In Italia la maggior parte degli attacchi non inizia da una vulnerabilità tecnica, ma da una persona: secondo l’ACN il 40% parte da un’email e un altro 24% da credenziali compromesse — circa due su tre cominciano dal fattore umano o dall’identità (Relazione annuale 2025). Per chi guida un’azienda la conseguenza è precisa: la tecnologia migliore non basta se nessuno ha insegnato alle persone a riconoscere un tentativo di inganno. La formazione è l’esercitazione di evacuazione della sicurezza — quando succede davvero, ognuno sa già cosa fare.
Cosa dicono NIS2 e GDPR (e cosa non dicono)
La NIS2 parte dall’alto: per i soggetti che rientrano nel perimetro, il d.lgs. 138/2024 prevede la responsabilità degli organi di amministrazione (art. 38). Per il legislatore la sicurezza non si delega all’IT — e la formazione, dal vertice ai dipendenti, è il modo più concreto con cui chi amministra esercita quella responsabilità.
Il GDPR segue una logica diversa: non prevede un obbligo formativo esplicito e generalizzato, ma la formazione del personale è una delle misure organizzative con cui il titolare dimostra l’accountability prevista dalla norma — essere conformi e poterlo provare in caso di controllo. In entrambi i casi la sostanza per il decisore è la stessa: servono evidenze formative documentate, che reggono un audit e dimostrano diligenza quando un incidente arriva nonostante tutto. È lo stesso terreno dell’adeguamento normativo cyber, dove formazione e conformità si incontrano.
Cosa facciamo
Tre componenti, un solo programma: conta la continuità, più che la durata di ogni sessione.
Formazione per ruolo
Percorsi calibrati su ruoli e livelli di partenza: l’amministrazione, che gestisce pagamenti e fornitori, ha bisogni diversi da chi sta in produzione. Copriamo i temi dove gli attacchi colpiscono davvero — gestione delle credenziali, riconoscimento del phishing, trattamento delle informazioni sensibili, lavoro da remoto in sicurezza — con moduli brevi distribuiti nell’anno, non maratone d’aula.
Simulazioni di phishing
Email realistiche, modellate sui processi quotidiani dell’azienda, per misurare sul campo chi clicca, chi arriva a inserire le credenziali e chi segnala. Ogni campagna produce un report dettagliato sui risultati e un feedback individuale, mai punitivo: l’obiettivo è alzare il tasso di segnalazione, non stilare classifiche.
Sensibilizzazione costante
Newsletter, infografiche, video brevi e webinar che entrano nella routine senza appesantirla. La ripetizione costruisce l’abitudine che il corso una tantum non lascia — e serve perché le tecniche cambiano in fretta: business email compromise, QR phishing e deepfake vocali non esistevano, nella forma di oggi, fino a poco fa.
Cosa ottieni
- Persone capaci di riconoscere e segnalare i tentativi di attacco più comuni, dal phishing alle richieste di bonifico anomale.
- Report periodici con metriche concrete: quante persone cliccano, quante segnalano e quanto in fretta, con confronti tra reparti e nel tempo.
- Documentazione formativa utilizzabile negli audit NIS2 e a dimostrazione dell’accountability richiesta dal GDPR.
- Una risposta più rapida quando un attacco va comunque a segno: chi lo riconosce lo segnala prima, e una segnalazione rapida è il fattore che più spesso accorcia il contenimento — è il primo anello della risposta agli incidenti.
- Una cultura in cui la sicurezza è un riflesso condiviso, dal consiglio di amministrazione ai nuovi assunti, non un fastidio imposto dall’IT.
Un programma efficace parte da una fotografia onesta del punto in cui sei. Contattaci per organizzare la prima simulazione di phishing: spesso vale più di mille slide, e i risultati ti diranno esattamente su cosa lavorare.
// domande frequenti
La formazione sulla cybersecurity è obbligatoria per legge?
Dipende dalla norma. La NIS2 parte dall'alto: il d.lgs. 138/2024 prevede la responsabilità degli organi di amministrazione (art. 38), e la formazione, dal vertice ai dipendenti, è il modo più concreto di esercitarla. Il GDPR non prevede un obbligo formativo esplicito e generalizzato: la formazione è una misura organizzativa con cui dimostrare l'accountability prevista dalla norma, cioè essere conformi e poterlo provare in caso di controllo. In entrambi i casi, ciò che conta in un audit o dopo un incidente è poter mostrare la formazione svolta: date, contenuti, partecipanti.
Perché la formazione del personale è così importante per la sicurezza?
Perché in gran parte delle violazioni c'è di mezzo una persona: a livello internazionale il Verizon DBIR 2026 stima che il 62% delle violazioni coinvolga l'elemento umano — phishing, social engineering, credenziali rubate o errori. Persone formate riconoscono i tentativi più comuni e li segnalano in fretta, riducendo sia la probabilità che un attacco riesca, sia il danno quando accade comunque.
Le simulazioni di phishing non rischiano di creare malumore tra i dipendenti?
Il malumore nasce solo da campagne impostate male: con un approccio dichiaratamente non punitivo le simulazioni vengono accettate come strumento di crescita. Il feedback è individuale e riservato, non esistono classifiche pubbliche né conseguenze disciplinari: chi sbaglia in simulazione impara senza che l'azienda paghi il prezzo di un incidente vero. Comunicazione trasparente verso il personale e coinvolgimento del management fanno la differenza — e le campagne vanno concordate in anticipo con la direzione e, dove presenti, con le funzioni HR.
Un corso di formazione una tantum è sufficiente?
Non basta: la consapevolezza decade e le tecniche di attacco si rinnovano — business email compromise, QR phishing, deepfake vocali. Un corso una tantum è un adempimento, non una difesa. Funziona invece un programma continuo: moduli brevi, simulazioni periodiche e richiami che mantengono alta l'attenzione, con metriche che dicono se si migliora o si arretra.
Come capisco se la formazione sta funzionando davvero?
Dai numeri, non dalle impressioni. La prima simulazione fissa una baseline; da lì il trend nel tempo è il vero indicatore di ritorno: tasso di click e di segnalazione, tempi di segnalazione, confronto tra reparti. Report periodici mostrano la curva di miglioramento e indicano dove concentrare i richiami successivi. Se le metriche non si muovono, è il programma da correggere, non le persone.
Il servizio è adatto anche a una PMI di 15-20 persone?
Sì. I percorsi si dimensionano su organico, ruoli e livello di partenza: in una PMI contano poche sessioni ben distribuite e simulazioni mirate sui processi più esposti, come pagamenti e fornitori. CyberQuake calibra il programma sulla struttura dell'organizzazione: conta la continuità, non il volume di ore.