Negli ultimi anni la natura delle minacce informatiche ha subito un cambiamento significativo. Se un tempo l’attenzione era rivolta a malware riconoscibili e tentativi di intrusione espliciti, oggi gli attaccanti preferiscono muoversi sfruttando identità digitali legittime. Secondo il Global Threat Report 2025 di CrowdStrike, nel 2024 circa il 79% degli incidenti analizzati non è riconducibile a malware in senso tradizionale, ma all’uso improprio di credenziali, sessioni di lavoro compromesse o privilegi mal gestiti. È un passaggio rilevante: l’attacco non tenta più di forzare il perimetro, ma entra in azienda passando dalle stesse porte che usano i dipendenti.
Questo scenario è strettamente legato all’evoluzione del modello operativo delle imprese. Il lavoro distribuito, l’adozione massiva di servizi SaaS e la crescente integrazione con partner esterni hanno ampliato i punti di accesso. L’identità digitale è diventata l’elemento cardine per garantire sicurezza e continuità, ma anche la superficie più esposta quando i processi interni richiedono velocità, adattamento e collaborazione continua.
L’adozione di modelli organizzativi più flessibili, pur portando benefici in termini di agilità, riduce la distanza tra comportamento ordinario e errore potenzialmente critico. È frequente che, per ragioni di efficienza, vengano adottate scorciatoie operative: credenziali condivise “per velocizzare”, approvazioni concesse tramite dispositivi personali, allegati aperti al volo in situazioni di pressione. Si tratta di comportamenti comuni che, in condizioni normali, non generano problemi. Tuttavia, diventano vulnerabilità nel momento in cui un attore malevolo si inserisce nel flusso.
L’attacco moderno, infatti, non cerca di apparire come tale. Mira a mantenere una coerenza apparente: operare negli stessi orari, sugli stessi sistemi, con gli stessi strumenti dell’utente sostituito. Questo rende più difficile per i sistemi di difesa tradizionali distinguere tra attività legittima e compromissione, e sposta l’attenzione sulla capacità delle persone di riconoscere variazioni nel contesto.
Il social engineering non è più un elemento marginale, ma la componente che rende efficace l’intera catena d’attacco. Con l’introduzione dell’intelligenza artificiale nelle campagne di phishing, le comunicazioni fraudolente possono riprodurre tono, stile e dinamiche interne con una precisione prima non possibile. Ciò significa che l’errore non deriva dalla mancanza di informazione tecnica, ma dalla plausibilità del messaggio.
La discriminante non è più la forma del contenuto, ma la consistenza del contesto. Un allegato che appare coerente con le attività in corso, una richiesta credibile perché compatibile con una scadenza imminente, una comunicazione che sembra provenire da un referente abituale: la minaccia oggi si inserisce su piani di relazione e fiducia, non su fragilità tecnologiche superficiali.
Parallelamente, il ransomware ha progressivamente abbandonato il modello esclusivo della cifratura dei dati a favore di strategie basate su esfiltrazione e interruzione operativa. La logica non è più semplicemente bloccare i sistemi, ma colpire la capacità dell’organizzazione di garantire continuità ai servizi critici. La negoziazione si sposta dal piano tecnico a quello economico e reputazionale.
Questo spiega perché anche aziende non percepite come strategiche diventino bersagli: ciò che conta non è il valore assoluto del patrimonio informativo, ma la dipendenza dell’organizzazione dal proprio funzionamento quotidiano. Dove la continuità ha margini ridotti, la vulnerabilità è maggiore.
In questo contesto, la Direttiva NIS2 interviene con un’impostazione chiara. La sicurezza informatica non viene più trattata come una competenza esclusiva della funzione IT, ma come un tema di governance che coinvolge i vertici aziendali, la gestione dei processi e la relazione con i fornitori.
La direttiva richiede di:
La formazione non appare come voce accessoria, ma come funzione necessaria affinché le misure tecniche siano effettivamente efficaci.
In scenari in cui l’attacco si presenta come attività legittima, la consapevolezza del personale diventa parte integrante della difesa. La formazione non può essere trattata come evento isolato: deve essere continua, situata e orientata al contesto operativo reale.
Il valore si misura soprattutto nel tempo di rilevazione. In molti incidenti documentati, gli strumenti di protezione erano attivi, ma la segnalazione è arrivata quando l’attaccante aveva già consolidato la propria presenza nella rete. La consapevolezza agisce proprio in questa finestra: favorisce l’emersione precoce dell’anomalia e limita la propagazione della compromissione.
La Direttiva NIS2 richiama esplicitamente questa dimensione, trattando la formazione come parte integrante della gestione del rischio e non come misura educativa astratta. La resilienza, in questo quadro, non è solo architetturale: è comportamentale.
La superficie d’attacco si è spostata dalle vulnerabilità tecniche evidenti ai comportamenti quotidiani. Gli strumenti di protezione rimangono fondamentali, ma non possono sostituirsi alla capacità delle persone di riconoscere quando un’azione apparentemente normale devia dal proprio contesto. La sicurezza, oggi, è un equilibrio tra tecnologia, processi e interpretazione umana. Dove questo equilibrio è presente, la compromissione perde efficacia; dove manca, l’attacco agisce indisturbato.