
Da sempre, il settore della cybersicurezza sostiene che le persone rappresentano l’anello più debole della propria catena, ribadendo come la formazione sia l’unica vera e propria soluzione alla “human liability”.
Ancora oggi, i dati lo confermano: secondo il Verizon DBIR 2025, il 68% degli incidenti/breach analizzati coinvolge un elemento umano (phishing, social engineering, errori, abuso di credenziali), a testimonianza di come la superficie vulnerabile non sia solo tecnologica, ma coinvolga in misura significativa anche la sfera cognitiva e comportamentale umana.
Per oltre vent’anni, la cybersecurity awareness ha quindi cercato di insegnare alle persone a riconoscere i segnali di pericolo. Questo approccio si è tradotto in un vasto ecosistema di programmi di formazione, basati su valutazioni periodiche (spesso annuali o mensili), e su sessioni formative integrate, tendenzialmente attivate dopo il mancato superamento di un test di phishing.
Ma se il phishing, nato nella seconda metà degli anni ’90, ha impiegato quasi vent’anni per diventare una delle tecniche di cyberattacco dominanti, seguendo l’adozione di massa delle e-mail, oggi il ciclo di innovazione dell’IT si misura in settimane, talvolta giorni, e con esso evolve anche il panorama delle minacce. Per questo, dobbiamo chiederci se non debba evolvere anche la formazione, passando dalla semplice sensibilizzazione allo sviluppo della capacità di prendere decisioni consapevoli.
Dalla sensibilizzazione al decision making: il cambio di paradigma
Con l’arrivo dell’intelligenza artificiale, il concetto stesso di errore umano sta cambiando. Non si tratta più soltanto di cliccare sul link sbagliato, ma di interagire con sistemi che possono essere influenzati o manipolati.
Non a caso, la OWASP Foundation ha classificato il Prompt Injection (che consente di “iniettare” istruzioni malevole dentro e-mail, PDF o pagine web che l’IA legge, inducendola ad aggirare regole, dare priorità sbagliate e recuperare contenuti da fonti non affidabili) come la vulnerabilità numero uno delle applicazioni basate su LLM già nella prima Top 10 del 2023, confermandolo anche nell’aggiornamento del 2025.
La curva di adozione di queste tecniche AI-based è impressionante, e ha trovato un terreno incredibilmente fertile nel fenomeno della Shadow AI, ovvero l’adozione crescente di strumenti di IA da parte dei dipendenti spesso non autorizzati, non supervisionati e non integrati nei presìdi aziendali.
È qui che per la cybersecurity si è aperta una nuova zona grigia: conversazioni e documenti possono uscire dai perimetri controllati, mentre le decisioni operative vengono accelerate da suggerimenti automatici non sempre verificabili.
Le persone oggi devono imparare non solo a usare l’IA, ma a supervisionarla criticamente, e per questo il vecchio assunto formativo sta iniziando a mostrare fortemente i propri limiti.
Le e-mail di phishing possono essere perfettamente scritte, prive di errori grammaticali e altamente personalizzate. Le chiamate possono utilizzare voice cloning. I documenti possono essere generati con uno stile coerente con quello aziendale.
La domanda che un cybersecurity training rivolge ai propri discenti deve pertanto adeguarsi: non solo “Sai riconoscere un attacco”, ma “Sai prendere decisioni sicure quando non hai abbastanza informazioni?”. Un cambio di paradigma che impone riflessioni sia in termini di personalizzazione dei contenuti formativi, che di tempistiche e modalità di engagement.
- Adeguare i contenuti: passare dal generalista al personalizzato
In un contesto mutevole come quello odierno, fare la formazione giusta, alla persona giusta, nel momento giusto, può fare tutta la differenza.
Un CFO affronta rischi e danni potenziali legati alla violazione della sua figura molto diversi rispetto a un HR, così come un’azienda metallurgica ha profili di rischio diversi da una finanziaria e ogni organizzazione è dotata di tool e processi unici rispetto ad altre.
In quest’ottica, il primo step che dovrebbe fare la cybersecurity awareness è sostituire l’approccio “uguale per tutti” con la personalizzazione, e per questo l’IA può rivelarsi un formidabile alleato.
- La formazione deve diventare continua, contestuale ed esperienziale
Sebbene gli attuali programmi di formazione (la formazione con istruttore, quella da remoto con contenuti prestabiliti e così via) siano da tempo una strategia fondamentale, la ricerca si sta orientando verso nuovi modelli formativi.
Alcuni sono fortemente esperienziali, come le escape room, e funzionano perché trasformano la cybersecurity da conoscenza passiva a esperienza decisionale sotto stress, facendo leva su engagement e apprendimento immediato e mostrando effetti misurabili su conoscenza e atteggiamento.
Altri, assistiti dalla GenAI, personalizzano automaticamente i contenuti, offrendo feature decisive come micro-learning, coaching in tempo reale, simulazioni personalizzate e feedback immediato.
Grazie all’IA, invece di ricevere un corso di un’ora ogni dodici mesi, un dipendente può ricevere un suggerimento di trenta secondi esattamente quando sta per condividere un file sensibile, favorendo una logica di apprendimento che da just-in-case diventa just-in-time.
- Misurare il comportamento, non il completamento
Infine, se storicamente molte aziende hanno utilizzato KPI come percentuale di corsi completati, ore di formazione e quiz finali, è stato anche dimostrato più volte che i programmi di formazione sulla sicurezza informatica non impediscono ai dipendenti di cadere vittime di truffe di phishing.
Per portare la cybersecurity awareness sul terreno reale della resilienza, occorre spostare l’attenzione verso metriche comportamentali come velocità di segnalazione del phishing, frequenza degli errori, utilizzo corretto degli strumenti, riduzione dei comportamenti rischiosi e qualità delle decisioni.
La cybersecurity awareness in questo modo diventa una disciplina di behavior change, più vicina alla psicologia comportamentale che alla formazione tradizionale, sottolineando ancora di più come l’IA non elimini il fattore umano nella sicurezza, ma ne cambi il ruolo.
Se prima alle persone si chiedeva soprattutto di non commettere errori, oggi si chiede di prendere decisioni corrette in collaborazione con sistemi intelligenti. La vera resilienza organizzativa dipenderà quindi non solo dalla qualità degli algoritmi, ma dalla qualità del rapporto tra persone, processi e IA.
Contributo a cura di Roberto Marzocca, head of Cybersecurity di Kirey



























































