Tra riunioni su Zoom, Slack che lampeggia e fogli di calcolo aperti, l’attenzione si sfilaccia e gli attacchi di phishing passano inosservati. Una ricerca pubblicata sull’European Journal of Information Systems dimostra che brevi promemoria contestuali, al momento giusto, migliorano il rilevamento persino in condizioni di sovraccarico. Ecco cosa significa per PMI, PA e professionisti in Italia.
Immagina la scena, molto italiana e molto contemporanea: videochiamata che si trascina, Slack che morde alla caviglia con menzioni urgenti, tre fogli di calcolo spalancati come vele stanche, la casella di posta che suona, insistente come il campanello del fornaio all’alba. È proprio lì, in quell’attimo di distrazione, che un’email di phishing scivola in mezzo alle altre, sobria e convincente, una finta fattura, una password da reimpostare, una carta regalo da richiedere subito. Non la vedi, o meglio, non la vedi abbastanza. E clicchi. Secondo stime ricorrenti, ogni giorno vengono inviate circa 3,4 miliardidi email di phishing. La posta in gioco, letteralmente, non potrebbe essere più alta. (Splunk)
La buona notizia è che non siamo del tutto in balia del caos. Un nuovo studio, guidato da docenti della Binghamton University, School of Management e pubblicato sull’European Journal of Information Systems, mostra due cose semplici e decisive. Primo, quando la memoria di lavoro è carica per colpa del multitasking, la capacità di notare i segnali sospetti crolla. Secondo, brevi solleciti ben temporizzati possono rimettere l’attenzione sui binari proprio quando serve. (Università di Binghamton)
Lo studio in tre mosse
Gli esperimenti hanno coinvolto 977 partecipanti in scenari che imitano l’ufficio reale. Ai volontari è stato chiesto di memorizzare dettagli legati al lavoro, il “compito principale”, mentre in parallelo dovevano riconoscere email di phishing, il “compito secondario”. Risultato, quando la memoria era satura, l’accuratezza crollava. Ma inserendo promemoria brevi, come un banner di allerta nel client di posta o un messaggio di sistema al cambio di attività, la capacità di scovare le truffe risaliva anche durante il massimo sovraccarico. È il potere gentile dei nudge, spintarelle cognitive che non riscrivono il flusso di lavoro, lo rinfrescano. (EurekAlert!)
C’è di più. Non tutte le esche sono uguali. I promemoria funzionano particolarmente bene quando il messaggio promette un guadagno immediato, il classico “richiedi ora la tua carta regalo”. Nei messaggi centrati sulla perdita, per esempio “il tuo account sarà bloccato tra 24 ore”, l’attenzione si attiva già da sola, quindi l’utilità di un ulteriore promemoria scende. È una lezione di design dell’attenzione: non bombardare tutti sempre, calibrare in base al contenuto. (Tandfonline)
Perché ci caschiamo quando siamo impegnati
Il multitasking non è un superpotere, è una tassa cognitiva. Passare dalla chat alla mail, dalla riunione al documento, consuma memoria di lavoro e abbassa la soglia del sospetto. Anche i grandi numeri lo ricordano. Nel DBIR 2025 di Verizon, il “fattore umano” rimane coinvolto in circa sei incidenti su dieci, tra credenziali rubate, phishing, errori. In altre parole, non siamo deboli, siamo umani. E il contesto frenetico amplifica i nostri punti ciechi. (Verizon)
Italia, casi reali e cornice di riferimento
Nel nostro Paese, il CSIRT Italia dell’Agenzia per la Cybersicurezza Nazionale pubblica regolarmente avvisi su campagne di phishing e truffe online, con consigli pratici per utenti e organizzazioni. Lo stesso Garante per la protezione dei dati personali offre un vademecum anti-phishing, dalla verifica degli indirizzi ai comportamenti prudenti. Queste risorse non sono teoria, sono la rete di sicurezza che possiamo stendere prima che arrivi il prossimo amo. (acn.gov.it)
Dalla teoria alla scrivania: cosa implementare domani mattina
Ecco una lista operativa pensata per PMI, PA, studi professionali e team ibridi che lavorano tra email, PEC, suite Microsoft 365 e collaboration:
- Nudge dentro gli strumenti quotidiani
Attiva banner di avviso in Outlook per mittenti sospetti, domini simili, link offuscati. Integra Slack o Teams con bot che segnalano, al cambio di task, se un’email è stata contrassegnata a rischio dal filtro aziendale. Regola d’oro, poche parole, momento giusto. (Università di Binghamton) - Promemoria basati sul contenuto
Aumenta la frequenza dei nudge per le esche “di guadagno” come gift card, rimborsi lampo, premi. Mantieni più discreti quelli per le esche “di perdita” dove l’urgenza è già alta, per evitare rumore e affaticamento. (Tandfonline) - Formazione per la realtà, non per l’aula ideale
Le simulazioni di phishing vanno somministrate mentre le persone stanno lavorando, non a mente fresca e in silenzio. Inserisci esercizi durante sprint, picchi di email, fine mese contabile. Modella il multitasking invece di fingere che non esista. (techxplore.com) - Regole d’oro anti-amo
Usa un secondo canale per verificare richieste di pagamento o cambio IBAN. Blocca macro negli allegati Office da fonti esterne. Attiva autenticazione a più fattori ovunque. Definisci un “pulsante segnala phishing” a portata di click e una playbook di risposta che non umili chi segnala. I numeri ci dicono che l’errore umano è diffuso, la cultura deve essere non punitiva. (Verizon) - Allineamento con le risorse nazionali
Segui gli alert del CSIRT Italia, aggiorna le policy interne secondo le raccomandazioni del Garante Privacy su email, metadati e gestione dei dati personali. Inserisci nei DPIA il rischio di social engineering in fasi di alto caricooperativo. (acn.gov.it)
Un esempio di nudge “giusto”
Pensa a un banner sobrio in alto all’email: “Attenzione, dominio quasi omonimo al tuo fornitore. Verifica il link prima di cliccare.” Oppure una notifica che scatta quando cambi finestra tra due applicazioni: “Questo messaggio chiede credenziali. Sei sicuro che il mittente sia atteso.” Il segreto non è gridare al lupo, è sussurrare al momento giusto. La ricerca mostra che questo basta per riprendere il filo dell’attenzione e fermare il click sbagliato. (EurekAlert!)
Perché funziona, in parole semplici
Gli psicologi parlano di memoria di lavoro e attivazione degli obiettivi. Tradotto, quando abbiamo la testa piena, ricordiamo meno le nostre regole d’oro, gli “obiettivi” di sicurezza scivolano sullo sfondo. Il nudge fa un richiamo breve all’obiettivo, lo riporta in primo piano. È come la campanella del forno che ti ricorda la torta, prima che bruci. Non cambia la tua ricetta, ti ricorda di guardare. (Tandfonline)
Metriche che contano
Non basta abilitare i banner e sentirsi al sicuro. Misura e migliora:
- Tasso di segnalazione delle email sospette entro 15 minuti dalla ricezione.
- Riduzione dei click su link malevoli durante periodi noti di picco, per esempio chiusure di bilancio.
- Tempo medio di risposta del team IT tra segnalazione e blocco.
- Efficacia differenziata dei nudge su messaggi “di guadagno” rispetto a quelli “di perdita”, iterando testi e tempistiche. (Tandfonline)
Uno sguardo oltre l’ufficio
Il phishing non si ferma alla scrivania. Dallo smishing agli avvisi fasulli che sfruttano i loghi di enti pubblici, le truffe giocano su urgenza e autorevolezza. Le campagne segnalate in Italia mostrano come simboli familiari possano essere piegati al raggiro. L’antidoto è la diffidenza educata e una filiera di verifica semplice, per tutti, dal front-office alla direzione. (LinkedIn Italia)
In sintesi, tre impegni concreti per chi guida
- Progetta l’attenzione, non solo le policy. Metti i nudge dove lo sguardo passa, al momento in cui si distrae.
- Allena in condizioni reali. Le simulazioni infrasettimanali valgono più di mille slide al venerdì.
- Coltiva una cultura gentile. L’errore si segnala senza paura, il click sbagliato diventa apprendimento condiviso. (Università di Binghamton)
Mentre l’industria criminale sforna miliardi di esche e l’ufficio moderno ci chiede di fare tutto, subito, la difesa non è un muro più alto, è un timing migliore. Una piccola luce che si accende quando stiamo per inciampare. Non serve urlare, serve ricordare, con grazia, che l’attenzione è un bene raro. E che la prudenza, come il buon artigianato, resta un sapere antico, da praticare ogni giorno.
Riferimenti essenziali
- Binghamton University, “Phishing emails and multitasking don’t mix” con sintesi e citazioni dei ricercatori. (Università di Binghamton)
- European Journal of Information Systems, articolo completo sul carico di memoria, i nudge e l’inquadramento del messaggio. (Tandfonline)
- EurekAlert! comunicato con dettagli sperimentali, 977 partecipanti e miglioramento grazie ai promemoria. (EurekAlert!)
- DBIR 2025, quota del “fattore umano” attorno al 60 per cento. (Verizon)
- Stima giornaliera sui 3,4 miliardi di email di phishing. (Splunk)
- CSIRT Italia e Garante Privacy, vademecum e avvisi operativi per utenti e organizzazioni italiane. (acn.gov.it)
Hashtag
#Phishing #CyberSicurezza #NudgeDesign #LavoroDigitale