Il
NOC più maturo non è quello che riceve più alert. È quello che ne riceve meno. È una frase che disturba, perché contraddice l'intuizione di chiunque abbia mai visto una sala di monitoraggio. Più allarmi, più copertura. Più dashboard rosse, più vigilanza. Più notifiche, più sicurezza percepita.
Nella pratica operativa di un Network Operations Center è esattamente il contrario. Il fenomeno ha un nome ormai consolidato nel dibattito internazionale:
alert fatigue. Lo trattano in modo lucido due letture recenti, l'analisi di NocDoc sui modelli
NOCaaS per il 2026 e il pezzo di OnPage Corporation sulle sfide operative dei NOC quest'anno. Descrive la condizione in cui un operatore esposto a un flusso continuo di notifiche prevalentemente ininfluenti
perde la capacità di distinguere il segnale dal rumore. Gli alert critici si confondono con quelli rumorosi, la soglia di attenzione si abbassa, l'allarme che conta passa in mezzo ad altri cinquanta nella stessa ora.
Noise to Action ratio
Negli stessi articoli emerge una metrica diagnostica precisa: il
Noise to Action ratio. Misura quanti alert producono un'azione operativa rispetto al totale ricevuto. In un NOC ben calibrato il rapporto è alto. In un NOC che fatica, la quasi totalità degli allarmi viene archiviata senza generare nulla: falsi positivi, duplicati, eventi previsti, soglie tarate male a monte. La copertura sembra capillare. L'efficacia operativa è bassa.
Non è un problema dell'operatore
Il punto scomodo è che l'alert fatigue non è un fallimento dell'operatore.
È un fallimento di progettazione del monitoring. Soglie statiche su sistemi dinamici, regole di correlazione assenti, allarmi configurati all'avviamento del progetto e mai più rivisti. Il NOC matura una sordità funzionale rispetto a un rumore che è stato lui stesso, indirettamente, a costruire.
Tre domande scomode
La risposta non è tecnologica in senso stretto. È un cambio di paradigma su cosa si misura. Tre domande che chiunque gestisca un NOC, internamente o tramite fornitore, dovrebbe porsi:
- qual è il rapporto medio tra alert ricevuti e azioni intraprese nelle ultime quattro settimane
- quali sono le dieci sorgenti di alert per volume, e di queste quante hanno generato un incident reale negli ultimi tre mesi
- ogni quanto le soglie di monitoring vengono riviste strutturalmente, e da chi
Domande prosaiche, risposte scomode. L'unico modo per spostare un NOC dalla logica della copertura percepita a quella dell'efficacia misurata.
Il monitoraggio non si misura in volume di alert. Si misura in azioni utili generate.
