Associati
L’illusione della sicurezza: quando la formazione arriva post-mortem
La falsa competenza uccide la sicurezza, un errore alla volta
A cura di Silvia Felici
Nel panorama attuale della sicurezza informatica, è sempre più diffusa una forma di competenza posticcia, acquisita in risposta a eventi critici piuttosto che tramite un percorso strutturato. Si tratta di una conoscenza reattiva, spesso elevata impropriamente a “esperienza”, nata non dalla preparazione ma dall’urto con un incidente di sicurezza.
Molte organizzazioni assimilano la cybersecurity alla gestione delle conseguenze, trascurando la preparazione preventiva. In questo contesto, la formazione viene spesso relegata a voce secondaria nei budget, percepita come un onere piuttosto che come un pilastro essenziale della resilienza digitale.
Tale atteggiamento ha implicazioni tangibili. L’assenza di una cultura formativa diffusa e continuativa si traduce in vulnerabilità operative sistemiche, alimentate da una fiducia mal riposta nella sola tecnologia o nella reattività dei sistemi.
Due casi importanti
Alcuni eventi del 2025 rendono evidente il gap tra percezione di competenza e preparazione reale.
- Marks & Spencer (UK):
Ad aprile, un attacco di social engineering ha colpito i sistemi tramite un accesso indiretto a un fornitore. La risposta ha rivelato carenze nel riconoscimento delle minacce, nella gestione delle credenziali e nelle procedure di verifica. Il danno stimato supera i 300 milioni di sterline. Dopo l’incidente, l’azienda ha riconosciuto che la formazione era stata considerata “sufficiente” fino a quel momento
- Bank Sepah (Iran):
A marzo, un gruppo noto come “Codebreakers” ha ottenuto accesso prolungato ai sistemi centrali della banca, esfiltrando dati di oltre 40 milioni di clienti. L’analisi forense ha identificato una debolezza nei controlli dei privilegi, ma anche una scarsa consapevolezza interna del personale sugli indicatori di compromissione. Nessun training interno era stato condotto nell’anno precedente.
Questi eventi non sono anomalie, ma rappresentazioni di una tendenza generalizzata: la cybersecurity viene trattata come un’attività tecnica e isolata, non come una responsabilità distribuita all’interno dell’organizzazione.
Il ruolo critico della formazione continua
La sicurezza informatica è un dominio a evoluzione rapida, caratterizzato da vettori d’attacco in costante trasformazione. In questo contesto, l’aggiornamento professionale non può essere considerato accessorio.
Molti incidenti gravi degli ultimi anni non sono stati causati da sofisticate vulnerabilità zero-day, ma da errori umani spesso legati ad una formazione insufficiente, come ad esempio: clic su link malevoli, uso reiterato di password deboli, mancata segnalazione di comportamenti anomali.
L’approccio “una tantum” alla formazione (tipicamente una sessione all’anno, spesso in modalità e-learning passiva) è del tutto inadeguato. L’efficacia formativa dipende da frequenza, rilevanza e aderenza al contesto lavorativo. In assenza di queste condizioni, la conoscenza degrada rapidamente, lasciando spazio a comportamenti inconsapevoli.
Un altro elemento spesso trascurato è la diversificazione della formazione per profilo. Un amministratore di sistema, un analista di dati, un commerciale o un manager devono ricevere contenuti differenti, calibrati sul proprio ruolo, livello di esposizione e grado di autonomia operativa. Tuttavia, in molte realtà aziendali, la formazione viene proposta come pacchetto standard per tutti, con impatto formativo minimo.
La falsa sicurezza dell’infrastruttura
Investire in soluzioni tecnologiche avanzate senza formare chi le utilizza rappresenta un paradosso ricorrente. L’illusione che la sicurezza derivi esclusivamente dall’adozione di strumenti di protezione ignora il fatto che la maggior parte delle tecnologie dipende da configurazioni corrette, aggiornamenti puntuali e comportamenti informati da parte degli operatori.
L’assenza di una componente formativa produce quello che in ambito accademico è stato definito “tecnocentrismo cieco”: una fiducia eccessiva nella componente tecnologica a discapito del fattore umano. Questo approccio porta inevitabilmente a un disallineamento tra capacità nominale dei sistemi e resilienza effettiva dell’organizzazione.
Una questione culturale prima che tecnica
Attribuire i fallimenti alla “disattenzione dei dipendenti” è una semplificazione che elude il nodo centrale: l’errore umano, in ambito cyber, è quasi sempre il risultato di un contesto inadeguato. Dove non c’è cultura della sicurezza, l’errore è un prodotto sistemico, non individuale.
Non è sufficiente comunicare regole. Serve costruire comprensione. La security awareness non è un documento firmato all’ingresso, ma un processo continuo. Le organizzazioni che hanno integrato programmi formativi strutturati riportano una maggiore capacità di rilevamento precoce degli attacchi e una minore esposizione a rischi operativi.
Dimensione non è protezione
Le PMI spesso si considerano “troppo piccole per essere un bersaglio”, dimenticando che gli attacchi odierni sono in larga parte opportunistici. Gli strumenti di attacco si sono automatizzati, e gli attori malevoli colpiscono vulnerabilità note, indipendentemente dalla rilevanza mediatica della vittima.
In questo contesto, la mancanza di formazione e di consapevolezza rappresenta una superficie d’attacco più ampia della dimensione dell’infrastruttura stessa.
Formazione come strategia
Per affrontare efficacemente la minaccia, la formazione deve essere inquadrata come elemento strategico. Non solo come risposta alle normative o come iniziativa di compliance, ma come strumento di prevenzione.
Tra le buone pratiche documentate troviamo:
• programmi di micro-learning ciclici;
• esercitazioni di phishing simulato;
• tabletop exercises per manager e C-level;
• percorsi di aggiornamento specifici per ruoli tecnici;
• integrazione della formazione nei piani di onboarding.
Le organizzazioni che hanno investito in questi modelli riportano, secondo i dati di SANS e CISA, una riduzione significativa dell’impatto medio per incidente, nonché tempi di risposta più rapidi.
Considerazioni conclusive
La sicurezza informatica non può essere affidata esclusivamente a prodotti e strumenti. Senza una base formativa diffusa, il sistema rimane fragile, indipendentemente dalla tecnologia implementata.
Rinviare o ridurre la formazione equivale, in molti casi, a esternalizzare il rischio all’intera organizzazione. Una strategia sostenibile richiede invece una visione a lungo termine, in cui la competenza sia distribuita e continuamente rinnovata.
In un ecosistema digitale dove la superficie d’attacco si espande, il vero elemento differenziante non sarà tanto l’adozione dell’ultima tecnologia, quanto la qualità della preparazione delle persone che ne gestiscono l’uso quotidiano.