Eppure, gli attacchi aumentano. Le persone continuano a cliccare. I dati continuano a uscire.
Il punto è semplice: non basta fare formazione. Serve cambiare prospettiva. Perché il vero problema non è la mancanza di contenuti, ma il modo in cui pensiamo alla formazione: come a un evento, non come a un processo. Come a un obbligo, non come a un’opportunità. Come a qualcosa da insegnare, non da attivare.
In questo articolo analizziamo 5 errori ricorrenti che rendono inefficace la security awareness — e cosa possiamo fare, come aziende, per cambiare rotta. Per davvero.
- Pensare che “una volta l’anno” sia abbastanza
Simulazioni di phishing fatte una tantum.
Magari con email palesemente finte.
Per “dire di averle fatte”.
Peccato che, secondo il Verizon Data Breach Investigations Report 2024, il 68% delle violazioni coinvolge ancora il fattore umano.E il cervello umano, lo sappiamo, dimentica il 70% delle informazioni dopo un giorno. Serve invece continuità, realismo, progressione. Serve allenamento, non esposizione.
- Usare lo stesso approccio per tutti
Dipendenti, manager, stagisti, tecnici, amministratori. Tutti con la stessa formazione. Stessi video, stessi quiz, stessa e-mail fake con finto pacco Amazon.
Non funziona. E il motivo è semplice: la sicurezza è personale.
Le persone hanno ruoli, sensibilità, responsabilità diverse. Chi lavora in finanza è un bersaglio diverso rispetto a chi è in marketing. Chi è appena entrato non ha lo stesso background di chi ha vent’anni d’esperienza.
La formazione efficace è su misura. Evolve con la persona, con il suo comportamento, con i suoi errori. Chi clicca, riceve più stimoli. Chi non sbaglia, consolida.
- Misurare la formazione… con la percentuale di completamento
“Il 98% dei dipendenti ha completato il corso.”
Bene.
E poi? Hanno imparato qualcosa? Lo stanno mettendo in pratica? Si sentono parte attiva della sicurezza aziendale?
La formazione vera si misura nei comportamenti, non nelle presenze.
Il clic su una mail malevola, il tempo di reazione, la richiesta di supporto davanti a un dubbio, la condivisione di buone pratiche. Questi sono i KPI che contano. Il resto è carta.
- Cercare l’efficacia ignorando la psicologia
Sappiamo tutto della parte tecnica. Ma pochissimo della parte umana.
Eppure il rischio è lì. Le persone sbagliano perché sono stanche, distratte, sovraccariche.
Perché si fidano, perché si sentono sotto pressione, perché l’email “sembrava vera”.
Il phishing non inganna la ragione. Inganna l’attenzione.
Ecco perché la formazione deve usare anche strumenti delle scienze comportamentali.
Ripetizione, contesto, feedback immediato, rinforzo positivo. Non slide, ma esperienze. Non teoria, ma allenamento pratico. Formazione come cultura, non come corso.
- Pensare che il rischio sia “là fuori”
La narrativa classica della cybersecurity è tutta proiettata verso l’esterno: gli hacker, i malware, i ransomware. Ma oggi, sempre più spesso, il vero punto di ingresso è dentro.
Una password condivisa, una chiavetta, un clic.
E non per cattiva volontà: per inconsapevolezza.
La sicurezza inizia all’interno.
E si costruisce giorno per giorno, persona per persona.
Serve una cultura condivisa. Serve coinvolgere, responsabilizzare, far sentire tutti parte della soluzione. E questo si ottiene solo con una formazione che sa parlare, stimolare, adattarsi.
Serve un cambio di mentalità, non un altro corso
La security awareness non è un prodotto da acquistare. È un processo da costruire. Insieme. Serve tempo, metodo, capacità di ascolto e strumenti efficaci.
Ma soprattutto serve cambiare la domanda di partenza.
Non più: “Abbiamo fatto la formazione?”
Ma: “Le persone si comportano in modo diverso rispetto a ieri?”
È da qui che parte il nostro approccio.
Con Albert, abbiamo sviluppato un programma di security awareness continuo, personalizzato e integrato.
Un percorso che combina:
- simulazioni di phishing mirate e progressive
- formazione modulare e interattiva
- monitoraggio dei comportamenti reali
- e un sistema intelligente che adatta il contenuto in base al livello di rischio, al ruolo e alla risposta dell’utente.
Non si tratta solo di “formare”. Si tratta di coinvolgere le persone, modificarne le abitudini, costruire cultura.