Bias cognitivi e cybersecurity: l’errore fatale del “non ho nulla da nascondere”

In Italia, ogni anno oltre 3.000 persone perdono la vita sulle strade, nonostante tutti conoscano le regole basilari della sicurezza. Nel cybercrime, lo scenario non è poi così diverso: milioni di vittime ogni anno, anche se ormai è risaputo che i link sospetti sono trappole da evitare. E se il phishing continua ad esistere in tutte le sue forme, questo significa che qualcuno ancora ci abbocca.

Allora, come spiegare questa contraddizione? Entrano in gioco i bias cognitivi, scorciatoie mentali che ci fanno pensare “TANTO”: “tanto non ho nulla da rubare”, oppure “tanto a me non succederà mai”, oppure “tanto io ci faccio sempre attenzione” e così via. Si tratta di un errore fatale, perché chiunque può diventare una porta d’accesso per obiettivi più interessanti, o un capro espiatorio perfetto per attività criminali, oppure banalmente un automatismo dei cybercriminali ha trovato un buco nel computer o nel telefono e ci si è infilato dentro.

Il “Manuale CISO Security Manager” nasce per aiutare i professionisti della sicurezza a capire e fronteggiare questi meccanismi psicologici, che mettono in crisi anche le tecnologie più avanzate.

L’illusione del “tanto non ho nulla da nascondere”

Pensare di non essere un bersaglio per i cybercriminali è il bias più rischioso. Ogni utente è, di fatto, un asset prezioso per almeno tre motivi chiave:

• Ponte di accesso: ogni persona è collegata a reti di amici, familiari e colleghi più interessanti. I criminali usano queste catene di fiducia per raggiungere obiettivi di alto valore.
• Capro espiatorio: le identità rubate servono per effettuare frodi, aperture di conti bancari e attacchi nascosti a nome di ignare vittime.
• Fonte di credenziali: password riciclate e dati personali diventano munizioni per sferrare attacchi più sofisticati.

Ma quindi cosa ci insegna la sicurezza stradale?

I dati ISTAT raccontano una storia drammatica: morti causate da comportamenti evitabili quali guida distratta o abuso di alcol, nonostante le campagne di sensibilizzazione che vanno avanti da decenni. E quindi, se la gente rischia la vita fisica ignorando regole note, perché dovrebbe rispettare norme che sembrano invisibili perchè stanno dietro ad uno schermo?

Anatomia dei bias nella cybersecurity

• Bias di invulnerabilità: “A me non succederà mai”. Il cervello ignora che i criminali cercano accessi e identità, non solo ricchezze.
• Bias del controllo illusorio: “So riconoscere un attacco, e se succederà, ci starò attento”. Il cervello sottovaluta l’astuzia e il continuo aggiornamento delle minacce.
• Bias della delega tecnologica: “Ci pensa l’antivirus, l’amico esperto, il supporto IT” o comunque qualcun altro / qualcos’altro. È un’illusione pericolosa: il fattore umano resta il vero anello debole.

Nonostante i supercomputer più potenti abbiano capacità di calcolo e memoria superiori al cervello umano, non possono sostituirne l’intuizione, la capacità di correlare informazioni non strutturate e il giudizio contestuale. La “grande bugia” della tecnologia è quella di credere che risolverà da sola ogni problema di sicurezza.

Cosa fare nelle aziende?

Attenzione! I bias non sono errori, sono strategie di sopravvivenza per processare rapidamente una montagna di dati. Nel mondo reale funzionano per salvarci, mentre nel cyberspazio possono aprire la porta ad un disastro irrecuperabile.

Infatti, il futuro è interdisciplinare: tecnologia, psicologia e comportamento umano devono convivere. La sfida è usare i bias in modo positivo per andare oltre le semplici difese tecniche.

• Progettare sistemi che funzionino “con” i bias, non contro.
• Formare le persone alla sicurezza tenendo conto delle resistenze psicologiche, non solo informando.
• Usare “nudge”, cioè spinte gentili verso comportamenti sicuri, non barriere rigide.

Per approfondire il rapporto tra fattore umano e cybersicurezza, il “Manuale CISO Security Manager” dedica ampio spazio a queste tematiche fondamentali per la sopravvivenza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Fabrizio Saviano

Fabrizio Saviano è Istruttore Autorizzato (ISC)² per la certificazione CISSP, consulente nell'ambito di sicurezza e governance IT, tecnologie persuasive e cognitive. Laureato in Scienze della Comunicazione con specializzazione in Cognitivismo, è stato agente scelto della squadra intrusioni della Polizia Postale di Milano, CISO di una banca globale e ha avviato BT Security in Italia.