Sul piano della sicurezza informatica, a fare la differenza non è solo l’ingegnosità dell’attacco ma anche la preparazione di chi lo riceve. Il phishing non funziona perché è sofisticato, ma perché c’è ancora chi ci casca. Ed è in questa distanza — tra tecnologia e consapevolezza — che si inserisce uno dei punti chiave della Direttiva NIS 2: è questo la formazione obbligatoria del personale come elemento strutturale della sicurezza informatica aziendale.
Indice degli argomenti
L’importanza del fattore umano nella cybersecurity
Secondo il Rapporto Clusit 2024, il cybercrime ha causato in Italia danni per oltre 10 miliardi di euro. Non si tratta solo di grandi attacchi a infrastrutture critiche, ma di violazioni quotidiane che colpiscono sistemi mal aggiornati, utenze mal gestite, password deboli, errori umani. Il phishing rappresenta l’8% degli attacchi, ma è spesso l’innesco per minacce più gravi come malware o ransomware. Il dato più preoccupante è che l’uomo resta l’anello debole della catena. Errori di distrazione, leggerezza o mancata formazione costituiscono il varco attraverso cui i criminali digitali entrano. Ed è proprio su questo punto che la NIS 2 interviene con forza, imponendo a tutte le aziende coinvolte obblighi formali in materia di formazione, consapevolezza e responsabilità del personale.
Formazione e Nis2, cosa dice la normativa
Approvata dall’Unione Europea nel 2023 e recepita a livello nazionale lo scorso anno, la Direttiva NIS 2 è la nuova normativa che eleva gli standard di sicurezza e amplia la platea di interessati includendo un numero molto più ampio di settori – dall’energia ai trasporti, dalla sanità al digitale – e imponendo standard di sicurezza più elevati. Una delle novità centrali è l’obbligo per tutti i soggetti interessati di attivare programmi di formazione continua sulla cybersecurity (art. 20), la responsabilizzazione dei vertici aziendali, che devono essere coinvolti attivamente nelle politiche di sicurezza, e un approccio olistico alla gestione del rischio, che include anche la dimensione umana, non solo quella tecnica. La formazione, dunque, non è più una buona pratica facoltativa, ma un requisito legale, sanzionabile in caso di inadempienza.
Secondo l’Osservatorio Cybersecurity del Politecnico di Milano, nel 2023 le aziende italiane hanno investito 2,15 miliardi di euro in cybersecurity (+16% rispetto al 2022), e l’80% di queste ha avviato programmi strutturati di formazione interna. Tuttavia, resta una disparità marcata: le grandi imprese guidano la trasformazione, integrando la cybersecurity nei piani di risk management e nei modelli ESG, mentre le PMI spesso faticano a seguire, frenate da limiti economici e culturali. Eppure, proprio le PMI sono il bersaglio preferito degli attacchi, perché meno protette, meno aggiornate, meno formate.
Formazione dei lavoratori e Nis2, cosa devono fare i dipendenti
Infine arriviamo al lavoratore. Di questo si è parlato al convegno “Lavoro, nuove tutele e partecipazione nell’era dell’Intelligenza artificiale”, che si è svolto nel corso del XX Congresso confederale della Cisl e che ha visto la partecipazione, tra gli altri, della ministra del Lavoro, Marina Calderone, e del presidente dell’Inail, Fabrizio D’Ascenzo.
L’arretratezza in fatto di Ai pesa sulla produttività del lavoro, che a sua volta incide sulla competitività dell’economia nazionale. Il nostro capitale umano non è all’altezza delle sfide attuali. L’Italia è al penultimo posto in Europa per numero di laureati in Stem, con solo il 29% dei giovani che sceglie queste discipline. Con il paradosso per cui oltre l’85% dei laureati in discipline scientifiche trova una professione altamente qualificata, in poco tempo e ben retribuita. Da qui la proposta di “un nuovo statuto della persona da costruire tra il governo e le parti sociali -, ha detto Daniela Fumarola, segretaria generale della Cisl – “. Serviranno professionalità dinamiche e capacità di adattamento. Ogni lavoratore dovrà aggiornare le proprie competenze più volte nell’arco della vita lavorativa”.
Formazione, Nis2 e AI Act
Anche il Regolamento sull’Intelligenza Artificiale (AI Act) offre spunti rilevanti per il tema della formazione: l’uso crescente di IA nella sicurezza comporta nuove opportunità ma anche nuove minacce, per esempio la generazione automatica di phishing mirato. La formazione del personale deve dunque evolvere di pari passo con la transizione tecnologica, per mantenere il fattore umano aggiornato e consapevole.
Normative, tecnologie, controlli automatizzati: tutto è inutile se chi lavora in azienda non è in grado di riconoscere un rischio. La cultura della cybersecurity non si improvvisa. Si costruisce nel tempo, con piani di formazione realistici, test di simulazione, policy chiare, coinvolgimento trasversale. In questo senso, la NIS 2 segna un cambio di passo strategico: riconosce che la sicurezza informatica non è un affare solo da CISO o da IT manager, ma una responsabilità collettiva. Formare il personale non è solo un obbligo di legge. È un investimento sulla resilienza dell’organizzazione. La NIS 2 lo rende evidente: nella nuova fase della sicurezza digitale, l’essere umano è il primo firewall da rafforzare.
