Nonostante investimenti crescenti in cyber security, il fattore umano resta una delle principali cause di violazioni. Errori di phishing, comportamenti rischiosi e uso improprio dell’intelligenza artificiale continuano a esporre dati e organizzazioni.

A confermarlo è il report “Human Risk Behavior 2025” di Arctic Wolf, basato su oltre 1.700 leader IT ed end‑user, che mette in luce una profonda disconnessione tra percezione del rischio e comportamenti reali.

Perché il rischio umano è oggi il vero punto debole della cyber security

Il report “Human Risk Behavior 2025” di Arctic Wolf evidenzia una marcata disconnessione tra percezione e realtà del rischio: nonostante l’aumento degli incidenti informatici e la crescente esposizione dei dirigenti senior agli attacchi cyber, i leader IT continuano a mostrare una fiducia eccessiva nelle difese di sicurezza delle proprie organizzazioni.

Il fattore umano si conferma uno dei principali vettori di compromissione. Gli attori malevoli sfruttano soprattutto:

• compromissione delle credenziali,
• ingegneria sociale,
• minacce interne,
• scarsa igiene informatica,

trasformando comportamenti quotidiani in punti di accesso critici per gli attacchi.

Particolarmente esposti risultano dirigenti e leader senior, in virtù dei privilegi elevati e dell’accesso a dati sensibili. I dati percentuali mostrano che:

• il 39% dei leader è stato colpito da attacchi di phishing,
• il 35% ha subito infezioni malware,
• il 31% è stato bersaglio di attacchi di social engineering,
• nel 69% degli incidenti informatici, la vittima iniziale è stata proprio un membro del team di leadership.

Il phishing si conferma così una delle minacce più persistenti e redditizie, favorita dalla propensione – anche tra leader IT e utenti esperti – a cliccare su link malevoli e a sottovalutare i rischi associati ai propri comportamenti digitali.

Fonte immagine: Arctic Wolf® Report – “Human Risk Behavior 2025” .

Anche gli esperti sbagliano: perché il personale IT cade nelle trappole di phishing

Il phishing continua a essere una delle minacce più efficaci, anche tra utenti esperti. Il 65% dei leader IT ammette di aver cliccato su link di phishing e quasi il 17% non ha segnalato l’incidente, spesso per timore di ripercussioni.

Eppure, il 76% dei leader IT ritiene che la propria organizzazione non subirà attacchi di phishing, evidenziando una pericolosa distanza tra comportamenti reali e percezione del rischio. Una fiducia eccessiva che indebolisce la cultura della sicurezza e aumenta l’esposizione complessiva.

Fonte immagine: Arctic Wolf® Report – “Human Risk Behavior 2025”.

Spear phishing e intelligenza artificiale: attacchi sempre più mirati ai dirigenti

A rendere il quadro ancora più complesso contribuisce la crescente diffusione del spear phishing, una tecnica mirata che sfrutta informazioni dettagliate sugli obiettivi di alto valore, come i dirigenti e i responsabili IT, per costruire messaggi estremamente credibili.

Questo tipo di attacco sta diventando sempre più comune anche grazie alle capacità di ricerca, analisi e personalizzazione offerte dall’intelligenza artificiale, che riducono drasticamente la soglia di errore nella fase di ingegneria sociale.

Già nel 2023, il report “Spear Phishing Trends” di Barracuda Networks aveva lanciato un segnale d’allarme significativo: pur rappresentando meno dello 0,1% del totale delle email analizzate, lo spear phishing è stato responsabile del 66% delle violazioni informatiche andate a buon fine, confermandosi come una delle tecniche più efficaci – e pericolose – nel panorama delle minacce cyber.

Eccessiva fiducia e rischio phishing: i dati chiave

Le simulazioni di phishing sono ampiamente diffuse (91% dei leader IT), ma percepite in modo ambivalente: il 49% degli utenti le considera solo in parte efficaci.

I dati mostrano però un miglioramento concreto: oggi solo circa la metà degli utenti cade vittima di attacchi reali. Le simulazioni funzionano soprattutto quando integrate in una strategia più ampia e utilizzate come strumenti educativi, non punitivi. Inoltre, la ripetizione costante rafforza la consapevolezza e promuove una cultura della sicurezza condivisa, basata su formazione continua e su un approccio educativo, non punitivo, che allena nel tempo la cyber resilienza.

Il report evidenzia, altresì, tra il 63% degli utenti finali che utilizzano per lavoro tecnologie LLM – come ChatGPT – il 41% ammette di aver condiviso informazioni riservate su questi strumenti. Ancora più impressionante è il dato relativo ai leader IT: l’80% li utilizza e il 60% ha condiviso materiale confidenziale.

Policy sull’uso dell’IA: il rischio non è l’assenza di regole, ma la mancata comunicazione

L’adozione dell’IA e dei modelli LLM sta accelerando anche i rischi. L’88% dei leader IT ha introdotto policy sull’uso dell’IA (dal 60% nel 2024), ma il 43% degli utenti non sa se tali regole esistano.

Le principali preoccupazioni riguardano l’eccessiva dipendenza dall’IA (58%) e la possibile divulgazione di informazioni sensibili (56%), confermando che governance e formazione non procedono allo stesso ritmo dell’innovazione.

Fonte immagine: Arctic Wolf® Report – “Human Risk Behavior 2025”.

Educare o punire? Perché il secondo approccio peggiora la sicurezza

Dal report di Arctic Wolf emerge che il 77% dei leader IT (in aumento rispetto al 66% del 2024) dichiara di aver licenziato o di poter licenziare un dipendente vittima di attacchi di ingegneria sociale, come il phishing. Tuttavia, l’approccio punitivo non riduce il rischio umano: al contrario, formazione e sensibilizzazione si confermano le leve più efficaci per rafforzare la sicurezza.

Fonte immagine: Arctic Wolf® Report – “Human Risk Behavior 2025”.

In alternativa alle sanzioni, il 62% dei leader IT ha modificato o limitato gli accessi dei dipendenti coinvolti in incidenti; tra chi ha adottato queste misure correttive, l’88% ne riconosce l’efficacia. Tale approccio favorisce una cultura della sicurezza priva di paura, incentivando la segnalazione tempestiva degli incidenti e riducendo il rischio complessivo.

Nonostante ciò, solo il 31% delle organizzazioni considera la promozione della consapevolezza della sicurezza un obiettivo prioritario della cybersecurity, un dato critico alla luce della crescente incidenza del rischio umano.

Disattivare i controlli di sicurezza: una pratica diffusa e sottovalutata

Il report di Arctic Wolf evidenzia come la disattivazione dei controlli di sicurezza rappresenti un rischio critico. Nel 2025 il 51% del personale IT ha dichiarato di aver disabilitato misure di sicurezza, in aumento rispetto al 36% del 2024. Le principali cause sono rallentamenti operativi (25%), gestione di incidenti (23%), limitazioni operative (19%) e policy inefficaci (16%) o troppo restrittive (15%).

Il fenomeno è particolarmente allarmante perché i cyber threat actor prendono di mira soprattutto account con privilegi elevati, spesso appartenenti a figure senior. Una cultura del “fai come dico, non come faccio” aumenta l’esposizione ad attacchi di social engineering e BEC.

Crescono anche i tentativi di elusione da parte degli utenti finali: dal 12% nel 2024 al 32% nel 2025, con il 16% che riesce effettivamente a bypassare le misure di sicurezza.

Per ridurre il rischio umano, il report raccomanda di evitare disattivazioni non necessarie, rafforzare le politiche di Identity & Access Management (IAM) e monitorare continuamente gli endpoint.

Fonte immagini: Arctic Wolf® Report – “Human Risk Behavior 2025”.

Formazione sulla cyber security: perché quella tradizionale non basta più

La formazione continua emerge come una leva decisiva. Il 97% dei leader IT gestisce programmi di sensibilizzazione, ma quasi la metà ne critica l’efficacia, chiedendo contenuti più aggiornati, interessanti e coinvolgenti. Di fatto, un programma efficace deve prevedere formazione regolare e aggiornata, sessioni brevi e mirate (fino a 3 minuti), accesso semplice ai contenuti e materiali progettati per favorire memorizzazione e richiamo.

Accanto alla formazione tradizionale, la riduzione del rischio umano si fonda su quattro pilastri culturali:

1. guidare con l’esempio;
2. comunicare policy chiare sull’uso degli LLM;
3. costruire una cultura della sicurezza basata su buone pratiche e MFA;
4. educare anziché punire, utilizzando le simulazioni di phishing come strumenti di apprendimento.

La vera sfida della cyber security non è tecnologica, ma culturale

L’evoluzione delle minacce e dei modelli di lavoro rende evidente un dato: la tecnologia, da sola, non basta.

La vera sfida della cyber security è culturale e passa dalle persone. Costruire consapevolezza, autoefficacia e sicurezza psicologica non è un’opzione accessoria, ma una condizione necessaria. La capacità critica degli individui resta l’ultima e più importante linea di difesa.

A tal proposito, Liuva Capezzali, Psicologa-psicoterapeuta, psico-oncologa, criminologa ed esperta in Intelligence e Analisi delle Informazioni afferma che “il senso di autoefficacia è un costrutto introdotto dalla teoria socio-cognitiva di Albert Bandura ad indicare la convinzione che una persona deve essere capace di organizzare ed eseguire le azioni necessarie per raggiungere un determinato obiettivo. Riguarda non le abilità in sé, ma la fiducia che persona possa utilizzarle nel modo corretto”.

E ancora: “Tale fiducia, a sua volta, è sostenuta da esperienze pregresse di successo per compiti per i quali non si sono avuti training di apprendimento e le cui criticità sono state superate in virtù della perseveranza ai tentavi di risoluzione e di una buona tolleranza alla frustrazione. Come mostrato dagli studi di Bandura, l’autoefficacia percepita correla positivamente con l’efficacia stessa di una azione, potendo quasi assumere un valore predittivo sugli esiti attesi”.

Capezzali evidenzia, altresì che “l’atteggiamento punitivo adottato dai leader nei confronti dei dipendenti vittime di attacchi di ingegneria sociale è, quindi, una barriera nella prevenzione degli errori imputabili al fattore umano, sia perché abbasserebbe la soglia di tolleranza alla frustrazione sia perché ridurrebbe le occasioni di perseverare nell’apprendimento delle soluzioni preventive e di sicurezza.

D’altra parte, il coinvolgimento emotivo delle persone, come approccio strategico per una formazione efficiente ed efficace, può essere ottenuto solo quando alle persone sia data la possibilità di acquisire “sicurezza psicologica””.

La sicurezza psicologica è un concetto coniato per la prima volta da Amy Edmondson, docente ad Harvard, come “la convinzione condivisa che il team sia sicuro per l’assunzione di rischi interpersonali. Descrive un clima di gruppo caratterizzato da fiducia interpersonale e rispetto reciproco, in cui le persone si sentono a proprio agio nell’essere se stesse” o “la convinzione che non si sarà puniti o umiliati per aver portato idee, posto domande, espresso preoccupazioni o raccontato di errori commessi”.

“Anche in questo caso – sottolinea Livia Capezzali – approcci punitivi postumi ad un errore non favorirebbero nei dipendenti la percezione di quella sicurezza psicologica propedeutica all’espressione di sé, alla segnalazione di eventuali propri errori e quindi alla maturazione di competenza. Si delineerebbe un clima di non condivisione, non apprendimento e crescita con competenze che rimarrebbero solo nelle mani di chi già le possiede e una cultura della sicurezza poco collettiva”.

Ne consegue che comprendere i meccanismi psicologici e investire in una cultura della sicurezza matura che contempli la sicurezza psicologica non è un’opzione accessoria, ma una condizione necessaria. Di fatto, la capacità critica degli individui resta l’ultima e più importante linea di difesa. Costruire una cyber security efficace significa partire dalle persone, non dimentichiamolo!