La cybersecurity rappresenta una preoccupazione crescente per le organizzazioni in Italia, ma il modo in cui viene gestita non sembra corrispondere alla complessità e al rischio reale che rappresenta. Il dibattito attuale si concentra spesso sull’adozione di nuove tecnologie, dimenticando però che il vero punto debole non è di natura tecnologica: è umano. Le persone, attraverso errori, mancanza di formazione o scarsa sensibilità ai rischi digitali, restano il fattore determinante in moltissimi incidenti di sicurezza informatica.

Il fattore umano e l’insicurezza strutturale

Da uno studio condotto da Grafton intitolato “Il paradosso della cybersecurity. Competenze emergenti, vulnerabilità strutturali e nuovi modelli organizzativi” emerge che il 61% degli incidenti informatici nel Paese si deve a errori umani commessi da dipendenti, clienti e partner. Il 50% è invece causato da una formazione insufficiente sui rischi digitali. È questo il “paradosso”: maggiore attenzione ai rischi, però minore capacità degli organici interni di gestirli, specialmente in termini culturali e organizzativi.

Un dato particolarmente rilevante è che quasi un lavoratore su due non riesce a individuare segnali evidenti di phishing. La situazione si migliora solo nella fascia under 34, mentre peggiora notevolmente tra i lavoratori più senior. Gli specialisti IT intervistati confermano che i rischi non devono essere visti solo come questioni tecniche, ma come eventi che possono verificarsi nella quotidianità. La capacità di riconoscere un attacco informatico non riguarda solo gli esperti in cybersecurity, ma l’intera popolazione aziendale.

L’insicurezza cresce in assenza di competenze

Gli interventi di cybersecurity spesso continuano ad essere tecnologicamente orientati, senza però investire nella formazione e nell’acquisizione di nuove competenze. Secondo lo stesso rapporto, solo il 18% delle risorse viene destinato alla formazione, e solo il 10% a nuove assunzioni. Il restante 56% va invece per lo più a infrastrutture tecnologiche.

Sebbene la cybersecurity richieda un approccio globale, in cui tecnologia, competenze e cultura lavorativa si integrano in modo coeso, si rileva un notevole divario tra questa consapevolezza e le azioni concrete. Le decisioni aziendali non tengono in considerazione abbastanza la dimensione educativa e il fattore umano. Si cerca di mitigare il rischio attraverso soluzioni tecniche, ma poco si fa per migliorare la cultura cybersecurity all’interno dell’organizzazione.

La mancanza di esperti e la difficoltà di selezionare i talenti

Un problema ulteriore concerne la ridotta disponibilità di professionisti in grado di gestire al meglio le sfide della cybersecurity. Solo il 16% delle aziende si sente effettivamente all’avanguardia nella gestione di questo tema. Il mercato italiano mostra una forte domanda di figure ICT, che cresce molto più velocemente dell’offerta. E non è solo una questione quantitativa: emergono anche criticità qualitative. Oltre l’84% degli HR ha difficoltà a valutare le competenze reali dei candidati, specialmente da un punto di vista tecnico.

La formazione deve cambiare approccio

Un elemento critico, ma poco implementato, è la formazione. Non si tratta di fare semplicemente più corsi, ma di ridefinirne completamente la metodologia. I test sull’efficacia della formazione in questioni di sicurezza evidenziano che le persone non solo non conoscono i rischi, ma non sanno nemmeno come identificarli. Sono le simulazioni mirate a contesti reali quelle che producono i risultati migliori nel ridurre l’esposizione agli attacchi informatici.

Una buona formazione dovrebbe quindi insegnare non solo a riconoscere gli strumenti del cybercrimine, ma a integrare la cultura della cybersecurity nella vita lavorativa di tutti i giorni. I lavoratori non devono solo sapere, ma devono saper fare e saper rispondere in tempo reale a minacce che possono verificarsi a ogni ora del giorno.

La governance e il ruolo della leadership

La cybersecurity è riconosciuta da tutti come una responsabilità condivisa, ma non è strutturata correttamente all’interno delle organizzazioni. Non è unicamente un problema tecnico: riguarda la governance aziendale e le decisioni che i dirigenti devono prendere sul campo.

Se la gestione della cybersecurity spesso si limita a una funzione tecnica, la verità è che i rischi che essa protegge (operativi, reputazionali, strategici) coinvolgono l’intera azienda. Per risolvere questa contraddizione, le organizzazioni devono includere la sicurezza informatica nei processi decisionali di alto livello e affidare una parte importante delle responsabilità a dirigenti e team manageriali, non solo ai tecnici specializzati.

Investire nell’intelligenza artificiale per prevenire e rispondere

Le aziende avanzate stanno iniziando a integrare l’intelligenza artificiale (AI) nella loro cybersecurity. Secondo il World Economic Forum, il 66% dei partecipanti al Global Cybersecurity Outlook ritiene l’AI la tecnologia più rilevante per il futuro della protezione informatica. L’AI, attraverso l’analisi in tempo reale, aiuta a individuare comportamenti anomali o rischi potenziali che un umano non sarebbe in grado di rilevare con la stessa velocità e precisione.

Towards un modello globale e coerente

Per superare il “paradosso della cybersecurity”, il passo necessario è uno spostamento radicale: non solo adottare strumenti avanzati, ma costruire una soluzione equilibrata in cui le risorse vengono distribuite equamente tra tecnologia, formazione e governance. Senza una cultura organizzativa che recepisca e agisca sulla consapevolezza dei rischi digitali, sarà difficile ottenere risultati reali.

Il futuro della cybersecurity non risiederà solo nelle tecnologie più avanzate, ma nella capacità delle aziende di riconoscere che il vero nemico da combattere è l’insicurezza umana, strutturale e organizzativa. Solo attraverso un approccio integrato e coerente si potranno affrontare rischi sempre più complessi in un mondo sempre più connesso.