intomi e le conseguenze della sindrome da affaticamento da cybersecurity sui professionisti IT

Sindrome da affaticamento da cybersecurity: analisi approfondita per professionisti IT e istituzioni italiane

A cura di:Redazione Ore

La sindrome da affaticamento da cybersecurity si sta affermando come una minaccia critica alla sicurezza organizzativa, colpendo l’84% dei professionisti del settore a livello globale e causando alle aziende statunitensi una perdita di produttività stimata in 626 milioni di dollari all’anno. Questo fenomeno – definito come “un senso di stanchezza o riluttanza ad affrontare la sicurezza informatica a seguito di una prolungata esposizione alle sue richieste” – rappresenta una sfida sistemica che richiede una risposta urgente da parte dei professionisti IT italiani e dei decisori istituzionali. La sindrome si manifesta attraverso una riduzione della conformità ai protocolli di sicurezza, compromissione della capacità decisionale e un aumento degli incidenti e delle vulnerabilità.

La ricerca più recente evidenzia che l’affaticamento da cybersecurity non è solo un problema di resilienza individuale, bensì un fenomeno organizzativo complesso con impatti misurabili sull’efficacia della sicurezza, sulle performance economiche e sulla stabilità della forza lavoro. Comprenderne le dinamiche è fondamentale nel contesto italiano, specialmente durante l’attuazione della Direttiva NIS2 e il rafforzamento del framework nazionale di cybersecurity promosso dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Sindrome da affaticamento da cybersecurity: una comprensione scientifica sempre più sofisticata

Dal lavoro pionieristico del NIST nel 2016, la comunità scientifica ha notevolmente approfondito la comprensione del fenomeno. Studi condotti tra il 2023 e il 2025 indicano che il 74% dei professionisti della cybersecurity ha usufruito di permessi lavorativi per problemi di salute mentale legati al lavoro; il 53% dei CISO ha dichiarato di aver sperimentato burnout nel 2024. Sebbene in lieve miglioramento rispetto al 60% del 2023, il trend rimane allarmante.

Secondo il modello a quattro componenti di Reeves et al. (2021), la sindrome si articola in:

  1. Affaticamento attitudinale – cinismo verso l’importanza della sicurezza;
  2. Affaticamento cognitivo – automatismi negativi e decisioni compromesse;
  3. Sovraesposizione ai consigli – eccesso di formazione e comunicazione;
  4. Sovraesposizione all’azione – sovraccarico di compiti legati alla sicurezza.

La ricerca neuropsicologica mostra che la corteccia prefrontale – deputata a giudizio e ragionamento – funziona in modo meno efficiente durante le decisioni quotidiane in ambito sicurezza. Tale affaticamento decisionale porta a comportamenti evitanti e compromette la postura di sicurezza. I meccanismi psicologici rispecchiano il modello del burnout di Maslach: esaurimento emotivo, depersonalizzazione e senso di inefficacia.

Un impatto che supera il benessere individuale

Le conseguenze operative e finanziarie si riflettono sull’intera organizzazione. I team di sicurezza affaticati impiegano il 35% in più per contenere una violazione e sostengono costi del 50% più elevati per la risposta. Il 70% dei dipendenti affaticati ignora intenzionalmente le procedure di sicurezza; il 23% dei team di cybersecurity non risponde agli alert per via dell’eccessivo volume.

Un’espressione acuta del fenomeno è la alert fatigue, che colpisce duramente i Security Operations Center (SOC), dove un analista può ricevere oltre 10.000 alert al giorno. Il 51% dei team SOC si sente sopraffatto, dedicando più di un quarto del tempo alla gestione dei falsi positivi. Il sovraccarico cognitivo mina la capacità di distinguere minacce reali da falsi allarmi.

Alla crisi contribuisce anche la difficoltà di retention: il 50% dei leader cybersecurity potrebbe cambiare lavoro entro due anni, mentre il 65% dei professionisti SOC valuta le dimissioni a causa dello stress. Il costo di sostituzione di un dipendente qualificato varia da 6 a 9 mesi di stipendio, a cui si sommano perdite indirette significative.

Vulnerabilità settoriali: casi concreti

Nel settore sanitario, il 31% degli informatici clinici identifica l’esaurimento da cybersecurity come una delle principali sfide. Incidenti gravi includono la perdita di alert con conseguenze fatali per i pazienti e l’impatto del ransomware WannaCry sul National Health Service del Regno Unito.

Nel 2023, il settore educativo ha registrato un incremento del 258% negli attacchi informatici, con un +545% di incidenti che hanno portato alla divulgazione di dati. Esempi critici includono il furto di 230.000 record personali dell’University of Michigan e la compromissione di 500 GB di dati del Los Angeles Unified School District.

Nel settore finanziario, le interviste con data specialist rivelano un sofisticato calcolo costi-benefici da parte dei dipendenti, che sviluppano una “tolleranza selettiva” verso i compiti di sicurezza, definendo la sindrome come “una fatica crescente nel doverli affrontare”. Il comportamento conforme è trattato come una risorsa finita, sottolineando l’importanza di una pianificazione strategica.

Strategie di prevenzione: verso una trasformazione culturale e tecnologica

Le strategie più efficaci si fondano sui tre principi chiave del framework NIST:

  • Limitare il numero di decisioni di sicurezza richieste all’utente;
  • Rendere intuitiva la scelta sicura;
  • Favorire la coerenza decisionale.

L’automazione si conferma l’intervento più efficace. L’adozione dell’intelligenza artificiale per gestire il 60-70% degli alert di routine riduce l’affaticamento, con soluzioni come XDR e SOAR che consolidano strumenti e riducono gli alert fino al 30%. Le organizzazioni che utilizzano l’AI in modo estensivo risparmiano fino a 2,2 milioni di dollari in costi di violazione.

I programmi di digital detox mostrano risultati misurabili, moderando significativamente il rapporto tra affaticamento e produttività (β = -0,25, p < 0,01). Interventi efficaci includono politiche di lavoro flessibile, supporto alla salute mentale e gestione dei carichi, con un massimo consigliato di 10.000 endpoint per analista.

Integrare il benessere mentale nei programmi aziendali riduce del 40% il turnover nei ruoli di sicurezza. I programmi migliori combinano accesso alla consulenza, formazione sulla gestione dello stress e riconoscimento delle buone pratiche anziché penalizzazione degli errori.

Formazione: da obbligo a leva strategica comportamentale

Tra il 2024 e il 2025 la formazione cybersecurity ha subito una radicale trasformazione, passando da approcci formali alla compliance a metodologie comportamentali avanzate. Nonostante il 90% delle aziende abbia programmi di awareness, il 70% dei dipendenti continua a comportarsi in modo insicuro (fonte: Gartner).

La gamification si è rivelata una leva potente: aumenta l’engagement del 60% e decuplica il reporting delle minacce. AES Corporation, ad esempio, ha visto la partecipazione salire dal 10% al 70% con simulazioni di phishing basate su scenari reali e difficoltà adattiva.

Micro-learning e formazione personalizzata tramite AI sono in crescita: moduli da 2-5 minuti ottengono un engagement del 50% superiore. Piattaforme come Keepnet riducono i comportamenti rischiosi del 90% tramite percorsi adattivi e feedback immediati.

Il focus si è spostato sulla gestione del rischio umano, promuovendo rinforzi positivi, ambienti “safe-to-fail” e formazione contestuale on demand, anziché corsi schedulati generici.

Misurazione e insight esperti per una gestione strategica

Modelli come il framework a quattro componenti e scale psicometricamente validate (es. Cybersecurity Fatigue Scale – α = 0,930) consentono diagnosi accurate. L’esperienza di esperti come Bruce Schneier (“gli amatori attaccano i sistemi, i professionisti le persone”) e Brian Stanton del NIST (“se la sicurezza è troppo complessa da usare, non sarà usata”) evidenziano la centralità del fattore umano.

Strumenti come le interviste qualitative NIST, il Cybersecurity Assessment Tool della Ford Foundation e la piattaforma di eSentire aiutano a misurare non solo la postura tecnica ma anche la resilienza umana delle organizzazioni.

Compliance: una sfida multilivello per le istituzioni italiane

Il contesto normativo italiano presenta complessità specifiche. La Direttiva NIS2, in fase di recepimento con scadenza al 17 ottobre 2024, impone formazione obbligatoria e responsabilità diretta del top management. L’ACN, tramite il DL 82/2021, impone notifiche degli incidenti entro 6 ore (contro le 24 della NIS) e richiede competenze specialistiche per la gestione degli asset strategici.

Il GDPR richiede ai DPO di garantire formazione “effettivamente compresa” (Art. 39), non solo formalmente completata, mentre le Binding Corporate Rules (Art. 43) aggiungono ulteriori obblighi. Per il settore finanziario, il DORA impone ulteriori requisiti su resilienza e gestione dei terzi.

Questo scenario a norme sovrapposte può generare compliance fatigue, rendendo necessario un approccio unificato e strategico alla formazione.

Raccomandazioni per il contesto italiano

Le istituzioni italiane dovrebbero:

  • Implementare programmi di formazione basati sul rischio, focalizzati su aree e ruoli critici;
  • Mappare e integrare i requisiti normativi per evitare duplicazioni e ridurre il carico;
  • Utilizzare automazione e AI per ridurre l’onere manuale mantenendo efficacia;
  • Integrare sistemi di monitoraggio continuo e formazione just-in-time;
  • Svolgere revisioni regolari dei programmi per mantenerli aggiornati e misurabili.

Conclusioni

La sindrome da affaticamento da cybersecurity è una sfida critica e sistemica, non un semplice problema individuale. I suoi effetti si riflettono in modo tangibile su sicurezza, finanza e capitale umano. Affrontarla significa considerarla un rischio strategico di business, integrando tecnologia, cultura e formazione sostenibile.

Con l’attuazione della NIS2 e il rafforzamento del ruolo dell’ACN, l’Italia ha oggi un’opportunità unica per ridisegnare le proprie strategie difensive, mettendo al centro non solo la tecnologia ma anche il benessere e la capacità decisionale delle persone incaricate di proteggere le infrastrutture digitali del Paese.

Fonti:

ASIS International. (2025). Tackling Burnout in the High-Stakes World of Security. Security Management Magazine.

Bitsight. (2024). 5 IT & Cybersecurity Burnout Statistics.

Calic, D., Pattinson, M., Parsons, K., McCormac, A., & Butavicius, M. (2016). The Role of Computer Self-Efficacy in Security Compliance: Implications for Training and Awareness. Computers & Security, 58, 47-59.

Cybereason. (2024). The Silent Epidemic: Uncovering the Dangers of Alert Fatigue and How to Overcome It.

Digital Strategy European Commission. (2024). NIS2 Directive: new rules on cybersecurity of network and information systems.

ESET. (2025). Fighting Cybersecurity Fatigue: Key Strategies for 2025. Digital Security Guide.

Furman, S., Theofanos, M. F., Choong, Y. Y., & Stanton, B. (2016). “Security Fatigue” Can Cause Computer Users to Feel Hopeless and Act Recklessly, New Study Suggests. National Institute of Standards and Technology.

Georgiadou, A., Mouzakitis, S., & Askounis, D. (2022). Stress, Burnout, and Security Fatigue in Cybersecurity: A Human Factors Problem. Humanities and Social Sciences Communications, 9(1), 1-15.

Help Net Security. (2024). The cost of cybersecurity burnout: Impact on performance and well-being.

Hoxhunt. (2024). Does Gamified Cyber Security Training Actually Work?

IBM Security. (2024). IBM Report: Escalating Data Breach Disruption Pushes Costs to New Highs. IBM Newsroom.

InformationWeek. (2024). The Psychology of Cybersecurity Burnout.

ISACA. (2025). Practical Strategies to Overcome Cyber Security Compliance Standards Fatigue. ISACA Now Blog.

Keepnet Labs. (2025). Cybersecurity Awareness Training Trends for 2025.

Mantere, M., Sainio, M., Huhtala, J., & Suominen, J. (2024). Digital detox: exploring the impact of cybersecurity fatigue on employee productivity and mental health. PMC.

NIST Computer Security Resource Center. (2024). Awareness, Training, & Education.

Ping Identity. (2024). Why Security Fatigue Is a Huge Cybersecurity Risk.

Proofpoint. (2024). Beyond Security Awareness: Sustained Behavior Change.

Proofpoint. (2024). What Is the NIS2 Directive? Compliance Requirements.

Reeves, A., Delfabbro, P., & Calic, D. (2021). Encouraging Employee Engagement With Cybersecurity: How to Tackle Cyber Fatigue. SAGE Open, 11(1).

Schweitzer Engineering Laboratories. (2024). Overcoming Cybersecurity Fatigue: Why It Matters and How to Manage It.

Splunk. (2024). Preventing Alert Fatigue in Cybersecurity: How To Recognize & Combat Alert Fatigue.

Zhang, P., Chen, H., & Liu, Q. (2024). Security Fatigue. PMC.

 

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi