio del tutto innovativo
La risposta a questa domanda risiede nelle neuroscienze, che permettono di comprendere come le persone apprendono, prendono decisioni e modificano i propri comportamenti nel tempo.
“Il nostro cervello non è programmato per la cybersecurity ma per reagire rapidamente a minacce fisiche e immediate”. Un’email fraudolenta, per quanto sia pericolosa, non attiva gli stessi meccanismi istintivi. Da qui la necessità di ripensare completamente la formazione.
Il primo passo è stato abbandonare il modello trasmissivo a favore di un metodo scientifico consolidato. “Sappiamo che il cervello segue fasi specifiche per apprendere e sono queste che vanno stimolate” sottolinea De Giorgio, che individua il secondo elemento fondamentale per una formazione efficace nella continuità: i corsi “one shot”, svolti una volta l’anno, non bastano, si fermano solo alla prima fase di apprendimento. «Le informazioni vanno rinforzate nel tempo – sottolinea – introducendo l’applicazione dei principi di interleaving e spacing per consolidare l’apprendimento”.
Ma l’innovazione più significativa è forse nel modo in cui i contenuti vengono organizzati. Keatrix non segue una sequenza lineare: «Dopo la prima lezione non c’è mai la lezione numero due», spiega De Giorgio, ma un percorso dinamico e adattivo che alterna contenuti secondo logiche neuroscientifiche e la continua verifica di quanto appreso.
Dall’AI adattiva all’attivazione dell’amigdala
Un altro aspetto chiave è la personalizzazione. “Tutti i cervelli imparano seguendo lo stesso processo, ma ognuno di noi impara in condizioni diverse”. Questo implica che la formazione debba adattarsi non solo ai contenuti, ma anche ai contesti operativi. Un dirigente, ad esempio, non può ricevere la stessa formazione di un IT Manager o delle risorse umane. Inoltre, difficilmente può dedicare ore a un corso tradizionale e in questo caso, per esempio, è molto più efficace un addestramento ad alta intensità di 30 minuti su tematiche chiave. Per questo, la formazione deve adattarsi alle conoscenze pregresse, al contesto lavorativo e alle capacità di apprendimento di ciascuna persona.
In questo senso, è di grande supporto l’intelligenza artificiale adattiva, che De Giorgio definisce come una componente fondamentale del sistema. “È la tecnologia che ci consente di osservare come ogni persona impara e modulare, di conseguenza, l’esperienza formativa in base ai suoi progressi”.
Un lavoro complesso, che consente di adattare continuamente il percorso formativo al singolo individuo.
Infine, De Giorgio evidenzia l’importanza dell’edutainment (con corti cinematografici, soundwave, avatar) in grado di attivare l’amigdala, perché senza coinvolgimento non c’è apprendimento che tenga. L’edutainment rende la formazione più memorabile, attiva l’attenzione emotiva e trasforma i contenuti in esperienze. Quando le persone sono coinvolte, ricordano di più, decidono meglio e applicano ciò che hanno imparato nel lavoro quotidiano.
In Cyberoo l’intrattenimento non è un contorno, ma uno strumento strategico per ridurre davvero il rischio umano.
