NIS2 e Cybersicurezza

Phishing in Azienda: Riconoscerlo, Prevenirlo e Reagire

Pubblicato il 2026-03-27 4 min di lettura Di Redazione NIS2 Italia

Un'email apparentemente dalla banca, dal fornitore o dal capo. Un link che sembra legittimo. Un modulo che chiede le credenziali. In pochi secondi, un dipendente ha consegnato le chiavi dell'azienda a un criminale. Il phishing resta il vettore di attacco numero uno, responsabile del 91% delle compromissioni aziendali. E sta diventando sempre piu sofisticato grazie all'intelligenza artificiale.

La buona notizia? Difendersi dal phishing e possibile, con un mix di tecnologia, formazione e processi. La cattiva notizia? Non esiste una soluzione unica — serve un approccio stratificato.

I tipi di phishing piu pericolosi per le aziende

  • Spear phishing — email mirate a una persona specifica, con informazioni personalizzate raccolte da LinkedIn o social media
  • Business Email Compromise (BEC) — l'attaccante si spaccia per il CEO o un dirigente e ordina un bonifico urgente
  • Whaling — phishing mirato ai top manager, spesso con contenuti relativi a questioni legali o fiscali
  • Smishing — phishing via SMS, in crescita esponenziale con i messaggi di finte consegne o OTP
  • Vishing — phishing telefonico, dove l'attaccante si finge un tecnico IT o un operatore bancario
  • AI-powered phishing — email generate dall'IA, perfette grammaticalmente e personalizzate in automatico

Difese tecniche contro il phishing

La prima linea di difesa e tecnica. Queste misure bloccano la maggior parte dei tentativi prima che raggiungano i dipendenti:

  • SPF, DKIM e DMARC — protocolli di autenticazione email che impediscono lo spoofing del tuo dominio
  • Email gateway avanzato — filtro anti-phishing con sandboxing dei link e degli allegati
  • Web proxy con URL filtering — blocca l'accesso a siti di phishing noti
  • MFA su tutti gli account — anche se le credenziali vengono rubate, l'attaccante non puo accedere
  • Banner di avviso — evidenzia le email provenienti dall'esterno per sensibilizzare i dipendenti

Il fattore umano: formazione e cultura

La tecnologia ferma il 95% dei tentativi. Ma quel 5% che passa e il piu pericoloso, perche e il piu sofisticato. Qui entra in gioco la formazione. I dipendenti devono saper riconoscere i segnali: urgenza artificiale, errori nel dominio del mittente, richieste insolite, link sospetti. Ma soprattutto, devono sentirsi sicuri nel segnalare: una cultura aziendale che punisce chi clicca su un phishing ottiene l'effetto opposto — le persone nascondono gli errori.

Simulazioni di phishing: come farle bene

Le simulazioni sono lo strumento piu efficace per misurare e migliorare la consapevolezza. Ma vanno fatte bene. Regola numero uno: scopo educativo, non punitivo. Chi clicca riceve formazione immediata, non una nota disciplinare. Frequenza: una simulazione al mese con scenari diversi. Progressione: si parte da scenari facili da riconoscere e si alza gradualmente la difficolta. Metriche: tasso di click (obiettivo sotto il 5%), tasso di segnalazione (obiettivo sopra il 30%).

Procedura di risposta al phishing

Cosa deve fare un dipendente che sospetta un phishing? La procedura deve essere semplice e nota a tutti:

  1. Non cliccare su link o allegati
  2. Non rispondere all'email
  3. Segnalare immediatamente al team IT (pulsante di segnalazione nell'email client)
  4. Se ha gia cliccato — disconnettere il dispositivo dalla rete e contattare immediatamente l'IT
  5. Se ha inserito credenziali — cambiare la password immediatamente da un altro dispositivo

Il team IT deve poi analizzare l'email, verificare se altri dipendenti l'hanno ricevuta, bloccare il mittente e i link malevoli, e valutare se c'e stata compromissione.

Il phishing generato dall'IA: la nuova sfida

L'intelligenza artificiale ha cambiato le regole del gioco. Le email di phishing generate dall'IA sono grammaticalmente perfette, personalizzate e convincenti. Non hanno piu gli errori di ortografia che un tempo le rendevano riconoscibili. Per contrastare il phishing AI-powered servono difese AI-powered: email gateway con machine learning, analisi comportamentale delle comunicazioni e formazione aggiornata che insegni a riconoscere i nuovi pattern.

Approfondimento Leggi anche la guida alla formazione cybersecurity e al social engineering.

Domande Frequenti

Come riconosco un'email di phishing?
Segnali tipici: urgenza artificiale, errori nel dominio del mittente (es. @bancaintesa-login.com), richieste insolite (credenziali, bonifici urgenti), link che non corrispondono al dominio dichiarato. Ma il phishing AI-powered puo essere quasi perfetto — nel dubbio, segnala sempre.
SPF, DKIM e DMARC sono sufficienti?
Proteggono il tuo dominio dallo spoofing ma non impediscono il phishing da domini legittimi compromessi o da domini simili al tuo. Servono come parte di una strategia difensiva piu ampia.
Le simulazioni di phishing sono legali?
Si, se condotte nel rispetto della normativa sul lavoro e del GDPR. E consigliabile informare preventivamente i rappresentanti dei lavoratori e usare i risultati in forma aggregata, non per valutazioni individuali.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura