-1.gif)
In un’era dominata da minacce digitali sempre più sofisticate, la cyber sicurezza non può più limitarsi a proteggere solo dati e infrastrutture tecnologiche. Gli attacchi informatici sfruttano spesso l’elemento umano: errori involontari, mancanza di consapevolezza o comportamenti rischiosi da parte delle persone, dei dipendenti dell’organizzazione.
È qui che entra in gioco la Human Centric Strategy nella cyber sicurezza, un approccio che pone le persone al centro delle difese, prioritizzando la loro protezione prima ancora di quella dei dati. Questo paradigma ribalta la prospettiva tradizionale, riconoscendo che le tecnologie da sole non bastano se non si considera il fattore umano. In questo articolo, esploriamo cos’è questa strategia, gli approcci attualmente adottati e come affrontarla in modo efficace per rafforzare la resilienza organizzativa.
Cos’è la Human Centric Strategy nella cyber sicurezza?
La Human Centric Strategy, o approccio human-centered nella cybersecurity, è un modello che integra empatia, usabilità, design comportamentale e comunicazione chiara per mitigare i rischi informatici. invece di sovraccaricare gli utenti con regole complesse e password intricate, questa strategia si concentra sulla comprensione e sull’indirizzo dei comportamenti umani per migliorare la sicurezza complessiva.
Fondamentalmente, riconosce che le persone non sono solo potenziali punti deboli, ma possono diventare i pilastri della difesa. Si tratta di un metodo che da priorità all’analisi e alla gestione del comportamento umano nel contesto della cybersecurity, al fine di potenziare le misure di protezione. Questo include influenze sociali, organizzative e tecnologiche sui comportamenti delle persone in ambito cyber.
A differenza delle strategie tradizionali, focalizzate su firewall, antivirus e crittografia, l’human-centric enfatizza la cultura della sicurezza, la formazione comportamentale e lo sviluppo di strumenti intuitivi. L’obiettivo è trasformare i dipendenti da ipotetici “anelli deboli” in “guerrieri della cybersecurity”, rendendo la sicurezza parte integrante della routine quotidiana senza generare frustrazione o resistenza.
Proteggere le persone significa educarle, supportarle e progettare sistemi che si adattino alle loro esigenze, riducendo così il rischio di errori umani che rappresentano, secondo diverse statistiche, oltre il 64% delle violazioni di sicurezza (Clusit, 2025), rientrando ancora oggi tra le cause principali degli incidenti cyber (ENISA, 2025).
Approcci attualmente adottati
Oggi, numerose organizzazioni stanno adottando approcci human-centric per contrastare l’aumento di attacchi come phishing, ransomware e social engineering. Questi metodi vanno oltre la tecnologia pura, integrando elementi psicologici e culturali per creare difese più robuste.
Uno degli approcci più diffusi è la formazione e sensibilizzazione comportamentale. Non si tratta più di sessioni obbligatorie noiose, ma di programmi personalizzati che tengono conto dei bias cognitivi umani – come la tendenza a cliccare su link sospetti per curiosità o urgenza – e mirano a cambiare i comportamenti. Diverse aziende hanno compreso, per esempio, l’importanza di una cultura security-centric, dove il management dà l’esempio e incoraggia la segnalazione di incidenti senza paura di punizioni. Questo include simulazioni di attacchi reali per addestrare gli utenti a riconoscere e reagire alle minacce.
Un altro pilastro è il Secure by Design. Intendo dire che molte imprese stanno riprogettando tool e interfacce per renderle intuitive, riducendo la complessità che spesso porta a workaround pericolosi da parte degli utenti. L’uso di autenticazione biometrica o single sign-on (sso), ad esempio, semplifica l’accesso senza compromettere la sicurezza, allineandosi ai bisogni e ai comportamenti naturali delle persone.
Sempre di più, si sta diffondendo l’uso di analisi comportamentali e intelligenza artificiale human-focused. Strumenti come quelli basati su behavioral analytics monitorano i pattern di utilizzo per rilevare anomalie, ma con un approccio empatico: invece di bloccare immediatamente un utente, il sistema potrebbe guidarlo con suggerimenti proattivi. Organizzazioni come NIST promuovono ricerche sulla “usable security”, esplorando come fattori organizzativi influenzino i comportamenti cyber delle persone.
Infine, approcci integrati enfatizzano la leadership e la cultura organizzativa. Report recenti evidenziato che una strategia human-centric richiede di investire in skills del team di sicurezza e di stabilire “security champions” all’interno dei dipartimenti, persone che promuovono buone pratiche tra i colleghi. Questo crea un ambiente dove la sicurezza è vista come responsabilità condivisa, non solo del reparto IT.
Come approcciare l'Human Centric Strategy
Per implementare efficacemente una Human Centric Strategy, le organizzazioni dovrebbero seguire un approccio strutturato, partendo dall’analisi interna e procedendo con azioni concrete.
Innanzitutto, si dovrebbe partire da una valutazione dei punti deboli umani. Iniziare con un audit per identificare dove risiedono le vulnerabilità: sondaggi anonimi sui comportamenti, analisi di incidenti passati e mappatura dei rischi legati al fattore umano, aiuta a comprendere bias e abitudini che potrebbero esporre l’azienda a rischi.
Successivamente si dovrebbe procedere ad investire in formazione mirata. Senza limitarsi a corsi generici si può rendere l’addestramento engaging e memorabile usando gamification, realtà virtuale o micro-learning al fine di cambiare comportamenti specifici, come verificare l’autenticità delle email, e misurare l’efficacia con metriche come il tasso di clic su phishing simulati.
Come terzo punto, si dovrebbe progettare tenendo sempre ben presente che l’utente è al centro dei processi. Adottare principi di “security by design” rende le misure di protezione intuitive. Integrare reminder automatici per aggiornamenti o usare Intelligenza Artificiale per suggerire password forti senza imporre regole rigide permette di coinvolgere gli utenti nel processo di design per garantire usabilità.
Un altro aspetto chiave è quello di fomentare la cultura della sicurezza. La leadership deve promuovere trasparenza e supporto, incoraggiando la segnalazione di errori senza stigma. Creare team cross-funzionali, permette di diffondere la consapevolezza e integrare la cybersecurity negli obiettivi aziendali.
Infine, utilizzare il metodo “monitora e adatta continuamente” permette di utilizzare loop di feedback per raffinare la strategia: analizzare dati comportamentali, aggiornare i programmi in base a nuove minacce e collaborare con esperti esterni.
Lo human-centric non è un progetto one-time, ma un’evoluzione costante che bilancia tecnologia e persone.
Il contributo di CYBEROO
Cyberoo, grazie alla sua continua osservazione degli attacchi, dei loro effetti sulle aziende e dei fattori scatenanti, ha compreso come, nonostante il dibattito sulla cybersecurity resti concentrato sugli aspetti tecnologici, la realtà sia spesso molto più umana di quanto si pensi.
Un fatto è certo, oggi esiste una forte dissonanza cognitiva tra i comportamenti che vengono adottati nella vita reale da quelli adottati nel mondo digitale. L’amigdala, senza sforzo, permette di attivare, nella quotidianità, gesti di protezione in maniera quasi automatica, come, ad esempio, chiudere la porta a chiave quando si esce di casa. È vero, tuttavia, che la stessa logica di prudenza viene meno quando si è online e magari si condividono informazioni particolari con leggerezza.
Le persone vengono frequentemente etichettate come “l’anello debole” della catena di sicurezza. La metafora è tuttavia fuorviante: non si tratta di un anello fragile, quanto piuttosto di un elemento mai temprato. Un dipendente che non ha ricevuto la formazione adeguata non è un punto debole inevitabile, ma un firewall potenziale mai attivato. Con il giusto approccio, il fattore umano può trasformarsi dal problema più diffuso alla risorsa più potente.
Il vero cambio di paradigma consiste quindi nello spostare la percezione delle persone da vittime inconsapevoli a difensori proattivi.
Questo è l’obiettivo principale della piattaforma Keatrix - Human Risk & Security TrAIning Platform, una piattaforma progettata da Cyberoo per trasformare radicalmente il concetto di security awareness e inaugurare una nuova era nella cybersecurity.
Si tratta di una piattaforma evolutiva che non si limita a trasmettere concetti astratti destinati a svanire nel tempo, ma genera un cambiamento comportamentale definitivo. Attraverso un metodo scientifico innovativo, mette al centro l’essere umano come protagonista attivo dell’apprendimento, valorizzando le sue modalità uniche di percepire, decidere e agire.
Trasformare le vulnerabilità in asset strategici
La Human Centric Strategy rappresenta un’evoluzione necessaria nella cyber sicurezza, dove rafforzare l’intero ecosistema passa sia dal proteggere le persone, sia dall’utilizzare le persone come un importante strumento di difesa. Passando da un focus sui dati a uno sulle persone, le organizzazioni possono ridurre i rischi, aumentare la compliance e creare un ambiente più resiliente.
Adottando approcci come formazione comportamentale, design usabile e cultura condivisa, è possibile trasformare potenziali vulnerabilità in asset strategici. Le persone sono il primo e più diffuso firewall aziendale motivo per cui in un mondo digitale in rapido cambiamento, mettere le persone al primo posto non è solo etico, ma essenziale per una difesa efficace contro le minacce cyber.
Di Luca Bonora - CYBEROO Evangelist