Nel dibattito sulla sicurezza informatica, il fattore umano viene spesso evocato come punto debole, raramente come risorsa strategica. Eppure, è proprio nel comportamento, nelle decisioni quotidiane e nei meccanismi psicologici che si annida una parte decisiva della resilienza cyber.
Ne parliamo con Isabella Corradini, psicologa sociale e del lavoro, criminologa e tra le massime esperte italiane sul rapporto tra sicurezza, comportamento umano e consapevolezza digitale. Un’intervista che sposta lo sguardo dalla tecnologia alle persone, senza semplificazioni.
Il fattore umano e l’ingegneria sociale: comprendere per prevenire
• Il fattore umano è spesso indicato come l’anello più vulnerabile nella catena della sicurezza. In che modo, secondo lei, la psicologia sociale può contribuire a rafforzare la capacità individuale e collettiva di riconoscere e contrastare l’ingegneria sociale?
Partiamo dal fatto che l’ingegneria sociale è una tecnica utilizzata dai cybercriminali per raggiungere i loro obiettivi, e si basa proprio sullo sfruttamento del fattore umano: attraverso messaggi ingannevoli, veicolati con varie modalità, si manipolano le persone inducendole a rilasciare informazioni sensibili o a compiere azioni che non rispettano le normali procedure di sicurezza. Se non si comprende quindi la natura umana e il perché si cade nella trappola dell’ingegneria sociale, è difficile mettere in campo azioni di prevenzione e contrasto, da intendersi sia in senso individuale sia organizzativo.
Da un lato, infatti, c’è la necessità di rendere le persone consapevoli dei rischi, dall’altro deve esserci però una cultura organizzativa che sostiene e crede in un approccio in cui le persone sono parte integrante della soluzione.
Bias cognitivi, emozioni e scorciatoie mentali: come funziona la manipolazione
• L’ingegneria sociale fa leva sulle emozioni, sulle abitudini e sui bias cognitivi. Quali sono, a suo avviso, le vulnerabilità psicologiche più sfruttate dai cybercriminali?
Non si tratta specificatamente di vulnerabilità, ma di caratteristiche umane che possono tradursi in vulnerabilità nel momento in cui l’ingegnere sociale le utilizza per i suoi scopi. Nel quotidiano, anche in modo non intenzionale, facciamo uso di specifiche strategie comunicative per ottenere qualche vantaggio. Trasmettendo fiducia ai nostri interlocutori, siamo in grado di creare quella relazione empatica che ci permette di raggiungere i nostri obiettivi come, ad esempio, ottenere informazioni di nostra utilità. Allo stesso tempo, tendiamo a rispondere positivamente a chi interagisce con noi in modo affabile, trascurando il fatto che talvolta si tratta di modalità ingannevoli. Stiamo parlando di aspetti della natura umana che possono essere sfruttati anche in un contesto tecnologico, mettendo a rischio la sicurezza.
Per comprendere come funziona l’ingegneria sociale basta porsi domande del tipo: chi di noi è pronto a mettere in dubbio la credibilità di qualcuno che si presenta in modo cordiale? I principi della persuasione, che lo psicologo sociale americano Cialdini descrive come reciprocità, autorità, scarsità, simpatia, coerenza e riprova sociale, spiegano bene i meccanismi dell’ingegneria sociale. Il loro successo è correlato ad altri fattori, come la pressione del tempo, l’urgenza percepita, il fatto che non ci siano procedure chiare, e via dicendo.
Intelligenza artificiale e nuove forme di inganno digitale
• L’avanzata dell’intelligenza artificiale introduce nuove forme di manipolazione digitale, tra deepfake, voice spoofing ed automazione degli attacchi. Quali scenari futuri dobbiamo aspettarci e quali competenze critiche dovremmo sviluppare per non restare indietro?
Con l’intelligenza artificiale, in particolare quella generativa, stiamo assistendo a un’ulteriore trasformazione dei modi con cui si sviluppa l’ingegneria sociale: la possibilità di simulare voci, gesti e documenti credibili ridefinisce i confini dell’inganno, riduce il costo per gli attaccanti e aumenta l’efficacia delle campagne fraudolente. Nella valutazione costi-benefici di un’azione criminale, questo fa la differenza. In generale, penso che assisteremo ad un’evoluzione dell’industria del cybercrime, sempre più automatizzata, dove lo studio della potenziale vittima può avvenire con algoritmi e con tempi ridottissimi.
Di fronte a questi scenari il tema della formazione e dello sviluppo di competenze critiche diventa centrale. L’intelligenza artificiale è uno strumento, di cui va valutata l’accuratezza delle risposte. Dobbiamo imparare ad usarla per il nostro bene, e non per sostituire le nostre capacità cognitive. Tra l’altro vorrei ricordare il report “The future of jobs” (World Economic Forum, 2025) che ha evidenziato come, in uno scenario caratterizzato dalla rapida trasformazione determinata dalle tecnologie, sia necessaria una formazione continua così come l’integrazione di competenze umane, le cosiddette soft skills, con quelle tecniche, vale a dire le hard skills.
Il limite attuale della cybersecurity: una sfida culturale
• Quale limite vede oggi nel gestire la sicurezza informatica?
Il limite è quello che ho evidenziato già nel corso degli anni. Vale a dire che, nonostante venga sottolineata da più parti l’importanza del fattore umano nella sicurezza informatica, le strategie di gestione della cybersecurity continuano a focalizzarsi principalmente sulle soluzioni tecnologiche, sottovalutando il fatto che esse non possono essere completamente risolutive (basta guardare i dati e le statistiche sugli attacchi).
Da un lato, infatti, va evidenziato che le soluzioni tecnologiche, per quanto avanzate, sono comunque adatte per problematiche di natura tecnica e non possono, quindi, risolvere problemi specificatamente legati al comportamento umano, com’è ad esempio l’ingegneria sociale, seppur veicolata con strumenti tecnologici e digitali. Inoltre, come ben sappiamo, le minacce evolvono rapidamente e le soluzioni tecnologiche diventano rapidamente obsolete.
La vera sfida resta quindi quella culturale, perché è evidente che un’efficace gestione della sicurezza informatica comincia dalla consapevolezza delle persone rispetto agli scenari digitali e ai rischi connessi.
Formazione sulla sicurezza: da adempimento a trasformazione
• Parlando di aziende e pubbliche amministrazioni: quali lacune vede nei programmi di formazione sulla sicurezza, e quali elementi imprescindibili dovrebbe avere un percorso realmente efficace e trasformativo?
Una prima lacuna riguarda proprio gli obiettivi che si intendono raggiungere. Voglio dire che se l’obiettivo è promuovere un cambiamento di atteggiamento verso il tema della sicurezza, tale obiettivo non può esaurirsi in sporadici interventi formativi, che spesso si traducono in liste di cose da fare e non fare o ad una mera informazione sulle policy di sicurezza. Bisogna sviluppare la consapevolezza dei rischi, ma anche il senso di autoefficacia, perché le persone devono sentirsi capaci di affrontare le minacce, senza delegare ad altri tale compito. La sicurezza, infatti, richiede un coinvolgimento attivo di tutti.
Si tratta quindi di sviluppare una chiara e forte cultura della sicurezza, che significa progettare un percorso, fatto di diverse attività, di buona comunicazione e di metodi di coinvolgimento effettivi. E qui arriviamo all’altra lacuna, che è più di carattere metodologico. E’ necessario rivedere metodi e contenuti formativi, perché bisogna puntare a trasmettere contenuti capaci di coinvolgere anche “emotivamente” le persone. Nella progettazione di questi interventi didattici è quindi importante coinvolgere esperti in grado di coniugare approcci sociali, tecnologici e metodologici.
L’incontro tra psicologia e tecnica: il valore dell’interdisciplinarità
• Nel libro lei e Luisa Franchina unificate due prospettive diverse: quella psicologica e quella tecnico-operativa. Qual è stato, per lei, il valore aggiunto di questo incontro inter-disciplinare e cosa ritiene emerga con particolare forza da questa complementarità?
La diversità di competenze – e la loro integrazione – è necessaria per affrontare un tema così complesso e in evoluzione come la sicurezza informatica. L’unione tra la prospettiva psicologica e quella tecnico-operativa non è solo auspicabile, è imprescindibile. Se da un lato è fondamentale progettare e implementare le difese tecniche, dall’altro è necessario far comprendere alle persone perché quelle difese sono importanti e come supportarle anche dal lato umano. Nel libro abbiamo messo in evidenza la necessità di integrare le due visioni in modo pratico, perché si parte sempre da un punto chiave: se non ci fossero le persone, non ci sarebbe l’ingegneria sociale!
Costruire una cultura della sicurezza consapevole
• Quale messaggio desidera lasciare ai lettori di Hermes Bay riguardo alla protezione dei propri dati e alla costruzione di una cultura della sicurezza più matura e consapevole?
Proteggere la nostra identità digitale significa proteggere noi stessi. I dati non sono qualcosa di astratto, ci rappresentano. E se i dati hanno un valore, questo significa che noi valiamo…Quindi, cominciamo ad allenare il nostro spirito critico!
La sicurezza è prima di tutto una scelta umana
L’intervista a Isabella Corradini restituisce una verità spesso trascurata: la sicurezza informatica non è solo una questione di sistemi, ma di persone. Comprendere i meccanismi psicologici, investire in consapevolezza e integrare competenze diverse non è un’opzione accessoria, ma una condizione necessaria per costruire una cultura della sicurezza realmente matura. In un contesto in cui le tecnologie evolvono rapidamente, la capacità critica resta l’ultima – e più importante – linea di difesa.
Costruire una cybersecurity efficace significa partire dalle persone.
Scopri sul blog di Hermes Bay approfondimenti, analisi e punti di vista per sviluppare una cultura della sicurezza più consapevole, integrando tecnologia, competenze e fattore umano.
