Ecco di cosa parla il volume “Cybersecurity, fattore umano e manipolazione psicologica” (Maggioli Editore) di Gerardo Costabile e Ilenia Mercuri, per i professionisti dell’ICT e della Security.

Nel panorama odierno della cybersecurity, il perimetro di difesa si è spostato in modo irreversibile. Come evidenziano i report di settore e le statistiche globali, la stragrande maggioranza degli attacchi non sfrutta più sofisticate vulnerabilità zero-day o difetti del codice, ma fa leva sulla psicologia umana.

Per i professionisti dell’ICT, i CISO e i Security Manager, limitarsi a un approccio tecno-centrico basato su protezioni perimetrali, crittografia e complessi algoritmi difensivi non è più sufficiente.

Cybersecurity, fattore umano e manipolazione psicologica

È in questo scenario di profonda trasformazione che si inserisce il libro di Gerardo Costabile e Ilenia Mercuri, “Cybersecurity, fattore umano e manipolazione psicologica”, edito da Maggioli Editore (2026) con la prefazione di Giuseppe Corasaniti. L’opera non si limita a diagnosticare il problema, ma traccia un percorso strategico e operativo, introducendo il paradigma della Psybersecurity: una disciplina di frontiera che fonde organicamente sicurezza informatica, neuroscienze, sociologia e psicologia cognitiva.

Il testo scardina il dogma storico secondo cui il fattore umano debba essere rassegnatamente considerato il perenne “anello debole” della catena.

L’ingegneria sociale e l’automazione dell’inganno

Gli autori analizzano come il cybercrime abbia industrializzato la manipolazione psicologica, trasformando l’ingegneria sociale in un’architettura dell’inganno estremamente scalabile. Gli aggressori moderni sfruttano la teoria del doppio processo cognitivo: inibiscono il pensiero sistematico e analitico (il “Sistema 2”) per forzare la vittima ad affidarsi a reazioni euristiche, automatiche e superficiali (il “Sistema 1”). Facendo leva su trigger emotivi come l’urgenza, la paura della perdita o l’autorità percepita, gli attaccanti innescano risposte neurobiologiche precise.

L’attivazione dell’amigdala e la produzione di ossitocina portano al fenomeno del “sequestro neurale” (neural hijacking), uno stato in cui la corteccia prefrontale viene bypassata e il controllo razionale cede il passo ad azioni impulsive, come il fatale clic su un link malevolo o l’approvazione di un bonifico fraudolento.

L’AI la nuova arma del cybercrime

A rendere questo scenario ancora più critico è l’avvento dell’Intelligenza Artificiale Generativa. I Large Language Models (LLM) e le emergenti tecnologie di deepfake agiscono come un moltiplicatore di forza per i cybercriminali, automatizzando la creazione di esche perfette, iper-personalizzate e prive di quegli indizi linguistici che un tempo fungevano da campanello d’allarme per l’utente.

Di fronte a questa “automazione dell’inganno”, il libro offre metodologie strutturate per le aziende, superando la tradizionale e spesso inefficace security awareness basata su mere policy e nozionismo. Gli autori propongono di estendere l’applicazione del ciclo PDCA (Plan, Do, Check, Act) anche alla gestione del rischio umano. Nelle fasi di diagnosi e monitoraggio, l’adozione di metriche innovative come l’Human Risk Index (HRI) e i Key Behavior Indicators (KBI) permette di quantificare l’esposizione al rischio, valutando la consapevolezza cognitiva, la resilienza sotto pressione e l’impatto dello stress e del sovraccarico informativo.

Tale monitoraggio comportamentale (che può essere supportato anche da tecnologie specifiche) deve tuttavia avvenire all’interno di una rigorosa cornice etica, trasformando il dato in strumento di apprendimento organizzativo e non in un mezzo di sorveglianza. Sul fronte della formazione, l’opera evidenzia la necessità di evolvere verso il cognitive learning e il micro-learning. Non più addestramenti passivi, ma esperienze attive, simulazioni immersive e serious games che allenino la metacognizione dei dipendenti nel riconoscere i propri bias.

La sicurezza deve essere inclusiva

Fondamentale risulta il passaggio da una cultura aziendale punitiva (blaming culture) a una “Just Culture” (cultura equa). In un ecosistema no-blame, l’errore non intenzionale viene analizzato per le sue cause sistemiche, incentivando la segnalazione tempestiva e trasformando i “quasi-incidenti” (near-misses) in opportunità cruciali di threat intelligence.

Gli autori dedicano inoltre una riflessione alla sicurezza inclusiva. Coinvolgere attivamente le “categorie deboli” non è solo un atto etico, ma una mossa strategica: progettare interfacce e difese accessibili e cognitivamente chiare per i soggetti fragili significa innalzare il livello di resilienza progettuale e operativa di tutto l’ecosistema.

In sintesi, “Cybersecurity, fattore umano e manipolazione psicologica” si configura come un “manuale” indispensabile per gli addetti ai lavori. Il messaggio degli autori è un chiaro richiamo all’azione: per difendere le infrastrutture di domani, le organizzazioni devono abbandonare la prospettiva dell’utente come vulnerabilità (human-as-problem) ed emanciparlo affinché diventi la prima, più intelligente e adattiva linea di difesa attiva (human-as-solution).

Vai al sito di Cybersecurity Italia.

L'articolo Cybersecurity, fattore umano e manipolazione psicologica. L’evoluzione della difesa Human-Centric sembra essere il primo su CyberSecurity Italia.