Il phishing è la porta d'ingresso del 68% degli attacchi informatici alle aziende. Non è più il classico messaggio con errori grammaticali che promette un'eredità africana: il phishing del 2026 è sofisticato, personalizzato, quasi indistinguibile da una comunicazione legittima.
E il problema principale non è la tecnologia — è il fattore umano. Nessun firewall, nessun antivirus protegge completamente da un dipendente che clicca su un link malevolo credendo sia legittimo.
Come funziona il phishing moderno
Spear phishing: invece di mandare milioni di email generiche, l'attaccante studia il target. Cerca su LinkedIn i dipendenti, identifica fornitori e partner dal sito web, recupera indirizzi email. Poi manda un'email personalizzata: "Ciao Marco, come da accordi di ieri con il team di Rossi SpA, ti invio il contratto aggiornato da firmare entro oggi."
L'email arriva da un dominio simile a quello del fornitore reale (rossispa.com vs ross1spa.com), ha la firma email corretta, fa riferimento a persone e aziende reali. Marco non si è mai parlato con "il team di Rossi SpA" ieri, ma non ne è sicuro — e apre l'allegato.
BEC (Business Email Compromise): l'attaccante compromette o impersona la casella email di un dirigente. Poi manda richieste urgenti di bonifico ai contabili: "Devo chiudere un'acquisizione entro oggi pomeriggio, fai un bonifico urgente di 28.000€ su questo IBAN. Non chiamare, sono in riunione."
Il BEC ha causato miliardi di euro di danni alle aziende italiane negli ultimi tre anni. Non richiede malware: solo social engineering.
Smishing e vishing: gli stessi principi del phishing ma via SMS (smishing) o telefono (vishing). "Sono il responsabile IT di Kubee, ho bisogno delle tue credenziali per un aggiornamento urgente."
Cosa rende difficile riconoscerlo
Domini quasi identici: rossi-spa.it vs rossi-spl.it, kubee.it vs kubee-srl.it. In una barra degli indirizzi compressa su mobile, la differenza è invisibile.
HTTPS non garantisce sicurezza: il lucchetto verde significa solo che la connessione è cifrata — non che il sito sia legittimo. La maggior parte dei siti di phishing ha il certificato SSL.
Urgenza artificiale: "Il contratto scade stasera", "Il tuo account verrà sospeso", "Azione richiesta entro 2 ore". L'urgenza bypassa il pensiero critico.
Impersonificazione di brand noti: Microsoft 365, Aruba, la tua banca, l'Agenzia delle Entrate. Grafiche perfette, testo professionale, link che sembrano corretti finché non ci passi sopra il mouse.
AI-generated content: i modelli linguistici hanno eliminato gli errori grammaticali che erano il segnale d'allarme classico. Le email di phishing nel 2026 sono scritte in italiano perfetto.
Come formare i dipendenti davvero
La formazione annuale con un PDF da leggere non funziona. Quello che funziona è la simulazione pratica.
Campagne di phishing simulato: si inviano periodicamente email di phishing finte ai dipendenti — create appositamente per sembrare comunicazioni reali dell'azienda o di fornitori noti. Chi clicca viene reindirizzato a una pagina di formazione, non viene sanzionato.
I risultati tipici delle prime campagne:
- 20-35% dei dipendenti clicca sul link malevolo
- 15-25% inserisce le proprie credenziali nella pagina fake
Dopo 3-6 mesi di simulazioni mensili con formazione immediata:
- 3-8% clicca sul link
La formazione efficace si basa sull'errore reale, non su scenari teorici.
Cosa insegnare concretamente
- Hover sul link prima di cliccare: il dominio reale appare in basso a sinistra del browser. Se è diverso da quello del presunto mittente, è phishing.
- Verificare il dominio mittente: non solo il nome visualizzato, ma l'indirizzo completo. "Banca Intesa" con indirizzo [email protected] è phishing.
- Non aprire allegati non attesi: se non stai aspettando un allegato, chiama il mittente prima di aprirlo.
- Segnalare i sospetti: i dipendenti devono sapere a chi segnalare un'email sospetta e non avere paura di farlo.
- La regola dei 3 secondi: prima di cliccare qualsiasi link in email urgente, aspetta 3 secondi e chiediti: "Mi aspettavo questa email? Ha senso che arrivi adesso?"
La difesa tecnica complementare
La formazione riduce il rischio, non lo azzera. La difesa tecnica la completa:
DMARC, DKIM, SPF configurati sul dominio email aziendale: impediscono ad altri di inviare email fingendo di essere il tuo dominio.
Filtro email avanzato (come Acronis Advanced Email Security): analisi comportamentale delle email prima che arrivino nella inbox.
MFA su tutti gli account: anche se un dipendente consegna la password a un sito di phishing, il secondo fattore blocca l'accesso.
DNS filtering: blocco preventivo dei domini di phishing noti prima che vengano raggiunti.
Kubee esegue campagne di phishing simulato e formazione per il personale delle PMI del Veneto e Friuli. Contattaci per organizzare una sessione.