Il phishing aziendale rappresenta oggi la principale minaccia informatica per le imprese italiane, trasformando ogni dipendente in un potenziale punto di accesso per i cybercriminali.
Con il 20% dei lavoratori che cade inconsapevolmente in trappole digitali sempre più sofisticate, le piccole e medie imprese si trovano ad affrontare una sfida che richiede approcci integrati di prevenzione e formazione.
Indice degli argomenti
Il nuovo scenario delle minacce digitali
Il 2025 conferma una tendenza già delineata negli anni precedenti: l’aumento esponenziale delle minacce digitali, la crescente sofisticazione degli attacchi e l’ampliamento della superficie d’attacco dovuto alla digitalizzazione diffusa e all’adozione di tecnologie emergenti, tra cui l’intelligenza artificiale. Allo stesso modo, si è allargato anche il perimetro dei bersagli: attacchi e rischi informatici non riguardano solo amministratori delegati di multinazionali, presidenti di grandi fondi e prime linee delle organizzazioni, ma coinvolgono molto da vicino tutti i dipendenti di ogni grado e ruolo.
Come raccolto nel nostro Y-Report 2025[1] il phishing e le sue varianti evolute – come il Business Email Compromise (BEC) e i malware Infostealer – continuano a rappresentare le principali minacce per le aziende italiane, e trovano proprio nei dipendenti uno spiraglio per l’accesso alla rete.
L’errore umano come anello debole della sicurezza
Il dato più significativo riguarda il comportamento degli utenti: il 20% dei dipendenti aziendali ha inserito inconsapevolmente le proprie credenziali in moduli fraudolenti ricevuti via email, in netto aumento rispetto al 13,4% registrato nel 2023.
Considerando che una tipica PMI italiana impiega mediamente tra i 10 e i 50 dipendenti – con una media ponderata di circa 30-35 unità, tenuto conto della predominanza numerica delle microimprese nel tessuto produttivo nazionale – è evidente come anche solo da 2 a 10 dei nostri colleghi, con cui quotidianamente condividiamo progetti, informazioni sensibili, fatture e documenti riservati, possano inconsapevolmente rappresentare l’anello debole della catena di sicurezza aziendale. La loro esposizione, anche involontaria, a contenuti fraudolenti aumenta in modo esponenziale la probabilità che una campagna di phishing riesca a colpire con successo l’organizzazione.
Le tecniche di attacco più diffuse
Il modus operandi usato dai cybercriminali è semplice, come il pretesto usato per far aprire le email: queste simulano comunicazioni ufficiali provenienti da banche, fornitori o altri colleghi, inducendo l’utente a cliccare su link malevoli e compilare moduli ingannevoli. La sensazione di urgenza che queste comunicazioni riescono a creare è sufficiente per fare passare in secondo piano ogni ragionevole dubbio e spingere il dipendente al “click”.
Malware infostealer e compromissione dei dati
È proprio attraverso campagne di malspam e software piratati che vengono principalmente distribuiti i malware Infostealer – software malevoli progettati per carpire informazioni sensibili dai dispositivi infetti -, secondo un modus operandi tipico delle gang ransomware.
Una volta infettato il dispositivo, il malware raccoglie dati sensibili – credenziali salvate sul browser, carte di credito, cookies, wallets – e li trasmette al cybercriminale. Questi dati, se associati a servizi critici e ancora validi, possono essere sfruttati per ottenere accesso iniziale ai sistemi aziendali. Nel solo 2024, sono stati oltre 8,1 milioni i sistemi compromessi di cui abbiamo avuto evidenza e più di 920 milioni le credenziali esfiltrate, con un incremento del +376,7% rispetto all’anno precedente.
Il mercato italiano nel panorama europeo
Di queste credenziali, oltre 170.000 avrebbero potuto garantire accesso a portali aziendali critici, come VPN e firewall, spesso utilizzati per il lavoro da remoto. A questo proposito, l’Italia si colloca al quinto posto in Europa per numero di dispositivi infetti (60.000), preceduta da Spagna (120 mila), Germania (73 mila), Polonia (71 mila) e Francia (66 mila). Tra i malware più aggressivi, Redline al primo posto con oltre 29 mila infezioni (55%) – poi smantellato da Operation Magnus condotta dalla Polizia Nazionale olandese in collaborazione con l’FBI e altri partner internazionali – seguito da LummaC2 (23%) e Vidar (12%).
Business email compromise e phishing-as-a-service
Il mercato delle credenziali compromesse è in forte espansione: nei black market da noi monitorati sono state messe in vendita oltre 124.000 credenziali esfiltrate da host italiani, con un incremento del +51,2% rispetto al 2023.
Il fenomeno del Business Email Compromise (BEC) merita un’attenzione specifica. Nel 2024, il 42% degli attacchi BEC si è concentrato nel primo trimestre, favorito dalla diffusione di Phishing-as-a-Service, kit pronti all’uso che consentono anche a soggetti con competenze informatiche minime di lanciare attacchi sofisticati. Questi strumenti hanno permesso di aggirare i sistemi di autenticazione a più fattori e ottenere accesso diretto alle caselle di posta elettronica delle vittime. Una volta compromesso l’account, esso viene sfruttato per condurre ulteriori attacchi all’interno dell’organizzazione o verso contatti esterni. Manufacturing (23,72%) e Food (8,33%) sono stati i settori più colpiti.
Le conferme del Cert-Agid
Le evidenze su phishing e pericoli per i dipendenti sono confermate anche dal CERT-AGID[2], che nel corso del 2024 ha individuato 1.767 campagne malevole rivolte a soggetti pubblici e privati italiani, condividendo 19.939 indicatori di compromissione (IoC) con la propria constituency.
Tra le tendenze più rilevanti, il CERT-AGID segnala l’aumento dell’uso di caselle PEC compromesse, triplicato rispetto all’anno precedente, che ha reso le campagne di phishing particolarmente credibili facilitando la distribuzione di malware come Vidar, un infostealer capace di esfiltrare credenziali, dati bancari e codici OTP.
Campagne recenti e nuove minacce
Un altro esempio riguarda le campagne che hanno sfruttato il nome di enti pubblici come INPS, Agenzia delle Entrate e Polizia di Stato, attraverso la registrazione di domini ingannevoli. Alcuni di questi domini sono stati effettivamente utilizzati per campagne di phishing, mentre altri sono rimasti inattivi o sono stati messi in vendita, evidenziando una strategia di preparazione per attacchi futuri.
Guardando ai dati più recenti, nella settimana del 19–25 luglio di quest’anno[3] sono state rilevate 60 campagne malevole di cui 40 con obiettivi italiani – non necessariamente rivolte alle sole aziende ma anche ad utenti privati. Queste andavano dal phishing bancario – con campagne che simulavano comunicazioni da parte di ING Bank, con l’obiettivo di sottrarre credenziali di accesso e dati sensibili – ad avvisi di sicurezza falsi che abusavano del nome di servizi come Aruba, Metamask e Webmail, simulando notifiche di sicurezza per ottenere credenziali. Non sono mancate false multe stradali che simulavano notifiche da PagoPA, il cliché di email che simulavano comunicazioni relative a ordini o spedizioni, utilizzate per veicolare malware come FormBook, VipKeylogger, Remcos e AgentTesla. Anche il Fascicolo Sanitario Elettronico è stato la scusa di campagne che reindirizzavano gli utenti a una finta pagina di login, identica a quella ufficiale, per acquisire credenziali di accesso al sistema sanitario.
L’intelligenza artificiale: arma a doppio taglio
L’intelligenza artificiale assume un ruolo ambivalente in questo scenario, come in un classico gioco tra guardie e ladri. Da un lato, viene utilizzata dai cybercriminali per generare contenuti di phishing sempre più credibili e personalizzati, sfruttando modelli linguistici avanzati per simulare comunicazioni aziendali autentiche. Dall’altro, le stesse tecnologie AI stanno potenziando le capacità difensive delle aziende, migliorando il rilevamento delle anomalie comportamentali, l’analisi predittiva delle minacce e la risposta automatizzata agli incidenti. Secondo un’analisi di IBM Security, l’adozione dell’AI nella cybersecurity ha permesso di ridurre in media di 108 giorni il tempo necessario per contenere una violazione, con un risparmio economico medio di 1,76 milioni di dollari per incidente.
Il costo delle violazioni e gli investimenti necessari
Gli investimenti, seppure onerosi, sono necessari, se secondo il Cost of a Data Breach Report 2024 di IBM[4] il costo medio globale di una violazione dei dati ha raggiunto i 4,88 milioni di dollari, con un incremento del 10% rispetto all’anno precedente, il più alto registrato dalla pandemia. Le aziende che hanno adottato soluzioni di AI e automazione per la prevenzione delle minacce, poi, hanno registrato una riduzione media dei costi di violazione pari a 2,2 milioni di dollari rispetto a quelle che non le utilizzano.
Strategie di prevenzione e buone pratiche
Alla luce di questi dati, è evidente che le aziende devono adottare un approccio proattivo e multilivello, che integri tecnologie avanzate, processi di governance robusti e una cultura della sicurezza diffusa. In particolare, è fondamentale:
- Verificare attentamente il mittente di ogni comunicazione, soprattutto se contenente richieste urgenti o insolite.
- Prestare attenzione al contenuto del messaggio, valutando tono, grammatica e coerenza con le prassi aziendali.
- Non cliccare su link o allegati sospetti, anche se apparentemente provenienti da colleghi o fornitori.
- Non inserire mai credenziali in pagine web non verificate, evitando l’uso di moduli accessibili da link ricevuti via email.
- Attivare l’autenticazione a due fattori (2FA) su tutti gli account aziendali e personali.
- Mantenere aggiornati dispositivi e software, per ridurre la superficie di attacco.
- Segnalare tempestivamente i tentativi di phishing al team IT o al responsabile della sicurezza.
- Verificare la legittimità di cambi di coordinate bancarie comunicate via mail usando canali diversi.
- Investire nella formazione continua del personale, affinché ogni dipendente diventi un presidio attivo contro le minacce digitali.
Raccomandazioni per le PMI
I consigli, alcuni intuitivi e legati al buon senso, sono tanto più vitali per le PMI, dove le risorse destinate alla cybersecurity spesso non sono sufficienti a coprire le spese per software e servizi sofisticati. In un contesto in cui le minacce digitali evolvono con rapidità e complessità crescenti, il primo livello di protezione resta la prudenza. Interfacciandoci con piccole e medie aziende dei settori più disparati, spesso a gestione familiare, è questo il nostro primo consiglio. L’adozione di tecnologie avanzate come l’intelligenza artificiale può offrire un supporto concreto nel rafforzare le difese aziendali. Tuttavia, la sua efficacia dipende dalla capacità delle organizzazioni di integrarla in modo coerente all’interno di un sistema di sicurezza strutturato, che includa processi, competenze e responsabilità ben definite. La tecnologia, da sola, non è sufficiente: è necessario affiancarla a una cultura della sicurezza diffusa e a un impegno costante nella formazione e nella prevenzione, per ridurre il rischio operativo e aumentare la resilienza complessiva dell’organizzazione.
[2]L’andamento delle campagne malevole trattate dal CERT-AGID
[3] Sintesi riepilogativa delle campagne malevole nella settimana del 19 – 25 luglio
