La trasformazione digitale è un argomento sulla bocca degli addetti ai lavori, che stanno svolgendo un grande lavoro specialistico, che però talvolta resta senza un approccio multi-disciplinare ed integrato ai rischi, pericoli, e sfide della digitalizzazione. Nel digital business la comunicazione è divenuta probabilmente la componente più sofisticata del marketing mix, evoluto a 7P dalle più tradizionali 4P del passato, impiegando strumenti tecnologici e tecniche di profilazione e psicologia del ‘consumer engagement’ e di ‘conversion to deal’ che creano dei consumatori digitali consapevoli. Questo anche in quei Paesi con economia in sviluppo.
Consumatori Digitali Consapevoli, servono campagne di formazione e sviluppo
Mentre grande enfasi si pone nella formazione e sviluppo professionale dei “digital marketer” in ambito Industry 4.0, non risultano essere state eseguite ad oggi campagne di consapevolezza dedicate ai “digital consumer”, la cui debolezza è quella di rimanere spesso ancorati/e a “mindset” tradizionali di commercio fisico e marketing mix 4P soltanto, con differenze geografiche, generazionali e tecnologiche a fronte di un mondo di online retail sempre più globale. Il loro apprendimento esperienziale conta spesso solo su “self-paced study and practice” (autodidattica) e “scottature” purtroppo a volte gravi di 3-4° grado.
In parallelo fornitori e clienti di soluzioni cybersecurity stanno prestando maggiore attenzione sul fattore umano, cioè lo “human firewall”, nell’obiettivo di migliorare la “cyber resilience” complessiva delle organizzazioni oggetto. Questo avviene soprattutto focalizzando, accelerando, e valutando la capacità delle ‘forze speciali’ della sicurezza aziendale, sia tecnica che direttiva, oltre che le tecnologie e controlli che costituiscono la rete informativa aziendale sempre più integrata con la catena manifatturiera di riferimento.
Di recente, abbiamo visto coinvolti gli utenti finali, non necessariamente tecnici, di quei sistemi informativi tramite campagne di consapevolezza (‘security awareness’). Questo si spiega perché la crescente complessità degli attacchi informatici (ad. es. “advanced persistent threats” o APT) sfrutta il comportamento umano come punto di ingresso nell’organizzazione vittima prescelta, attraverso molteplici e combinate tecniche anche di comunicazione mirata. Per potenziare il firewall umano si fa ricorso con successo ad esercitazioni e allenamenti situazionali su palestre cibernetiche (note come poligoni o ‘cyber range’) per generare esperienze pratiche, memorabili e quindi formative a livello individuale e di squadra.
Il progetto Ensuresec per diventare Consumatori Digitali Consapevoli
Il progetto Ensuresec (End-to-end Security of the Digital Single Market’s eCcommerce and Delivery Service Ecosystem) finanziato dal programma EU Horizon 2020 (Rif. N° 883242) si è proposto di sviluppare una “soluzione socio-tecnica” per proteggere le operazioni di eCommerce nell’ambito del Digital Single Market contro minacce virtuali e fisiche. Silensec è stata, in particolare, responsabile di finalizzare e promuovere campagne per lo sviluppo della consapevolezza sulla sicurezza che possano raggiungere, educare e valutare con successo quante più persone possibile al fine di migliorare la loro resilienza alle pratiche scorrette di commercio elettronico.
Più nel dettaglio, ci siamo posti gli obiettivi di:
- Analizzare lo stato dell’arte su strumenti, tecniche e metodologie utilizzate nei domini del marketing digitale e dell’hacking, nonché sulle vulnerabilità dell’interazione umana che possono essere sfruttate da attori malintenzionati nel commercio elettronico.
- Sviluppare strumenti (tools) e contenuti per la gestione e la configurazione di campagne di valutazione della sicurezza.
- Gestire campagne finalizzate a valutare e sviluppare condizioni di “security awareness” e attività formative mirate a rinforzare la “cyber resilience” degli utenti dell’e-commerce, monitorandone i risultati.
Best practice per servizi di digital marketing
Di rilievo per gli scopi di questo breve articolo, abbiamo analizzato la best practice con riferimento a strumenti, tecniche e metodologie utilizzate per scopi legittimi alla promozione e vendita di prodotti e servizi commerciali (marketing digitale) e per scopi volti a commettere frodi online e altri reati informatici (hacking, pirateria informatica). Questo approccio appare condivisibile, in quanto il confine fra comportamenti virtuosi e pratiche di ‘hacking’ è in alcuni casi molto labile. In entrambi i casi, infatti, si punta ad ottenere un engagement del cliente e l’innesco di un comportamento coerente con gli obiettivi e le aspettative dell’attore che promuove il processo. La differenza risiede nella liceità dello scopo perseguito, ma anche su questo aspetto gli spazi di ambiguità e le zone d’ombra sono tutt’altro che rari, quindi con scopi legali ma non etici, etc. Si può parlare infatti, a seconda dei casi, di dis-information, mis-information, mal-information nel condizionare human behaviour e decisioni d’acquisto in assenza possibile di efficaci misure preventive di digital trust, controlli di protezione e altre contromisure correttive.
Si pensi ad esempio a: assenza di garanzie su online shopping in alcune popolari piattaforme social o anche su piattaforme di commercio online di rilievo con meccanismi di drop-shipping globali non controllabili; “small-print terms & conditions” contestati a compagnie di assicurazione per polizze viaggio offerte al check-out di un acquisto online di un biglietto aereo low-cost durante la pandemia; alla irreperibilità / unresponsiveness del Customer Service di marchi anche importanti (banche, aziende tech, etc.) per specifiche di prodotto non esaudite, ordini errati o richieste di rimborso; uso di pagamenti merchant situati fuori territorio con tassi di cambio e commissioni non dichiarati a check-out; violazione della data privacy di clienti utilities da parte di outbound call centres; venditori telefonici (e non) sotto false pretese di customer service, dalla generazione di malriposte aspettative all’esecuzione di uno scam o frode il passo è stato per molti utenti assai breve.
Possibili rischi e vulnerabilità, a cosa fare attenzione
Lo sviluppo della ricerca non è stato limitato, pertanto, solo alle pratiche di social engineering e al “brain attack”, ma siamo andati a valutare anche i rischi e le vulnerabilità presenti lungo tutto il “customer journey” digitale che possono prendere forma nei vari touchpoint del processo.
Abbiamo analizzato i fattori che determinano l’engagement del consumatore e che possono essere utilizzati per orientarne il comportamento, eventualmente anche verso finalità illecite. Partendo da questa struttura di analisi, abbiamo esaminato gli strumenti, le tecniche e le metodologie impiegati nel marketing digitale, evidenziandone potenzialità e rischi in termini di potenziali minacce di utilizzo scorretto. Al di là delle esplicite azioni illecite, abbiamo focalizzato eventuali e possibili azioni devianti sul piano etico che, pur senza produrre violazioni di legge, possano produrre ricadute indesiderate per gli utenti, facendo leva sulle loro fragilità psicologiche e/o carenze informative-operative. Entrando, infine, nel campo specifico del social engineering, valutandone le principali caratteristiche in termini di strumenti, tecniche e metodologie. La mappatura a livello di marketing e cybersecurity di questi elementi ha evidenziato le possibili tecniche difensive che possono essere attuate dai vari attori in campo per realizzare nell’ecosistema di e-commerce.
Per conoscere e partecipare (gratis) alla campagna di sensibilizzazione europea sopra citata, il link è: https://becyberaware.eu/
