Prefazione: Mea culpa (ma non troppo)

Cari e affezionati lettori - o dovrei dire superstiti - eccoci ancora qui.
È un nuovo anno, lo champagne è (forse) smaltito, e l’antivirus sta ancora aggiornando le firme del 2020.

Prima di cominciare, sento il dovere morale di chiedere scusa.
Scusa per le intemperanze linguistiche, per il sarcasmo tagliente, per l’ironia un po’ troppo affilata, per i paragoni impropri e per le metafore che avrebbero fatto arrossire persino Socrate.

Prometto, solennemente, che nel 2026… sarà peggio.

Sì, avete letto bene.
Perché se siete ancora qui a leggere Se non lo sai, sallo, un motivo ci sarà.
E no, non è l’amore per la verità.
È puro, onesto, limpido masochismo intellettuale.

Ma tranquilli: vi capisco.
Anch’io continuo a scrivere, ogni anno, con la stessa illusione che qualcosa possa cambiare.
Spoiler: non cambia niente, ma almeno ci facciamo due risate.

Nel 2025 abbiamo assistito a tutto ciò che la ragione umana poteva temere:

• L’intelligenza artificiale usata per scrivere mail di phishing più convincenti del marketing aziendale
• Il legislatore europeo che continua a produrre acronimi a ciclo continuo (DORA, NIS2, CRA, e tra poco probabilmente anche BORA, l’unico che ci mancava),
• I manager che fanno “piani di sicurezza” copiando da PowerPoint del 2017
• utenti che ancora scrivono “password” come password

Eppure, malgrado tutto, eccoci qui.
Io scrivo, voi leggete, e da qualche parte, un firewall piange.

Quindi sì: mi scuso, ma non mi pento.
Perché se c’è una cosa che ho imparato in questi anni di cyber-sofferenza è che la verità, detta con ironia, fa più male di un attacco ransomware ben riuscito.

Benvenuti, miei cari masochisti della sicurezza.
Il 2026 è cominciato.
E io, armato di sarcasmo, ironia e un manuale di sopravvivenza, sono pronto a fare il punto su un anno che ci ha regalato più “lezioni non apprese” che aggiornamenti di sistema.

Prologo – L’anno che fu (e che non capimmo nemmeno stavolta)

Il 2025 è stato l’anno della conferma: non abbiamo capito nulla nemmeno stavolta.
E la costanza, si sa, è una virtù.

Abbiamo parlato di intelligenza artificiale fino alla nausea,
abbiamo normato tutto tranne il buon senso,
abbiamo trasformato la parola resilienza nel nuovo “ciao”,
e qualcuno ancora pensa che basti “fare awareness” per evitare che l’azienda venga bucata da un allegato “fattura_finale_reale_definitiva_5.zip”.

Il 2025 è stato anche l’anno in cui abbiamo finalmente capito che il problema della sicurezza non è tecnologico, ma antropologico.
Non mancano le soluzioni: mancano le persone che le capiscono.

E non parlo solo degli utenti.
Parlo dei manager che decidono di tagliare il budget “perché tanto non è successo niente l’anno scorso”,
e del legislatore che confonde il malware con un marchio di scarpe.

Abbiamo visto AI generative scrivere policy migliori di quelle ministeriali,
aziende implementare “Zero Trust” senza fidarsi nemmeno del proprio CISO,
e campagne di phishing più convincenti dei piani di comunicazione ufficiali.

E in tutto questo, voi - lettori, professionisti, o semplici osservatori del disastro - siete rimasti lì, con la stessa espressione del gatto davanti al mouse: curiosi, ma incapaci di reagire.

Capitolo I – Il fantasma della consapevolezza passata

Ogni dicembre, puntuale come il panettone aziendale e la mail “Auguri dal CEO (clicca qui)”, si manifesta il Fantasma della Consapevolezza Passata.

<blockquote>“Abbiamo fatto il corso di awareness, quindi siamo tranquilli.”</blockquote>

Nel 2025, l’awareness è diventata il nuovo feng shui: tutti dicono di averla, nessuno sa davvero a cosa serve.
Abbiamo visto aziende spendere più per i video motivazionali che per l’analisi del rischio,
manager vantarsi dei risultati dei test di phishing (“solo il 30% ha cliccato!”),
e dipendenti che si complimentano tra loro per aver “riconosciuto” un attacco… dopo averci cliccato sopra, ma con consapevolezza.

La consapevolezza, cari miei, non è sapere che esiste il pericolo, ma capire che tu sei parte del pericolo.
E finché non ci arrivate, continuerete a chiamare “attacco sofisticato” qualunque cosa richieda più di due clic per essere evitata.

Nel 2025 abbiamo anche scoperto un nuovo sport nazionale: la colpevolizzazione preventiva.
Prima ancora che accada qualcosa, si scrive già il comunicato stampa:

<blockquote>“Abbiamo subito un attacco informatico senza precedenti.”</blockquote>

Senza precedenti? No. Senza cervello, forse.

 Capitolo II – Il presente della colpa manageriale

Il 2025 sarà ricordato come l’anno del “non è colpa mia”.
Una frase che ha echeggiato più delle notifiche di Teams.

Ogni incidente, ogni disastro, ogni falla è stata attribuita al destino, alla sfortuna, o a Saturno in opposizione.
Mai, dico mai, al management.

<blockquote>“Non potevamo prevederlo.” “Non c’erano segnali.” “È stato un attacco troppo sofisticato.”</blockquote>

Peccato che l’attacco fosse una mail con oggetto “Nuovo bonus natalizio” e allegato .zip.

Il problema non è la mancanza di strumenti.
È la mancanza di cervello strategico.
Abbiamo manager che pensano che la sicurezza sia un costo da tagliare, non un investimento da proteggere.

 Buon proposito per il 2026: spendete con criterio, non con paura.
Non aspettate l’attacco per capire che la sicurezza serve.
E ricordate: la colpa non è mai del destino. È di chi non ha pianificato.

Capitolo III – Il futuro della legge (se il legislatore si degna di leggere)

Nel 2025 il legislatore ha dato il meglio di sé.
Tra regolamenti, direttive, linee guida e decreti attuativi, la burocrazia digitale è diventata un labirinto dove persino il Minotauro ha perso la PEC.

Ogni mese, una nuova norma:

• la NIS2 “in fase di recepimento”
• la DORA “in fase di interpretazione”
• l’AI Act “in fase di sperimentazione”
• e la pazienza dei professionisti “in fase di esaurimento”

Il problema non è normare.
È non sapere cosa si sta normando.

Abbiamo visto regolatori scrivere articoli sull’AI senza capire come funziona un algoritmo,
parlare di “sicurezza by design” in sistemi che non hanno nemmeno un backup,
 imporre “trasparenza” a chi non distingue un log da un blog.

Buon proposito per il 2026: legiferare sapendo di cosa si parla.
Un corso base di informatica non farebbe male.
E magari, leggere qualche fascicolo di Se non lo sai, sallo.

Capitolo IV – Awareness o abitudine?

Nel 2025, l’awareness aziendale è diventata una routine.
Come la riunione del lunedì o la pausa caffè.
Si fa, perché si deve. Non perché serva.

Abbiamo dipendenti che sanno riconoscere un attacco solo perché il collega glielo ha detto,
e manager che si vantano:

<blockquote>“Da noi, tutti hanno fatto il corso!”</blockquote>

Peccato che nessuno l’abbia capito.

Il problema è che abbiamo trasformato la consapevolezza in abitudine.
E l’abitudine, si sa, è l’anticamera dell’errore.

 Buon proposito per il 2026: allenare il cervello, non solo il dito per cliccare “next”.

La consapevolezza non è un PDF con domande a crocette.
È un modo di pensare.
E se nel 2025 non ci siete riusciti, tranquilli: il 2026 è lungo.

 Capitolo V – Security, ROI e altri animali mitologici

<blockquote>“Quanto rende la sicurezza?”</blockquote>

Domanda numero uno del 2025.

Come dire: “Quanto guadagno se non mi schianto in macchina?”

La sicurezza non fa guadagnare.
Fa risparmiare guai.
Ma provate a spiegarlo a chi pensa che il rischio sia solo una parola in bilancio.

Nel 2025, Excel è stato usato più per giustificare tagli che per calcolare impatti.
Si sono inventati indici nuovi:
ROSI, ROAI, ROFL… ognuno più ridicolo del precedente.

 Buon proposito per il 2026: imparate a contare.
Non i soldi, ma le conseguenze.

Un attacco costa più di una soluzione.
Un disastro d’immagine costa più di un firewall.
E l’ignoranza, purtroppo, non è ancora fiscalmente deducibile.

 Capitolo VI – Il manager zen e la serenità apparente

Nel 2025 è nata una nuova figura: il manager zen della sicurezza.
Colui che ripete frasi tipo:

<blockquote>“La vera sicurezza è interiore.” “Dobbiamo essere proattivi spiritualmente.” “Zero trust è uno stato dell’anima.”</blockquote>

Sì, certo.
Peccato che gli hacker (achei? acari? accheccavolo?) non facciano meditazione, ma enumerazione di vulnerabilità.

Il manager zen è convinto che basti “pensare positivo” per evitare incidenti.
E quando accade l’inevitabile, sorride:

“Abbiamo imparato molto da questa esperienza.”

 Buon proposito per il 2026: fidatevi delle persone competenti, non delle buzzword.

La sicurezza non è uno stato d’animo.
È un mestiere.
E se il vostro piano di difesa è un post motivazionale su LinkedIn, forse meritavate di essere bucati.

 Epilogo – Il coraggio della razionalità

E così arriviamo alla fine del 2025, l’anno in cui avremmo dovuto imparare qualcosa… ma non l’abbiamo fatto.
E sapete che vi dico?
Va bene così.

Perché ogni anno che inizia è una nuova occasione per riprovare a capire,
a usare il cervello,
a smettere di scaricare colpe e cominciare a costruire competenze.

Il mio augurio per il 2026 è semplice:

• che il legislatore impari a leggere ciò che firma
• che i manager imparino a pensare prima di tagliare
• che gli utenti imparino a non cliccare
• e che tutti, finalmente, imparino a ridere… e poi a capire

La sicurezza non è solo una materia tecnica.
È un atto di razionalità collettiva.
E anche se siete manager, il cervello potete usarlo: non è un optional di fascia alta.

Buon 2026, dunque.
Che porti sorrisi, raziocinio e, magari, una patch per la stupidità.

E ricordate:
se non lo sapete… sallatelo.

 “Se non lo sai, sallo” è la rubrica che continua a spiegare l’ovvio a chi non vuole capirlo.
Ma noi, imperterriti, ci riproviamo ogni anno.
Perché la cybersecurity non è un miracolo.
È solo logica applicata con ironia.