L’errore umano nella sicurezza delle informazioni: Just Culture come ponte etico dall’aviazione civile alla cyberdefence strategica.
Nel 1977, sulle piste dell’aeroporto di Tenerife, si consumò il più grave disastro aereo della storia. Due Boeing 747 si scontrarono causando 583 vittime. L’indagine rivelò che il comandante del KLM, un pilota esperto con migliaia di ore di volo, aveva iniziato il decollo senza l’autorizzazione della torre di controllo, ignorando i dubbi espressi dal suo equipaggio.
Non si trattò di incompetenza tecnica, ma di un fallimento sistemico della comunicazione e della cultura organizzativa. Quel tragico giorno cambiò per sempre l’aviazione, dando vita a quella che oggi conosciamo come Just Culture: un approccio rivoluzionario alla gestione dell’errore umano che ha reso il volo la forma di trasporto più sicuro al mondo, dove il tema dell’errore umano, pur costantemente presente, ha una trattazione del tutto particolare, oggetto di studio approfondito e fonte preziosa di insegnamenti per il continuo miglioramento.
Tanto importante per il mondo aeronautico, che in testi normativi, come il Regolamento (UE) n. 376/2014 del Parlamento Europeo e del Consiglio, quindi un atto normativo dell’Unione, concernente la segnalazione, l’analisi e il monitoraggio di eventi nel settore dell’aviazione civile, si esplicita il principio secondo cui (articolo 2) è “cultura giusta” quella nella quale “gli operatori in prima linea o altre persone non sono sanzionati per azioni, omissioni o decisioni da essi adottate sulla base della loro esperienza e formazione, ma nella quale non sono tuttavia tollerate la negligenza grave, le infrazioni intenzionali e le azioni lesive”; e dove “…gli Stati membri si astengono dall’intentare procedimenti nei confronti di persone per infrazioni non intenzionali e involontarie della legge che vengono a loro conoscenza soltanto perché segnalate ai sensi del presente Regolamento, a meno che non vi sia motivo di sospettare negligenza grave o dolo” (articolo 16).
Oggi, nel mondo della sicurezza delle informazioni, ci troviamo di fronte a una situazione sorprendentemente simile. Un numero impressionante (c’è chi dice il 95%) delle violazioni dei dati nel 2024 è stato attribuito all’errore umano. Un dipendente che clicca su un link di phishing, un amministratore di sistema che configura male un ambiente cloud, un analista di sicurezza che sottovaluta un allarme: questi sono gli equivalenti digitali degli errori che, nel contesto della safety dell’aviazione civile, hanno un ruolo efficiente nella causazione degli incidenti aeronautici.
Eppure, mentre l’industria aeronautica ha trasformato radicalmente il suo approccio all’errore umano negli ultimi quarant’anni, il settore della cybersecurity continua spesso a operare in quella che possiamo definire come la “caccia al responsabile”, che viene subito marcato a fuoco con lo stigma del malfattore. In altri termini, la prevalenza della ricerca a tutti i costi della “colpa” e del “colpevole” dove il primo istinto dopo un incidente è cercare il colpevole da punire.
Questo atteggiamento non è solo inefficace: è pericoloso.
Chiediamoci quanti dipendenti esitino a segnalare incidenti di sicurezza per paura delle conseguenze. In un contesto dove il tempo è fattore critico e la tempestività della segnalazione può fare la differenza tra un piccolo incidente contenuto e una violazione massiva dei dati, questa cultura del silenzio rappresenta una vulnerabilità enorme, che nessun firewall può compensare. È come se, dopo Tenerife, i piloti avessero continuato a nascondere i problemi per paura di essere puniti.
Il Fattore Umano ridefinito dall’esperienza della Aviation Safety
Il professor James Reason, psicologo dell’Università di Manchester scomparso recentemente dopo aver rivoluzionato il campo della safety, comprese qualcosa di fondamentale: l’errore umano non è una causa, è una conseguenza. Il suo celebre “Swiss Cheese Model” – il modello del formaggio svizzero – illustra come gli incidenti catastrofici non derivino mai da un singolo errore, ma dall’allineamento fortuito di molteplici falle nei diversi livelli di difesa di un sistema complesso, le “safety net”, ossia le reti di protezione che vengono figurativamente “bucate” dal vettore causale dell’incidente che arriva fino al disastro.
L’immagine che richiama questo modello è quello di una serie di fette di formaggio svizzero affiancate. Ogni fetta rappresenta un livello di difesa: procedure, formazione, tecnologie, controlli. I buchi nel formaggio sono le vulnerabilità intrinseche di ciascun livello. Normalmente, questi buchi non si allineano: quando un errore passa attraverso il buco di una fetta, dovrebbe essere fermato dalla fetta successiva. Ma quando, per una combinazione di fattori, i buchi si allineano perfettamente, l’errore attraversa tutte le difese e si verifica l’incidente.
Questo modello è perfettamente applicabile nella security in generale e alla sicurezza delle informazioni, in particolare e lo possiamo ben comprendere pensando, ad esempio, ad un attacco ransomware; il successo di questo attacco non ricade solo dalla condotta di un dipendente che ha cliccato su un link malevolo. Quell’errore umano ha potuto causare un danno perché si sono allineati altri fattori: un sistema di filtro e-mail non sufficientemente aggiornato, l’assenza di segmentazione della rete, backup non adeguatamente testati, procedure di gestione degli incidenti poco chiare, mancanza di formazione mirata, assenza di monitoraggio e si potrebbe continuare con un ampio elenco di “security net” carenti.
Reason enfatizzava un principio che dovrebbe essere scolpito sulla porta di ogni Security Operations Center: “Le migliori persone possono commettere i peggiori errori”. Nessuno è immune dall’errore, e paradossalmente, chi occupa posizioni di maggiore responsabilità può commettere errori dalle conseguenze più gravi. E forse appare come la classica foglia di fico ripetere “è il fattore umano la causa di tutti i mali”, quando le cause degli incidenti si trovano, assai più spesso, nella colpevolissima tendenza al risparmio sulle misure tecnologiche e l’inconsistenza nei processi. Quindi, nel campo della sicurezza delle informazioni, persiste la tendenza a considerare l’utente come “il punto debole”, che è vero ma solo in parte, perché non rende giustizia alla visione di una sicurezza integrata e bilanciata su tutti gli elementi costitutivi di un adeguato sistema di sicurezza delle informazioni.
In altre parole, il fattore umano è centrale nella misura in cui siamo tutti d’accordo che sia correttamente inquadrato e demistificato da una certa narrazione “al ribasso” verso i sistemi di gestione.
E cerchiamo anche di definire qualche razionale.
La recente evoluzione normativa in Italia e in Europa riconosce sempre più esplicitamente il ruolo centrale del fattore umano nella sicurezza cibernetica, ma non entra mai nella valutazione operativa di come l’analisi dell’incidente a fattore causale (anche) umano debba essere orientata ad una rivalutazione della posizione del soggetto che sbaglia come possibile leva del continuo miglioramento.
Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito con il Decreto-legge 105/2019 e regolamentato dal DPCM 14 aprile 2021, n. 81, mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici dei soggetti che appartengono al novero del “Perimetro”.
L’Allegato B del DPCM 81/2021 definisce le misure minime di sicurezza per la tutela dei beni ICT. Significativamente, il DPCM non si limita agli aspetti tecnici, ma richiede anche misure organizzative che includono formazione, consapevolezza del personale, e procedure di risposta agli incidenti.
La Direttiva NIS2 (Direttiva UE 2022/2555), recepita in Italia con il Decreto Legislativo 138/2024, richiede che gli organi di amministrazione e direttivi (articolo 23) partecipino direttamente al sistema di gestione della sicurezza delle informazioni e che siano adottate misure tecniche, organizzative e operative adeguate alla gestione dei rischi (articolo 24).
La Determinazione ACN n. 164179 del 14 aprile 2025 ha dato forma concreta a questi obblighi, introducendo le cosiddette specifiche di base, riconoscendo che la sicurezza delle informazioni non è soltanto un’attività tecnica, ma una questione di governance aziendale.
Entrambe le formule normative, Perimetro e Direttiva NIS, in Italia, sono state orientate nell’applicazione al “Framework Nazionale per la Cybersecurity e la Data Protection”, nella versione 2.0, strumento operativo per organizzare i processi di scurezza informatica e rappresenta il punto di riferimento tecnico per l’implementazione sia dei requisiti del PSNC sia della NIS2.
In questo quadro normativo, però, il fattore umano è sempre guardato in modalità tradizionale e, a parere di chi scrive, insufficiente nella piena comprensione di come l’errore umano debba essere riletto in ben altra ottica, che fa capo ai benefici della “Just Culture”
La Just Culture, teorizzata in modo compiuto dal professor Sidney Dekker – egli stesso ex pilota di linea oltre che esperto di Human Factors – non è semplicemente una “cultura senza colpa”. Questa precisazione è cruciale e spesso fraintesa: una cultura che elimina completamente la responsabilità può degenerare in compiacenza e tolleranza verso comportamenti pericolosi. La Just Culture, invece, traccia una linea chiara tra errori “onesti”, ossia compiuti in assoluta buona fede e un basso tenore di negligenza e comportamenti inaccettabili, perché in grave contrasto con le regole definite dall’organizzazione.
Nel mondo dell’aviazione civile, “la Just Culture implica un ‘dovere di cura’ da parte dei membri della comunità aeronautica di seguire procedure e regole e di evitare di causare danni o rischi ingiustificabili[1]“. Il principio fondamentale è che in una Just Culture le persone in prima linea non vengono punite per azioni, omissioni o decisioni commisurate alla loro esperienza e formazione, ma negligenza grave, violazioni intenzionali e atti distruttivi non sono tollerati.
Nel contesto della sicurezza delle informazioni, soprattutto in riferimento ai soggetti del Perimetro della Sicurezza Nazionale Cibernetica e ai soggetti NIS2, questo si traduce in un cambio di paradigma radicale. Quando un analista di sicurezza commette un errore di configurazione che espone accidentalmente dati sensibili, una Just Culture non cerca immediatamente un capro espiatorio da licenziare. Invece, avvia un’indagine sistemica: quali fattori hanno contribuito a quell’errore? Le procedure erano chiare e accessibili? L’analista aveva ricevuto formazione adeguata? I carichi di lavoro erano sostenibili? Esistevano controlli incrociati che avrebbero dovuto rilevare l’errore? L’interfaccia del sistema era user-friendly o predisponeva all’errore?
Questo approccio, lungi dall’essere permissivo, è in realtà molto più rigoroso ed efficace di una semplice punizione. Identificare e correggere le condizioni sistemiche che hanno permesso l’errore significa prevenire che quello stesso errore venga replicato da altri colleghi in futuro.
È importante sottolineare che l’introduzione dei principi della Just Culture non entra in conflitto con gli obblighi di compliance derivanti dal PSNC, dalla NIS2 e dal Framework Nazionale. Al contrario, supporta l’effettiva attuazione di questi obblighi, particolarmente per quanto riguarda:
Allegato B, DPCM 81/2021 – Gestione degli incidenti:
La misura B.3 del DPCM 81/2021 richiede la “notifica e gestione degli incidenti”. Una Just Culture facilita la tempestiva segnalazione degli incidenti (essenziale per rispettare i termini normativi), identificando le cause sistemiche per evitare recidive.
Framework Nazionale v. 2.0 – Categoria RS (Respond):
La categoria RS.CO.1 (“Gestione della comunicazione dei rischi durante le operazioni”) beneficia significativamente da una cultura che incoraggia la comunicazione aperta. Allo stesso modo, la subcategoria RS.RP (Procedure di risposta agli incidenti) presuppone processi ben definiti che non scattering di ricerca di colpevoli.
Determinazione ACN 164179 – Allegato 1 e 2:
La misura relativa alla “Governance e Risk Management” (presente in entrambi gli allegati) richiede esplicitamente che gli organi di amministrazione garantiscano una “consapevolezza della propria responsabilità per la cybersecurity”. Una Just Culture, con la responsabilizzazione diffusa e condivisa che produce, è il fondamento su cui costruire questa consapevolezza.
NIS2 Articolo 24 – Misure organizzative:
L’articolo 24 del D.lgs. 138/2024 richiede “misure organizzative adeguate” alla gestione dei rischi. Una Just Culture è una misura organizzativa che, pur non essendo tecnicamente complessa, ha un impatto profondo sulla capacità dell’organizzazione di identificare, rispondere e imparare dai rischi.
Ma, soprattutto, impedisce di trincerarsi dietro quel frequente, quanto odioso modello di trasferimento sul dipendente di una responsabilità propria dell’organizzazione: cogliere l’insieme del modello del rischio e adottare tutte le misure tecnico-organizzative richieste dalla piena attuazione di un sistema di gestione della sicurezza delle informazioni.
