In Italia, ogni anno oltre 3.000 persone muoiono sulle nostre strade, nonostante tutti conoscano le regole di sicurezza stradale. La stessa dinamica avviene nel cyber crime, che miete milioni di vittime ogni anno anche se ormai tutti sanno che non bisogna cliccare su link sospetti.

Il paradosso si spiega con i bias cognitivi, cioè quelle scorciatoie mentali che ci portano a pensare “non ho nulla da temere” o “a me non capiterà mai”. Si tratta di una percezione errata che ignora come chiunque possa diventare ponte di accesso verso obiettivi più appetibili o un capro espiatorio a cui attribuire la responsabilità di attività criminali.

Anche per questo è utile fornire ai professionisti della sicurezza gli strumenti per comprendere e contrastare questi meccanismi psicologici che rendono inefficaci anche le migliori tecnologie di protezione[1].

L’illusione del “non ho nulla da nascondere”

La convinzione di non avere nulla di interessante da rubare rappresenta il bias più pericoloso nell’ambito della cyber security. Ogni utente, anche la signora Pina, costituisce in realtà un asset prezioso per i criminali informatici sotto tre profili strategici:

1. Ponte di accesso: ogni persona è collegata ad amici, familiari e colleghi potenzialmente più interessanti. I cyber criminali sfruttano queste connessioni per raggiungere obiettivi di maggior valore attraverso catene di fiducia.
2. Capro espiatorio: le identità rubate vengono utilizzate per intestare contratti fraudolenti, aprire conti bancari e registrare domini utilizzati per attacchi. Il danno ricade sulla vittima inconsapevole.
3. Fonte di credenziali: password riutilizzate, dati personali e informazioni di contatto diventano munizioni per sferrare attacchi più sofisticati contro le organizzazioni target.

La lezione dalla sicurezza stradale

I dati ISTAT ogni anno fotografano una tragedia annunciata: oltre 3.000 decessi causati da comportamenti evitabili come alta velocità, uso del cellulare alla guida, mancato utilizzo di cinture e caschi, guida in stato di ebbrezza.

Sono tutti comportamenti intenzionali che persistono nonostante le continue campagne di sensibilizzazione.

La Polizia Stradale identifica ricorsivamente le stesse cause, le associazioni moltiplicano gli appelli, eppure i morti non diminuiscono. Se le persone mettono a rischio la propria sopravvivenza fisica ignorando regole consolidate, perché dovrebbero rispettare quelle informatiche, che sono percepite come meno pericolose perché sembrano essere contenute dentro un monitor?

Anatomia dei bias cyber security

Proviamo, quindi, ad elencare quelli che sono i bias cyber security in cui è facile imbattersi quotidianamente in qualsiasi attività lavorativa o in ambito familiare:

1. Il bias dell’invulnerabilità personale:«Non ho niente da rubare, e poi perché dovrebbe capitare proprio a me?». Questo pensiero ignora che i cyber criminali non cercano necessariamente ricchezze, ma punti di accesso, identità e credibilità. La percezione di non essere un target interessante abbassa drasticamente le difese comportamentali.
2. Il bias del controllo illusorio: «Non ci casco e comunque, se mi dovesse capitare, farò attenzione». L’overconfidence nelle proprie capacità di riconoscimento delle minacce sottovaluta la sofisticazione degli attacchi moderni. I criminali studiano proprio questi meccanismi per aggirarli.
3. Il bias della delega tecnologica: «Ci pensa l’antivirus, ci pensa l’amico esperto, ci pensa l’ufficio della sicurezza». La cieca fiducia nella tecnologia ignora che l’elemento umano rimane il principale vettore di attacco. Nessun sistema automatico può proteggere da ogni errore comportamentale.

Il paradosso tecnologico

La capacità computazionale stimata di un cervello umano equivale ad 1 exaFLOP al secondo e la memoria si aggira attorno ai 2,5 petabyte: ben al di sotto dei supercomputer più potenti. Allora perché nessun supercomputer è ancora riuscito a sostituire il pensiero?

Il supercomputer più potente al mondo supera le capacità di calcolo del cervello umano e dispone di oltre 700 petabyte di storage, eppure non riesce a sostituirlo. Questo avviene perché il cervello eccelle nell’intuizione, nella correlazione di informazioni non strutturate, nella valutazione contestuale – competenze che la tecnologia fatica a replicare.

Credere che la tecnologia possa risolvere ogni problema di sicurezza rappresenta a sua volta un bias: la “grande bugia della tecnologia” che prometteva soluzioni definitive ai problemi umani.

I bias come meccanismo evolutivo

I bias cognitivi non sono difetti del pensiero, ma strumenti di sopravvivenza evolutiva. Il cervello umano deve processare informazioni complesse in tempi ridotti per garantire decisioni rapide: il computer deve elaborare i dati dal primo all’ultimo seguendo un algoritmo, mentre il cervello può permettersi di approssimare, oppure può anche decidere di non fare nulla.

Questi meccanismi di approssimazione si rivelano vitali in situazioni di pericolo immediato, ma diventano vulnerabilità nel cyber spazio, dove le minacce sono invisibili e i tempi di reazione dilatati.

Implicazioni per le organizzazioni

Ecco quali sono le possibili implicazioni di queste vulnerabilità per le organizzazioni:

1. Progettazione anti-bias: le strategie di cyber security devono incorporare la comprensione dei bias cognitivi, progettando sistemi che funzionino nonostante – non contro – i meccanismi mentali naturali.
2. Formazione psicologicamente informata: i programmi di security awareness devono abbandonare l’approccio puramente informativo per adottare metodologie che tengano conto dei bias cognitivi e delle resistenze psicologiche al cambiamento comportamentale.

Gli strumenti tecnologici più efficaci sono quelli che supportano i processi decisionali umani senza sostituirli, creando “nudge”, cioè spinte gentili che accompagnano le persone verso comportamenti sicuri, anziché barriere rigide, antipatiche e facilmente aggirabili.

Verso una cyber security comportamentale

Il futuro della sicurezza informatica richiede approcci interdisciplinari che integrino competenze tecniche, psicologiche e comportamentali. Solo comprendendo perché le persone sbagliano sarà possibile progettare difese realmente efficaci.

La sfida non è eliminare i bias – impossibile e controproducente – ma canalizzarli verso comportamenti sicuri, trasformando meccanismi evolutivi in alleati della cyber security.

[1] Per approfondimenti: “Manuale CISO Security Manager”. Per una guida completa alla compliance cyber security e alle competenze normative necessarie ai professionisti della sicurezza, il manuale offre un approfondimento dettagliato su normative nazionali ed europee, strategie di conformità e best practice operative.