Il phishing è oggi molto più di una truffa via email: è un sistema di attacco psicologico sofisticato, costruito sul linguaggio e potenziato dall’intelligenza artificiale. Comprenderne i meccanismi è il primo passo per difendersi davvero.
Indice degli argomenti
Il punto debole non è la macchina, siamo noi
«I dilettanti hackerano i sistemi, i professionisti hackerano le persone». Bruce Schneier
Tale frase condensa in forma aforistica uno dei princìpi centrali della cybersecurity: la vulnerabilità più sfruttata non è quella tecnica, ma è quella umana.
Quando pensiamo a un attacco informatico, spesso immaginiamo un hacker che forza un firewall, che aggira un sistema complesso o che sfrutta una vulnerabilità tecnica. È un’immagine cinematografica. La realtà, invece, è molto più semplice e molto più umana. Nella maggior parte dei casi, in pratica, gli attacchi iniziano con una email, un messaggio o una finta comunicazione di servizio. In altre parole, con un testo.
La vera intuizione di Schneier, autore di Secret and Lies e del blog Schneier on Security, è che il vero punto debole siamo noi e non la tecnologia. Non perché siamo ingenui, ma perché umani e, in quanto tali, guidati da emozioni, automatismi mentali e pressioni sociali.
Il social engineering: persuasione come arma digitale
E se qualcuno riesce a toccare la corda emotiva giusta nel momento giusto può ottenere ciò che vuole senza dover scrivere una riga di codice.
È qui che entra in gioco il social engineering, la forma più sofisticata di attacco psicologico nel mondo digitale contemporaneo. Esso non ti forza, ti persuade. Non ti attacca, ti convince. Lo fa, spesso, usando messaggi costruiti con precisione chirurgica, calibrati su emozioni precise.
Anatomia di un messaggio trappola
Un esempio classico:
«Caro cliente, rilevata un’attività sospetta sul suo conto. Agisca ora per evitare la sospensione».
Non è un messaggio tecnico, è un messaggio psicologico.
È una frase che può sembrare credibile, perfino rassicurante.
Non chiede di cliccare perché è compromesso un sistema, ma perché sei in pericolo. È un attacco emotivo travestito da comunicazione di servizio. In effetti è una trappola.
Perché funziona: paura, reazione, azione irrazionale
E funziona.
Funziona perché la paura accende una modalità mentale diversa: si cerca di risolvere, non di capire. Non si riflette, si reagisce. Ogni parola, infatti, è ben calibrata per spingere all’azione irrazionale.
Alla fine, un firewall può essere complesso da violare. Una persona, se presa nel momento giusto, molto meno.
Questo è il potere linguistico del phishing. È un attacco invisibile, che si insinua nel linguaggio quotidiano.
Phishing evoluto e ingegneria sociale potenziata: anatomia di un attacco reale
L’arrivo dell’intelligenza artificiale generativa sul mercato ha determinato un vero e proprio spartiacque nell’ecosistema digitale, innescando potenti trasformazioni ed evoluzioni dirompenti destinate a mutare radicalmente e irreversibilmente lo scenario del cyberspazio. La forte spinta all’automazione, all’ottimizzazione dei processi e all’introduzione di nuovi servizi ha generato notevole entusiasmo, al quale tuttavia non ha fatto seguito un’adeguata consapevolezza dei rischi.
La corsa all’adozione dell’IA, con la rapida integrazione delle nuove possibilità offerte, non è stata infatti accompagnata da una pari maturità sul piano della sicurezza, minacciata dai notevoli rischi connessi. La popolarità di strumenti come ChatGPT, arrivato a superare i 200 milioni di utenti attivi, ha avuto un effetto collaterale imprevisto: ha accelerato anche l’abuso della tecnologia per scopi criminali.
WormGPT e FraudGPT: quando l’IA diventa complice del crimine
Un cambio di passo che si è concretizzato con la diffusione di modelli open source progettati specificamente per attività illecite, come WormGPT e FraudGPT. Accessibili a chiunque e facilmente adattabili, questi strumenti permettono di aggirare restrizioni etiche e di sicurezza integrate nei modelli più noti.
Lo stesso processo che ha reso la GenAI una leva di innovazione senza precedenti, ne ha fatto anche un moltiplicatore di vulnerabilità. La democratizzazione dell’IA generativa ha abbassato drasticamente la soglia tecnica necessaria per orchestrare attacchi sofisticati. Se prima certe operazioni erano appannaggio esclusivo di gruppi criminali ben organizzati o di attori statali, oggi persino individui con risorse limitate possono generare minacce su larga scala.
I numeri del 2025: attacchi IA-driven in crescita del 50%
Le conseguenze sono già sotto gli occhi di tutti. Negli ultimi mesi si sono moltiplicate campagne di phishing scritte con una credibilità linguistica mai raggiunta prima. Allo stesso modo innumerevoli deepfake sono stati usati per truffe milionarie o per manipolare intere organizzazioni. Attraverso la IA agente, infine, è stato possibile generare malware capaci di riscriversi e adattarsi in autonomia per eludere i controlli.
Non si tratta più solo di teoria, ma di episodi concreti che hanno colpito aziende e istituzioni a livello globale.
I dati del primo semestre 2025 confermano la portata del fenomeno: gli attacchi IA-driven sono cresciuti quasi del 50% a livello globale, con oltre 28 milioni di incidenti stimati a fine anno. In Europa si sono registrati poco meno del 30% degli attacchi su base annua. In Italia, il 40% dei gravi episodi cyber ha già visto l’impiego diretto di IA generativa. Oltre l’80% delle email di phishing e il 91% delle campagne di spear-phishing integrano ora modelli linguistici.
Quando la tecnologia diventa arma psicologica
Gli eventi del 2024-2025 hanno dimostrato inequivocabilmente che l’hacking mentale non è più un fenomeno limitato alla disinformazione e alla propaganda, ma si è evoluto in una minaccia sistemica che sfrutta le vulnerabilità tecnologiche per colpire direttamente la psiche umana. I ransomware e gli incidenti di sicurezza sistemica sono diventati vettori di trauma psicologico di massa, generando costi umani ed economici che vanno ben oltre i danni tecnici immediati.
Solo affrontando il rischio si potrà imparare a gestirlo e a ridurne l’impatto effettivo.
Verso una cybersecurity interdisciplinare: informatica, psicologia e neuroscienze
Tuttavia, questo approccio proattivo deve necessariamente includere la dimensione psicologica, riconoscendo che la vera sicurezza informatica del futuro non può prescindere dalla resilienza mentale degli individui e delle organizzazioni.
Questa sfida richiede un ripensamento radicale della cybersecurity, che deve evolversi da disciplina puramente tecnica a scienza interdisciplinare che integra informatica, psicologia, neuroscienze e scienze sociali. Solo attraverso questa sintesi si potranno sviluppare difese efficaci contro una minaccia che ha imparato a colpire non solo i nostri sistemi, ma la nostra stessa capacità di pensare e decidere razionalmente.
