NIS2 e Cybersicurezza

Social Engineering: Come Difendersi dalla Manipolazione Sociale

Pubblicato il 2026-03-27 2 min di lettura Di Redazione NIS2 Italia

Il social engineering non attacca i sistemi — attacca le persone. Sfrutta la psicologia umana — fiducia, urgenza, autorita, curiosita — per indurre i dipendenti a compiere azioni che compromettono la sicurezza. Nessun firewall, nessun antivirus, nessun SIEM puo proteggere un dipendente che consegna volontariamente le credenziali a un attaccante convincente.

Kevin Mitnick, il piu famoso hacker della storia, diceva: "Le aziende spendono milioni in firewall e cifratura, ma se posso chiamare qualcuno al telefono e convincerlo a darmi la password, quei milioni sono sprecati." Aveva ragione allora, ha ancora ragione oggi.

Le tecniche di social engineering

  • Phishing — email fraudolente che simulano comunicazioni legittime
  • Vishing — phishing telefonico, l'attaccante si finge un tecnico IT o un dirigente
  • Pretexting — l'attaccante costruisce un pretesto credibile per ottenere informazioni
  • Baiting — USB infette lasciate in parcheggi o aree comuni
  • Tailgating — seguire un dipendente autorizzato attraverso una porta sicura
  • Quid pro quo — offrire qualcosa (assistenza tecnica) in cambio di informazioni
  • Watering hole — compromettere un sito web frequentato dal target

Casi reali italiani

Un caso emblematico: un'azienda manifatturiera del Nord Italia ha perso 380.000 euro con una truffa BEC (Business Email Compromise). L'attaccante ha studiato su LinkedIn i ruoli aziendali, ha compromesso l'email del direttore commerciale e ha inviato all'ufficio pagamenti un'email perfetta con una fattura a un IBAN modificato. Tutto sembrava legittimo — stile di scrittura, firma, riferimenti a progetti reali. L'ufficio ha pagato senza verificare.

Come difendersi

  • Formazione continua — non una tantum, ma periodica con scenari aggiornati
  • Cultura della verifica — incoraggiare i dipendenti a verificare richieste insolite via un canale diverso
  • Procedure anti-BEC — verifica telefonica obbligatoria per cambi IBAN e bonifici superiori a soglia
  • Simulazioni — test periodici di phishing, vishing e pretexting
  • Policy per l'ingresso fisico — badge, visitatori accompagnati, niente tailgating
  • Gestione informazioni pubbliche — limitare le informazioni aziendali esposte su social e sito web
Approfondimento Leggi anche la guida al phishing e alla formazione cybersecurity.

Domande Frequenti

Il social engineering puo essere fermato dalla tecnologia?
Solo parzialmente. Filtri anti-phishing, MFA e controlli tecnici aiutano, ma il social engineering sfrutta la psicologia umana. La formazione e la cultura della sicurezza sono le difese principali.
Come testo la vulnerabilita della mia azienda al social engineering?
Con test di social engineering condotti da professionisti: campagne di phishing simulato, tentativi di vishing, test di accesso fisico. I risultati identificano le aree di formazione prioritarie.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura