Trent’anni di tecnologia, stessa falla: l’essere umano

Sono passati trent’anni. Tre decenni di evoluzioni tecnologiche mirabolanti, dalla prima e-mail al deep learning, dal modem a 56k al 5G, dalla tastiera meccanica al riconoscimento facciale. Eppure, nell’universo cangiante della cybersecurity, l’anello debole della catena è rimasto sempre lo stesso: l’essere umano.

A ricordarcelo, ancora una volta, è il World Economic Forum, che ha recentemente rilanciato l’allarme dopo gli attacchi del gruppo criminale Scattered Spider, abile nell’utilizzare tecniche di ingegneria sociale per ingannare i sistemi di sicurezza impersonando dipendenti e contractor. Un modus operandi tutt’altro che nuovo, eppure drammaticamente efficace. Non parliamo di malware evoluti o vulnerabilità zero-day: parliamo di una voce al telefono, di una mail apparentemente credibile, di un click nel posto sbagliato. E ci scopriamo fragili come trent’anni fa.

Non è solo una questione tecnica, è una questione antropologica. L’essere umano resta al centro della sicurezza informatica non tanto come sorvegliante, ma come varco, come pertugio emotivo e relazionale in cui l’attacco si insinua. Non siamo solo il punto debole: siamo il bersaglio più facile perché, come sostengo da oltre dieci anni, siamo biologicamente inadatti a percepire un pericolo al di là di uno schermo.

Ma c’è di più. Una ricerca condotta da Cohesity, azienda specializzata nella protezione dei dati, aggiunge una nuova e inquietante sfumatura: la complicità del silenzio. Secondo i dati raccolti su un campione di 4.500 utenti, in caso di attacco la maggioranza sceglie di tacere. Non vogliono sembrare colpevoli. Non vogliono problemi. Non vogliono disturbare. E così non dicono nulla. Il 17% per paura di essere accusati, il 15% per non creare allarmismi, l’11% tenta addirittura di risolvere da solo il problema. L’effetto di questa omertà digitale è devastante: scoprire un attacco è già difficile, ma se nessuno parla, se nessuno alza la mano, allora il buio si fa profondo. Nessuna traccia, nessun allarme, solo danni.

Il caso dell’attacco a Marks & Spencer, rimasta offline per oltre sette settimane, è emblematico. Il danno stimato è di 300 milioni di sterline, ma ciò che colpisce è la dinamica: un fornitore, un help desk, un’identità finta, qualche passaggio di troppo.

E quando anche la formazione manca, il quadro si completa in modo desolante. I dati citati della ricerca sono chiari: un dipendente su tre nel Regno Unito non ha ricevuto alcuna formazione in materia di sicurezza informatica. E stiamo parlando di un paese che su questi temi è, rispetto all’Italia, avanti almeno di cinque anni. Non è difficile immaginare, nel nostro contesto, percentuali rovesciate, dove forse solo un lavoratore su tre ha ricevuto una formazione adeguata. Il resto è affidato all’intuito, alla paura, al caso.

A questo punto, qualunque esperto di cybersecurity avrebbe tutte le ragioni per abbandonarsi a una malinconia epistemologica, a uno stato depressivo strutturale. Perché la tecnologia può fare salti da gigante, ma l’anello debole resta lì, immobile, umano, sfuggente. Finché non si cambia la cultura è inutile chiedersi chi ha lasciato la porta aperta, tanto lo sappiamo perfettamente.