comprova
← Risorse
formazionemetodologiaNIS2Art. 21.g

Formazione efficace sulla sicurezza informatica

Perché il corso una-tantum non funziona. Spaced repetition, micro-moduli mensili, evidenze di completamento per NIS2 Art. 21.g e ISO Annex A.6.

Claudio Bertani

Molte aziende credono di aver assolto all'obbligo di formazione in materia di sicurezza informatica prenotando un corso di mezza giornata una volta all'anno. È la scelta più semplice da mettere a calendario, e anche la più facile da raccontare in fase di audit: una data, un'aula, un elenco di firme. Il problema è che non funziona — né per la sicurezza reale dell'organizzazione, né per la compliance NIS2. La ricerca sull'apprendimento dice da oltre un secolo qualcosa di diverso, e l'auditor, oggi, chiede tracce più solide di un foglio firme. Questo articolo raccoglie metodologia ed evidenze richieste in un unico riferimento.

Perché il corso una-tantum fallisce

Il formato dominante nelle PMI italiane è il corso annuale: 4-8 ore concentrate in una sessione unica, spesso in aula, con un attestato finale a chiusura. Funziona sulla carta dell'adempimento, ma non costruisce comportamenti.

Il motivo è strutturale, non di motivazione. Nel 1885 lo psicologo tedesco Hermann Ebbinghaus pubblicò Über das Gedächtnis, in cui documentò un fenomeno oggi ben noto: gli esseri umani dimenticano gran parte di ciò che hanno imparato entro le prime ore, a meno che le informazioni non vengano rinforzate nel tempo. La cosiddetta "curva dell'oblio" descrive un decadimento rapido: una quota significativa del contenuto è già persa entro 24 ore, e dopo una settimana, in assenza di richiami, resta una frazione minima di ciò che era stato appreso.

Tradotto in formazione di sicurezza informatica: un dipendente formato a gennaio sul riconoscimento del phishing arriva a marzo con una preparazione molto inferiore a quella post-corso, e ad ottobre — quando arriva l'email truffaldina ben confezionata — di quel corso ricorda quasi nulla.

Il falso senso di sicurezza

C'è un effetto collaterale meno discusso. Il corso una-tantum produce, nell'organizzazione, l'illusione di aver risolto il problema. La casella "formazione del personale" risulta spuntata, e questo riduce l'attenzione sulle misure complementari: simulazioni di phishing, comunicazioni interne ricorrenti, refresh sui temi caldi del momento. Il risultato è una superficie d'attacco che resta ampia per 11 mesi su 12, con la falsa percezione di essere coperti.

Spaced repetition — la ricerca sull'apprendimento

La risposta metodologica al decadimento della memoria non è nuova. La ricerca in psicologia dell'apprendimento ha consolidato negli ultimi decenni un principio che va sotto il nome di spaced repetition (ripetizione distanziata): le informazioni rivisitate a intervalli crescenti nel tempo si fissano in modo molto più stabile rispetto allo studio massivo concentrato in un'unica sessione.

Il meccanismo è documentato in contesti molto diversi: apprendimento delle lingue, formazione medica, addestramento militare, educazione scolastica. In ognuno di questi ambiti la conclusione è la stessa: a parità di ore totali investite, distribuire le sessioni dà risultati significativamente migliori del concentrarle.

Perché funziona

Ogni richiamo costringe il cervello a recuperare l'informazione dalla memoria a lungo termine. Quel recupero attivo, ripetuto a distanza, è ciò che consolida la traccia. Il fenomeno è noto in letteratura anche come testing effect: il momento di verifica (un quiz, una domanda di richiamo) è didatticamente più potente della rilettura passiva.

Applicazioni educative

Le piattaforme di apprendimento moderne — dalle lingue (Anki, Duolingo) alla formazione professionale continua — sono costruite attorno a questo principio. Il pattern è ricorrente: sessioni brevi, frequenti, con un momento di verifica attiva al termine, e con i contenuti che ritornano a distanza calibrata. Nello stesso modo si può progettare un percorso di formazione in materia di sicurezza informatica per i dipendenti di una PMI.

Micro-moduli mensili

La traduzione operativa dei due principi precedenti è un formato semplice: micro-moduli mensili.

Il formato

Ogni mese, una sessione breve — indicativamente 15-20 minuti — su un tema specifico. Non quattro ore una volta l'anno, ma dodici brevi appuntamenti distribuiti su dodici mesi. Lo sforzo totale del dipendente è comparabile, ma l'efficacia è strutturalmente diversa.

Topic ricorrenti

Una rotazione tipica copre i temi ad alta frequenza di attacco e li riprende a distanza:

  • Phishing e ingegneria sociale
  • Gestione delle password e autenticazione a più fattori
  • Sicurezza dei dispositivi (laptop, smartphone, supporti rimovibili)
  • Gestione delle informazioni e classificazione dei dati
  • Comportamento davanti a un incidente — chi avvisare, cosa non fare
  • Lavoro da remoto e reti pubbliche
  • Aggiornamenti, patch, software non autorizzato
  • Riconoscimento di tentativi di frode interna ed esterna

I temi non si esauriscono: ritornano nel ciclo successivo con angolature diverse e con esempi aggiornati alle minacce dell'anno in corso.

Quiz brevi a chiusura

Ogni modulo si chiude con un momento di verifica attiva: cinque-otto domande a risposta multipla, soglia di superamento esplicita (tipicamente 70–80%). Non è un esame, è il meccanismo che attiva il testing effect: il dipendente recupera attivamente quanto appena visto, e quel recupero è ciò che consolida la memoria. La soglia serve anche al management: chi non passa rifà il modulo, e il sistema lo sa.

Certificazione progressiva

Alla fine dell'anno, la somma dei micro-moduli completati produce una certificazione annuale. Non un attestato astratto, ma il risultato verificabile di dodici passaggi documentati. È il modello che ha più senso anche dal punto di vista dell'audit, come si vede nella sezione seguente.

Copertura management separata

Il management ha obblighi formativi distinti — in particolare l'Art. 20 della NIS2, che parla di formazione specifica per l'organo direttivo sulla gestione del rischio. Il percorso management è quindi un secondo binario, parallelo a quello del personale, con temi propri (governance del rischio, responsabilità personali dei dirigenti, notifica incidenti) e una propria cadenza.

Evidenze di completamento per audit

La formazione efficace è quella che cambia i comportamenti. La formazione dimostrabile è quella che lascia tracce pulite all'auditor. Le due cose devono coincidere: un programma ben fatto produce naturalmente le evidenze giuste, senza bisogno di costruirle ex-post.

Cosa chiede la normativa

L'Art. 21.g della Direttiva NIS2 (recepito nell'Art. 24 del D.Lgs. 138/2024) richiede esplicitamente "pratiche di igiene informatica di base e formazione in materia di sicurezza informatica". L'Annex A della ISO/IEC 27001:2022 organizza i controlli in quattro temi (Organizational, People, Physical, Technological): il controllo A.6.3 ("Information security awareness, education and training"), nel tema People, richiede che il personale riceva e mantenga aggiornata una formazione adeguata al ruolo. Né NIS2 né ISO 27001 prescrivono una frequenza fissa, ma entrambe richiedono che la formazione sia periodica, documentata, e verificabile.

Cosa chiede l'auditor in pratica

In un'ispezione ACN o in un audit ISO il valutatore non si accontenta di una dichiarazione generica. Le domande tipiche sono tre, e vanno tutte risposte con prove documentali:

  • Chi-quando-cosa: chi ha completato quale modulo, in che data. Si chiede un registro nominativo, non un riepilogo aggregato.
  • Prova del superamento del quiz: non basta che il dipendente abbia "partecipato". Serve la traccia che la verifica finale sia stata superata, con esito e soglia esplicita.
  • Freschezza temporale: un attestato datato 18 mesi fa non dimostra che la persona è formata oggi. L'auditor guarda la data dell'ultimo completamento e la confronta con la cadenza dichiarata nella policy interna.

Cosa deve esserci in archivio

Per rispondere a queste domande senza scavare nelle email, l'organizzazione deve conservare per ogni dipendente e per ogni modulo:

  • Attestato di completamento con timestamp non modificabile e, idealmente, hash crittografico (es. SHA-256) che ne certifichi l'integrità.
  • ID univoco del record di completamento, riferibile in modo non ambiguo alla persona, al modulo, alla data.
  • Log di accesso e di interazione — quando il modulo è stato aperto, quanto è durato, quando il quiz è stato superato e con quale punteggio.
  • Evidenza dei rinnovi — la storia dei completamenti precedenti, per dimostrare la continuità del percorso negli anni.
  • Riferimento normativo esplicito — quale articolo (es. NIS2 Art. 21.g) o controllo (es. ISO A.6.3) il modulo copre.

Il principio: la formazione efficace lascia tracce pulite

L'errore ricorrente è trattare la formazione e le evidenze come due workflow separati: prima si fa formare il personale, poi qualcuno raccoglie i fogli firme. È un modello fragile, che si rompe al primo cambio di responsabile e che produce documentazione disomogenea.

Il modello sostenibile è opposto: la piattaforma di formazione è anche il sistema di evidenze. Ogni completamento genera, nello stesso momento, l'attestato firmato con hash, l'aggiornamento del registro nominativo, l'incremento del contatore dei completamenti del mese. Quando arriva l'auditor, non c'è una raccolta da fare: c'è un Audit Pack da esportare. È questa la differenza tra "abbiamo fatto la formazione" e "possiamo dimostrare la formazione" — e in NIS2, come in ISO 27001, conta la seconda.

Il modulo Formazione di Comprova è costruito su questa logica: micro-moduli mensili, quiz a chiusura con soglia esplicita, e per ogni completamento un attestato firmato con hash SHA-256, registro nominativo aggiornato in tempo reale, mappatura esplicita al controllo coperto (NIS2 Art. 21.g, ISO A.6.3) — pronto per finire nell'Audit Pack.