Ogni anno i report sugli incidenti informatici ripetono la stessa evidenza: la maggioranza dei breach ha origine da errore umano. Un clic su un allegato malevolo, una password riutilizzata, un accesso lasciato aperto per distrazione. Eppure, la cybersecurity resta quasi sempre delegata interamente all’IT, come se fosse risolvibile solo con firewall, antivirus e configurazioni tecniche.
Non lo è, ma è una questione di governance organizzativa, diventando sempre più un tema di compliance normativa stringente. Il quadro regolatorio europeo e italiano si è fatto estremamente articolato: dalla Direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) che impone obblighi di gestione del rischio cyber e formazione del personale, al GDPR che sanziona pesantemente le violazioni di dati personali, fino all’AI Act che introduce requisiti di robustezza e sicurezza per i sistemi ad alto rischio.
Indice degli argomenti
Cybersecurity HR, perché la sicurezza riguarda le persone
Secondo il Barometer 2026 “Transformation, Skill & Learning” – indagine internazionale di Cegos Group tra i principali player globali nel Learning & Development – la cybersecurity e l’evoluzione dei sistemi informativi risultano sfide secondarie per le Risorse Umane (41% a livello globale, 45% in Italia), mentre Intelligenza Artificiale e automazione si collocano nettamente al primo posto (68% degli HR a livello globale, 63% in Italia). In questo contesto, le Risorse Umane non possono più considerare la cybersecurity “materia da IT”. Le persone, con comportamenti, competenze e abitudini digitali, sono parte integrante del sistema di governance della sicurezza. Formare, sviluppare e orientare i lavoratori è precisamente il mandato dell’HR.
Il problema è che troppo spesso l’HR delega al CISO, all’IT, al Compliance Officer. Questa separazione produce blind spot organizzativi: policy non interiorizzate, formazione inefficace, cultura della sicurezza superficiale. Secondo il report “State of Cybersecurity 2024” di ISACA, solo il 38% delle organizzazioni ha programmi di security awareness efficaci e integrati[1]. Il resto partecipa a corsi obbligatori annuali, spunta la compliance e considera chiuso il capitolo. Questo finché non arriva l’incidente, con costi che secondo il “Cost of a Data Breach Report 2024” di IBM superano in media i 4,88 milioni di dollari, senza contare danni reputazionali e sanzioni[2].
Il perimetro normativo: quando la formazione diventa obbligo di governance
Il contesto normativo rende la questione più pressante. La Direttiva NIS2 (Direttiva UE 2022/2555), è applicabile a una platea estesa di soggetti pubblici e privati. Include PA centrali e locali, imprese di settori critici come energia, trasporti, sanità, servizi digitali, manifattura avanzata. Impone esplicitamente misure di gestione del rischio con “politiche di formazione in materia di cybersicurezza” e attribuisce responsabilità personali agli amministratori per l’implementazione efficace[3].
L’Agenzia per la Cybersicurezza Nazionale (ACN) nelle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” (2024) sottolinea l’importanza della “sensibilizzazione e formazione del personale” come pilastro strategico[4]. Il Piano Nazionale di Ripresa e Resilienza (PNRR) ha destinato risorse significative alla cybersecurity della PA, con particolare focus sulla Misura M1C1 – Investimento 1.5, includendo esplicitamente lo sviluppo delle competenze digitali del personale pubblico[5].
Per le imprese private in settori regolati, il quadro non è meno stringente. Il GDPR (Regolamento UE 2016/679) prevede misure tecniche e organizzative adeguate. La giurisprudenza del Garante Privacy considera la formazione del personale una misura fondamentale. In tale contesto, le sanzioni possono arrivare al 4% del fatturato globale annuo, di certo un rischio non più trascurabile[6].
L’HR non gestisce più solo “formazione generica” ma un pilastro della governance di compliance e della resilienza organizzativa. Serve, quindi, un cambio di paradigma: dalla formazione tick-the-box alla costruzione di abilità specifiche, misurabili, rendicontabili, efficaci nel modificare comportamenti reali.
Tre ambiti di intervento strategico per l’HR
Integrare la cybersecurity nei modelli di competenza
La sicurezza informatica non può rimanere un corso isolato annuale. Deve diventare componente strutturale delle competenze digitali di ruolo. Mappata nei profili professionali, valutata nei processi di sviluppo, inclusa nei sistemi di performance management.
Serve ripensare i framework di competenze. L’European e-Competence Framework (e-CF) versione 3.0, ormai adottato da numerose PA italiane ed europee, include già competenze specifiche di information security management (E.3) e information security strategy (D.1)[7]. Ma vanno declinate operativamente per ruoli non IT. Cosa significa “consapevolezza della sicurezza” per un funzionario che gestisce gare d’appalto? Per un operatore sanitario che accede a cartelle cliniche elettroniche? Per un manager che tratta dati commerciali riservati?
L’HR deve lavorare con il CISO (Chief Information Security Officer) per mappare i ruoli critici. Serve un’analisi strutturata del rischio cyber per profilo professionale dove per ciascuno va definito un livello atteso di competenze di sicurezza. Infatti, non tutti i ruoli hanno la stessa esposizione. Un responsabile amministrativo che autorizza bonifici presenta un profilo di rischio diverso da un operatore di front office, da un tecnico con accesso a sistemi industriali, da un medico con accesso a dati sanitari sensibili.
Una volta mappati i profili, la formazione deve essere continua, situata, orientata alla pratica. Non slide generiche sui rischi del phishing ma servono simulazioni realistiche di attacchi mirati al settore specifico, basate su threat intelligence aggiornata. Il CERT-PA produce regolarmente bollettini di sicurezza e materiali formativi settoriali integrabili nei percorsi ordinari[8].
Nel contesto sanitario, diversi enti stanno sviluppando programmi differenziati per profili professionali. Secondo l’Osservatorio Innovazione Digitale in Sanità del Politecnico di Milano (Rapporto 2024), le organizzazioni sanitarie con programmi strutturati e role-specific hanno registrato una riduzione media del 38% degli incidenti attribuibili a errore umano nel primo anno[9].
Trasformare le policy da adempimento a presidio organizzativo
Le policy di sicurezza esistono quasi ovunque. Il problema è che raramente vengono lette, comprese, interiorizzate. Sono documenti lunghi, con un linguaggio tecnico-legale, firmati per obbligo durante l’onboarding. Archiviati mentalmente come “cose da IT”. Sostanzialmente dimenticati nella pratica quotidiana.
Eppure, sono strumenti di governance fondamentali. In contesti regolati (ossia PA, sanità, servizi finanziari, operatori di infrastrutture critiche) sono parte integrante obbligatoria dei sistemi di gestione della sicurezza.
L’HR può trasformare le policy da adempimento burocratico a strumento di cultura organizzativa. Affinché questo si avveri, serve lavorare su tre dimensioni: accessibilità, presidio, accountability.
Accessibilità
Le policy devono essere scritte secondo principi di plain language, senza sacrificare precisione normativa. AgID nelle “Linee guida di design per i servizi digitali della PA” (2022) enfatizza l’importanza di un linguaggio chiaro[10]. Un esempio pratico: invece di “È vietato l’utilizzo di dispositivi di archiviazione rimovibili non autorizzati”, scrivere “Non utilizzare chiavette USB personali sui computer aziendali. Per trasferire file usa (strumento autorizzato) reperibile qui (link)”. La differenza è sostanziale in termini di comprensibilità e applicabilità.
Presidio
Le policy non si auto-applicano. Richiedono presidio organizzativo strutturato. Serve coinvolgere attivamente i manager di linea nella disseminazione e monitoraggio. Con approccio educativo, non punitivo. Il middle management deve diventare agente moltiplicatore della cultura della sicurezza. In contesti PA, il presidio si lega alla responsabilità dirigenziale: quest’ultimo risponde dell’applicazione delle misure nella propria unità. L’HR può fornire dashboard di monitoraggio, checklist operative, momenti strutturati di confronto con il CISO.
Accountability
Le policy devono chiarire chi risponde di cosa in caso di incidente. La catena di responsabilità deve essere trasparente e documentata. Serve integrazione nei sistemi di valutazione della performance. Se la sicurezza è priorità strategica dichiarata, deve riflettersi negli obiettivi assegnati e nella valutazione dei risultati.
Costruire governance interdisciplinare
La sicurezza si governa efficacemente solo con approcci interdisciplinari. L’IT apporta competenza tecnica: conosce vulnerabilità, minacce, strumenti di protezione. L’HR trasferisce conoscenza dei processi organizzativi, dinamiche comportamentali, leve di change management. Il DPO contribuisce a un’expertise su protezione dati e framework GDPR. Il management, invece, porta visione strategica, capacità decisionale, responsabilità di allocazione risorse. Insieme possono costruire un sistema di governance tecnicamente robusto, organizzativamente sostenibile, normativamente compliant, operativamente efficace. Come costruire questa governance? Attraverso strutture, processi e rituali chiari e continuativi.
Tavoli di coordinamento permanenti
Non riunioni reattive convocate quando emerge un problema. Al contrario, servono strutture stabili con mandato esplicito, composizione definita, cadenza regolare. Il modello implementabile dovrebbe rispondere alle seguenti linee guida e soggetti coinvolti: un Comitato Sicurezza Informazioni (CISO, DPO, HR Director, Chief Risk Officer), cadenza mensile, responsabilità chiare (definizione policy, approvazione piani formativi, monitoraggio incidenti, autorizzazione investimenti), reporting trimestrale al vertice.
Incident response planning condiviso
Quando si progetta la risposta a potenziali incidenti, l’HR deve essere parte integrante del team. Un attacco cyber non è solo problema tecnico di ripristino sistemi, ma una complessa criticità organizzativa. Coinvolge continuità operativa, gestione stress del personale, comunicazione interna ed esterna, attivazione ruoli di backup, gestione eventuali sospetti interni. Nel settore pubblico questo è particolarmente rilevante. La continuità dei servizi essenziali ai cittadini (anagrafe, emergenza sanitaria, servizi sociali) dipende da piani ben progettati, testati con esercitazioni periodiche, comprensibili al personale che dovrà attivarli.
Gestione integrata del ciclo di vita del personale
L’HR presidia l’intero ciclo di vita delle persone nell’organizzazione, dall’attrazione all’uscita. Ogni fase presenta implicazioni di sicurezza da governare in modo integrato con IT e CISO. Il “2024 Data Breach Investigations Report” di Verizon Business evidenzia che il 15% degli incidenti coinvolge problematiche legate a insider threat o accessi impropri[11]. Sottolinea l’importanza di processi strutturati lungo tutto il ciclo di vita del personale.
Misurare la capacità organizzativa, non solo la compliance
Per dimostrare l’efficacia delle misure di gestione del rischio cyber, come richiesto da normativa NIS2 e linee guida ACN, non bastano metriche di compliance formale. Percentuale di personale che ha completato il corso, numero di policy pubblicate, attestati archiviati. Servono metriche di capacità organizzativa reale:
Indicatori comportamentali
Tasso di segnalazione proattiva di e-mail sospette (trend nel tempo), tasso di clic su phishing in esercitazioni simulate (con analisi miglioramento), tempo medio di adozione spontanea di strumenti di sicurezza introdotti, rispetto tempistiche aggiornamento password e patch.
Indicatori organizzativi
Tempo medio di rilevazione e risposta a incidenti (detection-to-response time), completezza e tempestività processi di revoca accessi in offboarding, copertura formazione specialistica per ruoli ad alto rischio, presenza security focal point formati in unità critiche.
Indicatori culturali (rilevabili tramite survey interne)
Percezione della sicurezza come priorità condivisa, frequenza discussione sicurezza in riunioni operative ordinarie, numero e qualità suggerimenti migliorativi bottom-up, livello di comfort nel segnalare errori senza timore di conseguenze.
Queste metriche, monitorate nel tempo e integrate nei sistemi di reporting direzionale, raccontano se l’organizzazione sta costruendo capacità resiliente di gestione del rischio cyber.
Verso un nuovo paradigma: la sicurezza come enabler della trasformazione digitale
La trasformazione digitale è accelerata da investimenti pubblici senza precedenti: PNRR, fondi di coesione europea, programmi regionali. La cybersecurity non è più tema di nicchia o costo da minimizzare. È condizione abilitante per l’innovazione sostenibile.
I grandi progetti di digitalizzazione della PA, dalla migrazione al cloud del Polo Strategico Nazionale al Fascicolo Sanitario Elettronico 2.0, dai servizi on-line alle piattaforme nazionali, si reggono sulla fiducia dei cittadini. La fiducia si costruisce attraverso la capacità dimostrata di proteggere efficacemente dati e servizi.
Per le imprese private in settori regolati o che forniscono servizi a committenti pubblici, la capacità documentabile di gestire il rischio cyber diventa requisito di partecipazione e qualificazione. Il nuovo Codice dei Contratti Pubblici (D.Lgs. 36/2023) prevede esplicitamente la possibilità di criteri di qualificazione legati alla sicurezza informatica[12].
L’HR non gestisce “solo” capitale umano nel senso tradizionale ma anche una leva strategica di governance: la capacità organizzativa collettiva di operare in modo sicuro, consapevole e resiliente in un ambiente digitale complesso, interconnesso, inevitabilmente esposto a minacce sofisticate.
Costruire questa capacità richiede di superare la logica della compliance formale, un investimento strategico su competenze, comportamenti, norme organizzative e soprattutto di integrare stabilmente la sicurezza nei processi ordinari di people management, non considerarla come dominio separato.
Le organizzazioni, pubbliche e private, che investiranno consapevolmente in questa direzione non solo risponderanno efficacemente agli obblighi normativi crescenti ma costruiranno un vantaggio competitivo duraturo: la capacità di innovare con fiducia, di adottare tecnologie emergenti con consapevolezza matura, di operare in un ecosistema digitale interconnesso in modo sicuro, trasparente e resiliente.
E questo passa attraverso le persone, che rappresentano insieme la principale superficie di rischio e la più potente risorsa di difesa. Valorizzare questa risorsa è responsabilità e opportunità dell’HR.
Note
[1] ISACA (2024), “State of Cybersecurity 2024: Global Update on Workforce Efforts, Resources and Cyberoperations”, www.isaca.org
[2] IBM Security (2024), “Cost of a Data Breach Report 2024”, Ponemon Institute, www.ibm.com/security/data-breach
[3] Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS 2); recepimento italiano: Decreto Legislativo 4 settembre 2024, n. 138.
[4] Agenzia per la Cybersicurezza Nazionale (2024), “Misure minime di sicurezza ICT per le pubbliche amministrazioni – Aggiornamento 2024”, www.acn.gov.it
[5] Piano Nazionale di Ripresa e Resilienza (PNRR), Missione 1 Componente 1 – Investimento 1.5 “Cybersecurity”, www.italiadomani.gov.it
[6] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR), art. 32 “Sicurezza del trattamento” e art. 83 “Condizioni generali per infliggere sanzioni amministrative pecuniarie”
[7] CEN (European Committee for Standardization) (2016), “European e-Competence Framework 3.0”, www.ecompetences.eu
[8] CERT-PA – Computer Emergency Response Team Pubblica Amministrazione, bollettini e risorse disponibili su www.cert-pa.it
[9] Osservatorio Innovazione Digitale in Sanità, Politecnico di Milano (2024), “Rapporto 2024 – La trasformazione digitale della sanità italiana”, www.osservatori.net
[10] AgID – Agenzia per l’Italia Digitale (2022), “Linee guida di design per i servizi digitali della PA”, designers.italia.it
[11] Verizon Business (2024), “2024 Data Breach Investigations Report”, www.verizon.com/business/resources/reports/dbir/
[12] Decreto Legislativo 31 marzo 2023, n. 36 “Codice dei contratti pubblici”, art. 108 e art. 110
Partecipa alla community