Skip to main content
Marsh logo

Articolo

Il fattore umano nella gestione dei rischi cyber: dalla salute mentale alle soluzioni proattive incentrate sulle persone

Scopri come l'attenzione alle persone e alla cultura rafforza la gestione del rischio informatico e crea resilienza contro le minacce digitali in continua evoluzione.

02/17/2026 · 6 minuti di lettura

Il fattore umano è un elemento cruciale e spesso trascurato che contribuisce al 90% degli eventi cyber, a cui si aggiungono gli impatti sulla salute mentale derivanti dagli incidenti cyber che aggravano ulteriormente la vulnerabilità aziendale. Le soluzioni incentrate sulle persone, come un supporto integrato al benessere mentale, valutazioni personalizzate del rischio comportamentale e strategie incentrate sulla cultura aziendale, spostano la gestione del rischio cyber da un modello reattivo improntato alla compliance a una strategia di resilienza proattiva. Oltre a responsabilizzare i dipendenti e promuovere una cultura di sostegno, questo approccio riduce significativamente i rischi cyber e costruisce un’azienda solida e sostenibile contro l’evoluzione delle minacce cyber.

Il contesto

In un contesto digitale in rapida evoluzione, la gestione dei rischi cyber si è tradizionalmente concentrata sugli strumenti di difesa tecnologica, i modelli di compliance e i protocolli di incident response. Eppure, nonostante firewall sofisticati e sistemi di rilevamento avanzati, gli incidenti cyber continuano ad aumentare, spesso scatenati o aggravati da fattori umani. I dati mostrano che l'errore umano contribuisce al 90% delle violazioni alla sicurezza informatica, sottolineando la necessità di tenere conto del fattore umano nella gestione del rischio cyber.

Le aziende riconoscono sempre più spesso che l'elemento umano (comportamenti dei dipendenti, benessere mentale e cultura aziendale) rappresenta la frontiera fondamentale per gestire efficacemente il rischio cyber.

Questo articolo fa leva sulla competenza e l'esperienza combinate di Marsh e Mercer ed esplora le diverse sfaccettature della dimensione umana nella gestione dei rischi cyber. Si basa su ricerche recenti e soluzioni innovative che evidenziano l'impatto psicologico degli incidenti cyber e il potenziale trasformativo dei tool di risk assessment incentrati sulle persone. Integrando considerazioni sul benessere mentale con analisi comportamentali basate sui dati, le organizzazioni possono passare da una gestione reattiva delle crisi a una costruzione proattiva della resilienza.

Il costo nascosto: l’impatto psicologico degli attacchi cyber

Gli eventi cyber, in particolare gli attacchi ransomware, non si limitano a causare l’interruzione dell’attività operativa, ma hanno un profondo impatto psicologico sulle persone coinvolte. Uno studio di Northwave Cyber Security rivela le conseguenze spesso trascurate sulla salute mentale che i dipendenti subiscono durante e dopo un attacco ransomware.

La ricerca suddivide l'impatto mentale in tre fasi distinte:

  • Immediato dopo l’attacco (prima settimana): i dipendenti riferiscono stress acuto, ansia e sintomi fisici come mal di testa e stanchezza. La pressione per ripristinare rapidamente i sistemi spesso porta a lunghe ore di lavoro e privazione del sonno.
  • A breve termine (primo mese): Emergono sensi di colpa, frustrazione e impotenza, molti dipendenti sperimentano disturbi del sonno e schemi di pensiero negativi.
  • A lungo termine (fino a un anno): Alcuni individui sviluppano sintomi riferibili a un trauma, come ipervigilanza ed esaurimento emotivo, che possono portare all’insoddisfazione lavorativa o addirittura a cambi di carriera.

Lo studio evidenzia anche le differenze di genere e sottolinea come le donne riferiscano sintomi più gravi. Identifica anche meccanismi di difesa poco sani, come sottrarsi alle responsabilità o sovraccaricarsi di lavoro, che possono aggravare i problemi di salute psicologica.

Questi risultati sottolineano come sia essenziale per le aziende integrare il supporto alla salute mentale nei piani di risposta agli incidenti cyber. Il nostro white paper raccomanda di dare vita a una cultura di supporto che normalizzi le discussioni sulla salute mentale, fornendo accesso a servizi di consulenza e implementando controlli manageriali strutturati per monitorare il benessere emotivo dei dipendenti durante tutto il processo di incident recovery.

Affrontare il costo umano degli incidenti cyber permette non solo di supportare la forza lavoro, ma anche di migliorare la resilienza complessiva dell’azienda, poiché dipendenti mentalmente in forma sono meglio preparati a rispondere efficacemente alle minacce future.

Oltre la compliance: una valutazione innovativa del rischio cyber incentrata sulle persone

Se da un lato il supporto al benessere mentale affronta le conseguenze degli incidenti cyber, dall’altro prevenire tali eventi richiede un cambiamento fondamentale nel modo di valutare e gestire il rischio cyber. I sistemi tradizionali spesso si concentrano su controlli tecnici e checklist di compliance e trascurano le complessità dei comportamenti umani che stanno alla base di molte vulnerabilità informatiche.

Marsh e Mercer hanno ideato People Cyber-Risk Assessment, una soluzione innovativa che pone il fattore umano al centro della gestione del rischio informatico. L’iniziativa è stata uno dei finalisti agli European Risk Management Awards 2025 nella categoria Technology Innovation of the Year, a riprova del suo approccio rivoluzionario.

La soluzione integra diagnostiche psicologiche e culturali con una pianificazione basata sui dati, per una valutazione a più livelli del rischio cyber:

  • Valutazione della predisposizione individuale: il tool permette la profilazione dei tratti di personalità e delle tendenze comportamentali dei dipendenti relative al rischio cyber e genera report personalizzati con raccomandazioni mirate per migliorare l'igiene informatica, per esempio per colmare il gap tecnico dei dipendenti o ridurre i rischi di social engineering.
  • Valutazione della cultura aziendale: valutare le norme, i valori e i comportamenti aziendali che influenzano il rischio cyber, per individuare i punti di forza e le vulnerabilità culturali.
  • Valutazione delle conoscenze e delle competenze: misurare le conoscenze e le competenze informatiche dei dipendenti per individuare lacune e fabbisogni formativi.

Combinando queste valutazioni, le aziende acquisiscono una comprensione olistica del rischio umano presente in azienda, passando da una formazione generica a interventi mirati ed efficaci.

Questo approccio ridefinisce i flussi di lavoro della gestione del rischio cyber e permette di passare da modelli reattivi improntati alla compliance a strategie proattive centrate sulle persone. Il nostro approccio riconosce che la gestione del rischio cyber non è solo una questione tecnica, ma una sfida comportamentale e culturale che richiede soluzioni su misura.

La personalizzazione basata sui dati: formazione e sensibilizzazione su misura

Uno dei limiti più significativi dei programmi tradizionali di sensibilizzazione sulla cyber sicurezza è l’impostazione "one size fits all", un approccio standard uguale per tutti che spesso non riesce a coinvolgere i dipendenti né ad affrontare i singoli profili di rischio specifici. La soluzione People Cyber-Risk Assessment di Mercer risolve questo problema utilizzando i dati per personalizzare le iniziative di formazione e sensibilizzazione.

La valutazione della predisposizione individuale genera profili personalizzati che forniscono consigli pratici ai dipendenti in base alle loro specifiche tendenze comportamentali. Per esempio, un dipendente incline all'impulsività potrebbe essere sensibilizzato a non cliccare subito su un link, mentre una persona molto scrupolosa potrebbe essere incoraggiata a condividere le best practice con i colleghi.

A livello aziendale, i dati aggregati vengono visualizzati in dashboard che delineano trend e cluster di rischio e permettono ai dirigenti di comprendere a quali risorse dare priorità e come realizzare programmi di formazione mirati. Un simile approccio basato sui dati garantisce interventi efficienti e incisivi, perché concentra gli sforzi dove sono più necessari.

Inoltre, integrando la cultura aziendale e la valutazione delle conoscenze, le aziende possono allineare le strategie di gestione dei rischi cyber con gli obiettivi e i valori aziendali più ampi, promuovendo una forza lavoro coesa e resiliente.

Costruire una cultura cyber di supporto: strategie organizzative e di leadership

La tecnologia e la formazione da sole non possono creare un contesto di cyber resilienza duraturo senza il supporto della cultura aziendale. La leadership aziendale svolge un ruolo fondamentale nel creare un ambiente in cui i dipendenti si sentano valorizzati, informati e dotati delle competenze per agire con sicurezza.

Lo studio sottolinea l'importanza del supporto manageriale in caso di incidente informatico, che deve articolarsi in una serie di step pratici:

  • Comunicazione chiara: informare i team sull’evoluzione dell’incidente e sulle aspettative riduce lo stato di incertezza e ansia.
  • Distribuzione equa dei compiti: evitare di sovraccaricare persone specifiche previene il burnout.
  • Controlli regolari sul benessere mentale: monitorare proattivamente il benessere contribuisce a identificare e affrontare i problemi tempestivamente.

Creare una cultura che privilegi il benessere mentale e l'apprendimento continuo non solo migliora i risultati di sicurezza, ma accresce anche il coinvolgimento e la fidelizzazione dei dipendenti. I dipendenti sicuri che la propria azienda si preoccupi della loro salute e sviluppo sono più propensi ad adottare comportamenti prudenti e a segnalare potenziali rischi.

Implicazioni più ampie: migliorare l'alfabetizzazione digitale e la resilienza sociale

I benefici della gestione dei rischi cyber incentrata sulle persone vanno oltre la singola azienda. Migliorando l'alfabetizzazione digitale e promuovendo comportamenti informatici responsabili, si contribuisce a creare un ecosistema digitale più sicuro per la comunità e la società nel suo complesso.

Marsh e Mercer si concentrano da sempre sulla gestione del rischio cyber basata su un modello collaborativo che integra molteplici stakeholder, inclusi i risk manager, le HR e l’IT, per creare strategie globali che migliorano la resilienza operativa. Questo approccio olistico non solo riduce la frequenza e l'impatto degli eventi cyber, ma promuove anche la stabilità economica limitando le perdite finanziarie correlate agli incidenti.

Inoltre, migliorando la consapevolezza e sviluppando le competenze di tutto il personale, le aziende contribuiscono al raggiungimento di obiettivi sociali più ampi di alfabetizzazione digitale e fiducia nella tecnologia. L'evolversi delle minacce cyber rende essenziale integrare il fattore umano nella gestione del rischio per costruire organizzazioni resilienti e un futuro digitale sicuro.

Ridurre il rischio cyber attraverso i dipendenti 

Il futuro della gestione dei rischi cyber si basa sull’integrazione olistica del fattore umano, che va dal riconoscimento degli impatti degli incidenti cyber sul benessere mentale dei dipendenti all'implementazione di tool innovativi basati sui dati per una personalizzazione della valutazione dei rischi e della formazione. Le aziende che investono in soluzioni incentrate sulle persone e promuovono una cultura aziendale di supporto non solo ridurranno le vulnerabilità, ma forniranno anche gli strumenti al proprio personale per mettere in atto una difesa attiva dai rischi cyber.

Le aziende che passano dai modelli reattivi all’implementazione di strategie proattive incentrate sulle persone possono trasformare la gestione del rischio cyber in un vantaggio competitivo sostenibile e contribuire a costruire un mondo digitale più sicuro e resiliente.

Contatta i nostri esperti per rafforzare la cyber resilienza della tua azienda implementando soluzioni incentrate sulle persone.

Contattaci

Approfondimenti correlati

Corporate business team and manager in a meeting

Podcast,Approfondimento in primo piano

Podcast Risk in Context: prevedere i principali rischi del 2026 per rafforzare la resilienza aziendale

01/06/2026
Futuristic smart city scene featuring AI-generated grid

Report

Inside the Ransomware Ecosystem

10/20/2025
Manager is using a laptop computer while analyzing the company's financial statements on the screen.

Articolo,Approfondimento in primo piano

Gestione degli incidenti cyber: una check list per la resilienza aziendale

09/11/2025
Cybersecurity signals: Connecting controls and incident outcome

Report,Approfondimento in primo piano

Segnali di cybersecurity: l’importanza di correlare i controlli ai piani di incident response

08/27/2025
Visualizza di più