Il phishing è una delle poche minacce alla sicurezza informatica a non seguire una evoluzione “lineare”. Non cambia, infatti, in modo radicale, ma si adatta costantemente alle difese e ai comportamenti degli utenti. La sua efficacia non diminuisce, viene anzi ottimizzata con tecniche sempre più mirate, come la personalizzazione dei messaggi e forme avanzate di ingegneria sociale.
Indice degli argomenti
Phishing, molto più che “una email ingannevole”
Il phishing, insomma, non scompare, ma diventa una componente stabile delle campagne di attacco, spesso combinato con altri vettori per aumentarne l’impatto.
I dati CLUSIT confermano da anni il phishing come uno dei principali punti di ingresso negli ambienti aziendali, indipendentemente dal livello delle difese. Ridurlo a semplici “email ingannevoli” è fuorviante. Il motivo, di fatto, non è la sua complessità tecnica, ma la sua perfetta integrazione nei processi di lavoro quotidiani.
Con una singola interazione, come l’inserimento di credenziali in un sito falso o la risposta a un messaggio credibile, gli attaccanti ottengono accesso a identità reali. Da quel momento il perimetro tradizionale perde di rilevanza, perché l’azione malevola avviene dall’interno, tramite account legittimi. Il phishing raramente è l’obiettivo finale ma piuttosto il punto di accesso a scenari successivi come compromissione di account, furto di dati, frodi finanziarie o ransomware.
L’industrializzazione dell’inganno nel phishing
Negli ultimi anni il phishing è passato da attività artigianale a processo industriale. Le campagne non sono solo più frequenti, ma soprattutto più efficienti. Questo avviene grazie all’automazione nella creazione dei contenuti, che consente di generare grandi volumi di messaggi in poco tempo, e alla capacità di colpire migliaia di utenti contemporaneamente senza aumentare i costi operativi.
La personalizzazione dei messaggi è diventata sempre più sofisticata e i contenuti adattati al contesto del destinatario aumentano la probabilità di successo. Il risultato è un modello scalabile, economico e altamente efficace. L’intelligenza artificiale ha accelerato ulteriormente questo processo, abbassando le competenze necessarie per gli attaccanti e migliorando la qualità media degli attacchi.
Un cambiamento chiave è lo spostamento del focus: dal sistema all’identità. Non serve più compromettere infrastrutture complesse, basta ottenere credenziali valide per operare come un utente legittimo. Questo rende inefficaci molte difese basate esclusivamente sul perimetro e sposta il baricentro della sicurezza su identity management, autenticazione e monitoraggio comportamentale. In questo contesto, il phishing diventa lo strumento privilegiato per compromettere identità digitali, spesso senza generare segnali immediatamente evidenti di intrusione.
I segnali da non ignorare
La capacità di riconoscere precocemente anomalie comportamentali è tanto importante quanto la prevenzione. I principali indicatori di criticità includono:
• richieste di azioni urgenti e non usuali (pagamenti, modifiche IBAN, accessi)
• comunicazioni che introducono variazioni improvvise nei processi consolidati
• accessi da località, dispositivi o orari inconsueti
• tentativi ripetuti di autenticazione o reset password
• messaggi che simulano autorità interna o fornitori abituali con variazioni minime nei dettagli
Questi elementi non sono di per sé prova di attacco, ma segnali di rischio che, se correlati, devono attivare verifiche immediate.
Perché le PMI sono particolarmente esposte al phishing
Le piccole e medie imprese si trovano in una posizione di particolare esposizione al phishing non tanto perché rappresentano un obiettivo strategico primario, quanto perché offrono condizioni operative favorevoli agli attaccanti. In molti casi fanno un uso intensivo di email e strumenti cloud per le attività quotidiane, rendendo questi canali un punto di accesso naturale.
A questo si aggiunge la presenza di processi decisionali rapidi e poco formalizzati, in cui la necessità di agire velocemente può ridurre il livello di verifica delle comunicazioni ricevute. Infine, la maturità non sempre strutturata delle difese cyber amplifica ulteriormente il rischio.
Come cambia l’approccio alla sicurezza
Il punto di svolta nella gestione del phishing non è più la sua prevenzione assoluta, ma il contenimento del danno. In un contesto in cui l’attacco è altamente scalabile e difficilmente eliminabile alla radice, la sicurezza efficace si fonda su tre capacità operative: resilienza, monitoraggio continuo e risposta rapida.
La resilienza implica un cambio di paradigma: non progettare sistemi pensando che il phishing non avvenga, ma assumere che prima o poi una credenziale verrà compromessa. Questo significa costruire architetture e processi in grado di limitare il movimento laterale, ridurre i privilegi inutili e segmentare l’accesso alle risorse. La resilienza non elimina l’incidente, ma ne limita l’estensione. In pratica, l’obiettivo non è impedire l’errore umano, ma evitare che un singolo errore si trasformi in un incidente sistemico.
Il secondo pilastro è la capacità di osservare il comportamento degli utenti e dei sistemi in tempo reale. Il phishing moderno, infatti, non si manifesta sempre con segnali evidenti di intrusione. Il valore del monitoraggio non sta solo nel rilevare eventi anomali, ma nel costruire contesto, distinguendo ciò che è davvero sospetto da ciò che è semplicemente insolito. Accessi fuori orario, variazioni nei pattern di login, utilizzo di dispositivi nuovi o modifiche improvvise ai comportamenti operativi diventano indicatori fondamentali.
Il terzo elemento è la capacità di reagire velocemente. Nel phishing, il tempo è un fattore critico: più a lungo un attaccante mantiene accesso a un account, maggiore è il danno potenziale. Una risposta efficace richiede innanzitutto procedure chiare e, dove possibile, automatizzate, in grado di ridurre al minimo i tempi di intervento. Quando si sospetta una compromissione, è fondamentale poter isolare rapidamente gli account coinvolti e revocare tutte le sessioni attive per interrompere subito l’accesso dell’attaccante. Allo stesso tempo, devono essere disponibili meccanismi per bloccare tempestivamente credenziali sospette, evitando ulteriori utilizzi non autorizzati.
Un altro elemento chiave è la capacità di attivare escalation interne immediate, così che gli incidenti vengano gestiti senza ritardi dai team competenti. Infine, una comunicazione rapida e strutturata tra team IT e aree business è essenziale per coordinare le azioni, limitare l’impatto operativo e garantire una risposta coerente su tutta l’organizzazione.
Le componenti operative della difesa
In questo contesto, la riduzione del rischio phishing non dipende da singole soluzioni, ma dalla coerenza tra strumenti, processi e comportamento.
- Rafforzamento delle identità
- Introduzione di attrito nei punti critici
- Riduzione della fiducia implicita
- Formazione continua e contestuale
- Visibilità e monitoraggio 24h
- Preparazione alla gestione dell’incidente
La tecnologia da sola non basta
Strumenti come filtri email, sistemi di identity management e piattaforme di monitoring sono indispensabili, ma non sufficienti se isolati. Il rischio principale, soprattutto nelle PMI, è l’introduzione di complessità non sostenibile. L’efficacia non dipende dunque dalla quantità di strumenti adottati, ma dalla loro integrazione e dalla semplicità operativa.
E se il phishing non è più un’anomalia del sistema ma una componente strutturale dell’ecosistema digitale la sua gestione non può essere basata sull’illusione della prevenzione totale, ma su un modello di adattamento continuo che combina tecnologia, processi e comportamento umano. La vera evoluzione della sicurezza non sta nell’eliminare il phishing, ma nel renderlo insufficiente a generare danno significativo. In questa prospettiva, la differenza tra vulnerabilità e resilienza è data dalla capacità dell’organizzazione di riconoscere i segnali deboli, reagire rapidamente e limitare l’impatto.
