La sicurezza informatica: un circo culturale con finale tragico

Se c’è una cosa che la sicurezza informatica ha in comune con le cinture di sicurezza, i caschi da moto e la dieta mediterranea è questa: tutti sanno che servono, ma pochi si degnano di metterle in pratica. Perché? La risposta è tanto ovvia quanto deprimente: la cultura. O meglio, l’assenza totale di questa.

La sicurezza – digitale o meno – è prima di tutto un problema culturale. Non è una questione di tecnologia, regolamenti o standard ISO dal nome lunghissimo che nessuno legge. Certo, quelli servono, ma senza una base culturale solida sono poco più che ninnoli inutili, come i centrini della nonna sul televisore. Serve un popolo che sappia ragionare, discutere le fonti e, miracolo dei miracoli, prendersi le proprie responsabilità. Ma finché questo non succede, possiamo scordarci di fare progressi.

La sicurezza è scomoda, e piace così

Parliamoci chiaro: la sicurezza è fastidiosa. Come quelle cinture di sicurezza negli anni ’60 che la gente considerava strumenti di tortura o quei caschi da moto degli anni ’80 che nessuno voleva mettere perché “rovino l’acconciatura”. La sicurezza informatica è peggio. Perché? Perché non la vedi. Nessuno percepisce il rischio finché non scoppia un disastro, e a quel punto è troppo tardi. Complimenti, hai appena regalato i tuoi dati bancari a un nigeriano molto furbo.

In fondo, è la solita vecchia storia. La sicurezza è scomoda perché ci costringe a pensare. Come diceva il buon Edgar Morin, “L’educazione deve insegnare una comprensione reciproca tra umanità”. Tradotto: smettiamola di essere idioti e impariamo qualcosa. E cosa c’è di più estraneo per il cittadino medio di termini come phishing, ransomware o multifactor authentication? Per molti, sembrano le bestemmie di un tecnico frustrato.

Pensiero critico: la bestia nera del web

Ah, il pensiero critico. Quel concetto che tutti elogiano, ma nessuno pratica. La sicurezza informatica richiede, prima di tutto, pensiero critico. E il pensiero critico inizia con una verità che dovrebbe essere tatuata sulla fronte di ogni utente digitale: non tutto ciò che è digitale è vero.

È un principio semplice, ma rivoluzionario. Perché significa che le notizie su internet non sono affidabili solo perché hanno tanti like. Che le immagini possono essere photoshoppate e che no, il principe nigeriano non ha bisogno del tuo IBAN per sbloccare un’eredità multimiliardaria. Ma provate a dirlo a chi condivide fake news come se fossero foto di gattini.

La confusione si amplifica con l’introduzione di strumenti come il fact-checking e le community notes. Il primo è un’arma scientifica e accurata, gestita da esperti che verificano i contenuti basandosi su fonti attendibili. Le community notes, invece, affidano la verifica alla folla – quel pubblico variegato che talvolta fatica a distinguere una notizia da un meme di un gatto con il cappello da cowboy. Entrambi hanno un ruolo, ma mentre il fact-checking cerca la precisione, le community notes spesso riflettono le opinioni e i bias della comunità che le produce. È una danza precaria tra verità e percezione, dove il pensiero critico dovrebbe essere il vero protagonista, ma spesso resta uno spettatore confuso.

La verità è che insegnare questo concetto è come chiedere a un gatto di non toccare l’albero di Natale. Difficile, ma non impossibile.

L’automotive e la sicurezza: una favola moderna

Quando si parla di resistenza culturale, l’automotive è un esempio perfetto. Negli anni ‘50 e ‘60, l’introduzione delle cinture di sicurezza incontrò un muro di opposizione. Produttori e consumatori si lamentavano che fossero scomode, inutili e persino pericolose. Sì, hai letto bene: alcune persone sostenevano che le cinture avrebbero intrappolato gli occupanti nei veicoli in fiamme, ignorando del tutto il fatto che sfondare il parabrezza a 90 km/h fosse una prospettiva altrettanto spiacevole.

Anche i caschi da moto subirono la stessa sorte negli anni ‘70 e ‘80, con obiezioni che andavano dal “rovino i capelli” al “limito la mia libertà personale”. La narrativa era quella del ribelle romantico che preferiva rischiare la testa piuttosto che piegarsi al conformismo della sicurezza.

Eppure, qualcosa è cambiato. Negli anni ‘80 e ‘90, l’accettazione pubblica di cinture e caschi iniziò a crescere, e il cambiamento non fu solo il risultato di leggi più severe. Fu una trasformazione culturale, alimentata da campagne pubblicitarie che mettevano in luce i benefici della sicurezza. Le pubblicità passarono dal promuovere l’immagine dell’uomo libero e coraggioso a sottolineare il valore della vita e della protezione. Video e manifesti mostrarono bambini che indossavano cinture e famiglie che si salvavano grazie agli airbag.

I dati iniziarono a parlare chiaro: gli incidenti mortali diminuivano significativamente nei veicoli dotati di questi dispositivi. E quando il pubblico cominciò a vedere i risultati tangibili della prevenzione, le obiezioni si affievolirono. La sicurezza passò da “imposizione fastidiosa” a “requisito minimo”. Oggi, cinture, caschi e persino sistemi di assistenza alla frenata non sono più visti come optional, ma come standard indispensabili. Nessuno compra un’auto senza airbag, e se lo fa, probabilmente vive ancora nel 1972.

Ora, confrontiamo tutto questo con la sicurezza informatica. Siamo lontani anni luce. Non solo il pubblico generale la considera un fastidio, ma anche molti esperti – o presunti tali – dimostrano di avere una comprensione parziale, vaga e spesso distorta. Politici e influencer non aiutano, con le loro opinioni spacciate per verità assolute e soluzioni che sembrano uscite da un episodio di Black Mirror. La differenza è che l’automotive ha costruito il cambiamento culturale prima di imporre regole. La sicurezza informatica, invece, resta un far west dove le norme arrivano sempre dopo il disastro.

Numeri e probabilità: il disastro annunciato

Passiamo al prossimo punto dolente: le statistiche. Quelle meravigliose tabelle che nessuno legge e che tutti interpretano come vogliono. In Occidente, si urla ai quattro venti che i cybercriminali cinesi stanno per conquistare il mondo. In Cina, invece, si minimizza tutto e si punta il dito contro l’Occidente. E nel mezzo? Il caos più totale.

Il problema non è solo la manipolazione, ma la facilità con cui le persone fraintendono o distorcono i dati. Le difficoltà cognitive giocano un ruolo cruciale: il cervello umano non è progettato per gestire numeri grandi e complessi. Quando leggiamo che “milioni di attacchi informatici avvengono ogni giorno”, il nostro cervello tende a disconnettersi, incapace di dare un significato concreto a una cifra così vasta.

Come sottolineato da Daniel Kahneman, il modo in cui presentiamo i numeri può alterare drasticamente la percezione del rischio. Ad esempio, dire che c’è una probabilità del 5% di essere colpiti da un attacco suona meno minaccioso rispetto a dire che “1 su 20 utenti sarà colpito”. Il messaggio è lo stesso, ma il secondo esempio evoca una risposta emotiva più forte.

A questo si aggiunge il fattore culturale. In molti paesi, c’è una tendenza a ignorare i rischi finché non diventano crisi conclamate. Questo è evidente non solo nei governi, ma anche tra le aziende che spesso preferiscono investire in pubblicità o marketing piuttosto che in infrastrutture di sicurezza. Non si tratta solo di ignoranza, ma di una cultura che privilegia l’apparenza sul contenuto.

Poi c’è la narrazione sensazionalistica. Le fake news e i dati distorti viaggiano più veloci della luce, spinti da titoli accattivanti e una dose generosa di allarmismo. Come diceva Hannah Arendt, “Il risultato della sostituzione di fatti con opinioni è che le opinioni diventano fatti”. In questo caos, le vere minacce – quelle che non fanno abbastanza rumore – vengono ignorate, lasciando il campo libero a pericoli reali ma sottovalutati.

Cambiare questa dinamica richiede molto più che regole e linee guida. È necessario un approccio integrato che unisca comunicazione efficace, educazione su larga scala e un impegno a combattere la disinformazione. Solo così possiamo sperare di superare il disastro cognitivo e culturale che continua a ostacolare la sicurezza informatica.

Il cervello: quel bastardo pigro

E poi ci sono le difficoltà neurobiologiche e psicologiche, un cocktail micidiale che ci rende istintivamente incapaci di gestire la sicurezza informatica. Studi di neuroscienze e psicologia hanno dimostrato che il nostro cervello non è progettato per affrontare rischi astratti e probabilistici. Preferisce concentrarsi su minacce immediate, tangibili, come un leone che ci insegue, ignorando del tutto pericoli futuri come il phishing.

Il bias dell’ottimismo è un esempio perfetto: ci fa credere che le cose brutte accadano sempre agli altri, mai a noi. Tali Sharot, esperta in neuroscienze cognitive, ha evidenziato come il cervello umano tenda a sottovalutare i rischi personali, spingendoci a ignorare precauzioni importanti. Questo spiega perché molti pensano: “Chi mai hackererebbe proprio me? Non sono nessuno”. E proprio mentre lo pensano, un ransomware sta già criptando le foto del matrimonio.

Poi c’è il problema dei numeri grandi. Daniel Kahneman, premio Nobel per l’economia, ha esplorato come le persone siano terribilmente inadeguate a comprendere le probabilità. Sovrastimiamo rischi piccoli ma sensazionali (come un attacco terroristico) e sottostimiamo rischi comuni ma devastanti (come un attacco di phishing). Insomma, se un rischio non ha una colonna sonora drammatica e un’esplosione in sottofondo, il cervello lo archivia come “non importante”.

Ma non è finita. La resistenza al cambiamento è un’altra piaga. Cambiare abitudini, imparare nuove competenze o semplicemente smettere di usare “password123” richiede uno sforzo mentale che il nostro cervello detesta. Carol Dweck, famosa per il concetto di “growth mindset”, ha sottolineato come molte persone si bloccano di fronte alla necessità di evolvere, preferendo restare nella loro zona di comfort.

E infine, il discounting temporale, un fenomeno descritto da George Ainslie. Diamo più valore alle gratificazioni immediate rispetto ai benefici futuri. Tradotto: perché preoccuparsi ora di un attacco informatico che potrebbe non accadere mai? Meglio guardare Netflix e ignorare quella fastidiosa notifica di aggiornamento software.

Questi ostacoli non sono semplici da superare. Cambiare comportamenti radicati richiede un approccio scientifico, sistematico e consapevole. Non possiamo limitarci a dire alla gente cosa fare. Dobbiamo capire come funziona il loro cervello e progettare interventi che si adattino alle sue peculiarità. Questo significa iniziare fin dalla più tenera età, quando le abitudini e i modelli di pensiero sono ancora flessibili.

Educare i bambini al pensiero critico e alla consapevolezza digitale non è solo un’opzione, ma una necessità. Solo così possiamo sperare di formare una generazione capace di affrontare i rischi del mondo digitale con intelligenza e responsabilità.

Un futuro che richiede una rivoluzione culturale

Ecco la cruda verità: non ci salveremo con qualche regolamento in più o con l’ennesima tecnologia miracolosa. La sicurezza informatica, come ogni altro grande cambiamento, richiede una rivoluzione culturale. Serve un’educazione capillare, che parta dai banchi di scuola e si estenda fino ai tavoli del consiglio d’amministrazione. Serve insegnare alle persone che la sicurezza non è un costo, ma un investimento. Che pensare prima di cliccare non è paranoia, ma buon senso.

E soprattutto, serve un cambio di mentalità. Dobbiamo smettere di aspettare che siano sempre gli altri a prendersi cura della nostra sicurezza. Come disse Zygmunt Bauman, “La sicurezza è il bisogno più universale e allo stesso tempo il più difficile da soddisfare”. La sfida non è solo tecnologica, ma umana. E finché non la affronteremo con la stessa determinazione con cui abbiamo reso obbligatorie le cinture di sicurezza, continueremo a girare in tondo in questo circo culturale.

La domanda è: siamo pronti a fare quel salto? Oppure resteremo a guardare mentre il disastro si ripete, sperando che questa volta tocchi a qualcun altro? Solo il tempo lo dirà.t

🔍 Chi sono le menti dietro le citazioni? 🔍

Nel mio ultimo articolo sulla sicurezza informatica, ho citato alcuni giganti del pensiero e, modestamente, anche me stesso. Ma chi sono queste persone? Ecco una breve introduzione:

🧠 Edgar Morin Filosofo e sociologo francese, noto per la sua “pensée complexe” (pensiero complesso). Morin ci invita a superare la frammentazione delle conoscenze per affrontare problemi globali con una visione più ampia e interconnessa. Esattamente quello che serve per la sicurezza informatica!

📊 Daniel Kahneman Premio Nobel per l’economia e autore di Thinking, Fast and Slow. Kahneman ha esplorato come la mente umana percepisce il rischio (spesso male) e perché tendiamo a fare scelte poco razionali. Un vero manuale per capire perché clicchiamo sui link sbagliati.

📝 Hannah Arendt Una delle menti più brillanti del XX secolo, filosofa e politologa. La sua analisi sulla trasformazione delle opinioni in “fatti” è più attuale che mai nell’era delle fake news e dei meme che diventano politica.

💡 Zygmunt Bauman Sociologo polacco noto per il concetto di “modernità liquida”. Bauman ha affrontato il tema della sicurezza come bisogno universale ma difficile da soddisfare. Perfetto per descrivere il caos della sicurezza digitale.

✍️ L’autore: io, il vostro sarcastico narratore. Un osservatore ironico e critico, appassionato di sicurezza informatica e di tutto ciò che sfida il buon senso. Dico le cose come stanno, con un pizzico di sarcasmo, perché qualcuno deve pur farlo. 😉