Bias cognitivi e cybersecurity: l’errore fatale del “non ho nulla da nascondere”

Fabrizio Saviano : 14 Novembre 2025 22:22

In Italia, ogni anno oltre 3.000 persone perdono la vita sulle strade, nonostante tutti conoscano le regole basilari della sicurezza. Nel cybercrime, lo scenario non è poi così diverso: milioni di vittime ogni anno, anche se ormai è risaputo che i link sospetti sono trappole da evitare. E se il phishing continua ad esistere in tutte le sue forme, questo significa che qualcuno ancora ci abbocca.

Allora, come spiegare questa contraddizione? Entrano in gioco i bias cognitivi, scorciatoie mentali che ci fanno pensare “TANTO”: “tanto non ho nulla da rubare”, oppure “tanto a me non succederà mai”, oppure “tanto io ci faccio sempre attenzione” e così via. Si tratta di un errore fatale, perché chiunque può diventare una porta d’accesso per obiettivi più interessanti, o un capro espiatorio perfetto per attività criminali, oppure banalmente un automatismo dei cybercriminali ha trovato un buco nel computer o nel telefono e ci si è infilato dentro.

Il “Manuale CISO Security Manager” nasce per aiutare i professionisti della sicurezza a capire e fronteggiare questi meccanismi psicologici, che mettono in crisi anche le tecnologie più avanzate.

L’illusione del “tanto non ho nulla da nascondere”

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Pensare di non essere un bersaglio per i cybercriminali è il bias più rischioso. Ogni utente è, di fatto, un asset prezioso per almeno tre motivi chiave:

• Ponte di accesso: ogni persona è collegata a reti di amici, familiari e colleghi più interessanti. I criminali usano queste catene di fiducia per raggiungere obiettivi di alto valore.
• Capro espiatorio: le identità rubate servono per effettuare frodi, aperture di conti bancari e attacchi nascosti a nome di ignare vittime.
• Fonte di credenziali: password riciclate e dati personali diventano munizioni per sferrare attacchi più sofisticati.

Ma quindi cosa ci insegna la sicurezza stradale?

I dati ISTAT raccontano una storia drammatica: morti causate da comportamenti evitabili quali guida distratta o abuso di alcol, nonostante le campagne di sensibilizzazione che vanno avanti da decenni. E quindi, se la gente rischia la vita fisica ignorando regole note, perché dovrebbe rispettare norme che sembrano invisibili perchè stanno dietro ad uno schermo?

Anatomia dei bias nella cybersecurity

• Bias di invulnerabilità: “A me non succederà mai”. Il cervello ignora che i criminali cercano accessi e identità, non solo ricchezze.
• Bias del controllo illusorio: “So riconoscere un attacco, e se succederà, ci starò attento”. Il cervello sottovaluta l’astuzia e il continuo aggiornamento delle minacce.
• Bias della delega tecnologica: “Ci pensa l’antivirus, l’amico esperto, il supporto IT” o comunque qualcun altro / qualcos’altro. È un’illusione pericolosa: il fattore umano resta il vero anello debole.

Nonostante i supercomputer più potenti abbiano capacità di calcolo e memoria superiori al cervello umano, non possono sostituirne l’intuizione, la capacità di correlare informazioni non strutturate e il giudizio contestuale. La “grande bugia” della tecnologia è quella di credere che risolverà da sola ogni problema di sicurezza.

Cosa fare nelle aziende?

Attenzione! I bias non sono errori, sono strategie di sopravvivenza per processare rapidamente una montagna di dati. Nel mondo reale funzionano per salvarci, mentre nel cyberspazio possono aprire la porta ad un disastro irrecuperabile.

Infatti, il futuro è interdisciplinare: tecnologia, psicologia e comportamento umano devono convivere. La sfida è usare i bias in modo positivo per andare oltre le semplici difese tecniche.

• Progettare sistemi che funzionino “con” i bias, non contro.
• Formare le persone alla sicurezza tenendo conto delle resistenze psicologiche, non solo informando.
• Usare “nudge”, cioè spinte gentili verso comportamenti sicuri, non barriere rigide.

Per approfondire il rapporto tra fattore umano e cybersicurezza, il “Manuale CISO Security Manager” dedica ampio spazio a queste tematiche fondamentali per la sopravvivenza.

Fabrizio Saviano
Fabrizio Saviano è Istruttore Autorizzato (ISC)² per la certificazione CISSP, consulente nell'ambito di sicurezza e governance IT, tecnologie persuasive e cognitive. Laureato in Scienze della Comunicazione con specializzazione in Cognitivismo, è stato agente scelto della squadra intrusioni della Polizia Postale di Milano, CISO di una banca globale e ha avviato BT Security in Italia.

Lista degli articoli