La cybersecurity non è solo il firewall

C’è una scena che, a forza di ripetersi, diventa quasi prevedibile.

Si entra in un’azienda nuova, si parla di sicurezza, e prima o poi qualcuno lo dice. Con una certa soddisfazione, anche comprensibile: “Abbiamo appena investito, firewall nuovo, antivirus evoluto, backup in cloud”. È il momento in cui tutti annuiscono. Sembra che il problema sia stato preso sul serio, affrontato, chiuso.

Poi si fa una domanda in più. Una sola.

“E sulla formazione del personale?”

E lì cambia l’aria. Non sempre, ma spesso sì. Si scivola su risposte vaghe, oppure si scopre che qualcosa è stato fatto anni prima, o magari una presentazione veloce, giusto per dire di averla fatta. Fine.

Il punto è che continuiamo a pensare alla cybersecurity come a qualcosa che si compra. Un oggetto. Un investimento tecnico. Una cosa da affidare all’IT e archiviare come “gestita”.

Solo che oggi non funziona più così.

I numeri, quando si ha voglia di guardarli davvero, sono piuttosto chiari. Il rapporto Verizon 2025 parla di circa il 74% delle violazioni in cui c’è di mezzo il fattore umano. Non un dettaglio, ma la maggioranza. E dentro ci finisce un po’ di tutto: phishing, credenziali rubate, errori, disattenzioni. Anche report come quelli di IBM o dell’ENISA raccontano la stessa storia: non è l’attacco “geniale” il problema principale, è la persona normale messa davanti a qualcosa che sembra normale.

A quel punto scatta quasi automaticamente il ragionamento più comodo: “ha sbagliato il dipendente”.

Sì. Ma è una risposta troppo facile.

Perché oggi un phishing fatto bene non lo riconosce quasi nessuno al primo colpo. Domini simili, email perfette, linguaggio corretto, tempistiche credibili. A volte costruiti su misura. Dire “bastava stare attenti” significa non aver capito il livello del problema.

Ed è qui che l’immagine che accompagna questo articolo diventa fin troppo reale.

Siamo a Pasqua. Si parla di agnelli, simbolicamente e non solo.

E allora proviamo a immaginare questa scena: un recinto perfetto, tecnologico, protetto, sorvegliato.

E dentro… agnelli e lupi.

La cybersecurity, in molte aziende, funziona esattamente così. Si costruisce un perimetro impeccabile, si investe in strumenti, si alza il livello delle difese. Ma poi si lascia scoperto il punto più fragile: chi quel sistema lo usa ogni giorno.

Non è un problema teorico. È il punto da cui passano la maggior parte degli incidenti.

E non è nemmeno solo una questione di buon senso. L’articolo 32 del Regolamento generale sulla protezione dei dati parla chiaramente di misure tecniche e organizzative. Quella “e” pesa più di quanto sembri. Perché dentro le misure organizzative, la formazione del personale non è un’opzione elegante: è una parte essenziale della sicurezza.

Il problema vero, però, è più sottile. È percettivo.

Il firewall si vede. L’antivirus si vede. Il backup si vede. Si possono raccontare, mostrare, mettere in un preventivo. La formazione no. Non è immediata, non è tangibile, non dà quella sensazione di controllo. E così viene rimandata, compressa, trasformata in qualcosa di marginale.

Poi succede qualcosa. Un bonifico su un IBAN sbagliato, una password inserita nel posto sbagliato, un allegato aperto senza pensarci troppo.

E a quel punto la frase è sempre la stessa: “non era prevedibile”.

In realtà, lo era. Non nei dettagli, ma nel fatto che prima o poi qualcuno avrebbe sbagliato. È fisiologico. Succede ovunque.

La sicurezza vera è meno spettacolare di quanto si immagini. È fatta di abitudini. Di persone che sanno riconoscere un segnale strano. Che si fermano. Che chiedono. Che non si sentono giudicate se alzano la mano.

Alla fine, la domanda resta una, ed è anche piuttosto scomoda.

Quando si dice “abbiamo investito in cybersecurity”, quanto è stato investito sulle persone?

Perché se la risposta è poco, o niente, allora quel recinto — per quanto tecnologico — resta comunque pieno di lupi.

Approfondimenti e fonti