Cybersecurity burnout: la crisi silenziosa dei team di sicurezza
C’è una minaccia che non compare nei log di sicurezza, non genera alert sulle dashboard SIEM e non viene discussa nei consigli di amministrazione. Eppure erode la resilienza delle organizzazioni con una costanza che molti attori malevoli si sognerebbero: è il burnout dei professionisti della cybersecurity. Un fenomeno strutturale, non episodico, che nel 2025 e nel 2026 ha raggiunto dimensioni tali da rendere indifferibile una risposta sistemica.
I numeri di una crisi annunciata
I dati più recenti disegnano uno scenario allarmante. Il report The Human Cost of Vigilance di Sophos, condotto su 5.000 professionisti IT e cybersecurity in 17 paesi nel primo trimestre del 2025, ha rilevato che il 76% degli intervistati ha sperimentato cyber fatigue o burnout in modo costante, frequente o occasionale nell’arco del 2024. Il 69% ha dichiarato che il fenomeno è peggiorato rispetto all’anno precedente. Il 39% ha ammesso una riduzione della propria produttività lavorativa, il 33% un calo dell’engagement, mentre il 46% ha riferito un’ansia aumentata rispetto al rischio di cyberattacchi e violazioni dei dati.
Il report State of Cyber Risk and Exposure 2025 di Bitsight, basato su un campione di oltre 1.000 professionisti della sicurezza, ha fotografato una realtà analoga: il 47% ha dichiarato di vivere qualche grado di burnout, con oltre uno su dieci che descrive la propria condizione come acuta, vale a dire prossima all’abbandono della professione. Il report Voice of the CISO 2025 di Proofpoint si allinea su cifre simili: il 63% dei CISO ha vissuto o osservato direttamente episodi di burnout nel corso dell’anno.
I dati più aggiornati provengono dal 2026 State of the Cybersecurity Workforce Report di Seemplicity, condotto da Sapio Research su 300 responsabili della sicurezza negli Stati Uniti nel gennaio 2026 e pubblicato il 3 marzo. La ricerca documenta che i professionisti cyber lavorano in media 10,8 ore straordinarie settimanali oltre al contratto, il che equivale a una sesta giornata lavorativa. Il 45% supera le 11 ore extra a settimana, il 20% ne lavora più di 16 aggiuntive. Il 44% dichiara che il proprio ruolo è emotivamente più spossante che gratificante, una percentuale che sale al 56% tra i responsabili di livello C.
Non si tratta di statistiche isolate. Il 2026 SANS | GIAC Cybersecurity Workforce Research Report, presentato all’RSAC 2026 su un campione di 947 professionisti, responsabili HR e decision maker di sei regioni globali, documenta che il 61% delle organizzazioni registra un aumento dello stress nei team di sicurezza negli ultimi due anni. I principali fattori citati: sovraccarico di lavoro e sottodimensionamento degli organici (46%), vincoli di budget (40%) e complessità crescente delle minacce (40%).
Le cause strutturali: molto oltre la stanchezza
Sarebbe riduttivo leggere il burnout nella cybersecurity come semplice affaticamento da lavoro eccessivo. Le sue radici affondano in condizioni strutturali che nessuna misura di welfare aziendale può sanare da sola.
Alert fatigue: il paradosso della sorveglianza continua
Il Security Operations Center (SOC) è l’ambiente in cui la crisi si manifesta con maggiore intensità. La ricerca pubblicata sull’ACM Computing Surveys identifica quattro macro-cause di alert fatigue nel SOC: l’alto ritmo di generazione degli alert, il volume assoluto di notifiche, l’elevata percentuale di falsi positivi e la varietà crescente delle tipologie di minaccia, che rende rapidamente obsolete le regole di rilevamento basate su firme statiche.
I numeri operativi parlano da soli. Secondo l’AI SOC Market Landscape 2025, le organizzazioni affrontano in media 960 alert di sicurezza al giorno, con le realtà che superano i 20.000 dipendenti che ne gestiscono più di 3.000. Il SANS 2025 SOC Survey conferma che il 66% dei team non riesce a tenere il passo con i volumi in arrivo.
Una ricerca di Trend Micro, citata nell’analisi ACM, rileva che il 51% dei team SOC si sente sopraffatto dal volume degli alert, con gli analisti che spendono oltre il 25% del loro tempo a gestire falsi positivi. Il 40% degli alert non viene mai analizzato, mentre il 61% dei team ha ammesso di aver ignorato notifiche che si sono poi rivelate critiche.
L’effetto è pernicioso: l’analista si desensibilizza. Il segnale reale si perde nel rumore. E quella desensibilizzazione non è un’anomalia comportamentale: è una risposta adattiva del sistema nervoso umano a un input cognitivo insostenibile. Palo Alto Networks ricorda un caso emblematico: nella violazione Target del 2013, gli strumenti di sicurezza avevano rilevato correttamente il malware, ma gli analisti SOC, sepolti dagli alert, non avevano dato priorità ai segnali critici. Il danno fu la sottrazione di dati da oltre 40 milioni di carte di pagamento.
Understaffing e carichi asimmetrici
La carenza strutturale di talenti amplifica ogni altra causa. Il Cybersecurity Workforce Study 2024 di ISC2, condotto su un campione record di 15.852 professionisti, documenta che il 67% delle organizzazioni segnalava carenze di personale nei team di sicurezza, con un gap globale di posizioni scoperte pari a 4,8 milioni di ruoli a livello mondiale, in crescita del 19% rispetto all’anno precedente. Il report ISC2 del 2025, pubblicato a dicembre, rileva un leggero miglioramento nei livelli di organico, ma segnala per la prima volta che il problema della carenza di skill ha superato quello del puro headcount: il 59% dei professionisti indica lacune critiche o significative di competenze, contro il 44% dell’anno precedente.
La ricerca di Bitsight rileva una dinamica particolarmente rilevante: i team più piccoli sono doppiamente più esposti al burnout rispetto a quelli ben strutturati. Ma anche nei programmi ben dotati di risorse, quasi un professionista su quattro manifesta segnali di esaurimento. L’equazione è impietosa: meno personale significa carichi maggiori su chi resta, il che accelera il turnover, che a sua volta aggrava la carenza, in un ciclo autoalimentante.
Aspettative irrealistiche e cultura dell’eroismo
Un terzo vettore, spesso sottovalutato, è culturale. La cybersecurity esige una vigilanza paragonabile a quella dei controllori di volo o dei medici d’urgenza: un singolo errore può avere conseguenze catastrofiche e tracciabili. Questa responsabilità genera un carico emotivo che va ben oltre il volume di lavoro misurabile. Chi entra in questo settore lo fa spesso con forte motivazione identitaria, vale a dire con la consapevolezza di proteggere infrastrutture critiche, dati sensibili, vite umane. Quella stessa motivazione diventa combustibile per il burnout quando le condizioni organizzative non reggono il peso di quelle aspettative.
A questo si aggiunge un fenomeno emergente che James Lyne, CEO di SANS Institute, ha denominato AI fry: l’adozione massiccia di strumenti di intelligenza artificiale, pensata per alleviare i carichi di lavoro, produce paradossalmente un aumento del burnout attraverso il continuo cambio di contesto cognitivo. Come ha dichiarato Lyne all’RSAC 2026: «I rarely talk to teams that aren’t running some version of 100%». Le organizzazioni stanno sovrapponendo responsabilità di AI governance ai team di sicurezza senza ridisegnare i ruoli. Come ha osservato Ravid Circus, CPO di Seemplicity, a Help Net Security nel marzo 2026: aggiungere AI oversight senza riprogettare l’organizzazione accelera il burnout. È l’organigramma stesso che deve essere ripensato.
L’impatto sulla postura di sicurezza aziendale
Il burnout non è una questione di risorse umane. È una questione di rischio operativo. La catena di conseguenze che collega l’esaurimento dei professionisti alla vulnerabilità delle organizzazioni è documentata e misurabile.
Il report Sophos Human Cost of Vigilance documenta che il burnout riduce la produttività nel 39% dei casi e l’engagement nel 33%. Ma le conseguenze più gravi sono operative. Il 2026 SANS | GIAC Workforce Research Report documenta un dato diretto e inequivocabile: il 27% delle organizzazioni ha subìto violazioni reali come conseguenza diretta del gap di competenze e capacità nei team. Non di strumenti inadeguati, dunque, ma di persone esaurite, sopraffatte o assenti. Le lacune di skill producono anche ritardi nei progetti (57% delle organizzazioni), rallentamenti nella risposta agli incidenti (47%) e ridotta capacità di monitoraggio (42%).
Il Verizon 2025 Data Breach Investigations Report, basato sull’analisi di oltre 22.000 incidenti e 12.195 violazioni confermate, il dataset più ampio della storia del report, documenta che il ransomware è presente nel 44% delle violazioni (in crescita dal 32% dell’anno precedente) e che il coinvolgimento di terze parti è raddoppiato al 30%. Questi dati segnalano una superficie di attacco in rapida espansione che richiede team reattivi e lucidi, due qualità che il burnout erode sistematicamente.
Il Cost of a Data Breach Report 2025 di IBM, condotto dal Ponemon Institute su 600 organizzazioni globali tra marzo 2024 e febbraio 2025, fissa a 4,44 milioni di dollari il costo medio globale di una violazione e a 241 giorni la durata media del ciclo vita dell’incidente, il valore più basso da nove anni grazie all’adozione diffusa di AI e automazione. Le organizzazioni che non adottano questi strumenti, spesso proprio quelle con team sottorganico e sopraffatti, sperimentano tempi superiori ai 200 giorni, con costi medi che sfiorano i 5,49 milioni di dollari.
L’analista che ignora un alert perché ne ha già visti diecimila simili in settimana non sta fallendo come professionista: sta rispondendo razionalmente a un sistema progettato male. Il fallimento è organizzativo, non individuale.
Strategie di risposta: oltre il welfare aziendale
Le risposte efficaci al burnout nella cybersecurity richiedono un approccio a più livelli, che integri soluzioni tecnologiche, ridisegno dei processi e trasformazione culturale.
Automazione intelligente e SOAR di nuova generazione
La prima linea di difesa contro l’alert fatigue è tecnologica. Come approfondito su ICT Security Magazine nell’articolo dedicato alla security automation, le piattaforme SOAR (Security Orchestration, Automation and Response) nascono per automatizzare i task ripetitivi del SOC: triage degli alert, enrichment dei dati, lookup di threat intelligence, risposta iniziale agli incidenti. L’obiettivo è sottrarre all’analista il lavoro meccanico per restituirgli spazio cognitivo per le decisioni ad alto valore.
Le piattaforme di nuova generazione, basate su AI agentiva anziché su playbook statici, rappresentano un salto qualitativo rispetto ai sistemi tradizionali. Come sintetizza la ricerca pubblicata sull’ACM Computing Surveys, i SOC di sesta e settima generazione si muovono verso un ecosistema di collaborazione uomo-macchina in cui l’AI gestisce autonomamente correlazione, classificazione e risposta ai pattern ricorrenti, lasciando agli analisti i casi anomali, complessi o ad alto impatto strategico.
I sistemi che adottano AI-powered investigation raggiungono una copertura del 100% degli alert analizzati rispetto al 40-60% dei modelli tradizionali, con riduzioni documentate dei falsi positivi superiori al 70% nelle prime settimane di deployment. Il report IBM 2025 quantifica il vantaggio economico: le organizzazioni che utilizzano estensivamente AI e automazione nelle operazioni di sicurezza risparmiano in media 1,9 milioni di dollari sui costi di violazione e riducono il ciclo vita delle breach di 80 giorni.
Outsourcing SOC e modelli MDR
Non tutte le organizzazioni hanno la massa critica per costruire e mantenere un SOC interno di qualità. Per molte realtà, specialmente quelle medio-grandi che faticano a competere con le big tech nell’attrarre talenti, il ricorso a servizi di sicurezza gestiti (MSSP, MDR) non è una scorciatoia ma una scelta strategicamente razionale. Il report Sophos indica esplicitamente i servizi MDR come uno dei fattori più efficaci nel ridurre la cyber fatigue dei team interni.
Il trasferimento delle operazioni di monitoraggio continuativo a provider specializzati riduce il carico sui team interni, che possono concentrarsi su governance, architettura di sicurezza e gestione del rischio strategico. Questa redistribuzione dei ruoli, se ben progettata, non indebolisce la security posture: la rafforza, perché assegna ciascuna attività alla struttura che può sostenerla in modo sostenibile.
Ridisegno organizzativo e gestione del carico cognitivo
Le misure tecnologiche sono necessarie ma non sufficienti. Il problema del burnout nella cybersecurity è anche un problema di design organizzativo. Come analizzato su ICT Security Magazine nell’articolo sulle security operations aziendali, la tensione tra automazione massiva e mantenimento delle competenze umane è uno dei nodi irrisolti delle organizzazioni più mature.
La ricerca di Bitsight identifica nella visibilità sul rischio, vale a dire nella capacità di vedere, comprendere e priorizzare le minacce, il fattore che più di ogni altro correla con la resilienza psicologica dei team. Le organizzazioni dotate di asset discovery e risk monitoring strutturato mostrano un tasso di burnout del 44%, contro il 63% di quelle che ne sono prive. Sapere su cosa concentrarsi riduce l’ansia da omissione, quella paura costante di aver tralasciato qualcosa di critico, che è uno dei principali motori dell’esaurimento.
Sul piano operativo, il SANS 2025 SOC Survey ha rilevato che il 79% delle organizzazioni operative H24 sperimenta picchi di alert fatigue nelle transizioni di turno. Un dato che indica dove intervenire con processi strutturati di handover e contestualizzazione. Il monitoraggio sistematico dei carichi di lavoro degli analisti, la rotazione dei turni e la definizione esplicita di escalation path contribuiscono a distribuire la responsabilità e a ridurre il peso della vulnerabilità individuale percepita.
Cultura e responsabilità manageriale
L’ultimo, e forse più difficile, fronte di intervento è culturale. Il report Seemplicity 2026 rileva che il 43% dei CISO non riesce a prendere ferie senza accumulare stress aggiuntivo al rientro, e il 32% sperimenta regolarmente l’ansia anticipatoria della settimana lavorativa. Come ha sintetizzato Ravid Circus di Seemplicity: «This isn’t a talent retention story. It’s a system failure. The people aren’t leaving, but the system is breaking around them».
Invertire questo dato richiede che la leadership aziendale riconosca il burnout come un rischio operativo e non come un problema HR, inserendolo nel framework di gestione del rischio con la stessa serietà riservata alle minacce esterne. Questo significa metriche di benessere monitorate nei KPI di sicurezza, budget dedicati al dimensionamento adeguato dei team e una cultura che valorizzi la segnalazione precoce del sovraccarico anziché penalizzarla.
Cybersecurity burnout: una questione di sistema, non di resilienza individuale
È tentante leggere il burnout nella cybersecurity come un problema di persone che non reggono la pressione. È una lettura sbagliata e pericolosa. I professionisti della sicurezza affrontano un lavoro di guardia permanente su sistemi in costante espansione, in un panorama di minacce che si fa più sofisticato ogni anno, con organici spesso inadeguati, in un settore che non ammette errori e non dimentica quelli commessi.
Il vero rischio sistemico non è che qualcuno lasci la professione, anche se i dati sul turnover restano preoccupanti. È che migliaia di persone restino al loro posto, esaurite e desensibilizzate, gestendo le infrastrutture critiche di aziende, ospedali e istituzioni pubbliche con una frazione dell’attenzione che il loro lavoro richiede. Il SANS 2026 Workforce Report documenta con precisione questa escalation: tra le organizzazioni con significative lacune di skill, il 47% registra un aumento del burnout, il 57% subisce ritardi nei progetti critici e il 42% vede ridursi le proprie capacità di monitoraggio. Non è un problema di singoli individui: è una degradazione sistemica della security posture.
Il burnout dei team di sicurezza è una vulnerabilità. Una vulnerabilità che non compare nei rapporti di risk assessment, non viene patchata negli aggiornamenti software, non è nominata esplicitamente nei quadri normativi NIS2 o DORA. Ma che gli attaccanti, implicitamente e strutturalmente, sfruttano ogni giorno.
Affrontarla non è un atto di generosità verso i propri dipendenti. È un imperativo di sicurezza.
