Sicurezza informatica e dipendenti
Pensate che la vostra azienda sia al sicuro perché avete un firewall aggiornato e un antivirus installato su tutti i computer? Attenzione: il pericolo più grande spesso non viene dall’esterno, ma dall’interno e quasi sempre è involontario.
Secondo l’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza), circa il 60% delle violazioni informatiche deriva da errori umani: un clic di troppo su un’email sospetta, una password troppo semplice, un file salvato nel posto sbagliato. Gartner stima addirittura che l’errore umano sia alla base del 95% dei data breach a livello globale.
In Italia la situazione è particolarmente critica: secondo il Rapporto Clusit 2025, il nostro Paese ha subito 357 attacchi informatici gravi nel 2024 (+15,2% rispetto all’anno precedente), rappresentando il 10,1% di tutti gli attacchi informatici mondiali, pur valendo solo l’1,8% del PIL globale.
Un dato sproporzionato che deve far riflettere ogni imprenditore e responsabile IT.
Ecco i 10 comportamenti più comuni che, ogni giorno, espongono inconsapevolmente le aziende a rischi reali.
1. Uso di password deboli o riutilizzate
“Password1”, “nomedellazienda2024”, o peggio ancora il proprio nome di battesimo: sono ancora tra le password più usate in ambito aziendale. Il problema si aggrava quando la stessa password viene riutilizzata su più sistemi.
Uno studio di CyberArk del 2024 ha rilevato che il 49% dei dipendenti riutilizza le stesse credenziali in più applicazioni lavorative.
Basta una singola violazione su un sito esterno per compromettere l’intera rete aziendale.
2. Condivisione delle credenziali tra colleghi
“Ti mando io la mail, tanto ho le credenziali”. Questa frase, pronunciata ogni giorno in migliaia di uffici, è uno dei comportamenti più pericolosi in assoluto.
Condividere username e password vanifica qualsiasi sistema di tracciabilità e rende impossibile capire chi ha fatto cosa in caso di incidente.
In più, quando un dipendente lascia l’azienda, le credenziali condivise restano attive nelle mani di chi non dovrebbe averle.
3. Connessione a Wi-Fi pubblici senza protezioni
L’aeroporto, il bar, l’hotel durante una trasferta: lavorare in mobilità è ormai la norma. Ma connettersi a reti Wi-Fi pubbliche non protette, senza una VPN aziendale, equivale a svolgere una riunione riservata in una stanza con le porte aperte.
I dati trasmessi possono essere intercettati da chiunque si trovi sulla stessa rete.
4. Clic su email di phishing
Il phishing rimane la tecnica di attacco più diffusa e più efficace. Secondo il Rapporto Clusit 2025, phishing e malware sono tra le prime tecniche di attacco registrate in Italia.
Le email di phishing moderne non sono più i messaggi pieni di errori grammaticali di qualche anno fa: oggi imitano perfettamente comunicazioni bancarie, notifiche di corrieri, richieste dall’ufficio HR.
L’intelligenza artificiale generativa sta rendendo questi attacchi informatici sempre più convincenti e personalizzati.
Esempio concreto: un dipendente riceve un’email apparentemente dal proprio CEO con oggetto “Bonifico urgente — da approvare entro oggi”. Non ci sono errori, il tono è familiare, il logo aziendale è corretto. Un clic e le credenziali bancarie sono compromesse.
5. Uso di dispositivi personali non protetti (BYOD)
Leggere le email aziendali sullo smartphone personale, aprire documenti riservati sul laptop di casa: il fenomeno BYOD (Bring Your Own Device) ha accelerato con lo smart working e rappresenta un rischio concreto quando i dispositivi personali non hanno gli stessi livelli di protezione di quelli aziendali.
Un dispositivo personale senza patch di sicurezza aggiornate, senza antivirus aziendale e condiviso magari con altri componenti della famiglia, diventa un punto di accesso privilegiato per i cybercriminali.
6. Download di software non autorizzato
Installare un’app gratuita per convertire PDF, scaricare una versione “craccata” di un software, usare uno strumento online non approvato dall’IT: comportamenti apparentemente innocui che possono introdurre malware, spyware o backdoor direttamente nei sistemi aziendali.
Il software non autorizzato, anche quando funziona correttamente, spesso non riceve aggiornamenti di sicurezza e diventa rapidamente una vulnerabilità sfruttabile.
7. Mancato aggiornamento di sistemi e applicazioni
“Lo aggiorno dopo, adesso ho fretta”. Quante volte viene cliccato “Ricordamelo più tardi” sulle notifiche di aggiornamento? Gli aggiornamenti di sicurezza correggono vulnerabilità note che i cybercriminali sfruttano attivamente.
Nel 2024 sono state registrate quasi 29.000 nuove vulnerabilità software a livello globale, migliaia delle quali classificate come critiche.
Mantenere i sistemi non aggiornati equivale a lasciare una porta aperta di cui i criminali conoscono già la combinazione.
8. Salvataggio di dati aziendali su cloud personali
Caricare un file riservato su Google Drive personale o Dropbox per lavorarci da casa: pratico, veloce, e potenzialmente disastroso.
I dati aziendali salvati su account cloud personali escono dal perimetro di controllo dell’azienda.
Se l’account personale viene compromesso, cosa non rara, considerando che il 45% delle violazioni dei dati avviene nel cloud, anche quei documenti sono a rischio.
In più, in caso di verifica sulla conformità al GDPR, la tracciabilità di quei dati diventa impossibile.
9. Mancata segnalazione di incidenti sospetti
“Forse non era niente“, “non voglio sembrare paranoico“, “non sapevo a chi dirlo“: sono le ragioni più comuni per cui i dipendenti non segnalano comportamenti anomali, email sospette o accessi insoliti.
Eppure la velocità di risposta a un incidente informatico è determinante: secondo l’ENISA, il tempo medio di fermo operativo dopo un attacco è di 4,2 giorni, che sale a 5,5 giorni per le piccole imprese.
Ogni ora di ritardo nella segnalazione aggrava il danno.
10. Assenza di una cultura della cybersecurity in azienda
Tutti i comportamenti elencati sopra hanno una radice comune: la mancanza di formazione e consapevolezza.
La cybersecurity non è (solo) un problema tecnologico: è un problema culturale.
Un corso annuale obbligatorio firmato per obbligo e rapidamente dimenticato non basta.
Serve una cultura della sicurezza che si costruisca nel tempo, con comunicazione costante, simulazioni periodiche e il coinvolgimento attivo di tutti i livelli aziendali, dalla direzione ai neoassunti.
Il punto di partenza: la consapevolezza
Nessuno di questi comportamenti è frutto di malafede. La maggior parte delle persone non sa semplicemente che ciò che fa può rappresentare un rischio. Ed è esattamente per questo che la formazione e la sensibilizzazione continuativa, concreta e adattata al contesto aziendale sono oggi il primo e più efficace strumento di difesa.
Nel prossimo articolo vedremo quali sono gli obblighi normativi che oggi le aziende italiane devono rispettare in materia di cybersecurity e quali misure concrete è necessario adottare per essere davvero protetti — non solo sulla carta.