Il 91% degli attacchi informatici inizia con un'email di phishing. Non con un hacker incappucciato che buca il firewall: con un'email che sembra arrivare dal corriere, dalla banca, dal capo. E il dipendente ci clicca. Non perché sia stupido, ma perché nessuno gli ha mai insegnato a riconoscere il pericolo. La formazione cybersecurity dei dipendenti non è un optional: è il primo firewall della tua azienda. Noi di BullTech Informatica, da Vimercate (MB) dal 2009, abbiamo formato oltre 2.000 dipendenti di PMI lombarde e vediamo i numeri: le aziende che investono in formazione riducono gli incidenti del 70%. Questa guida ti spiega come fare, quanto costa e come misurare i risultati.
Perché la formazione è il primo firewall
Puoi avere il firewall più costoso del mondo, l'antivirus migliore, il SIEM più sofisticato. Ma se il tuo commerciale clicca su “Conferma il tuo pacco DHL” e inserisce le credenziali aziendali in una pagina fake, hai perso. Il fattore umano è responsabile del 74% delle violazioni di dati (Verizon DBIR 2025). Non è un'opinione: è statistica.
Il problema è che la maggior parte delle PMI tratta la cybersecurity come un problema tecnologico. Compra hardware, compra software, compra servizi gestiti. Ma non forma le persone che usano quella tecnologia ogni giorno. È come comprare un'auto con 10 airbag e poi non mettere la cintura.
I dati del Clusit 2025 parlano chiaro: le PMI italiane con un programma di security awareness attivo hanno subito il 68% di incidenti in meno rispetto a quelle senza. Il costo medio di un incidente cyber per una PMI italiana è 42.000 euro (tra fermo attività, ripristino, sanzioni e danni reputazionali). Un programma di formazione costa 1.500-3.500 euro all'anno per 30 dipendenti. I conti li fai tu. Per un quadro completo dei servizi di protezione, dai un'occhiata alla nostra pagina sulla cybersecurity per aziende a Milano e Lombardia.
NIS2 e formazione: non è più facoltativo
Se la tua azienda rientra nel perimetro della Direttiva NIS2 (e dal 2026, con l'ampliamento dei settori, ci rientrano molte più PMI di quanto pensi), la formazione cybersecurity dei dipendenti è un obbligo di legge. L'articolo 21 della NIS2, recepito in Italia con il D.Lgs. 138/2024, richiede esplicitamente “pratiche di igiene informatica di base e formazione in materia di cybersicurezza”.
E non basta un corso una tantum fatto nel 2019. La normativa richiede formazione continuativa e documentata. Devi poter dimostrare all'autorità competente (ACN in Italia) che i tuoi dipendenti ricevono formazione regolare e che ne misuri l'efficacia. Le sanzioni per inadempienza arrivano fino a 10 milioni di euro o il 2% del fatturato globale. Non è uno scherzo.
Attenzione: la NIS2 responsabilizza il management
La NIS2 prevede che la responsabilità personale ricada sugli organi direttivi dell'azienda. Se non hai un programma di formazione documentato e subisci un incidente, il titolare o l'amministratore delegato può essere chiamato a rispondere personalmente. Non delegare: informati e agisci.
Phishing simulation: il cuore della formazione
Le slide su “non cliccare link sospetti” funzionano quanto i cartelli “attenti al cane”: tutti li vedono, nessuno ci fa caso. La phishing simulation è diversa: mandi ai tuoi dipendenti email di phishing finte (ma realistiche) e vedi chi ci casca. Chi clicca riceve immediatamente un micro-training di 2-3 minuti che spiega cosa avrebbe dovuto notare.
Funziona perché è esperienziale: il dipendente non ascolta una lezione teorica, ma vive la situazione in prima persona. L'effetto emotivo (“cavolo, ci sono cascato!”) fissa il ricordo molto meglio di qualsiasi slide. I dati lo confermano: dopo 6 mesi di simulazioni mensili, il tasso di click su email di phishing scende dal 30-35% al 5-8%. Dopo 12 mesi si stabilizza sotto il 3%.
Le piattaforme più usate per le phishing simulation sono KnowBe4 (leader di mercato, oltre 70.000 clienti), Proofpoint SAT (ex Wombat, ottimo per enterprise), Hornetsecurity (buon rapporto qualità/prezzo per PMI europee) e Sophos Phish Threat (se hai già prodotti Sophos). I costi vanno da 20 a 50 euro per utente all'anno.
Programma formativo 12 mesi: il modello che funziona
Ecco il programma formativo che implementiamo per i nostri clienti in BullTech. È basato su 12 mesi di cicli formativi, testato su oltre 40 aziende, e produce risultati misurabili entro 90 giorni.
| Mese | Attività | Tipo | Durata |
|---|---|---|---|
| 1 | Kick-off: assessment iniziale + prima phishing simulation | Simulazione + Survey | 2h setup |
| 2 | Modulo: riconoscere il phishing (email, SMS, chiamate) | E-learning + Simulazione | 15 min/utente |
| 3 | Modulo: password sicure e MFA | E-learning + Simulazione | 15 min/utente |
| 4 | Sessione in presenza: social engineering e casi reali | Workshop dal vivo | 1h |
| 5 | Modulo: sicurezza del lavoro remoto e Wi-Fi | E-learning + Simulazione | 15 min/utente |
| 6 | Modulo: gestione dati sensibili e GDPR | E-learning + Simulazione | 15 min/utente |
| 7 | Report semestrale + phishing avanzato (spear phishing) | Report + Simulazione | Automatico |
| 8 | Modulo: truffe BEC e frodi finanziarie | E-learning + Simulazione | 15 min/utente |
| 9 | Modulo: sicurezza dispositivi mobili | E-learning + Simulazione | 15 min/utente |
| 10 | Sessione in presenza: incident response per dipendenti | Workshop dal vivo | 1h |
| 11 | Modulo: ransomware e backup personale | E-learning + Simulazione | 15 min/utente |
| 12 | Report annuale + assessment finale + piano anno successivo | Report + Survey | Automatico |
Il segreto è la costanza. Non un megacorso di 8 ore una volta all'anno che tutti dimenticano il giorno dopo. Ma pillole formative di 10-15 minuti ogni 2-4 settimane, intervallate da simulazioni di phishing che tengono alta l'attenzione. Il cervello impara per ripetizione, non per immersione.
Costi reali della formazione cybersecurity
Parliamo di soldi. Ecco cosa costa davvero un programma di security awareness per una PMI, senza sorprese.
| Voce di costo | 10 dipendenti | 30 dipendenti | 50 dipendenti |
|---|---|---|---|
| Piattaforma (annuale) | 200-500 € | 600-1.500 € | 1.000-2.500 € |
| Setup iniziale | 300-500 € | 500-800 € | 800-1.200 € |
| 2 sessioni in presenza | 800-1.000 € | 1.000-1.500 € | 1.200-2.000 € |
| Gestione mensile MSP | 100-200 €/mese | 200-400 €/mese | 300-600 €/mese |
| Totale anno 1 | 2.500-4.000 € | 4.500-8.000 € | 7.000-12.000 € |
Per darti un metro di paragone: il costo medio di un singolo incidente ransomware per una PMI italiana è 42.000 euro. Il costo di una violazione dati con sanzione GDPR parte da 20.000 euro. La formazione costa meno di un singolo incidente evitato.
Come misurare i risultati: i 4 KPI fondamentali
“Quanto funziona?” è la domanda che ti fa il titolare. E devi avere numeri, non sensazioni. Ecco i quattro KPI che tracciamo per ogni cliente.
I 4 KPI della security awareness
- 1. Phishing Click Rate — Percentuale di dipendenti che clicca sul link nella simulazione di phishing. Baseline tipica: 25-35%. Obiettivo a 6 mesi: sotto il 10%. Obiettivo a 12 mesi: sotto il 5%. Se sei sopra il 5% dopo 12 mesi, qualcosa nel programma non funziona.
- 2. Phishing Report Rate — Percentuale di dipendenti che segnala correttamente l'email sospetta (tramite il pulsante “Report Phishing” in Outlook). Baseline: 5-10%. Obiettivo a 12 mesi: sopra il 70%. Questo è il KPI più importante: non basta non cliccare, bisogna segnalare.
- 3. Tempo medio di segnalazione — Quanto passa tra la ricezione dell'email di phishing e la segnalazione. Obiettivo: sotto i 10 minuti. Più veloce la segnalazione, più veloce la risposta del team security.
- 4. Tasso di completamento moduli — Percentuale di dipendenti che completa i moduli formativi entro la scadenza. Obiettivo: sopra il 90%. Se il tasso è basso, i moduli sono troppo lunghi, troppo noiosi o il management non li supporta.
Le piattaforme come KnowBe4 e Hornetsecurity generano dashboard automatiche con tutti questi KPI, confronti nel tempo e benchmark di settore. Puoi presentare il report mensile al CDA in 2 minuti. E quando arriva l'auditor NIS2, hai tutto documentato.
I 5 errori che vediamo più spesso
1. Il corso da 8 ore una volta all'anno. Nessuno lo segue, tutti lo dimenticano. La formazione deve essere breve, frequente e pratica. Meglio 15 minuti ogni 2 settimane che 8 ore a gennaio.
2. Punire chi clicca sul phishing. Se punisci chi sbaglia, i dipendenti smettono di segnalare. E il phishing non segnalato è molto peggio del phishing su cui qualcuno ha cliccato. La formazione deve essere un “gioco di squadra”, non un esame.
3. Non coinvolgere il management. Se il direttore commerciale non fa i moduli formativi perché “non ha tempo”, nessuno li farà. Il management deve essere il primo a completare la formazione e a parlarne. L'esempio viene dall'alto.
4. Contenuti generici in inglese. Se i tuoi dipendenti parlano italiano, la formazione deve essere in italiano, con esempi italiani (email dell'Agenzia delle Entrate, SMS delle Poste, PEC fasulle). Le piattaforme serie offrono contenuti localizzati.
5. Non misurare i risultati. Se non tracci i KPI, non sai se la formazione funziona. E quando il titolare ti chiede “ma serve davvero?”, non hai niente da mostrargli. Traccia tutto, dal primo giorno.
BullTech gestisce la formazione per te
Noi di BullTech offriamo programmi completi di security awareness: piattaforma, configurazione, phishing simulation mensili, sessioni in presenza, reportistica NIS2-ready. Partiamo da 25 euro per dipendente al mese tutto incluso. Chiamaci al 039 6099 023 o scrivici.
Se vuoi un quadro completo su come proteggere la tua azienda oltre alla formazione, approfondisci il nostro servizio di sicurezza informatica aziendale.