I report annuali sugli incidenti informatici svelano un dato ormai scontato: il 70% dei problemi di sicurezza hanno origine da errore umano. Un allegato scaricato per errore, una password condivisa per comodità, l’accesso lasciato in sospeso durante una pausa, sono spesso causa di falle gravi. Eppure la cybersecurity continua ad essere considerata prevalentemente un problema tecnico, affidato solo all'IT e alla sua serie di strumenti firewall, antivirus e policy tecniche. Ma questa visione sta cambiando, e il ruolo delle Risorse Umane si sta rivelando cruciale per governare in modo sostenibile il rischio informatico.

Il contesto normativo, tanto in Europa quanto in Italia, sta creando un quadro regolativo sempre più complesso. La Direttiva NIS2, recepita in Italia con il D.Lgs 138/2024, ha introdotto obblighi di gestione del rischio cyber e di formazione del personale. Il GDPR, a sua volta, pone una serie di sanzioni pesanti in caso di violazioni di dati personali. Mentre l’AI Act impone requisiti di sicurezza su sistemi con alto impatto sociale e operativo.

L’errore umano: la causa principale e il ruolo delle Risorse Umane

Sempre più spesso, il rischio non è tecnico, ma umano. Ecco perché formare il personale in modo strategico, coerente con la sua funzione e con la cultura aziendale, è fondamentale. Secondo il Barometer 2026 di Cegos Group, la cybersecurity è ritenuta una priorità solo dal 41% degli HR internazionali e dal 45% in Italia, mentre Intelligenza Artificiale e automazione sono al primo posto in termini di interesse strategico. Questo dato sottolinea come le Risorse Umane non siano sufficientemente sensibilizzate sull’importanza di integrare la sicurezza informatica nei modelli di sviluppo delle competenze, nelle politiche di people management e nel contesto formativo delle persone.

Il problema? Troppo spesso le Risorse Umane delegano la gestione della cybersecurity al CISO, all’IT o al Compliance Officer, assumendone solo l’aspetto formale. Questo approccio genera aree cieche: le policy non vengono comprese pienamente, la formazione diventa solo obbligatorio tick-the-box e la cultura della sicurezza rimane solo una formalità. Secondo il report “State of Cybersecurity 2024” di ISACA, appena il 38% delle organizzazioni ha corsi realmente efficaci e integrati. Il restante parte da corsi obbligatori solo per soddisfare la conformità, considerando concluso il capitolo finché non capita il danno.

La trasformazione digitale richiede un cambiamento nelle competenze

In media, il costo di un incidente informatico secondo la ricerca IBM 2024 supera i 4,88 milioni di dollari, senza contare i danni reputazionali e le sanzioni che possono arrivare fino al 4% del fatturato annuale, come stabilito nel GDPR. L’approccio attuale non solo è economicamente sostenibile, ma anche culturalmente inadatto per governare un tema così critico.

Che ruolo possono svolgere le Risorse Umane?

Gestire la cybersecurity non è più delegabile a esperti tecnici. Le persone – il loro comportamento, le competenze digitali e la formazione – rappresentano un pilastro importante del sistema di governance aziendale. Da qui emerge il ruolo strategico delle Risorse Umane: quelle competenze devono essere formate, coltivate, valutate e integrate in modo operativo.

    • Governare l’implementazione dei requisiti di conformità, collaborando con il CISO e il Compliance Officer
    • Costruire percorsi formativi strutturati, focalizzati su abilità misurabili e comportamenti effettivi
    • Definire e gestire competenze digitali di sicurezza negli asset delle persone
    • Coerentemente mappare ruoli a rischio con obiettivi di sicurezza informatica specifici

La cybersecurity non può essere un corso annuale

L’approccio tradizionale – formazione annuale obbligatoria – non basta più. La sensibilizzazione deve essere continua, situata e pratica. Non bastano slide generaliste su phishing o ransomware, ma serve simulare situazioni realistiche, mirate al settore specifico e in base alle intelligence di minacce aggiornate.

Nel settore sanitario, ad esempio, sono state create programmi di training differenziati per ciascun ruolo professionale. Gli risultati sono evidenti: il Rapporto 2024 dell’Osservatorio Innovazione Digitale in Sanità del Politecnico di Milano rivela che organizzazioni con un approccio differenziato hanno visto una riduzione del 38% di incidenti correlati all’errore umano.

Che cosa significa? La cybersecurity deve essere integrata nei profili digitali, valutata nei percorsi di sviluppo e considerata nei processi di management delle performance. Per farlo, bisogna ridisegnare i framework di competenze esistenti – come l’European e-Competence Framework (e-CF) versione 3.0 – e declinarli per ogni profilo professionale.

    • Quali competenze ha un funzionario che gestisce gare d’appalto?
    • Che livello di sicurezza è richiesto a un operatore sanitario?
    • Che tipo di consapevolezza deve avere un manager che tratta dati sensibili?

Le policy come strumenti di cultura cybersecurity

Le policy esistono quasi sempre, ma raramente sono lette, comprese o ritenute strategiche. Sono documenti troppo tecnici, spesso generici, e archiviati mentalmente come questioni solo IT. In realtà, in contesti regolamentati – come la Pubblica Amministrazione, la Sanità, settori finanziari o infrastrutturali – le policy sono parte integrante, obbligatoria e strategica del sistema di gestione della sicurezza.

Lavorare su queste policy implica intervenire su tre fronti:

    • Accessibilità: comunicare le regole in un linguaggio chiaro, evitando termini tecnici incomprensibili.
    • Presidio: coinvolgere i manager nel monitoraggio e nella disseminazione, con un approccio educativo e non solo punitivo.
    • Accountability: attribuire responsabilità condivise, coinvolgendo il personale non solo tecnico, ma tutti i ruoli.

Un esempio di policy efficace

Un buon esempio è dato dagli AgID, che promuove documenti chiari ed utili, come le “Linee guida di design per i servizi digitali della Pubblica Amministrazione”. Un punto chiave del loro approccio: non vietare in modo generale l'uso di dispositivi informatici, ma fornire una direttiva chiara e concreta, come “Non utilizzare chiavette USB personali sui computer aziendali. Per trasferire file usa X, un tool autorizzato, reperibile qui. Una differenza sostanziale in termini di applicazione.

Il futuro della governance informatica passa per le Risorse Umane

Il ruolo HR non è mai stato così centrale all’interno del contesto di cybersecurity aziendale. La trasformazione digitale richiede competenze digitali integrate,