Non è uno slogan. È la fotografia di un cambio di paradigma che chiunque amministri un'azienda o si occupi di compliance dovrebbe tenere appeso alla parete. Per anni abbiamo immaginato la violazione dei dati come un assedio: mura digitali, firewall, vulnerabilità tecniche da chiudere come si tappano falle in uno scafo. La realtà degli ultimi mesi racconta qualcosa di diverso e di più scomodo. Quasi sempre, dietro un incidente grave, non c'è un bug. C'è una persona. Un dipendente dell'help desk convinto a cedere una credenziale, un collega che ha consegnato un token di single sign-on credendo di rispondere a una richiesta legittima, un fornitore il cui accesso è stato semplicemente ereditato dall'attaccante.
L'anello debole, insomma, ha un volto umano. Ma — e qui sta il punto su cui vale la pena fermarsi — è esattamente lo stesso volto che dovremmo mettere al centro di ogni sforzo di protezione.
I numeri raccontano un'accelerazione, non una parentesi
Prima di parlare di persone, mettiamo a fuoco la posta in gioco. Le sanzioni cumulate per violazioni del GDPR hanno superato i 7,1 miliardi di euro dal 2018, e più del 60% di quel totale è arrivato dopo gennaio 2023. Non è un'ondata che si esaurisce: è una marea che sale. Per chi guida un'organizzazione, questo significa che il rischio sanzionatorio non è più un evento raro e clamoroso, ma una condizione di fondo del fare impresa.
Eppure le cifre, da sole, rischiano di essere fuorvianti. Concentrarsi sull'importo della multa è come guardare il cartellino del conto senza chiedersi cosa abbiamo ordinato. Le sanzioni più pesanti — pensiamo ai casi che hanno coinvolto le grandi piattaforme, dai trasferimenti transfrontalieri al targeting pubblicitario — nascono quasi sempre da decisioni, processi e comportamenti. Da scelte fatte da qualcuno, da qualche parte. Anche quando l'esito è un numero a nove zeri, la causa prima è raramente tecnologica.
Quando chi vende sicurezza viene violato
Tra i casi recenti, alcuni andrebbero stampati e distribuiti nelle riunioni di direzione, non per spaventare ma per far ragionare.
Il primo è quasi una parabola. Un'azienda che vende protezione contro il furto d'identità è stata essa stessa violata. Non per una sofisticata catena di exploit, ma attraverso un attacco di voice phishing mirato all'account di un dipendente: una telefonata, la persona giusta, le parole giuste, e circa 900.000 record sono finiti nelle mani sbagliate. L'ironia è feroce, ma la lezione è seria: nessuna competenza tecnica, nessun posizionamento di mercato, nessun prodotto di sicurezza mette al riparo un'organizzazione se la sua superficie d'attacco più ampia — le persone — non viene considerata parte integrante della difesa.
Il secondo caso riguarda una grande piattaforma educativa colpita da un'estorsione. L'azienda ha pagato il riscatto e ha ottenuto in cambio una promessa. Ma i dati di centinaia di milioni di studenti e membri dello staff erano già stati copiati. Qui la riflessione è quasi filosofica: pagare per riavere indietro qualcosa che è già stato duplicato non è recuperare il controllo, è comprare una rassicurazione. E una rassicurazione non è una protezione. Il fatto che un'organizzazione si convinca che un incidente sia "chiuso" non è la prova che lo sia davvero.
Il terzo caso ci porta sul terreno della responsabilità di lungo periodo. Un'autorità statale americana ha citato in giudizio una nota società di test genetici per una violazione che aveva esposto i dati di quasi sette milioni di persone, ottenuti dagli attaccanti compromettendo poche migliaia di account. L'accusa non riguarda solo la mancata protezione, ma anche l'aver fuorviato i clienti su quanto accaduto. E c'è un dettaglio che dovrebbe far riflettere chiunque tratti dati sensibili: nel frattempo la società era passata attraverso una procedura concorsuale. I dati genetici, però, restano. Non scadono con il bilancio. Questo solleva una domanda che molte aziende preferiscono non porsi: cosa succede ai dati che custodiamo quando noi non ci saremo più nella forma attuale?
L'errore di trattare le persone come un rischio da gestire
A questo punto la tentazione, per molte organizzazioni, è prevedibile: se il problema sono le persone, allora "blindiamole". Più controlli, più restrizioni, più formazione obbligatoria da spuntare in un modulo, più simulazioni di phishing trasformate in pagelle. È una reazione comprensibile. È anche, in gran parte, un errore di prospettiva.
Trattare i dipendenti unicamente come una fonte di rischio produce un effetto collaterale silenzioso: le persone smettono di collaborare e iniziano a proteggersi. Chi teme di essere punito per un errore tende a non segnalarlo. E un incidente non segnalato è infinitamente più pericoloso di un incidente comunicato in tempo. La compliance costruita sulla paura genera opacità, ed è proprio l'opacità il terreno su cui prosperano le violazioni che poi diventano sanzioni.
C'è una differenza sottile ma decisiva tra il considerare l'essere umano l'anello debole e il considerarlo il fattore principale da proteggere. La prima visione porta a costruire muri contro le persone. La seconda porta a costruire condizioni intorno alle persone perché possano fare la cosa giusta senza eroismi. La normativa europea, del resto, va in questa direzione quando parla di protezione fin dalla progettazione e per impostazione predefinita: non chiede di rendere infallibili gli individui, chiede di disegnare sistemi in cui un singolo errore umano non si traduca automaticamente in una catastrofe collettiva.
Le domande che vale la pena portarsi in riunione
Non esistono ricette universali, e diffidate di chi ve le vende confezionate. Ma esistono domande che, poste con onestà ai propri tavoli decisionali, valgono più di qualsiasi soluzione preconfezionata.
La prima: nella nostra organizzazione, un dipendente che si accorge di aver commesso un errore — un click sbagliato, una credenziale forse compromessa — quanto tempo impiega a segnalarlo, e cosa si aspetta che gli accada se lo fa? La risposta a questa domanda dice più sul nostro reale livello di sicurezza di qualsiasi audit tecnico.
La seconda: i nostri processi presuppongono che le persone siano sempre attente, sempre lucide, sempre informate? Perché se è così, abbiamo progettato per un mondo che non esiste. Le persone sono stanche, distratte, sotto pressione, ingannabili. Un buon sistema non è quello che pretende l'eccellenza costante, ma quello che regge anche quando l'eccellenza viene meno.
La terza, forse la più scomoda: quanti dei dati che custodiamo ci servono davvero, e per quanto tempo? Ogni dato conservato oltre la sua utilità è un peso che qualcuno, un giorno, dovrà difendere. La protezione più efficace di un dato è spesso la decisione, presa per tempo, di non averlo più.
Una responsabilità che non si delega
Chi amministra un'azienda sa che certe responsabilità non si possono esternalizzare. Si può affidare a terzi l'infrastruttura, la consulenza, persino una parte degli adempimenti formali. Ma la cultura con cui un'organizzazione tratta le persone — i propri dipendenti e gli individui di cui custodisce i dati — resta una responsabilità di chi guida.
Gli incidenti degli ultimi mesi non raccontano il fallimento della tecnologia. Raccontano cosa accade quando dimentichiamo che dietro ogni dato c'è una persona, e dietro ogni difesa c'è un'altra persona che può sbagliare. La domanda, allora, non è come eliminare l'errore umano: non si può. È come costruire organizzazioni in cui l'errore di uno non diventi il disastro di tutti, e in cui chi sbaglia possa dirlo prima che sia troppo tardi.
L'anello debole ha un volto. Forse è arrivato il momento di smettere di chiederci come rinforzarlo, e iniziare a chiederci come prendercene cura.