Il 68% dei CISO identifica ancora i dipendenti come il più grande rischio per la sicurezza
Il 79% si sta orientando verso una gestione del rischio informatico basata sul comportamento umano, ma i progressi non tengono il passo con l’evoluzione delle minacce
Londra, 13 maggio 2026 - I CISO dell’area EMEA hanno deciso di mettere da parte la formazione tradizionale sulla sicurezza: una nuova ricerca rivela che il 78% ritiene che il loro approccio alla formazione sulla sicurezza debba urgentemente evolversi. La ricerca di MetaCompliancel’azienda che si occupa di gestione del rischio informatico umano e che sta trasformando il modo in cui le organizzazioni costruiscono culture di sicurezza resilienti, evidenzia la preoccupazione diffusa tra i CISO che i metodi attuali non riescano ad affrontare il rischio informatico umano.
Lo studio, che ha intervistato 200 CISO in Regno Unito, Svezia, Germania e Francia, ha rilevato che l’81% dei CISO afferma che i programmi di sensibilizzazione alla sicurezza falliscono perché trattano il rischio informatico umano come un problema di formazione piuttosto che come una sfida più ampia di gestione del rischio. Allo stesso tempo, il 68% delle aziende identifica i dipendenti come il principale rischio per la sicurezza, evidenziando una vulnerabilità persistente e irrisolta nel cuore della sicurezza aziendale.
Nonostante i continui investimenti nei programmi di sensibilizzazione - le organizzazioni destinano in media il 15% del budget annuale per la sicurezza all’educazione alla sensibilizzazione e il 79% offre formazione almeno ogni due settimane - i risultati rimangono incoerenti. Un quarto (25%) delle organizzazioni dichiara di avere difficoltà a catturare l’attenzione dei dipendenti, mentre il 24% non riesce a incorporare un comportamento sicuro nel lavoro quotidiano e un altro 24% fatica ad allineare gli stakeholder tra le varie funzioni. Questo rafforza il fatto che la sfida è tanto organizzativa quanto comportamentale.
Questo scollamento è dovuto a un approccio obsoleto. Sebbene molti CISO ritengano che le loro organizzazioni abbiano superato la consapevolezza delle “caselle da spuntare” - alcuni descrivono il loro approccio come guidato dal comportamento (33%) o dall’integrazione della gestione del rischio umano (24%) - questo progresso percepito non si traduce in un cambiamento significativo.
James Mackay, Chief Executive Officer di MetaCompliance, ha dichiarato: “La fiducia sta aumentando, ma questo non significa che il rischio stia diminuendo. Molte aziende confondono la formazione sulla sicurezza completata con la sicurezza reale, quando le vulnerabilità umane sottostanti non sono cambiate.
“Questo crea un pericoloso scollamento. Le aziende si sentono più sicure, ma i dipendenti restano la principale fonte di rischio. Allo stesso tempo, le minacce diventano sempre più sofisticate e l’intelligenza artificiale accelera la portata e la precisione degli attacchi di social engineering. Se non si colma questa lacuna, le organizzazioni sono sempre più esposte”.
Di conseguenza, i CISO chiedono un modello più strategico. Quasi quattro su cinque (79%) vogliono orientarsi verso la gestione del rischio umano, un approccio che si concentra sull’identificazione degli individui ad alto rischio e sulla personalizzazione degli interventi in base al comportamento, oltre che sulla promozione di una cultura della sicurezza collettiva a livello aziendale. Un altro 83% ritiene che interventi mirati ridurrebbero il rischio più rapidamente, mentre l’80% sostiene che i messaggi sulla sicurezza sono più efficaci quando vengono diffusi durante il flusso di lavoro.
Questo cambiamento arriva mentre le organizzazioni devono affrontare una crescente pressione per modernizzare le loro difese a causa dell’evoluzione del panorama delle minacce. Nei prossimi 12 mesi, le organizzazioni prevedono di concentrarsi sull’aumento della frequenza di coinvolgimento (27%), sulla dimostrazione di un ROI misurabile (25%) e sull’adattamento degli interventi agli individui ad alto rischio (24%), in particolare in risposta al social engineering abilitato dall’intelligenza artificiale (24%).
James Mackay aggiunge: “Il rischio informatico umano deve essere trattato come qualsiasi altro rischio aziendale: misurabile, mirato e gestito costantemente. Questo significa andare oltre la consapevolezza e passare a un vero e proprio cambiamento di comportamento. Le organizzazioni devono cambiare il modo in cui gestiscono la cybersicurezza, utilizzando il targeting e gli insight in tempo reale per raggiungere le persone giuste, con il messaggio giusto, al momento giusto. È così che si riduce il rischio informatico umano su larga scala”.
FINE
Metodologia
La ricerca è stata condotta da Censuswide su un campione di 200 CISO di aziende con più di 250 dipendenti (età superiore ai 30 anni) in Francia, Germania, Svezia e Regno Unito (50 CISO in ciascun mercato). I dati sono stati raccolti tra il 17.02.2026 e il 23.02.2026. Censuswide è membro della Market Research Society (MRS) e del British Polling Council (BPC) e ha sottoscritto il Global Data Quality Pledge. Aderiamo al Codice di Condotta MRS e ai principi ESOMAR.
Informazioni su MetaCompliance
MetaCompliance è la società di gestione del rischio umano che sta trasformando il modo in cui le organizzazioni costruiscono culture di sicurezza resilienti. La sua piattaforma intelligente e pronta per le aziende combina formazione personalizzata sulla cybersecurity, analisi comportamentale e automazione per misurare, mitigare e gestire il rischio umano su scala. Affidata a oltre sei milioni di utenti in tutto il mondo, MetaCompliance aiuta le aziende globali a ridurre i rischi e a introdurre un cambiamento comportamentale duraturo. www.metacompliance.com
***
Contatti con la stampa
- MetaCompliance
- Liz Adams, Vicepresidente del Marketing - [email protected]