Formazione cybersecurity: perché il corso una-tantum non funziona

Molte aziende credono di aver assolto all'obbligo di formazione cybersecurity prenotando un corso di mezza giornata ogni anno. Il problema è che non funziona — né per la sicurezza reale, né per la compliance NIS2.

Ecco perché.

La curva dell'oblio di Ebbinghaus

Negli anni 1880, lo psicologo tedesco Hermann Ebbinghaus documentò un fenomeno oggi ben noto: gli esseri umani dimenticano gran parte di ciò che hanno imparato entro le prime ore, a meno che le informazioni non vengano rinforzate nel tempo.

Questa "curva dell'oblio" non è una questione di intelligenza o motivazione: è semplicemente come funziona la memoria umana in assenza di ripetizione. Informazioni acquisite il 15 gennaio — senza rinforzi — sono in gran parte svanite entro la fine del mese.

Implicazione diretta per la cybersecurity: un corso tenuto una volta all'anno lascia i dipendenti esposti per 11 mesi con una preparazione rapidamente decrescente.

L'evidenza sulla formazione distribuita

La ricerca in psicologia dell'apprendimento — in particolare il concetto di spaced repetition (ripetizione distanziata) — mostra costantemente che la formazione distribuita in sessioni brevi e regolari è più efficace dell'apprendimento a blocchi concentrati.

Il principio si applica direttamente alla cybersecurity awareness: sessioni mensili brevi e mirate garantiscono che i concetti chiave restino accessibili nella memoria quando servono davvero — nel momento in cui arriva un'email sospetta o si riceve una richiesta insolita.

Cosa dice la NIS2 sulla formazione continua

La Direttiva NIS2 (Art. 21, punto g), recepita in Italia con il D.Lgs. 138/2024, richiede esplicitamente:

"pratiche di igiene informatica di base e formazione in materia di cybersicurezza"

La direttiva non prescrive una frequenza minima, ma il contesto normativo e le linee guida dell'ENISA (l'agenzia europea per la cybersicurezza) indicano chiaramente che la formazione deve essere periodica e documentata. Un attestato datato un anno fa non dimostra che il dipendente è formato oggi.

Il punto chiave è la documentazione: in fase di audit, un'organizzazione deve poter dimostrare che la formazione è avvenuta regolarmente, chi l'ha completata e con quale esito.

Cosa rende efficace un programma di formazione cybersecurity

Sulla base dei principi di apprendimento e dei requisiti NIS2, un programma efficace dovrebbe:

Essere breve e regolare — 10-15 minuti al mese sono più efficaci di 8 ore una volta l'anno
Essere mirato — ogni sessione copre un tema specifico (phishing, password, dispositivi, incidenti…)
Includere una verifica — un quiz finale crea un "momento di recupero" che rafforza la memoria
Essere documentato automaticamente — ogni accesso e ogni risposta registrati con timestamp
Coprire tutti i livelli — dai dipendenti al management (con percorsi distinti per l'Art. 20)

Come funziona CyberTotem

CyberTotem è stato progettato partendo da questi principi:

Un modulo ogni mese, strutturato in due fasi:

Lettura (5–8 minuti) — una pillola formativa su un argomento specifico
Quiz (2 minuti) — 4 domande estratte casualmente da un pool di 10, con tre tentativi massimi

Il sistema traccia automaticamente ogni accesso, ogni completamento e ogni risposta. A fine anno genera gli attestati PDF individuali — pronti per qualsiasi audit NIS2.

Come scegliere la piattaforma di formazione giusta

Una checklist per valutare qualsiasi soluzione:

[ ] I contenuti si aggiornano regolarmente (non sono statici)?
[ ] La piattaforma tiene un registro automatico delle attività?
[ ] Genera attestati individuali con riferimento normativo?
[ ] È accessibile via browser senza app da installare?
[ ] Copre sia il personale (Art. 21g) che il management (Art. 20)?
[ ] Ha un prezzo sostenibile per le PMI?

Sei pronto a sostituire il corso una-tantum con una formazione che funziona davvero? Richiedi una demo.