In un mondo dove la crittografia promette di rendere i nostri messaggi inaccessibili persino ai governi, stiamo scoprendo una verità scomoda: il punto debole di qualsiasi sistema non è il codice, ma l’essere umano che lo utilizza. Tra phishing evoluto e routine digitali pericolose, la sicurezza informatica si gioca oggi sul campo della psicologia, più che su quello della tecnologia pura. Banalmente siamo noi il miglior alleato dei cybercriminali nel momento in cui cadiamo nella semplicità e nelle abitudini. Ecco cosa sta accadendo e i comportamenti da evitare.

La Trappola dell’Abitudine: Quando il Design ci Tradisce

Uno degli esempi più lampanti di come la progettazione possa ritorcersi contro l’utente è la gestione del PIN in alcune app di messaggistica. La richiesta periodica del codice, pensata per garantirne la memorizzazione, crea in realtà un automatismo pericoloso: l’utente si abitua a inserire il PIN senza riflettere sull’origine della richiesta. Arriva la richiesta, e come un arcoriflesso si inserisce il pin. Un battito di ciglia e la sicurezza è compromessa.

Questo fenomeno facilita enormemente il phishing classico e l’impersonificazione del supporto tecnico. Se un criminale si finge un tecnico IT o un operatore bancario, l’utente, ormai condizionato a fornire credenziali “per routine”, è molto più propenso a installare malware o cedere dati sensibili senza porsi domande. Bisogna tipizzare il comportamento della riflessione ogni volta che ci troviamo di fronte a richieste di codici. Sembra banale, lo ammetto, eppure è la prima causa di phishing. Questo basta a dover ripetere le azioni con cautela, a diffondere la consapevolezza e a non sottovalutare nessuna ipotesi.

Il Fattore “Urgenza” e il rifiuto della complessità

Mentre i dipartimenti IT lavorano per blindare i server, le figure apicali delle organizzazioni spesso scelgono la via della velocità. Leader e dirigenti tendono a privilegiare app private per bypassare la burocrazia aziendale, convinti che la rapidità operativa sia più preziosa dei protocolli ufficiali. Questo a latere della NIS2 deve diventare un comportamento sanzionabile. Non si può bypassare la complessità necessaria per ragioni di velocità o di urgenza.

Questa scelta porta a una normalizzazione di comportamenti insicuri: quando una scorciatoia rischiosa non viene sanzionata, diventa prassi comune. Sotto pressione, l’urgenza vince sulla prudenza, e la sicurezza reale, che dipenderebbe dalla verifica manuale delle chiavi crittografiche, viene sacrificata sull’altare della produttività.

Verso una Sicurezza “Centrata sull’Uomo”

Per invertire questa rotta, è necessario passare da una sicurezza puramente tecnica a una sicurezza centrata sull’uomo. Ciò significa progettare software che tengano conto dei limiti cognitivi dell’utente:

  • Onboarding rigoroso: Educare l’utente sin dal primo accesso.
  • Limitazione dei trasferimenti: Rendere meno immediato il passaggio di dati critici tra dispositivi non verificati.
  • Formazione ricorrente: Abbandonare le sessioni uniche annuali a favore di una consapevolezza continua.

Prima di affrontare il tema della formazione mi viene in mente un aneddoto. Durante la visita alla Grande Muraglia Cinese, è emerso chiaro che bastava corrompere la vedetta nelle torri per superare la difesa. E’ un classico esempio di fattore umano. Qui superiamo la logica della corruzione e dell’anello debole perchè spesso non c’è volontarietà nel causare un danno. Al contrario si tratta proprio di rafforzare al formazione ad ogni livello. Lo so: è un costo. L’ennesimo costo delle aziende. Tuttavia il danno che può derivarne è un costo nettamente superiore rispetto all’investimento in formazione.

Responsabilità e Cultura Aziendale

La sicurezza deve diventare una responsabilità condivisa. Le aziende hanno il compito di rendere i processi sicuri semplici da attuare, affinché non entrino in conflitto con il lavoro quotidiano. Al contempo, i leader hanno l’obbligo morale di dare il buon esempio, come a dire il vero sta già accadendo. Si impara molto di più nell’imitare un comportamento virtuoso, rispetto al manuale della cybersicurezza. Va messa in pratica da subito.

Infine, è fondamentale il modo in cui gestiamo l’errore. La gestione delle vittime non deve passare per l’umiliazione o la derisione pubblica, che scoraggiano le segnalazioni tempestive. Al contrario, serve un approccio basato sulla responsabilità: chi cade in una trappola deve essere supportato e indirizzato a percorsi di aggiornamento obbligatori, garantendo che ogni falla diventi un’opportunità di apprendimento per l’intera organizzazione. Siamo ancora portati alla derisione per fatti che superano di molto la volontà. Il punto è che siamo in piena guerra cibernetica, dove interi team di cybercriminali specializzati operano ogni giorno per violare sistemi sicuri. L’unica difesa che abbiamo è ottenere un maggior livello di cybersicurezza garantendo formazione, formazione continua, tipizzazione, complessità.

Leggi anche

  • Gmail e l’era di Gemini spiegata con Cesare Pascarella
    image
     by Dario Denni 21 Gennaio 2026 17:44 In un’epoca in cui l’intelligenza artificiale promette di semplificarci la vita quotidiana, Google ha annunciato l’ingresso ufficiale di Gmail nell’“era Gemini”. Dal gennaio 2026, l’email service più usato al mondo si trasforma in un assistente proattivo: riassunti automatici di thread lunghissimi, risposte suggerite personalizzate, query in linguaggio naturale sul proprio archivio, e persino un tab sperimentale “AI Inbox” che riordina la posta non più cronologicamente, ma per priorità intelligenti. Funzionalità potenti, gratuite per molti utenti e integrate nei piani Workspace per le aziende. Google la chiama “proattività”, ma per me somiglia pericolosamente a un vecchio trucco coloniale. Il parallelo arriva…
  • Una spia ha avuto accesso al vostro cloud senza lasciare tracce: Trump proroga il Fisa ed il Cloud Act fa tremare l'Europa
    cybersec e privacy
     by Dario Denni 19 Aprile 2026 18:55 Vi siete mai chiesti se qualcuno spia la vostra email? E' facile dire "io non ho niente da nascondere". Quando utilizziamo servizi extra europei il rischio è che qualcuno possa entrare nel nostro cloud e quel qualcuno è nientemeno che l'FBI o un tribunale statunitense. Come in un film poliziesco, solo che è la realtà. Questo porta le aziende e le pubbliche amministrazioni a scegliere un cloud sovrano europeo. Ecco perchè. La sovranità non è un concetto giuridico da scrivere nei preamboli dei regolamenti ma una capacità industriale che si esercita sui server e sui servizi cloud e AI. Se…
  • Dopo la dichiarazione di sovranità digitale di Berlino scoppia il caso Microsoft in Baviera
    cloud e data center in italia
     by Dario Denni 13 Gennaio 2026 21:24 In questi giorni la Baviera sta vivendo una disputa piuttosto accesa all'interno del suo governo regionale, tra due ministri che dovrebbero lavorare fianco a fianco per rendere l'amministrazione più moderna e digitale. Da una parte c'è Fabian Mehring, ministro per gli Affari Digitali dei Freie Wähler, dall'altra Albert Füracker, ministro delle Finanze della CSU. Al centro della lite c'è la dipendenza dalla software di Microsoft per le autorità statali e comunali. La questione non riguarda solo soldi o contratti tecnici, ma tocca temi più profondi come la sicurezza dei dati, l'indipendenza del Land e il modo in cui la politica…
  • Nuovo Cybersecurity Act (CSA), la legge che stabilisce le "pagelle" di cybersicurezza UE
    cloud e data center in italia
     by Dario Denni 21 Gennaio 2026 20:58 Sicurezza Informatica UE: Ecco il Piano per Sbloccare il Cloud e Proteggere i Dati Europei Ce la farà Bruxelles a risolvere un paradosso che dura da oltre cinque anni di non sapere come garantire che le nostre infrastrutture digitali siano tecnicamente inattaccabili senza restare intrappolati in infiniti scontri politici sulla sovranità digitale? No. Perchè di fatto ha scelto di non scegliere. Il cuore della sfida è il cosiddetto Cybersecurity Act (CSA), la legge che stabilisce le "pagelle" di sicurezza per i prodotti tecnologici. Finora, il processo si era incagliato, specialmente nel settore del cloud, a causa di un disaccordo di…
  • Mobile Fortify: come gli agenti USA possono identificarti con un click e attingere dai database europei
    Wojciech Wiewiórowski
     by Dario Denni 5 Gennaio 2026 11:37 La notizia la da il WSJ, gli agenti ICE possono disporre di Mobile Fortify negli Stati Uniti — l’app che permette agli agenti di identificare una persona con un click, incrociare i dati con l’Immigration e procedere all’arresto immediato — non è solo un aggiornamento tecnologico. È il compimento di un incubo che il compianto Professor Stefano Rodotà, con una lungimiranza incredibile, aveva previsto e problematizzato già cinquant’anni fa. Rodotà parlava della "persona elettronica", avvertendo che il rischio del progresso non era la macchina in sé, ma la trasformazione dell’uomo in un "corpo trasparente" davanti al potere, e così è…
  • CYBERSECURITY: GIANNETTO (REEVO), "SOVRANITÀ DIGITALE È ASSET STRATEGICO NAZIONALE"
    antonio giannetto reevo
     by Dario Denni 15 Marzo 2026 21:51 (RegTech News) - ROMA, 15 Marzo 2026 - "I dati hanno smesso di essere una mera risorsa tecnica per trasformarsi nel vero e proprio asset strategico su cui poggia l'intera impalcatura economica di una nazione". Lo afferma Antonio Giannetto, co-CEO di ReeVo, intervenendo all'evento "Sovranità digitale: Italia ed Europa a prova di futuro" che si è tenuto alla Camera dei Deputati, sottolineando come la sovranità digitale europea debba oggi essere intesa come una forma di autonomia politica ed economica non più rinviabile. Secondo Giannetto, la protezione di questo patrimonio si articola su tre direttrici fondamentali. In primo luogo, la governance…
  • Il nuovo standard ETSI per l'AI - “Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems”.
    cloud e data center in italia
     by Dario Denni 26 Gennaio 2026 15:19 ETSI EN 304 223 V2.1.1 (2025-12) è lo standard europeo pubblicato dall’ETSI (European Telecommunications Standards Institute) a dicembre 2025, intitolato “Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems”. Fornisce un framework concreto, proporzionato al rischio, che aiuta le aziende a integrare la sicurezza AI nei processi esistenti (threat modelling, risk management, incident response). È stato accolto come benchmark mondiale perché sposta la sicurezza AI da principi generici a disciplina ingegneristica applicabile. In pratica si vuole rendere i sistemi AI più resilienti agli attacchi informatici, promuovendo fiducia e compliance in un settore in rapidissima evoluzione. Andando…
  • La retorica della sovranità digitale: dalla Dichiarazione di Berlino al portale NIS2 di BSI
    cloud e data center in italia
     by Dario Denni 7 Gennaio 2026 15:09 La retorica della sovranità digitale cozza con azioni che, almeno nel breve termine, rafforzano player non europei, segnatamente quelli americani anche se "europeizzati" sulla carta. Da ultimo, la collaborazione tra l'Agenzia federale tedesca per la sicurezza informatica (BSI) e Amazon Web Services (AWS) è stata formalizzata con un accordo siglato nel marzo 2025, finalizzato a sviluppare standard e processi di validazione per ambienti cloud, con un focus specifico sulla sovranità digitale in Germania e nell'UE. Secondo i termini dell'accordo, AWS si impegna a rispettare i requisiti del BSI per la sovranità, inclusi controlli avanzati su separazione operativa, gestione dei flussi…
  • COSA FARE DOPO L'ATTACCO A SISTEMI INFORMATIVI (IBM) PER CONTRASTARE LO SPIONAGGIO CINESE
    cybersec dd
     by Dario Denni 3 Maggio 2026 17:24 Ci siamo, nessuno è invulnerabile. L'attacco informatico ai danni di Sistemi Informativi S.p.A., controllata di IBM Italia che gestisce anche infrastrutture critiche della Pubblica Amministrazione ci pone di fronte a scelte importanti. Secondo indiscrezioni giornalistiche lanciate da La Repubblica e La Stampa, dietro l'offensiva ci sarebbe il gruppo APT cinese 'Salt Typhoon'. IBM conferma incidente: "Situazione contenuta, indagini in corso". Sotto osservazione dati INPS e INAIL. Titolo: Esclusivo: Pa italiana (e non solo) attaccata da un gruppo di hacker cinesihttps://www.repubblica.it/tecnologia/2026/05/03/news/esclusivo_pa_italiana_e_non_solo_attaccata_da_un_gruppo_di_hacker_cinesi-425320702/(Articolo originale di Arcangelo Rociola su la Repubblica / Italian Tech – paywall parziale) Non è un evento informatico qualunque stavolta.…
  • La Tiktok americana è sovrana o è solo una nuova app che perpetra la dipendenza dalla Cina?
    cloud e data center in italia
     by Dario Denni 24 Gennaio 2026 21:31 C'è una nuova società e una nuova APP per TikTok in America ma poco cambia se i dati continuano a fluire, anche indirettamente in Cina. Molti problemi restano irrisolti. L'accordo sulla joint venture per TikTok negli Stati Uniti segna la tregua ma non la fine di una lunga battaglia politica che rischiava di far sparire l'app dal mercato più importante al mondo. Dopo anni di accuse, leggi approvate dal Congresso e minacce di ban, alcune perpetrate in un clima di sostanziale indeterminatezza, ecco come l'intervento di Trump ha portato a una soluzione che sembra un compromesso: ByteDance tiene una quota…