Circa 20mila aziende italiane stanno affrontando la sfida della conformità alla Direttiva Nis2 che pone l’analisi del rischio come elemento cardine di tutto il processo di adeguamento. Il principio è chiaro: le misure di sicurezza devono essere applicate in modo proporzionale al livello di rischio specifico dell’organizzazione.
Tuttavia, emerge una criticità spesso sottostimata: mentre le aziende si concentrano sulla valutazione dei rischi tecnologici e infrastrutturali, quanto viene monitorato “davvero” il rischio legato all’elemento umano?

La provocazione è concreta e urgente. Il fattore umano rappresenta simultaneamente un asset strategico dell’azienda e un asset handler che gestisce risorse critiche. Eppure, la maggior parte delle organizzazioni non dispone di metodologie strutturate per misurare quantitativamente il rischio cyber associato ai propri collaboratori, definire la periodicità ottimale per tale valutazione, implementare contromisure mirate e personalizzate, monitorare l’efficacia delle azioni di mitigazione adottate.

Questo gap rappresenta un potenziale punto cieco nell’approccio risk-based richiesto da NIS2 (e da standard internazionali come Iso 27001), compromettendo l’efficacia complessiva delle strategie di cybersecurity.

La sfida dei Ciso: quantificare il rischio del fattore umano

I chief information security officer si trovano quotidianamente di fronte a una sfida complessa: come pianificare in modo strutturato le azioni concrete per ridurre il rischio cyber derivante dal fattore umano?
Il primo ostacolo riguarda la limitata consapevolezza sui dati utili per questa valutazione. Molte organizzazioni ignorano quali parametri utilizzare per profilare accuratamente il rischio di un collaboratore e come integrare efficacemente i dati provenienti dalle tradizionali piattaforme di simulazione phishing con altre fonti aziendali. Nelle aziende esistono dati interni non ancora sfruttati che potrebbero essere usati per la valutazione.
Un secondo elemento critico sono le metodologie di misurazione “incomplete” attualmente in uso. Le valutazioni correnti sono scarsamente correlate a misure qualitative o quantitative, manca la frequenza appropriata per catturare l’evoluzione dinamica del profilo di rischio e risultano assenti indicatori sofisticati capaci di fornire una valutazione oggettiva e continuamente aggiornata.
Infine, persistono significative lacune nelle strategie di mitigazione. Le misurazioni attuali raramente generano una reportistica per decisioni concrete. La gamma limitata di azioni di mitigazione non va oltre la formazione tradizionale ed, inoltre, emerge una marcata difficoltà nel misurare l’impatto reale delle contromisure implementate mancando criteri chiaramente definiti per determinare l’accesso dei collaboratori, sia interni che esterni, alle risorse critiche dell’organizzazione.
Queste criticità si traducono inevitabilmente non solo in investimenti poco mirati ed esposizione residua non quantificata, ma anche in difficoltà nel dimostrare l’efficacia delle misure adottate al management (al di fuori dell’area cybersecurity di un’azienda) e agli auditor.

Cefriel Human Risk Model, misurare e gestire il rischio umano

Come centro di innovazione digitale Cefriel abbiamo messo a punto il Cefriel Cyber Human Risk Model, una declinazione innovativa della People Analytics. Con il termine si intende l’uso sistematico dei dati relativi al comportamento umano e alle relazioni interpersonali per prendere decisioni aziendali strategiche e informate. La People Analytics è un approccio data-driven che consente di gestire efficacemente la forza lavoro moderna., specificamente progettata per quantificare il rischio cyber associato alle persone e supportare decisioni strategiche nella gestione della sicurezza. L’approccio propone un valore concreto: misurare sistematicamente il rischio cyber del fattore umano per definire azioni di mitigazione personalizzate, evolvendo verso un modello di accesso agli asset basato su competenze dimostrate, anziché su ruoli predefiniti (competence-based access management come naturale evoluzione del role-based access management).

La metodologia si basa su dati multidimensionali che fotografano diversi aspetti del collaboratore attraverso cinque dimensioni fondamentali. La dimensione identitaria risponde alla domanda “Chi sei?”, attraverso dati anagrafici e background professionale. La dimensione funzionale esplora “Che ruolo ricopri?”, analizzando posizione, anzianità e responsabilità. La dimensione formativa indaga “Quali competenze hai acquisito?”, mappando percorsi formativi e certificazioni ottenute. La dimensione comportamentale si concentra su “Come agisci?”, rilevando sia comportamenti dichiarati tramite survey sia comportamenti effettivamente osservati attraverso i sistemi aziendali. Infine, la dimensione operativa esamina “Quali asset gestisci?” identificando le risorse accessibili e il loro livello di criticità. La dimensione comportamentale, ovvero “Come agisci?”, e la dimensione operativa, ovvero “Quali asset gestisci?”, sono predominanti rispetto alle prime.

Un esemplificazione del modello di analisi proposto da Cefriel
Esemplificazione del modello di analisi proposto da Cefriel

Il modello genera due tipologie di output fondamentali: un Human Risk Score, ovvero una quantificazione oggettiva e strutturata del livello di rischio individuale, e delle azioni di mitigazione prioritarie sotto forma di raccomandazioni personalizzate che vanno significativamente oltre la formazione standard, includendo suggerimenti per l’accesso controllato agli asset e percorsi formativi realmente mirati alle esigenze individuali.

Cybersecurity Human Risk Model Dashboard
Cybersecurity Human Risk Model Dashboard

L’approccio affonda le radici in oltre dieci anni di ricerca da parte di Cefriel nell’ambito del social engineering, sviluppata attraverso numerosi progetti finanziati dall’Unione Europea. Nello specifico, la prima sperimentazione di successo del Cyber Human Risk Model è avvenuta nel progetto europeo Sec-Airspace, parte del programma Sesar – Digital European Sky, focalizzato sulla sicurezza del traffico aereo. Il progetto ha ricevuto il prestigioso Atm Award 2025 nella categoria “Building a resilient Atm framework for the future” durante il recente l’Airspace World 2025 in Portogallo. Nel contesto specifico degli Air Traffic Managers, la metodologia ha dimostrato concretamente l’efficacia nel costruire matrici di rischio multidimensionali che combinano sapientemente fattori statici come ruolo, esperienza ed esposizione con elementi dinamici quali comportamenti e reazioni, trasformando la formazione tradizionale in una leva concreta e misurabile per rafforzare la sicurezza complessiva del sistema.

L’implementazione di questo approccio genera benefici tangibili per tutti i ruoli chiave dell’organizzazione quali, ad esempio:

  • Per il Ciso, si traduce in una quantificazione oggettiva del rischio umano che supera definitivamente le tradizionali valutazioni puramente qualitative, permettendo un’allocazione ottimizzata del budget basata su metriche concrete e una reportistica efficace al board supportata da evidenze misurabili sul fattore umano come vettore di attacco.
  • Per il chief risk officer (Cro), l’approccio abilita l’integrazione di metriche specifiche sul rischio umano-cyber nei modelli complessivi di risk management dell’organizzazione, rafforza la conformità con normative che richiedono esplicitamente valutazioni quantitative come NIS2 e Dora e permette l’identificazione precoce di vulnerabilità prima che queste possano generare incidenti costosi per l’azienda.
  • Per il responsabile risorse umane, la metodologia consente la progettazione di programmi formativi basati su evidenze comportamentali oggettive anziché su supposizioni, facilita l’integrazione di valutazioni specifiche di cybersecurity già nel processo di assunzione e supporta lo sviluppo di politiche HR strategicamente allineate con gli obiettivi di sicurezza dell’organizzazione.
  • Per il chief operating officer (Coo), l’implementazione si traduce in un’ottimizzazione concreta dei processi operativi attraverso una misurazione precisa dei rischi umani, in un miglioramento documentabile della continuità operativa tramite l’identificazione quantitativa delle vulnerabilità nei processi critici e nella possibilità di prendere decisioni realmente data-driven sull’implementazione di controlli, bilanciando efficacemente efficienza operativa e requisiti di sicurezza.

Cyber Human Risk Model, caso d’uso

Un istituto bancario italiano di grandi dimensioni si è trovato di fronte alla necessità di valutare oggettivamente il rischio cyber comportamentale dei propri collaboratori (interni ed esterni), con l’obiettivo strategico di individuare azioni di mitigazione mirate e aumentare significativamente la consapevolezza delle persone.

Per rispondere a queste sfide, Cefriel ha sviluppato una personalizzazione  (Minimum Viable Product) del Cyber Human Risk Model, strutturato come uno strumento avanzato di visualizzazione dati specificamente progettato per supportare il processo decisionale.

Il modello implementato si basa su una matrice del rischio innovativa che integra tre componenti fondamentali:

  • la componente Human Posture quantifica il fattore di rischio associato direttamente alla singola persona, considerando elementi quali i corsi di formazione seguiti, le performance registrate nelle simulazioni di phishing, e i comportamenti effettivamente osservati durante l’attività lavorativa.
  • La dimensione Organizational Impact valuta invece il fattore di rischio emergente dalla specifica relazione tra l’azienda e la persona, analizzando gli asset effettivamente gestiti, il livello di accesso concesso e la criticità delle funzioni ricoperte.
  • Infine, la Cyber Attack Exposure misura l’esposizione specifica ai diversi domini di attacco cyber secondo la classificazione internazionale CAPEC, che include software, hardware, comunicazioni, social engineering, attacchi fisici e supply chain.

I risultati concreti dell’implementazione sono stati significativi e misurabili. Entrando nello specifico degli output rilasciati, è stato sviluppato e implementato un modello di calcolo personalizzato per il contesto bancario, integrato in una dashboard interattiva. Sono stati creati algoritmi di scoring basati sulle tre dimensioni di rischio integrate tra loro e sono stati definiti e automatizzati le prime versioni dei processi di aggiornamento e monitoraggio periodic, con lo scopo ultimo di garantire la freschezza e l’accuratezza dei dati (in accordo alla logica continuous risk assessment).

Gli impatti organizzativi sono rilevanti: è stata completata con successo la fase di rilascio di una prima versione funzionante del Cyber Human Risk Model (con copertura di alcuni cluster della popolazione aziendale) ed è stata definita una roadmap strategica dettagliata per l’estensione progressiva ad altri scenari di cybersecurity e cluster di utenti, garantendo una crescita sostenibile e controllata del sistema. Tra i prossimi passi si prevede l’evoluzione della dashboard di monitoraggio per supportare simultaneamente le esigenze di Ciso, HR director e chief risk officer, facilitando la collaborazione inter-funzionale e l’allineamento strategico.

A regime, l’approccio Cyber Human Risk Model potrà permettere alla banca di compiere un ulteriore salto qualitativo grazie a una misurazione quantitativa e oggettiva del rischio umano, abilitando concretamente la possibilità di prendere decisioni strategiche basate su dati concreti e verificabili anziché su percezioni o intuizioni.

Scalabilità e replicabilità dell’approccio

Il Cyber Human Risk Model dimostra una applicabilità trasversale notevole, estendendosi efficacemente ad altri settori industriali e ad aziende anche molto diverse tra loro. Il rischio derivante dal fattore umano rappresenta infatti una costante universale che accomuna soprattutto organizzazioni di medie e grandi dimensioni e a medio-alta ed alta criticità: come servizi finanziari, telco, trasporti ed energia. Ma anche altri contesti come la pubblica amministrazione, i servizi sanitari o settori finalizzati alla produzione come l’industria manufatturiera tradizionale sono altresì settori di applicabilità.

La modularità intrinseca del framework rappresenta uno dei suoi punti di forza più significativi, consentendo implementazioni graduali e sostenibili che possono partire da dataset inizialmente limitati e arricchire progressivamente il modello con nuove fonti dati e dimensioni di analisi aggiuntive, in base alle risorse disponibili e alle priorità strategiche dell’organizzazione. Questa flessibilità permette alle organizzazioni di iniziare il percorso di trasformazione digitale della gestione del rischio umano senza necessità di investimenti iniziali eccessivi, costruendo gradualmente un sistema sempre più sofisticato e completo nel tempo.

Il costo del non fare: perché agire ora

Non implementare un approccio strutturato e scientificamente fondato alla misurazione del rischio umano comporta esporsi a minacce ed eventi avversi significativi e crescenti che le organizzazioni moderne non possono permettersi di ignorare, inclusi costi e spese impreviste.
Il rischio di non conformità rappresenta una minaccia concreta e immediata. NIS2 e il regolamento Dora richiedono esplicitamente un incremento sostanziale degli sforzi in ambito formazione e awareness del personale. L’approccio tradizionale di formazione massiva, standardizzata e non personalizzata, difficilmente può dimostrare un’efficacia reale e misurabile nel miglioramento della postura cyber complessiva dell’organizzazione, esponendo le aziende a potenziali sanzioni e responsabilità legali.

L’inefficienza degli investimenti rappresenta un altro costo spesso sottovalutato, ma estremamente significativo. Senza una visione d’insieme basata su dati concreti e analisi scientifiche, le organizzazioni rischiano sistematicamente di implementare azioni sbagliate o non prioritarie, con conseguente spreco di risorse preziose e risultati subottimali che non giustificano gli investimenti sostenuti. L’esposizione non controllata costituisce forse il rischio più insidioso. L’accesso di persone ad alto rischio a risorse critiche dell’organizzazione rappresenta una vulnerabilità persistente e non precisamente quantificata, che può rimanere dormiente per lungo tempo prima di manifestarsi con impatti potenzialmente devastanti.

Infine, la mancanza di un presidio specifico e strutturato del rischio umano lascia deliberatamente scoperto il vettore di attacco preferito dai cyber criminali, garantendo di fatto un vantaggio competitivo agli attaccanti che possono sfruttare questa lacuna per condurre attacchi sempre più sofisticati e mirati.

L’adozione di uno Human Risk Model strutturato e scientificamente validato abilita invece risultati concreti e misurabili che trasformano radicalmente l’approccio organizzativo alla cybersecurity. È possibile costruire una visione strategica basata su una comprensione oggettiva e strutturata del rischio cyber derivante dal fattore umano, abilitare decisioni realmente data-driven attraverso l’identificazione e prioritizzazione di azioni basate su evidenze quantitative solide.

L’approccio permette inoltre di implementare una prevenzione proattiva attraverso l’identificazione tempestiva di aree di vulnerabilità prima che queste possano generare incidenti costosi per l’organizzazione, e di dimostrare un Roi concreto e misurabile attraverso la verifica oggettiva della diminuzione del rischio grazie alle azioni strategicamente implementate.

Il momento per agire è ora. Nis2 rappresenta un’opportunità storica per trasformare l’approccio alla cybersecurity da reattivo a predittivo, inserendo la misurazione scientifica del rischio umano tra le priorità strategiche assolute dell’organizzazione e costruendo un vantaggio competitivo sostenibile basato sulla consapevolezza e competenza delle persone.

*Andrea Guerini, Cybersecurity Advisor e Mauro Lomazzi, Business Line Manager Cybersecurity

Leggi tutti gli approfondimenti della Rubrica Never stop innovating by Cefriel e Inno3

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE