Mitnick incontra Cialdini: il lato oscuro della persuasione 

In questo articolo Carla Orlandi tratta il tema della persuasione umana che accomuna due letture solo in apparenza distanti l’una dall’altra. Stiamo parlando di due libri: “L’arte dell’inganno”, scritto dal celebre hacker informatico Kevin Mitnick, e de “Le armi della persuasione: Come e perché si finisce col dire di sì”, opera di Robert Cialdini, psicologo e uno dei principali studiosi della psicologia sociale.

Kevin Mitnick e la potenza dell’ingegneria sociale

Kevin Mitnick, ex hacker tra i più noti al mondo, oggi consulente di cybersecurity, ci accompagna in un viaggio tra bug umani e vulnerabilità psicologiche.
Il suo libro, “L’arte dell’inganno”, scritto con William L. Simon è una collezione di storie, raggiri e telefonate in cui lo strumento in mano ai malintenzionati è la persuasione, non il codice.

Uno degli episodi più iconici è quello di Stanley Rifkin, che nel 1978 rubò oltre 10 milioni di dollari da una banca senza toccare un computer.
Osservò un codice segreto annotato su un post-it in una sala telex, poi telefonò fingendosi un dipendente interno. In pochi minuti, convinse l’operatore a trasferire i fondi su un conto svizzero. Nessun hack, nessun malware. Solo ingegneria sociale, più comunemente nota nella sua traduzione inglese Social Engineering.
Un altro caso emblematico è quello dell’investigatore privato che, con tre telefonate ben orchestrate, ottiene dati bancari riservati grazie alla disattenzione e alla disponibilità del personale. È il classico esempio di come un’informazione apparentemente innocua (come il nome interno di un ufficio) possa diventare la chiave per una violazione grave.

“L’arte dell’inganno” offre molti spunti e conferme per gli studiosi di psicologia sociale.
Gli attacchi descritti da Mitnick non funzionano perché le persone sono stupide o eccessivamente ingenue, ma perché sono umane: desiderano essere utili, vogliono evitare conflitti, si fidano delle apparenze. L’ingegnere sociale gioca con i bias cognitivi e i meccanismi automatici di risposta sociale.

Leggendo Mitnick, ritroviamo in azione molti dei principi di persuasione descritti da Robert Cialdini nel suo famoso libro “Le armi della persuasione: Come e perché si finisce col dire di sì”.
Cialdini ci spiega perché certe leve psicologiche funzionano. Mitnick ci mostra come quelle stesse leve vengono usate per violare la fiducia e accedere a informazioni sensibili.
Possiamo fare un parallelismo tra i due autori, considerando come i principi fondamentali della persuasione secondo Cialdini emergono nelle storie di ingegneria sociale raccontate da Mitnick.

Robert Cialdini e le leve della persuasione

1. Reciprocità

“Se io faccio qualcosa per te, tu ti sentirai in dovere di ricambiare.”

In molte storie, l’ingegnere sociale offre assistenza, comprensione o addirittura falsi favori (“le invio subito questo documento aggiornato”, “la ringrazio davvero per il suo tempo”), creando un contesto psicologico in cui la vittima si sente più propensa a contraccambiare con… un’informazione riservata.
Mitnick lo fa notare spesso: il primo “gancio” di una truffa è far sentire l’altro in debito.

2. Autorità

“Tendiamo a obbedire (o almeno ad ascoltare) chi percepiamo come esperto o superiore a noi.”

Fingere di essere un tecnico, un dipendente senior, un auditor o un fornitore abituale è una delle tecniche più frequenti nei racconti di Mitnick.
Basta una voce sicura e il gergo giusto per spostare l’ago della bilancia dalla diffidenza alla collaborazione.
Un esempio ricorrente: “Sono del reparto IT, sto verificando alcune credenziali, mi può dare la sua password temporanea?”

3. Impegno e coerenza

“Una volta che prendiamo una posizione, tendiamo ad agire in modo coerente con essa.”

Nei casi descritti da Mitnick, è frequente che le vittime vengano portate a dire “sì” a una serie di domande banali o di routine (es. orari di apertura, numero di interni, nome del collega).
Alla fine, quando arriva la richiesta pericolosa, è solo “un’altra domanda”, e la persona tende a mantenere la coerenza con il suo atteggiamento iniziale.
Questo effetto si chiama “piede nella porta” e Cialdini lo descrive molto bene: piccoli impegni portano ad accettarne di più grandi.

4. Riprova sociale

“Facciamo ciò che vediamo fare dagli altri, soprattutto in situazioni ambigue.”

In alcuni casi, l’ingegnere sociale menziona il nome di un collega (“Giovanni del reparto legale mi ha dato il tuo nome“) o di un’autorità condivisa per costruire credibilità per associazione. È una forma di “social proof”: se un altro della mia azienda si è già fidato, posso fidarmi anche io.
Questo meccanismo è potentissimo soprattutto in contesti aziendali, dove il conformismo gerarchico è spesso inconscio.

5. Simpatia

“Preferiamo dire di sì a chi ci piace.”

Molti attacchi descritti da Mitnick iniziano con una conversazione cordiale, in cui l’attaccante dimostra interesse, empatia e persino senso dell’umorismo.
È una strategia deliberata: la simpatia disarma.
Mitnick insiste su questo punto: l’ingegnere sociale è spesso “una persona che siete contenti di aver incontrato”.

6. Scarsità

“Attribuiamo più valore a ciò che è percepito come raro o urgente.”

Alcuni attacchi sfruttano l’urgenza come leva, ad esempio fingendo una scadenza critica o un incidente tecnico in corso (“mi serve subito il codice, abbiamo un sistema fermo!”).
L’effetto? Le persone abbassano il livello di vigilanza, pensando che non ci sia tempo per i protocolli.
Un classico scenario in cui la pressione psicologica sostituisce la sicurezza.

Il legame tra Mitnick e Cialdini

Se Cialdini spiega come funziona la mente umana nei contesti di persuasione, Mitnick dimostra quanto possa diventare rischioso non essere consapevoli di quei meccanismi.
Consiglio la lettura combinata di questi due testi, dove il libro “Le armi della persuasione: Come e perché si finisce col dire di sì” fornisce il vocabolario della persuasione, “L’arte dell’inganno“ mostra perché conoscerlo può proteggerci da truffe e attacchi a livello personale e aziendale.

Un classico della cybersecurity sulla natura umana

Sebbene “L’arte dell’inganno“ sia stato pubblicato più di vent’anni fa, resta più attuale che mai. In un’epoca in cui parliamo di intelligenze artificiali, minacce digitali sempre più complesse e attacchi su larga scala, Mitnick ci riporta al punto di partenza: la vulnerabilità principale non è nel software, ma nell’essere umano.

Come i Saggi di Michel de Montaigne, che nel XVI secolo rifletteva sull’uomo con uno sguardo tanto profondo da risultare ancora oggi attuale, anche Mitnick lavora sulla materia più antica e costante che abbiamo: la natura umana.

Montaigne scriveva “Conosco bene l’uomo: è quello che studio di più.”
Mitnick, con altri mezzi e altri obiettivi, studia l’uomo nello stesso modo: osservando le sue abitudini, le sue reazioni, le sue debolezze sociali.
In questo senso, “L’arte dell’inganno” non è solo un libro sulla cybersecurity. È un saggio (moderno, pratico, narrativo) su come ci relazioniamo agli altri — e su quanto poco ci rendiamo conto dei rischi che corriamo quando lo facciamo.

Per chi lavora nella sicurezza, per chi studia il comportamento, per chi si muove nel mondo iperconnesso di oggi, resta una lettura essenziale, da affiancare ad altri testi fondamentali come il libro “Le armi della persuasione: Come e perché si finisce col dire di sì” di Robert Cialdini.

Cosa manca?

L’unico limite, per chi ha una formazione accademica o scientifica, è la mancanza di riferimenti espliciti alla letteratura psicologica. Mitnick non collega i suoi esempi a modelli teorici come il “modello elaborativo della persuasione” o la “teoria del framing”.
Questo rende il testo meno strutturato dal punto di vista analitico, ma lo mantiene accessibile a un pubblico più ampio.