La cyber-formazione esclude il 70% delle persone

cybersecurity@poliverso.org

La cyber-formazione esclude il 70% delle persone

Il 70% della popolazione ha un cervello asimmetrico. Solo il 30% possiede quella configurazione cognitiva bilanciata che i manuali di formazione considerano standard. Eppure continuiamo a progettare corsi di security awareness, procedure operative e processi di sicurezza come se tutti ragionassero allo stesso modo.

Il risultato? Un fallimento sistematico che è certificato dai tanti report annuali sull’incidenza degli attacchi (in Italia e nel mondo). Non perché le persone siano stupide o disattente, ma perché stiamo addestrando cervelli che non esistono.

Il mito dell’utente medio

Le aziende spendono milioni in tecnologie di difesa, firewall sofisticati, sistemi di rilevamento delle intrusioni. Poi il ransomware entra dopo un click su un’email di phishing. Come sempre, l’anello debole è additato con vari nomignoli: “utonto”, Layer 8, “ID-10T” (idiota).

Ma il vero problema non è il fattore umano. Il problema è trattare le persone come variabili da standardizzare invece che come ecosistemi cognitivi da comprendere.

Un dipendente con ADHD non fallisce il test di phishing perché è distratto: fallisce perché la sua attenzione funziona diversamente e nessuno ha progettato contenuti adatti al suo cervello. Una persona autistica non ignora le procedure perché è rigida: le ignora perché sono scritte in modo ambiguo e il suo cervello richiede coerenza logica assoluta. Un dislessico non legge male le policy: il suo cervello privilegia informazioni visive e nessuno gliele fornisce.

Almeno il 15-20% dei dipendenti in ogni organizzazione ha qualche forma di neurodivergenza (il 70% secondo lo studio di Greenberg, Warrier, Allison e Baron-Cohen) E la formazione standard li perde sistematicamente.

La catena dell’infezione democratica

Lo stesso malware che ieri bloccava i server di una banca oggi cripta le foto della signora Pina sul suo PC di casa. Come? Con un messaggio WhatsApp dal nipote, la cui moglie lavora in quella banca e che ha preso il virus sul PC aziendale che si è diffuso automaticamente nella rete di casa. E viceversa.

La cybersecurity è profondamente democratica: le minacce non fanno distinzioni tra multinazionali e casalinghe, tra esperti e principianti. Colpiscono l’anello più debole della catena, che quasi sempre è una persona che viene colta in un momento di vulnerabilità cognitiva.

Un attimo di distrazione, un messaggio che arriva nel momento sbagliato, una richiesta urgente che bypassa ogni difesa razionale. E un link che sembra legittimo perché usa esattamente le parole giuste per il tuo profilo cognitivo.

I criminali lo sanno. Usano social engineering, messaggi di urgenza, false autorità, pressione emotiva. E funziona su tutti: dal CEO al parente che non sa distinguere tra un link buono e uno cattivo.

Il gap italiano

L’Italia è agli ultimi posti tra i Paesi UE per competenze digitali di base: solo il 45% degli italiani le possiede secondo l’indice DESI 2025 della Commissione Europea. Un gap che rallenta la diffusione di una cultura della sicurezza che dovrebbe essere educazione civile, come quella stradale o sessuale.

Ma il problema non è solo l’alfabetizzazione digitale. È l’approccio cognitivo. Continuiamo a erogare formazione come se tutti processassero le informazioni allo stesso modo, come se tutti avessero gli stessi punti deboli, come se una soluzione unica potesse proteggere configurazioni mentali diverse.

Le aziende più avanzate lo hanno capito e stanno investendo in programmi di security awareness che coinvolgono non solo i dipendenti, ma anche le loro famiglie. Perché hanno compreso che la sicurezza non si ferma al perimetro aziendale: viaggia attraverso le connessioni umane, i dispositivi e le reti personali, le abitudini domestiche.

Verso una difesa cognitivamente inclusiva

La soluzione non è fare più formazione. È fare formazione diversa. Progettata per cervelli reali, non per l’utente medio che non esiste.

Significa profilare cognitivamente le persone: capire come processano informazioni, quali sono le loro vulnerabilità specifiche, quali leve cognitive funzionano su di loro. Non per manipolarle, ma per proteggerle efficacemente.

Significa usare formati diversi per configurazioni cognitive diverse: video brevi per ADHD, procedure dettagliate e logiche per autistici, infografiche e mappe visive per dislessici. Non un corso unico per tutti, ma percorsi adattivi.

Significa applicare il principio “zero trust” anche alle persone: non fidarsi delle buone intenzioni, verificare costantemente i comportamenti, rimediare rapidamente quando qualcuno devia dal protocollo.

Significa trattare la vulnerabilità umana come si tratta la vulnerabilità tecnologica: assessment continuo, prioritizzazione del rischio, patching comportamentale, monitoraggio degli indicatori.

Il fattore umano come risorsa

La cybersecurity deve spostarsi da silos tecnologici isolati a una visione integrata che consideri come il comportamento umano dentro e fuori dall’ufficio influisca direttamente sulla protezione aziendale.

E deve smettere di vedere la diversità cognitiva come problema. Un team con membri neurodivergenti vede vulnerabilità che un team omogeneo ignora. Ma solo se i processi sono progettati per usare il cervello che hanno, non per forzarli ad adattarsi a un modello che non gli appartiene.

La domanda non è più “come addestriamo meglio le persone?”. La domanda è “come progettiamo sistemi di difesa che funzionano su cervelli reali?”.

Se vuoi approfondire come trasformare il fattore umano da vulnerabilità a risorsa attraverso modelli di security awareness cognitivamente inclusivi, il libroCYBERCOGNITIVISMO 2.0 – Manipolazione, Persuasione e Difesa Digitale(in arrivo su Amazon) propone framework operativi per gestire la vulnerabilità cognitiva come si gestisce il rischio tecnologico: con assessment, profiling, remediation e monitoraggio continuo.

L'articolo La cyber-formazione esclude il 70% delle persone proviene da Red Hot Cyber.