La mente dietro le password. Imparare giocando: perché l’esperienza batte la spiegazione (Puntata 6)

Dove eravamo rimasti

Nelle puntate precedenti abbiamo seguito un percorso preciso.
Abbiamo visto che la sicurezza digitale non crolla per ignoranza, ma per meccanismi mentali normali: il bisogno di continuità, la fiducia automatica, la tendenza a trattare come affidabile ciò che riconosciamo.

Abbiamo capito che l’identità può essere replicata, che la normalità è una vulnerabilità e che perfino il legame umano, quando esiste, è fragile e non scalabile.
Soprattutto, abbiamo visto che sapere di essere a rischio non basta.

A questo punto la domanda non è più “perché succede”, ma un’altra, più scomoda:
come si allena una mente che, nel momento reale, non ragiona come in aula?

Il limite strutturale della formazione tradizionale

La maggior parte della formazione sulla sicurezza parte da un presupposto implicito:
se una persona conosce il rischio, saprà evitarlo.

Le ricerche in psicologia cognitiva e neuroscienze decisionali mostrano da tempo che questo presupposto è fragile. Studi sul transfer of learning e sulla decision-making under stress indicano che le conoscenze apprese in modo astratto non vengono richiamate automaticamente in contesti ambigui, urgenti o emotivamente carichi.

In quei momenti la mente non “dimentica” le regole.
Semplicemente non le attiva.

È il motivo per cui persone competenti cadono in phishing sofisticati, deepfake credibili o richieste plausibili. Non perché non sappiano cosa fare, ma perché stanno usando un sistema cognitivo diverso da quello con cui hanno imparato la teoria.

La formazione tradizionale parla alla parte razionale della mente.
Gli attacchi moderni colpiscono quella automatica.

Il futuro può essere i serious game

Se la mente cade per come funziona, allora il problema non è spiegare meglio le regole, ma allenare il modo in cui le persone prendono decisioni.

È qui che i serious game smettono di essere una curiosità formativa e iniziano a somigliare a una direzione inevitabile.

Un serious game non è un videogioco nel senso comune del termine, né un quiz travestito da intrattenimento.
È una simulazione esperienziale progettata per ricreare situazioni realistiche in cui una persona deve scegliere, agire e convivere con le conseguenze delle proprie decisioni, in un ambiente sicuro.

Nel contesto della sicurezza informatica questo significa riprodurre ciò che accade davvero: email plausibili, richieste coerenti, interlocutori credibili, contesti ordinari.
Non scenari estremi, ma situazioni normali, proprio quelle in cui la mente smette di verificare e va in automatico.

Il serious game non chiede di ricordare una regola.
Chiede di prendere una decisione.

E soprattutto rende visibile ciò che di solito resta invisibile: la fretta, la fiducia, l’abitudine, la continuità, la pressione sociale. Tutti fattori che, nella vita reale, non vengono percepiti come errori, ma come normalità.

Perché funzionano meglio delle spiegazioni

La ricerca sull’apprendimento esperienziale mostra che l’esperienza diretta, soprattutto quando include l’errore e la riflessione, produce un apprendimento più stabile rispetto alla sola spiegazione.

Un errore vissuto lascia tracce cognitive più profonde di un errore spiegato.
Non perché sia più traumatico, ma perché è contestuale.

Nei serious game l’errore non è punito, non genera vergogna e non ha conseguenze reali immediate.
Questo abbassa le difese dell’ego e permette alla mente di osservare se stessa mentre sbaglia.

È qui che avviene il vero apprendimento:
non quando capiamo cosa abbiamo sbagliato,
ma quando riconosciamo perché lo abbiamo fatto.

In ambito cybersecurity questo significa allenare la mente a riconoscere i propri automatismi, non solo gli indicatori tecnici di un attacco.

La scienza dietro l’efficacia

Il motivo per cui i serious game funzionano non è intuitivo, ma scientifico.

Dal punto di vista delle neuroscienze, le simulazioni attivano sistemi di memoria diversi rispetto alla formazione tradizionale.
Non lavorano solo sulla memoria dichiarativa – quella delle regole, delle definizioni, delle procedure spiegate – ma sulla memoria procedurale, la stessa che utilizziamo per guidare, andare in bicicletta o reagire a una situazione improvvisa.

È una differenza cruciale: sotto stress, la mente non consulta ciò che “sa”, ma ciò che sa fare.

La psicologia cognitiva aggiunge un altro tassello fondamentale.
L’errore vissuto in un contesto simulato riduce uno dei meccanismi più dannosi dopo un incidente di sicurezza: la razionalizzazione.
Nel gioco, l’errore viene osservato mentre accade, non giustificato dopo.
Questo indebolisce frasi tipiche come “avevo fretta”, “era plausibile”, “succede a tutti”, che nella realtà servono più a proteggere l’identità che a correggere il comportamento.

Infine, ci sono i dati empirici.
Studi sperimentali e revisioni sistematiche pubblicate su riviste come Computers & Security indicano che la formazione basata su serious game è più efficace della formazione frontale tradizionale nel modificare comportamenti a rischio, come la risposta a tentativi di phishing.

Una recente revisione sistematica che ha analizzato 53 studi peer-reviewed (2014–2024) mostra inoltre che l’efficacia dei serious game aumenta quando questi si concentrano sugli aspetti decisionali e psicologici dell’attacco, più che su quelli puramente tecnici.

Il quadro che emerge è chiaro:
i serious game non migliorano semplicemente la conoscenza.
Modificano il comportamento, ed è l’unica cosa che conta quando l’attacco è reale.

Allenare la normalità, non l’eccezione

Un altro punto cruciale è che la formazione fallisce quando si concentra sui casi estremi.
La mente non cade negli attacchi perché qualcosa è palesemente strano. Cade perché tutto sembra normale.

I serious game più efficaci non simulano l’attacco spettacolare.
Simulano la quotidianità: email plausibili, interlocutori coerenti, richieste ragionevoli.

È lì che il cervello, nella vita reale, smette di verificare.
Ed è lì che va allenato.

Quando il contesto conta più del contenuto

C’è un aspetto che i serious game e le simulazioni ben progettate conoscono molto bene: il momento conta quanto il messaggio.

Un’email di phishing non è solo un testo.
È un testo inserito in un contesto emotivo.

Provate a mandare una finta email di phishing a caso, in un giorno qualunque, e misurate i click.
Poi provate a mandarla sotto Natale, parlando di un ritardo nel pagamento della tredicesima.
Oppure in estate, evocando un problema sul piano ferie o una richiesta urgente prima delle chiusure.

Il contenuto può essere identico.
Cambiano solo il momento e l’aggancio emotivo.

E vedrete la differenza.

Non perché le persone siano più ingenue a dicembre o in estate,
ma perché certe richieste colpiscono qualcosa che è già attivo nella mente.

Il messaggio non introduce un problema nuovo.
Si inserisce in un’attesa reale, legittima, personale.

E quando una richiesta riguarda qualcosa che ci tocca direttamente, spesso,
la mente non verifica: reagisce.

È questo il motivo per cui i serious game più efficaci non simulano solo “email sospette”, ma email plausibili nel momento sbagliato. Allenano la mente non a riconoscere il phishing in astratto, ma a riconoscerlo quando tutto sembra coerente.

Ed è anche il motivo per cui i simulatori continui funzionano meglio dei corsi una tantum:
perché permettono di testare quando le persone cliccano, non solo se cliccano.

Imparare giocando, insegnare giocando

Questa intuizione non è nuova.

Ludendo discimus.
Impariamo giocando.

E, per estensione, insegnare giocando non significa banalizzare il contenuto, ma parlare il linguaggio naturale dell’apprendimento umano: esperienza, errore, adattamento.

Il gioco non è leggerezza.
È simulazione senza rischio, ed è così che la mente ha sempre imparato a muoversi nel mondo.

Oltre la moda: un cambio di paradigma

I serious game non sono una moda: sono uno dei pochi strumenti realmente adatti a contrastare attacchi che sfruttano la nostra psicologia.

Phishing avanzato, deepfake, ingegneria sociale non si combattono con più slide o più policy.
Si combattono allenando la mente nelle stesse condizioni in cui viene ingannata.

La cybersecurity del futuro probabilmente avrà sempre meno “corsi” e sempre più simulatori continui,
esattamente come accade per i piloti d’aereo, che non vengono addestrati solo sui manuali, ma passano ore in voli virtuali a gestire situazioni ambigue, stressanti, non ideali.

Non perché non sappiano volare.
Ma perché sanno che, nel momento critico, decide l’automatismo, non la teoria.

Una conclusione necessaria

Se nelle puntate precedenti abbiamo analizzato perché la mente cade negli attacchi digitali, qui emerge una conclusione inevitabile:
la sicurezza non migliorerà spiegando meglio le regole.

Migliorerà quando accetteremo che la mente non è un manuale da consultare sotto stress, ma un sistema da allenare prima che il rischio sia reale.

I serious game non sono una scorciatoia.
Sono il riconoscimento onesto di come impariamo davvero.

E forse è questo il vero cambio di paradigma:
smettere di insegnare alla mente cosa dovrebbe fare,
e iniziare a metterla nelle condizioni di farlo, sbagliare e imparare prima che sia troppo tardi.

Continua…

Fonti primarie e studi citati

• Kolb, D. A. (2015).
  Experiential Learning: Experience as the Source of Learning and Development (2ª ed.).
  Pearson Education.
  Testo di riferimento sull’apprendimento esperienziale; introduce il ciclo di apprendimento basato su esperienza, riflessione, concettualizzazione e sperimentazione.
• Ng, C. Y., & Hasan, M. K. B. (2024).
  Cybersecurity serious games development: A systematic review.
  Computers & Security, Elsevier.
  DOI: 10.1016/j.cose.2024.104307
  Revisione sistematica condotta secondo protocollo PRISMA su 53 studi peer-reviewed pubblicati tra il 2014 e il 2024. Analizza tipologie di serious game per la cybersecurity, target di riferimento e limiti ricorrenti, in particolare il predominio di approcci tecnici rispetto a quelli cognitivi e comportamentali.
• Studi su transfer of learning e decision-making under stress in psicologia cognitiva e neuroscienze decisionali, che mostrano come le conoscenze apprese in contesti astratti non vengano automaticamente richiamate in situazioni reali caratterizzate da pressione temporale, ambiguità e carico cognitivo.
• Revisioni sistematiche e studi sperimentali pubblicati su Computers & Security (Elsevier) sull’uso di serious game e simulazioni interattive per la cybersecurity awareness, che evidenziano una maggiore efficacia nel modificare il comportamento rispetto alla formazione puramente frontale, quando la simulazione riproduce contesti decisionali realistici.
• Casi studio e progetti applicativi utilizzati in ambito accademico e formativo, tra cui:
  CyberCIEGE (simulazione strategica per la gestione della sicurezza IT),
  Anti-Phishing Phil (serious game sperimentale per la riduzione della suscettibilità al phishing),
  SherLOCKED (gioco serio basato su scenari per la formazione alla sicurezza).

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Simone D'agostino

Nato a Roma, con oltre 35 anni di servizio nella Polizia di Stato, è attualmente Sostituto Commissario e responsabile della SOSC della Polizia Postale di Udine. Esperto in indagini sul web e sul dark web, è appassionato di OSINT, ambito nel quale opera anche come formatore nazionale per la Polizia di Stato. Ha conseguito un Master in Intelligence & ICT presso l’Università di Udine (110 e lode), sviluppando quattro modelli di Intelligenza Artificiale per il contrasto alle frodi sui fondi dell’Unione Europea. È attivamente impegnato nella formazione e nella divulgazione per l’innalzamento del livello di sicurezza cibernetica.

Aree di competenza: Human factor, OSINT & SOCMINT, Cybercrime e indagini sul dark web, Intelligenza artificiale applicata all’analisi, Disinformazione e information warfare