La psicologia dell'attendibilità nella sicurezza informatica: non è paranoia, è prudenza

La fiducia innata in ciò che ci è familiare è una risposta tipica della natura umana. Sul posto di lavoro è quasi scontato che i colleghi, i sistemi interni e le reti aziendali siano tutti ritenuti attendibili.

Ma nel mondo di oggi, dove "tutto e tutti si connettono da ogni dove", questo istinto può rivelarsi pericolosamente fuorviante. La rete aziendale non è mai stata tanto vulnerabile, non solo perché gli ambienti ibridi cloud-first hanno esteso considerevolmente la superficie di attacco.

Ci sono altri tre motivi per cui stiamo sperimentando una maggiore vulnerabilità. In primo luogo, vi è una maggiore probabilità di incorrere in una compromissione, questo perché gli hacker stanno ricorrendo all'IA per lanciare campagne di ingegneria sociale sempre più sofisticate. In secondo luogo, è molto semplice per un utente malintenzionato muoversi lateralmente attraverso la rete, senza essere rilevato, utilizzando credenziali verificate per accedere (senza di fatto hackerare). Infine, vi è il pericolo associato ai dati, con un allarmante incremento dei ransomware o delle operazioni di esfiltrazione dei dati (senza che venga innescato alcun allarme).

Si tratta di una brutta notizia per tutti i settori, soprattutto per quelli che sono già classificati tra i più colpiti¹ tra tutti i settori industriali a livello globale. Non c'è da sorprendersi del fatto che i servizi finanziari rientrino in questo gruppo, dato l'elevato valore dei dati trattati da questo settore e gli obblighi normativi a cui è sottoposto.

Avere una lunga tradizione alle spalle può rivelarsi un'arma a doppio taglio per i marchi finanziari. Significa aver accumulato un'esperienza impareggiabile con cui i concorrenti che puntano sul digitale non possono competere, ma si traduce anche in anni e anni di aggiornamenti progressivi in materia di sicurezza e performance integrati in infrastrutture legacy, che hanno generato ambienti complessi e difficili da gestire. Il risultato è una minore agilità e una maggiore esposizione al rischio informatico. La complessità si estende al vasto ecosistema della catena di approvvigionamento del settore e al fatto che ogni singola movimentazione al suo interno è altamente regolamentata.

Vi sono difficoltà evidenti per il settore dei servizi finanziari, in particolare per le grandi banche affermate da tempo, che si trovano a dover affrontare concorrenti agili e orientati al digitale. Le organizzazioni di questo settore, e di tutti i settori altamente regolamentati, devono rafforzare seriamente le proprie misure di sicurezza, e devono farlo in fretta.

Non vogliamo generare allarmismi, ma spingere queste realtà a riflettere su quanto l'attendibilità implicita possa rivelarsi un punto debole Si tratta di promuovere la prudenza in materia di sicurezza informatica per garantire il mantenimento del controllo e della resilienza.

La predisposizione umana alla fiducia
Hai mai sentito parlare di euristica cognitiva? Radicato nella scienza cognitiva, questo termine descrive i procedimenti mentali che adottiamo quando dobbiamo prendere decisioni rapide o con informazioni limitate a disposizione. Esistono diversi tipi di procedimenti, ma quello di cui dobbiamo essere davvero consapevoli nel mondo del lavoro digitale è l'euristica della familiarità. Si tratta della ricerca di ciò che è familiare nonostante l'incertezza. È un bias cognitivo a cui molti di noi sono soggetti.

In un contesto aziendale, un'euristica della familiarità potrebbe portarci a fidarci senza pensarci troppo. Ad esempio, ritenere istintivamente che le e-mail interne siano "più sicure" di quelle esterne, dare per scontato che i sistemi della nostra azienda siano sicuri di default o credere che i nostri colleghi abbiano meno probabilità di rappresentare una minaccia per la nostra sicurezza informatica.

Questa convinzione che ciò che si trova "all'interno" sia sicuro è esattamente ciò di cui si avvalgono i criminali informatici. Le violazioni della rete potrebbero essere il risultato di una minaccia esterna. Nella maggior parte dei casi, sono dovute alla compromissione involontaria delle credenziali del personale, in gran parte tramite e-mail. Nel 2024, il nostro team ThreatLabz ha esaminato 1,2 miliardi di transazioni di dati sulle principali app e canali aziendali, come la posta elettronica. I risultati, condivisi nel nostro Report sui dati@Risk del 2025, evidenziano la portata del problema: i dati aziendali sensibili (tra cui il codice sorgente e le informazioni finanziarie) sono trapelati in circa 104 milioni di transazioni e-mail.

Colpisce il fatto che il phishing via e-mail sia ancora uno dei vettori di attacco più efficaci, anche nel 2025, nonostante tutte le nostre conoscenze sui pericoli che derivano da una scarsa igiene della sicurezza. Ancora una volta, tutto questo è dovuto alla predisposizione umana a fidarsi di ciò che è familiare: un'e-mail interna proveniente da un mittente apparentemente legittimo finisce nella posta in arrivo di un dipendente che clicca su un collegamento seguendo quanto gli viene indicato, aprendo così la porta a un hacker. In un ambiente di sicurezza legacy, in cui l'attendibilità viene data per scontata anziché verificata, l'aggressore riesce quindi a muoversi lateralmente attraverso la rete, senza essere rilevato. La domanda è: l'attendibilità di un'entità si può veramente dare per scontata?

La seconda parte di questa serie sulla psicologia dell'attendibilità nella sicurezza informatica è disponibile qui. Se vuoi saperne di più sulla sicurezza informatica nel settore dei servizi finanziari, scarica l'ebook qui.

¹Statista, Distribution of cyberattacks across worldwide industries in 2024. Maggio 2025. Disponibile su:
https://www.statista.com/statistics/1315805/cyber-attacks-top-industries-worldwide/