Cybersecurity. Ilenia Mercuri: “Non violano più le macchine, ma le persone”

In un panorama digitale in cui la stragrande maggioranza degli attacchi informatici va a segno manipolando le persone anziché forzando i sistemi, la vera linea di difesa non è più solo tecnologica, ma psicologica. Ne abbiamo parlato con Ilenia Mercuri, coautrice del libro "Cybersecurity, fattore umano e manipolazione psicologica", Maggioli Editore, che ci guida alla scoperta della "Psybersecurity": un approccio innovativo che unisce sicurezza informatica, psicologia e scienze cognitive. Scopriamo insieme come difendere la nostra mente dalle nuove minacce potenziate dall'Intelligenza Artificiale e come trasformare il fattore umano da anello debole a risorsa preziosa per la protezione delle aziende.

Dott.ssa Mercuri, nel suo libro lei scardina un dogma storico dell’informatica, affermando che i criminali oggi non violano le macchine, ma le persone. Cosa intende?

“Per troppo tempo abbiamo considerato la cybersecurity una questione puramente ingegneristica, fatta di firewall e algoritmi. Tuttavia, le statistiche odierne ci dicono che oltre il 90% degli attacchi informatici va a segno sfruttando le vulnerabilità umane. I criminali hanno capito che è molto più semplice, economico ed efficace ingannare un dipendente affinché apra ‘spontaneamente’ le porte del sistema, piuttosto che tentare di forzare difese tecnologiche complesse. L’ingegneria sociale non è più solo una tattica, ma un vero e proprio cambio di mentalità da parte degli attaccanti, che oggi prendono di mira la nostra psicologia”.

Per descrivere questo fenomeno, lei introduce e definisce il concetto di “Psybersecurity”. Di cosa si tratta?

“La Psybersecurity è una disciplina di frontiera che unisce la sicurezza informatica classica con le scienze umane, in particolare la psicologia, le neuroscienze e la sociologia. Nasce dalla consapevolezza che nessuna infrastruttura può dirsi sicura se non teniamo conto di come funziona la mente di chi la utilizza. Questo approccio non si limita a studiare come le nostre vulnerabilità cognitive vengano sfruttate dagli aggressori, ma si occupa anche dell’impatto psicologico che gli attacchi hanno sulle vittime e sugli operatori, affrontando fenomeni come lo stress, il burnout e la security fatigue”.

Come fanno concretamente gli hacker a manipolare la nostra mente e quali sono le leve psicologiche che utilizzano?

“Sfruttano l’architettura stessa del nostro cervello, che è programmato per prendere decisioni rapide usando scorciatoie mentali, le cosiddette euristiche. Attraverso tecniche come il phishing o il pretexting, gli attaccanti inducono emozioni intense come l’urgenza, la paura o, al contrario, fanno leva sulla nostra innata tendenza alla fiducia. A livello neurobiologico, generano un vero e proprio ‘sequestro neurale’: innescando l’amigdala (il centro della paura) o stimolando l’ossitocina (l’ormone della fiducia), disattivano la nostra corteccia prefrontale, cioè la parte del cervello deputata al pensiero razionale e analitico. In quello stato di alterazione, la vittima agisce d’impulso e commette l’errore”.

Nel libro dedica ampio spazio all'Intelligenza Artificiale. In che modo sta cambiando le regole del gioco per i criminali informatici?

“L'Intelligenza Artificiale Generativa sta fungendo da formidabile moltiplicatore di forza per i cybercriminali, portando all'automazione e all'industrializzazione dell'inganno. Se prima una truffa richiedeva tempo e presentava difetti riconoscibili, come errori grammaticali o toni innaturali, oggi i Large Language Models permettono di creare e-mail di spear-phishing perfette, su misura per la vittima. Inoltre, tecnologie come i deepfake audio e video permettono di clonare la voce o il volto di un CEO o di un familiare con un realismo tale da azzerare le nostre difese percettive, compiendo frodi devastanti”.

Le aziende investono molto in formazione sulla sicurezza, eppure gli incidenti causati dai dipendenti continuano. Perché l’approccio tradizionale fallisce e cosa propone in alternativa?

“I classici corsi annuali o la visione di slide sono inefficaci perché si limitano a trasferire nozioni teoriche, partendo dal presupposto errato che la conoscenza si traduca automaticamente in azione sicura. Per cambiare davvero i comportamenti dobbiamo passare dal training tradizionale al cognitive learning, unendolo a simulazioni pratiche e serious games che coinvolgano emotivamente l’utente. Ma soprattutto, serve un cambio di cultura aziendale: bisogna abbandonare la cultura della colpa in favore di una ‘Just Culture’, in cui chi commette un errore non intenzionale non viene punito, ma viene incoraggiato a segnalarlo immediatamente per difendere l’azienda”.

C’è un capitolo molto innovativo dedicato alle “categorie deboli” (anziani, persone con disabilità o fragilità psicologiche). Perché è importante includerle nel discorso sulla cybersecurity?

“Spesso le policy di sicurezza standardizzate ignorano le specificità cognitive e sensoriali, risultando escludenti per le fasce più deboli della popolazione. Eppure, progettare sistemi sicuri e accessibili per chi ha fragilità, seguendo i principi del design for all, significa creare difese più chiare, semplici e robuste per tutti quanti. Inoltre, le categorie deboli non vanno viste solo come vittime da proteggere passivamente: spesso sviluppano una straordinaria resilienza adattiva e un’empatia che le rende capaci di captare stonature relazionali e manipolazioni emotive molto meglio di un algoritmo”.

Per concludere, se il fattore umano è la principale superficie di attacco, siamo condannati a essere il perenne “anello debole”?

“Assolutamente no, ed è questo il messaggio centrale del libro. Dobbiamo superare la vecchia mentalità che vede l’essere umano come un problema da limitare (human-as-problem). Se adeguatamente supportati da un ambiente aziendale sano, da interfacce tecnologiche intuitive e da una formazione che alleni il pensiero critico e il dubbio costruttivo, gli individui possono trasformarsi nel punto di forza del sistema (human-as-solution). La persona, con la sua capacità di discernimento e intuizione, deve diventare la prima e più formidabile linea di difesa attiva contro le minacce digitali”.