La formazione in cybersecurity non può più essere considerata un semplice obbligo normativo. Oggi rappresenta uno strumento concreto e misurabile per contenere il rischio informatico. È quanto emerge dal Security Awareness and Training Global Research Report 2025 di Fortinet, realizzato sulla base delle opinioni di 1.850 responsabili IT e della sicurezza a livello globale. Il report evidenzia segnali positivi sul fronte della consapevolezza, ma mette anche in luce aree in cui molte organizzazioni restano vulnerabili.
Di seguito, i principali spunti utili per chi si occupa di sicurezza e risk management.
L’IA accresce l’attenzione delle imprese, ma i dipendenti non sono ancora pronti
L’uso dell’intelligenza artificiale da parte dei cybercriminali sta modificando profondamente la percezione del rischio. Quasi il 90% delle aziende afferma che questa evoluzione ha rafforzato la consapevolezza sull’importanza della formazione in ambito security. Tuttavia, maggiore attenzione non equivale automaticamente a una preparazione adeguata: solo circa il 40% dei dirigenti ritiene che i propri collaboratori siano davvero in grado di riconoscere, evitare e segnalare queste nuove minacce.
Per colmare questo gap, molte organizzazioni stanno intervenendo con iniziative dedicate all’uso sicuro degli strumenti di IA generativa, al controllo della condivisione di dati sensibili e all’adozione di policy formali sulla gestione dell’IA. Quasi tutti gli intervistati dichiarano di aver già introdotto o di essere in fase di implementazione di linee guida interne e strumenti basati su large language model. La direzione intrapresa è chiara; ciò che ancora manca è una diffusione uniforme e un’applicazione davvero efficace.
Le minacce esterne restano centrali, ma crescono i timori legati ai rischi interni
Le principali motivazioni che spingono le aziende a investire nella formazione in cybersecurity continuano a essere le minacce esterne, le violazioni già subite e gli incidenti registrati nel proprio settore. Oltre il 40% degli intervistati indica questi fattori come leve decisive. Accanto a questi elementi, però, emerge con forza una nuova preoccupazione: i rischi interni. Più di un’organizzazione su quattro li considera oggi un fattore chiave per rafforzare le attività di awareness, segnando un aumento significativo rispetto all’anno precedente.
Anche le priorità dei programmi formativi riflettono questo cambiamento. Se la protezione dei dati e la privacy restano temi fondamentali, cresce l’attenzione verso gli strumenti di intelligenza artificiale e verso le minacce a essi collegate. Questo è un segnale importante, perché indica che le aziende stanno iniziando a costruire percorsi formativi più aderenti ai rischi reali, superando la logica della formazione intesa come mero adempimento.
La formazione riduce davvero gli incidenti, e le aziende iniziano a misurarne l’impatto
Uno dei messaggi più significativi del report è che la formazione produce risultati concreti. Il 67% delle organizzazioni dichiara infatti di aver registrato una diminuzione moderata o rilevante di intrusioni, incidenti e violazioni dopo l’introduzione di programmi di security awareness e training.
Parallelamente, stanno evolvendo anche i criteri con cui le aziende valutano l’efficacia di queste iniziative. Tra gli indicatori più utilizzati figurano la riduzione degli incidenti, il feedback dei dipendenti e gli audit di sicurezza. Sempre più spesso, inoltre, le imprese combinano sessioni in presenza e online con simulazioni, test e attività di rinforzo continuo. Si tratta di un passaggio importante: dalla formazione episodica si sta andando verso programmi strutturati per incidere realmente sui comportamenti e ridurre il rischio nel tempo.
Continuità e completamento restano i principali punti critici
Nonostante i progressi nei risultati e nei metodi di valutazione, molte organizzazioni faticano ancora a garantire continuità nei percorsi formativi. Solo una quota limitata riesce a raggiungere un completamento totale della formazione, mentre quasi sette dirigenti su dieci ritengono che il livello di consapevolezza dei dipendenti resti insufficiente.
Questo aiuta a spiegare perché, in molti casi, gli investimenti non si traducano pienamente nei benefici attesi. Quando la formazione non viene completata, non è rafforzata nel tempo o non si aggiorna in base all’evoluzione delle minacce, il suo impatto si riduce inevitabilmente.
Per superare questo scarto, il report suggerisce alcune azioni pratiche: introdurre moduli più brevi ma più frequenti, chiarire meglio le responsabilità legate al completamento dei percorsi, allineare maggiormente i contenuti alle minacce effettive e rendere più visibile il supporto del management. In un contesto in cui l’IA evolve rapidamente, il ricorso a micro-sessioni formative regolari diventa sempre più strategico.
La security awareness è sempre più una leva culturale
Un altro dato rilevante riguarda il cambio di prospettiva all’interno delle organizzazioni. La maggior parte dei dirigenti considera oggi la sicurezza una responsabilità diffusa, che coinvolge l’intera azienda e non solo i team IT o cybersecurity. Inoltre, quasi tutti gli intervistati si dichiarano favorevoli all’introduzione di policy aziendali mirate a limitare i comportamenti a rischio, soprattutto se accompagnate da attività formative che ne spieghino le ragioni.
È un passaggio culturale importante. Una formazione efficace non si limita infatti a far superare un test o a certificare la partecipazione a un corso, ma punta a orientare le scelte quotidiane delle persone, consolidare comportamenti corretti e ridurre in modo tangibile l’esposizione al rischio.
Cosa aspettarsi dal 2026 in avanti
Il quadro che emerge è netto: investire nella formazione in cybersecurity porta a una riduzione concreta degli incidenti. Le aziende che scelgono di misurarne l’efficacia e di integrarla in una più ampia strategia di gestione del rischio ottengono risultati più solidi. Per funzionare davvero, però, la formazione deve essere continua, pertinente rispetto alle minacce emergenti e riconosciuta come leva strategica, non come attività accessoria.
Rafforzare la resilienza aziendale attraverso la formazione
Attraverso il Fortinet Training Institute, l’azienda supporta le organizzazioni nel trasformare la security awareness in una riduzione misurabile del rischio. I programmi proposti includono formazione specifica per ruolo, certificazioni tecniche e percorsi di apprendimento pratico, con l’obiettivo di accrescere la preparazione dei dipendenti e rafforzare la postura di sicurezza complessiva.
Scoprire i programmi di Security Awareness and Training di Fortinet significa investire in una forza lavoro più preparata, capace di affrontare le minacce attuali e i rischi futuri.
