.gif)
La principale vulnerabilità alla base della maggior parte degli incidenti informatici non risiede in software non aggiornati, credenziali deboli o configurazioni di rete inadeguate, bensì in un organo di circa un chilogrammo e mezzo che consuma il 20% del nostro metabolismo energetico basale.
Tale organo è il cervello. Può trattarsi del proprio o di quello dei colleghi: di qualunque individuo che, in un determinato momento, stia elaborando un sovraccarico di stimoli, consultando comunicazioni tra impegni consecutivi, molteplici finestre operative aperte e continue notifiche in ingresso. Non si tratta di negligenza, ma di fisiologia.
Se il Novecento è stato definito il secolo del cuore, il Duemila è senza dubbio il secolo del cervello, perché sempre più discipline riconoscono che i processi cognitivi ed emozionali rappresentano la variabile determinante dei comportamenti complessi.
Il fattore umano è infatti coinvolto in circa il 60% delle violazioni di dati (Verizon, 2025). Non perché le persone siano incapaci, ma perché il cervello umano non è stato progettato per la cybersecurity. È stato progettato per garantire la sopravvivenza.
Come il cervello prende decisioni e perché sbagliamo
Per capire perché clicchiamo su un link malevolo prima di pensarci, bisogna capire come il cervello prende decisioni. Daniel Kahneman, premio Nobel per l’economia, ha descritto due modalità fondamentali: il Sistema 1, veloce, intuitivo e automatico, e il Sistema 2, lento, analitico e deliberativo.
Il Sistema 1 è quello che ci fa frenare di colpo quando un bambino attraversa la strada. È anche quello che ci fa cliccare su “Verifica subito il tuo account” quando l’email sembra arrivare dalla nostra banca. I circuiti emotivi si attivano in millisecondi, prima che le aree prefrontali deputate al ragionamento e al controllo abbiano il tempo di intervenire.
È una scorciatoia evolutiva perfetta per sfuggire a un predatore. Molto meno perfetta per gestire un tentativo di phishing alle 17:30 di un venerdì.
Qui arriva la parte scomoda. La stragrande maggioranza dei dipendenti che cadono in un attacco, sanno che il phishing, ad esempio, esiste. Hanno fatto il corso. Hanno superato il quiz. Eppure, cliccano lo stesso.
Perché sapere non basta: il ruolo della salienza e della memoria
Il motivo è che l’informazione, da sola, raramente basta a cambiare un comportamento in modo stabile. Se bastasse sapere, nessuno fumerebbe, tutti farebbero esercizio fisico e nessuno guiderebbe guardando il telefono.
Sul piano neuroscientifico, il processo che trasforma una conoscenza in un'azione abituale può essere descritto attraverso fasi distinte: prima l'informazione viene acquisita (letta, vista, ascoltata) e poi viene collegata a qualcosa che già conosciamo (attraverso esempi, analogie, storie), così che il cervello possa codificarla; dopo averla codificata, il cervello deve lavorarci sopra (la deve applicare, testare, deve sbagliare e correggersi), in altre parole, la deve rielaborare attivamente per consolidarla in una conoscenza stabile che sarà in grado di richiamare, in modo autonomo, nel momento in cui è richiesta.
Soltanto a questo punto una conoscenza è in grado di tradursi in comportamento. Molti programmi di security awareness si fermano alle prime due fasi: trasferiscono informazioni e verificano la comprensione. Il risultato è che le persone “sanno” cosa dovrebbero fare, ma nel momento reale non lo fanno. Quel sapere non è ancora pronto per diventare un comportamento.
Ma c’è un passaggio ancora più a monte, che molti programmi formativi ignorano del tutto. Prima ancora di memorizzare, il cervello deve decidere che uno stimolo merita attenzione. Se questa soglia non viene superata, il processo di apprendimento non si attiva nemmeno.
Questo compito spetta a un sistema distribuito che le neuroscienze chiamano salience network: la rete della salienza.
Questa rete funziona come un filtro continuo: tra le migliaia di stimoli che ci raggiungono ogni secondo, seleziona quelli che sono rilevanti (per novità, significato emotivo, urgenza, pericolo, ricompensa) e attiva le risorse cognitive necessarie a elaborarli. Tutto ciò che non supera questo filtro, semplicemente, non entra nel circuito dell’apprendimento.
Il motivo per cui, passeggiando in un bosco, noteremo un serpente a terra prima ancora di rendercene conto, è perché la nostra rete della salienza (con la nostra amigdala in prima linea) ha riconosciuto la minaccia e ha dirottato la nostra attenzione in una frazione di secondo.
Il problema è che un’email sospetta non è un serpente. Non è uno stimolo per cui il cervello ha una risposta biologica preparata.
Nessuno nasce con un istinto per salvarsi dal phishing. Questo significa che la formazione in cybersecurity ha un compito particolarmente arduo: deve costruire artificialmente una salienza che la biologia non ci fornisce, facendo sì che il cervello impari a trattare un’email anomala con un livello di attenzione simile a quello che riserverebbe a un segnale di pericolo fisico.
Ed è esattamente il motivo per cui i contenuti emotivamente neutri, come slide, quiz, elenchi di regole, falliscono: non superano il filtro della salienza, sono rumore che il cervello scarta per risparmiare energia e risparmiare tempo. Per essere efficace, la formazione deve prima di tutto farsi notare. Per il cervello questo significa essere saliente, emotivamente rilevante.
Tutto questo succede proprio perché «il cervello è uno spilorcio cognitivo, se non può ricavarne del valore, smette di prestare attenzione» dice Oren Klaff e, infatti, conserva solo ciò che ritiene utile, ignora ciò che percepisce come ridondante e scarta ciò che non si aggancia a un’emozione o a un significato personale.
Hermann Ebbinghaus lo dimostrò già nel 1885 con la sua celebre curva dell’oblio: senza rinforzo, dimentichiamo la maggior parte delle informazioni nel giro di ore o giorni. Ma c’è un’eccezione potente: le esperienze emotivamente cariche. Un evento che ci spaventa, ci sorprende o ci coinvolge può restare impresso per anni.
Non è magia, è neurobiologia. Quando l’amigdala si attiva, potenzia i processi di consolidamento della memoria nell’ippocampo, rafforzando le connessioni sinaptiche che rendono quel ricordo duraturo.
Perché la formazione deve essere adattiva
C’è poi un ultimo problema strutturale: il modello one-to-many, in cui lo stesso corso viene proposto a centinaia di persone, ignora una realtà neuroscientifica fondamentale. Ogni cervello è unico, plasmato dalle proprie esperienze e dalla propria storia di apprendimento. Le differenze individuali nella capacità attentiva, nella memoria di lavoro e nella velocità di elaborazione sono documentate e misurabili, e incidono direttamente sull’efficacia di qualsiasi percorso formativo.
Il CFO che gestisce dati finanziari sensibili ha un profilo di rischio diverso dall’operaio in produzione che accede a un terminale condiviso. Formarli allo stesso modo, con gli stessi contenuti e gli stessi tempi, è come prescrivere lo stesso paio di occhiali a tutti i pazienti di un oculista.
È qui che entra in gioco l’adattività, attraverso la tecnologia. Parliamo di sistemi capaci di riconoscere come una persona apprende meglio, quali contenuti catturano la sua attenzione, quali si rivelano più efficaci e quali richiedono di cambiare approccio, trasformando la formazione in un processo one-to-one, modellato sul cervello della singola persona. In altre parole, la tecnologia diventa abilitante perché permette di adattare l'esperienza formativa a come ciascun individuo impara meglio.
Automatismi comportamentali: la vera frontiera della cybersecurity
Tutto questo porta a una conclusione chiara: la cybersecurity, per generare un cambiamento reale, deve allinearsi alle neuroscienze. Non basta aggiungere più informazioni, né aumentare la frequenza dei corsi. Serve costruire automatismi comportamentali.
E gli automatismi si costruiscono attraverso un mix preciso: ripetizione distribuita nel tempo, variazione dei contesti per generalizzare il comportamento, coinvolgimento emotivo per superare il filtro della salienza e attivare il consolidamento, e adattività per rispettare le differenze individuali.
Quando un comportamento viene esercitato abbastanza a lungo secondo questi principi, il cervello lo automatizza progressivamente: l’attività delle aree prefrontali, inizialmente necessaria per guidare ogni decisione, diminuisce, mentre i circuiti sottocorticali legati alle risposte apprese assumono un ruolo crescente.
È un processo analogo a quello che ci permette di guidare senza pensare a ogni singolo gesto: dopo migliaia di ripetizioni in contesti diversi, il comportamento diventa fluido e naturale. La sicurezza informatica deve aspirare a questa stessa naturalezza.
Il giorno in cui un dipendente rifiuta una richiesta sospetta senza esitazione, segnala un’anomalia con la stessa naturalezza con cui chiude la porta di casa a chiave, controlla un link prima di cliccare senza che questo gli costi il minimo sforzo, quel giorno possiamo dire che la formazione ha funzionato. Non perché ha insegnato qualcosa, ma perché ha modificato il cervello.
È questo il contributo che le neuroscienze possono portare alla security awareness: trasformare un comportamento corretto da scelta consapevole a risposta automatica. Solo allora il fattore umano smette di essere una vulnerabilità e diventa, finalmente, parte della soluzione.
Di Andrea De Giorgio - Lead of Keatrix Research and Development
