Formazione cybersecurity: prevenire il rischio umano in azienda

Aumenta la preoccupazione dei CISO italiani nel 2024: per il 72% l’errore umano è il principale rischio di cybersecurity

Negli ultimi anni, l’accelerazione della trasformazione digitale, l’adozione massiccia di soluzioni cloud, il lavoro ibrido e l’Internet of Things hanno ampliato in modo significativo la superficie di attacchi cyber, esponendo le organizzazioni a rischi sempre più sofisticati e articolati. Secondo il Rapporto Clusit 2025, a livello globale gli attacchi informatici gravi sono aumentati del 27,4% nel 2024, mentre in Italia si è registrato un incremento del 15,2%, collocando il nostro Paese come bersaglio del 10,1% degli attacchi globali nonostante rappresenti circa l’1,8% del PIL mondiale.

Questa crescita esponenziale si accompagna a tendenze emergenti quali l’utilizzo dell’intelligenza artificiale da parte dei cybercriminali per automatizzare campagne di phishing e attacchi mirati, oltre all’ampliamento delle supply chain digitali che introduce ulteriori punti di vulnerabilità. In tale contesto, i CISO italiani segnalano da tempo l’errore umano come principale fattore di rischio: il 72% lo individua come la minaccia più critica, dato in aumento rispetto al 48% dell’anno precedente. Nonostante l’adozione di misure tecniche avanzate, permangono infatti lacune nella cultura della sicurezza: basta un clic distratto su un link malevolo o una password debole per innescare compromissioni gravi. In molti report internazionali, la quota di violazioni attribuibili a comportamenti non intenzionali può superare il 60-70%, confermando che l’essere umano resta spesso l’anello più debole della catena. Diventa quindi essenziale investire in formazione cybersecurity mirata e continua.

Cybersecurity e comportamenti umani: una questione culturale prima che tecnica

La sicurezza informatica non è solo una questione tecnica: le minacce si nutrono anche di dinamiche sociali, abitudini consolidate e contesti culturali. La cybercriminalità sfrutta queste vulnerabilità invisibili, facendo leva su meccanismi relazionali, pressioni implicite e modelli organizzativi spesso trascurati.

In molte realtà aziendali si sviluppa una sorta di “tolleranza informale” verso comportamenti rischiosi, come la condivisione di credenziali tra colleghi, l’uso di account personali per scopi lavorativi o l’impiego di password deboli e ripetute. Queste pratiche, pur non conformi alle policy, vengono spesso accettate in nome della rapidità operativa.

A questi fattori si aggiungono i bias cognitivi sfruttati dal social engineering: autorità percepita, urgenza, riprova sociale. Un messaggio che simula l’identità di un dirigente può facilmente indurre all’azione senza alcuna verifica critica. In contesti di stress o carico di lavoro elevato, la soglia di attenzione si abbassa e anche dipendenti attenti possono commettere errori rilevanti.

Inoltre, è fondamentale superare lo stereotipo dell’“hacker solitario e geniale”: molti attacchi sono condotti da gruppi strutturati che sfruttano il divario digitale e le disuguaglianze socio‑economiche. L’assenza di formazione, la scarsa familiarità con strumenti digitali o l’esclusione da percorsi di aggiornamento rendono alcune persone inconsapevolmente più esposte, trasformandole in punti di accesso preferenziali per i criminal hacker.

Per questo, la formazione cybersecurity deve andare oltre le nozioni tecniche. Serve un approccio umano e relazionale che valorizzi la consapevolezza critica e una cultura della responsabilità condivisa, in cui ogni persona, a ogni livello, contribuisca attivamente alla protezione dell’organizzazione.

Errori umani e attacchi informatici: costi concreti per il business

Le conseguenze di una violazione innescata da errore umano spaziano da danni operativi e perdita di dati sensibili, a costi diretti, legali e reputazionali. L’IBM Cost of a Data Breach Report 2024 rileva che il costo medio globale di una violazione è salito a circa 4,88 milioni di dollari, con un aumento del 10% rispetto all’anno precedente. Studi come quelli di Varonis indicano che fino all’88% delle violazioni possa essere ricondotto a errori umani.

Oltre al danno economico, esiste il rischio di sanzioni in caso di non conformità (es. Direttiva NIS2) e di perdita di fiducia da parte di clienti, partner e stakeholder. Le aziende pertanto devono considerare il fattore umano non soltanto un tema di prevenzione, ma anche di resilienza e continuità del business.

Obblighi NIS2: formazione continua e responsabilità della dirigenza

Proprio per colmare il divario tra consapevolezza teorica e comportamento pratico, la Direttiva introduce tra gli obblighi NIS2 formazione mirate, rivolte tanto ai dipendenti quanto ai vertici aziendali.

Ogni entità, rientrante nel perimetro della NIS2, è tenuta a progettare e attuare programmi strutturati di formazione cybersecurity, per tutti i livelli aziendali.

Per il personale operativo, la formazione deve essere concreta, periodica e focalizzata sui principali rischi: phishing, uso improprio delle credenziali, gestione sicura dei dispositivi, riconoscimento di tentativi di social engineering e comprensione delle procedure interne di segnalazione.

La Direttiva introduce però anche un elemento di forte novità: l’obbligo formativo per gli organi direttivi. I manager e gli amministratori non solo devono approvare le strategie di sicurezza e monitorarne l’attuazione, ma sono chiamati a formarsi personalmente per comprendere a fondo i rischi, le implicazioni normative e le responsabilità connesse al loro ruolo.

Documentare la formazione è altrettanto cruciale: la NIS2 prevede la possibilità di ispezioni e audit da parte delle autorità competenti, e richiede alle organizzazioni di poter dimostrare in modo puntuale che i programmi siano stati effettivamente svolti, con evidenze nominative, attestati, report di simulazione e tracciabilità dei risultati.

Dalla compliance alla cultura della sicurezza

Alla luce della centralità del fattore umano nella catena della sicurezza informatica, NIS2 stabilisce che la formazione non sia più un’opzione, ma una misura organizzativa essenziale per garantire la resilienza aziendale e la conformità normativa.

L’obiettivo non è soltanto trasferire nozioni tecniche, ma costruire una consapevolezza diffusa, capace di modificare comportamenti, rafforzare l’attenzione ai dettagli e consolidare una cultura della sicurezza condivisa. Tuttavia, tradurre questi principi in pratica richiede un impegno concreto.

Per supportare le aziende in questo percorso, Comitel offre corsi di formazione specifici, progettati per rispondere ai requisiti della Direttiva NIS2 e orientati a sviluppare una vera cultura della sicurezza. I percorsi sono differenziati per target — dipendenti e dirigenti — e strutturati per coniugare efficacia, aggiornamento continuo e concretezza operativa, con la possibilità di integrare simulazioni, materiali di approfondimento e attestati, in linea con gli obblighi di formazione NIS2.

Se vuoi saperne di più sui nostri corsi di formazione, scarica qui l’infografica.