Chi ha costruito quella mail non ha forzato alcuna rete, non ha usato malware sofisticati. Ha solo fatto leva su un meccanismo prevedibile e umano: la fretta.
E così, la breccia è aperta.
Quante volte abbiamo letto scenari simili? E quante volte ci siamo detti che serve più formazione? Ma se il vero problema non fosse la mancanza di regole, ma la difficoltà delle persone a seguirle davvero, quando serve?
La cybersecurity non è (solo) un problema tecnico. È un problema comportamentale
Alcuni studi dimostrano come l’82% degli incidenti informatici è riconducibile a un comportamento umano.
E qui sta il nodo.
I programmi tradizionali di security awareness si concentrano ancora su:
- cosa fare e cosa non fare
- quali email sospette evitare
- quali password usare
Ma nella realtà, questo non basta.
Perché le persone non agiscono in base a ciò che sanno, ma in base a come si sentono, cosa vivono, in quale contesto operano.
La conoscenza non protegge. È il comportamento che fa la differenza. Ed è qui che entrano in gioco le scienze comportamentali.
Dalla teoria alla pratica: cosa sono le behavioral sciences applicate alla sicurezza
Le behavioral sciences si concentrano sul modo in cui le persone prendono decisioni nella vita reale, specialmente in condizioni non ideali: quando sono sotto pressione, distratte, stanche, o costrette ad agire in tempi rapidi.
In un contesto aziendale, queste situazioni sono all’ordine del giorno. E sono proprio questi fattori — stress, urgenza, complessità — a rendere più probabili gli errori.
Le scienze comportamentali non si limitano a spiegare perché accadono certi comportamenti, ma aiutano a progettare ambienti e percorsi formativi che li rendano più sicuri per impostazione predefinita (“secure by behavior”).
In ambito cybersecurity, questo approccio consente di:
- Anticipare le reazioni impulsive degli utenti di fronte a email, richieste o situazioni anomale
- Costruire esperienze di formazione che facilitano l’adozione di comportamenti corretti anche in condizioni di stress
- Prevenire l’errore umano, creando automatismi virtuosi e riducendo la dipendenza dalla memoria o dalla buona volontà
Non si tratta di “psicologia aziendale” generica, ma di un’applicazione scientifica e strategica del comportamento umano alla sicurezza.
È un campo in rapida crescita, adottato oggi dalle organizzazioni più mature in tema di cybersecurity per creare cultura del rischio, consapevolezza diffusa e resilienza operativa, andando ben oltre l’obiettivo di mera compliance.
Come si forma un comportamento sicuro: i 5 principi chiave
- Microlearning e contenuti distribuiti: Le persone non imparano tutto in una volta. Formazioni brevi, ricorrenti e concrete aumentano la retention rispetto a corsi intensivi annuali.
→ Piccole dosi, alta frequenza, contenuto rilevante. - Ripetizione nel tempo (spaced repetition): Il cervello dimentica. Ma ripetere le informazioni nei momenti giusti permette di consolidarle.
→ Le campagne formative efficaci sono pensate per durare, non per sorprendere. - Feedback immediato: La persona clicca su un link sospetto? Riceve subito un feedback contestuale.
→ È in quel momento che la mente è più recettiva. Il tempo tra errore e apprendimento è cruciale. - Rinforzo positivo: Premiare chi agisce correttamente è più efficace che punire chi sbaglia.
→ Badge, classifiche, piccoli riconoscimenti aumentano l’engagement. - Contesto realistico e bias cognitivi: Urgente. Interno. Sicuro. L’email “trappola” spesso sfrutta scorciatoie mentali come l’autorità, l’urgenza, la familiarità.
→ Riconoscere e neutralizzare questi bias è una competenza da allenare.
+2 acceleratori: personalizzazione e rilevazione attiva
- Percorsi formativi adattivi e personalizzati: Ogni utente ha un comportamento diverso. Formare tutti allo stesso modo riduce l’efficacia. I programmi basati sul comportamento adattano la difficoltà e la frequenza delle simulazioni in base alle risposte individuali: chi sbaglia di più riceve più supporto, chi è già allenato viene stimolato con nuove sfide.
- Dal clic alla segnalazione: trasformare le persone in “sensori umani”: L’obiettivo non è solo evitare l’errore, ma sviluppare la capacità di riconoscere e segnalare potenziali minacce. Le simulazioni comportamentali ben progettate non testano solo l’attenzione, ma migliorano la reattività e supportano il SOC aziendale nel contenimento dei rischi reali.
Il nostro approccio: dalla consapevolezza al cambiamento concreto
Alla base del nostro programma Albert c’è proprio questo: non trasmettere regole, ma attivare comportamenti sicuri e duraturi.
Con Albert:
- i contenuti sono adattivi e integrati nei flussi di lavoro
- le simulazioni sono realistiche, frequenti e calibrate sul ruolo
- ogni errore è seguito da un feedback micro-formativo
- ogni comportamento è monitorato e misurato nel tempo
Il risultato non è solo “conoscenza in più”.
È una cultura del rischio più matura, in cui la sicurezza non è un obbligo, ma una competenza naturale.
Nel 2025, continuare a pensare che un corso una tantum basti per proteggere un’azienda è una pericolosa illusione.
Serve un nuovo approccio. Serve scienza. Serve metodo.
E soprattutto, serve riconoscere che le persone non sono il problema. Sono la soluzione — se le formi nel modo giusto.