Phishing aziendale: perché i dipendenti formati cliccano comunque?

Download

L’Empirical Research Paper “Phishing aziendale: perché i dipendenti formati cliccano comunque?”, a cura di Riccardo Laurenti, Veronica Vacchi e Ilenia Mercuri del team Psybersecurity di Dinova e pubblicato da ICT Security Magazine nel marzo 2026, presenta un’analisi della vulnerabilità al phishing in ambito aziendale, basata su una survey condotta su 65 dipendenti di un’azienda italiana del settore IT, tutti caduti in una simulazione realizzata nel primo trimestre 2025.

Metodologia e campione

La simulazione, somministrata a 2.286 dipendenti, ha utilizzato come esca un riferimento all’assicurazione sanitaria integrativa effettivamente adottata dall’azienda, scelta che ha conferito elevata credibilità al messaggio. Il questionario, somministrato entro 48 ore dall’evento, ha esplorato sette aree tematiche: dati socio-demografici, abitudini di sicurezza digitale, conoscenze pregresse, reazioni emotive e cognitive durante l’evento, reazioni post-click, percezione della formazione e suggerimenti di miglioramento. Il disegno descrittivo-esplorativo combina dati quantitativi (scale Likert) ed elementi qualitativi.

Il campione risulta equamente distribuito per genere, con prevalenza della fascia 35-54 anni e con due terzi dei partecipanti in possesso di un titolo universitario. L’86% aveva già ricevuto formazione in cybersecurity: nonostante ciò, tutti sono caduti nella simulazione, evidenziando una netta dissonanza tra conoscenza dichiarata e comportamento effettivo.

Framework teorico

L’analisi integra contributi multidisciplinari: il modello euristico-sistematico di Chaiken, la teoria dell’apprendimento basato su istanza di Gonzalez, la teoria delle attività di routine di Cohen e Felson e la teoria della dissonanza cognitiva di Festinger. A questi si affiancano i principi della persuasione di Cialdini e la letteratura sulla risk perception e sull’overconfidence.

Risultati principali

Il dato più significativo è il paradosso dell’overconfidence: tutti i partecipanti che si erano dichiarati “completamente sicuri” di saper riconoscere le minacce sono caduti nella simulazione, con una correlazione negativa tra fiducia auto-riferita e riconoscimento dei fattori di rischio (r = -0,33; p < 0,01). Lo stress percepito si associa positivamente alle decisioni affrettate (r = 0,41; p < 0,01).

Sul fronte di genere, le donne riportano meno episodi pregressi di click sospetti rispetto agli uomini (31% contro 44%), ma si attribuiscono livelli inferiori di sicurezza percepita, suggerendo che una minore fiducia possa tradursi paradossalmente in maggiore prudenza.

Tra le leve emotive che facilitano il click prevalgono curiosità e urgenza (49%), seguite dal senso di responsabilità (22%) e dallo stress (18%). I principali fattori cognitivi sono fretta e distrazione (67%), stanchezza mentale (52%), pressione temporale (48%) e sovraccarico di email (34%).

Tre profili di rischio

L’analisi integrata identifica tre profili comportamentali, ciascuno con vulnerabilità specifiche e bisogni formativi differenziati:

  • Profilo A: utenti con bassa consapevolezza digitale, che richiedono formazione di base, esempi concreti e gamification.
  • Profilo B: utenti consapevoli ma esposti alla pressione, che falliscono in condizioni di stress e multitasking e necessitano di interventi organizzativi e procedure di verifica semplificate.
  • Profilo C: utenti esperti e altamente fiduciosi, target critico per overconfidence, da coinvolgere con simulazioni sfidanti ed esercizi di metacognizione.

Limiti e raccomandazioni operative

Gli autori riconoscono con trasparenza i limiti dello studio: dimensione contenuta del campione (n=65), basso tasso di risposta, assenza di un gruppo di controllo, natura cross-sectional, utilizzo di self-report e di una singola simulazione, mancata validazione psicometrica dello strumento.

Le raccomandazioni operative si articolano su sei aree: riprogettare la formazione in chiave modulare, continua ed esperienziale; potenziare le simulazioni con debriefing costruttivi e non colpevolizzanti; introdurre elementi di gamification e rinforzo positivo; intervenire sul contesto organizzativo per ridurre la pressione temporale; contrastare l’overconfidence con esercizi mirati; monitorare i progressi nel tempo personalizzando gli interventi.

Considerazioni conclusive

Gli autori sottolineano che il phishing non è una minaccia tecnicamente sofisticata, ma sfrutta vulnerabilità profondamente umane. La cybersecurity richiede un approccio sistemico che riconosca la centralità del fattore umano e intervenga simultaneamente sulle dimensioni cognitive, emotive, comportamentali e organizzative. Conoscere le minacce non basta: occorre saper gestire emozioni e abitudini nel momento esatto in cui le si incontra.

Pubblicazioni

Scopri le altre pubblicazioni