L’errore umano resta uno dei punti deboli della difesa informatica: come noto, una percentuale importante degli incidenti nasce proprio da una disattenzione, davanti a una mail di phishing, un clic sbagliato, una password debole. In un contesto in cui le aziende investono sempre di più in soluzioni tecnologiche avanzate, gli attaccanti hanno affinato le proprie strategie puntando proprio sulle persone e attuando tecniche di attacco in rapida evoluzione grazie a tecnologie innovative come i deepfake. Per questi motivi la consapevolezza è diventata la prima linea di difesa ed è sempre più importante investire in programmi strutturati di security awareness.

È in questo scenario che Cyber Guru si è affermata come una delle realtà pioniere della formazione cyber in Italia, grazie allo sviluppo di una piattaforma che punta a correggere i comportamenti degli utenti. Cyber Guru ha il merito di avere anticipato i tempi, proponendo percorsi formativi che uniscono conoscenza, percezione del pericolo e prontezza di risposta, attraverso metodologie che spaziano dalla formazione cognitiva all’apprendimento esperienziale e induttivo. Per comprendere l’evoluzione della security awareness e le nuove tecniche di apprendimento sviluppate dal vendor, SecurityOpenLab ha intervistato Vittorio Bitteleri, Country Manager di Cyber Guru.

Vittorio Bitteleri, Country Manager di Cyber Guru

Ascoltare il mercato

Cyber Guru, sottolinea il Country Manager, è cresciuta rapidamente: “siamo partiti come startup e abbiamo ottenuto numerosi riconoscimenti di crescita” grazie a indicazioni chiare da parte del fondatore Gianni Baroni e a un cocktail di esperienze e competenze creato da tutto il team. Con un pizzico di orgoglio, Bitteleri sottolinea che l’azienda è partita “quando la security awareness era agli albori e oggi, con un vantaggio competitivo importante, stiamo dettando i paletti di riferimento del settore. Vediamo molte aziende che oggi riprendono concetti che noi portiamo avanti da anni”.

Un punto di svolta importante è stato il secondo round di finanziamento, ottenuto a fine ottobre 2024: “avere investitori americani e francesi che puntano 23 milioni di euro su una realtà italiana di cybersecurity non è affatto scontato”, ha sottolineato Bitteleri, che prosegue rimarcando come “questi fondi ci permettono di guardare all’espansione internazionale, con la Francia che è il primo step, seguita dalla Spagna”. Un ruolo chiave spetta anche all’acquisizione della francese Mantra, “che porta nuove frecce al nostro arco: funzionalità che prima non avevamo e che ora arricchiscono la nostra offerta di security awareness, rendendola ancora più unica sul mercato”.

Compliance normativa

Uno dei temi del momento è fuori di dubbio la compliance normativa, in questo caso declinata in materia di formazione cyber, dato che sia NIS2 che DORA impongono obblighi stringenti di aggiornamento e sensibilizzazione per tutto il personale, dai collaboratori ai vertici aziendali. A questo proposito Bitteleri sottolinea che “anche i più reticenti a investire sull’awareness devono occuparsene con l’entrata in vigore del nuovo regolamento NIS2”, che chiama in causa un numero stimato tra le 30 e le 40 mila aziende, più tutta la supply chain.

Il nuovo regolamento, sottolinea Bitteleri, contiene infatti “due articoli che vanno chiaramente a esplicitare la necessità, in alcuni casi l’obbligatorietà, di fare formazione ai dipendenti e - novità importante - anche al board dell’azienda”. Inoltre, il Country Manager ricorda che un aspetto cruciale riguarda la responsabilità non delegabile: da oggi chi è a capo dell’azienda deve necessariamente acculturarsi su queste tematiche. A tale riguardo Bitteleri ricorda che la sensibilità verso la compliance è sempre stata centrale per Cyber Guru: “essendo il nostro mercato iniziale quello italiano, abbiamo dato molta enfasi alla parte istituzionale. Ci siamo da subito riferiti alle normative e alle indicazioni del Legislatore: oggi ci sono regolamentazioni molto chiare, per esempio per la Pubblica Amministrazione e per l’uso dei servizi cloud. L’accreditamento in ACN che quest’anno andremo a rinnovare per il terzo anno consecutivo per noi è un elemento qualificante”. Certo, richiede molto impegno sia in termini di effort sia di risorse economiche perché le indicazioni sono sempre più stringenti, ma – rimarca Bitteleri – “è un elemento di cui ci pregiamo sul mercato e che, in particolare nella PA, ha una notevole valenza”.

Sul tema della NIS2 il manager auspica che “chi è coinvolto non porti avanti l’impegno solo per spuntare una check box, ma che comprenda la reale importanza di ciò che viene richiesto dalla normativa e che è effettivamente necessario […] Noi abbiamo predisposto un percorso formativo specifico nella nostra offerta - si chiama Board Training NIS2 - sia per la parte pubblica, quindi la PA, sia per la parte privata. A breve sarà disponibile anche quello per DORA”.

Per realizzare questi percorsi, Cyber Guru ha creato quello che Bitteleri definisce “un team multidisciplinare che ci ha aiutato a recepire i contenuti degli articoli”, in collaborazione con uno studio legale e con alcuni decisori che si sono prestati a comprendere come declinare contenuti adeguati anche per board e prime linee apicali, sul piano del livello di preparazione culturale, con il risultato di ottenere “un percorso formativo costruito su misura”. Per promuovere l’iniziativa, Cyber Guru ha organizzato un webinar informativo a cui hanno aderito oltre 500 iscritti: insieme alle copiose domande che sono pervenute e alla concretizzazione di moltissime opportunità di business nel primo trimestre, è una conferma dell’interesse che il mercato dimostra verso il recepimento della normativa.

La formazione quindi sarà efficace? Bitteleri non si tira indietro: “la legge attuativa parte a marzo 2026 […] qualcuno pensa basti il corso in aula, ma la sensazione è che la consapevolezza sui rischi cyber stia effettivamente scalando a tutti i livelli aziendali”.

La struttura dei corsi

L’accenno al corso in aula richiama ovviamente a un approfondimento sul metodo di insegnamento di Cyber Guru. “Io ormai inizio a chiamarla più che formazione, addestramento” esordisce Vittorio Bitteleri, “perché in realtà quello che noi proviamo a fare è stimolare le situazioni di vita reale che ci accadono tutti i giorni, in una modalità addestrativa. Finché non lo tocchi con mano, finché non ci picchi la testa, non ne hai percezione”.

In questa visione, Bitteleri spiega come l’addestramento sia “organizzato attraverso il machine learning, con difficoltà incrementali sulla base dell’effettiva competenza e capacità di ogni singolo dipendente, così che riusciamo ad addestrare le persone agli eventi quotidiani”. L’obiettivo ultimo, sottolinea, “è provare a far cambiare i comportamenti e gli atteggiamenti. Non voglio dire che dobbiamo arrivare a pensare che è tutto finto tranne quello che ho verificato, ma quella è la strada: uno Zero Trust, soprattutto davanti a situazioni troppo strane, troppo particolari. In quel momento bisogna fermarsi, alzare le mani e metterci la testa”.

È questo il tipo di lavoro che svolge Cyber Guru, mettendo in campo una serie di metodologie che si auspica facciano comprendere alle persone il rischio cyber. Però, ammonisce Bitteleri, “non c’è la soluzione che regala l’immunità dagli attacchi: è un percorso lento, anche perché oggi gli attaccanti creano attacchi molto sofisticati, molto precisi, molto credibili”. In questo frangente è difficile non chiamare in causa l’AI, che Bitteleri definisce “un altro tema abbastanza preoccupante”, tant’è vero che “a brevissimo sarà disponibile una piattaforma con LLM che il cliente può alimentare con contenuti proprietari e certificati, o con i nostri contenuti, ma soprattutto con policy e specificità di ogni singolo cliente. In questo modo, l’utente che ha una problematica specifica di cybersecurity potrà, interagendo con l’LLM, ricevere risposte secondo best practice e policy aziendali certificate. Per esempio: ho perso il telefonino, cosa devo fare?”. Si tratta di un progetto importante che si basa sull’idea di creare un percorso formativo bidirezionale: l’e-learning tradizionale, in parallelo con qualcosa in cui l’utente possa, attraverso una chat basata su LLM, interloquire su una base dati certificata”.

Prosegue inoltre il lavoro con la formazione induttiva, erogata attraverso delle mini serie TV in cui il protagonista commette gli stessi errori che a volte facciamo anche noi e il cui finale è sempre funesto per essere disincentivante. Il Country Manager assicura che “funziona molto bene perché permette alle persone di immedesimarsi e di capire che certi errori possono capitare a chiunque. La strada è quella di continuare a sensibilizzare, con strumenti sempre più coinvolgenti”.

In conclusione, l’attività formativa di Cyber Guru fonda su tre pilastri fondamentali: un modulo di phishing con cui l’utente viene bombardato nella speranza che, cadendo nel tranello, capisca che cosa non deve fare; un modulo cognitivo per spiegare i concetti e un modulo in cui vengono mostrate storie di vita reale per capire che cosa potrebbe accadere. “È la combinazione di queste tre tecniche apprenditive che ci permette di trasformare, anche se di poco, i comportamenti delle persone, renderli più consapevoli e attenti davanti alle minacce”.

Il ruolo del canale

Bitteleri spiega infine la politica commerciale di Cyber Guru, che è esclusivamente indiretta: la piattaforma è erogata in modalità managed, dagli MSP, “perché crediamo fortemente nella capillarità della rete di rivenditori e dei system integrator. Un servizio come quello della formazione in ambito cybersecurity si sposa perfettamente con i servizi che queste aziende portano sul mercato, perché lo possono arricchire e personalizzare rispetto a tutte quelle specificità che si trovano nei diversi contesti”.

L’approccio continua, anzi, si rafforza con la compliance normativa, come spiega Bitteleri: “con NIS2 stiamo già vedendo un giusto mix che consente di avere veramente una joint initiative completa con questi partner, con i quali stiamo già lavorando tanto”.