Phishing - Le Buone Pratiche

Questa guida pratica fornisce i riflessi essenziali per identificare e sventare i tentativi di phishing — per voi, i vostri colleghi e la vostra azienda. Il 91% degli attacchi informatici inizia con un'email di phishing (Proofpoint 2024): saper riconoscere i segnali d'allarme è la prima linea di difesa.

Uomo avvisato, mezzo salvato!

Impara a sventare le trappole del Phishing

icon

Checklist
Globale
icon

Link e
Allegati
icon

Urgenza e
Pressione
icon

Password e
MFA
icon

Phishing in
Azienda
icon

Phishing in
Evoluzione

Non cadere più nella trappola: Verifica Link e Allegati

1. Come verificare un link (PRIMA di cliccare)

Passa il mouse sopra

Su un computer, passa semplicemente il cursore del mouse sul link SENZA cliccare. L'indirizzo URL reale verrà visualizzato generalmente in basso a sinistra del tuo browser.

Tieni premuto a lungo su mobile

Su uno smartphone o un tablet, premi e tieni premuto il dito sul link. Una finestra pop-up mostrerà l'URL completo.

  • Assomiglia esattamente al sito previsto? (Es: `banca.ch` e non `banca-sicura.com` o `banca.ch.info.net`)
  • Ci sono errori di ortografia? (Es: `googlle.com` invece di `google.com`)
  • Utilizza il protocollo sicuro HTTPS (indicato da un lucchetto nella barra degli indirizzi una volta sul sito)?

Analysez l'URL affichée

In caso di dubbio

Non aprire il link. Vai direttamente sul sito interessato digitando l'indirizzo nel browser o utilizzando un preferito salvato.

2. Precauzioni con gli allegati

Ti aspetti l'allegato?

Se non ti aspettavi di ricevere un documento da questo mittente, sii estremamente prudente.

Fai attenzione ai tipi di file sospetti

Sii molto vigile con i file eseguibili (.exe), gli archivi (.zip, .rar), o i documenti Office (.doc, .docx, .xls, .xlsx, .ppt, .pptx) se provengono da una fonte inattesa, soprattutto se chiedono di attivare le macro.

Analizza il contesto

Il contenuto dell'email giustifica la presenza di un allegato? Il nome del file è logico?

In caso di dubbio

Non scaricare e non aprire l'allegato. Contatta il mittente con un altro mezzo (telefono, nuova email digitata manualmente) per confermare l'invio.

La tua vigilanza è la tua migliore protezione contro gli attacchi informatici.

Il Phishing si Evolve: Conosci le Diverse Forme

1. Alcune forme comuni di Phishing

Spear Phishing

Attacco molto mirato che punta a una persona o a un piccolo gruppo. L'email è personalizzata con informazioni reali sul bersaglio (nome del responsabile, progetto in corso, fornitore noto) per sembrare legittima. Lo spear phishing rappresenta il 66% delle violazioni di dati confermate (Verizon DBIR 2025) — meno frequente in volume, ma nettamente più efficace.

Whaling

Mira specificamente ai dirigenti di alto livello o a persone con accesso privilegiato a informazioni finanziarie o sensibili.

Smishing

Phishing realizzato tramite SMS. Il messaggio contiene un link dannoso o chiede di richiamare un numero fraudolento.

Vishing

Phishing tramite chiamata telefonica (Voice Phishing). Il truffatore si finge un interlocutore di fiducia (banca, supporto tecnico, amministrazione) per estorcerti informazioni.

Pharming

Tecnica che reindirizza il traffico di un sito web legittimo verso un sito falso senza che la vittima clicchi su un link, spesso tramite la modifica di file di sistema sul computer.

Business Email Compromise (BEC)

Frode del CEO o frode del fornitore: l'aggressore si finge un dirigente o un partner commerciale per ordinare un bonifico urgente o ottenere informazioni riservate. Il BEC ha causato perdite dichiarate di 2,9 miliardi di USD nel 2023 (FBI IC3 2024) — è la minaccia informatica finanziariamente più costosa. Nessun malware necessario — la manipolazione è sufficiente.

Rimani informato/a sulle nuove tattiche per sventarle meglio.

Checklist: Come verificare se un'email è legittima?

1. Alcune forme comuni di Phishing

Mittente

Controlla l'indirizzo email completo. È l'indirizzo ufficiale dell'organizzazione o ci sono sottili variazioni?

Ortografia e Grammatica

L'email contiene errori di ortografia, di grammatica o frasi strane?

Formula di saluto

È impersonale ("Gentile cliente", "Ciao utente") o usa il tuo nome?

Destinazione del link

Passa il mouse sul link (senza cliccare!) per vedere l'URL reale. Corrisponde al sito ufficiale previsto?

Allegati

Ti aspetti questo allegato? Il tipo di file è sospetto?

Urgenza o Minaccia

Il messaggio crea un senso di urgenza o contiene minacce per spingerti ad agire in fretta?

Richiesta insolita

La richiesta (bonifico, informazione, azione...) è strana o inaspettata in questo contesto?

Richiesta di dati sensibili

L'email ti chiede la password, le coordinate bancarie o altre informazioni confidenziali?

Verifica esterna

In caso di dubbio, verifica l'informazione contattando l'organizzazione direttamente tramite il loro sito ufficiale o per telefono (non rispondere all'email sospetta).

Segnalazione

Se l'email ti sembra sospetta, segnalala al tuo reparto IT.

Applicando queste verifiche, aumenterai notevolmente la tua capacità di identificare i tentativi di phishing.

Incidente di Phishing in Azienda: La Reazione Giusta

1. I passaggi da seguire IMMEDIATAMENTE

Non farti prendere dal panico, ma agisci in fretta

Il tempo è un fattore chiave per limitare i danni.

Segnala l'incidente SENZA RITARDO

  • Informa immediatamente il tuo superiore gerarchico.
  • Contatta il reparto IT o il responsabile della sicurezza (CISO) dell'azienda. Utilizza i canali di comunicazione ufficiali (telefono, strumento di segnalazione interno) e non l'email potenzialmente compromessa.
  • Descrivi precisamente cosa è successo (clic, apertura di allegato, informazioni inserite, ecc.).

Isola il tuo dispositivo

Scollegati dalla rete aziendale (scollega il cavo Ethernet, disattiva il Wi-Fi). Non spegnere il computer a meno che non ti venga detto dall'IT, poiché ciò potrebbe impedire la raccolta di prove.

Non eliminare nulla

Non eliminare l'email sospetta o i file potenzialmente scaricati. Sono importanti per l'analisi dell'incidente.

Cambia le tue password

Se hai inserito la password della tua sessione o qualsiasi altra password professionale, cambiala immediatamente. Idealmente, fallo da un altro dispositivo sicuro se possibile.

Sii pronto/a a cooperare

Il team IT avrà bisogno della tua piena collaborazione per investigare e pulire i sistemi se necessario.

Coopera pienamente

Il team IT avrà bisogno della tua collaborazione per investigare e pulire i sistemi se necessario.

2. Perché segnalare è essenziale

Identificazione

Consente di identificare e bloccare rapidamente la minaccia per proteggere gli altri dipendenti.

Propagazione

Limita la diffusione di eventuali malware sulla rete aziendale.

Aiutare

Aiuta il team di sicurezza a comprendere le tattiche utilizzate e a rafforzare le difese.

La tua onestà e la tua reattività sono essenziali per la sicurezza collettiva.

La Tua Linea di Difesa: Password Forti e MFA

1. Password Forti

Lunghezza

Una password dovrebbe idealmente contenere almeno 12 caratteri.

Complessità

Mescola maiuscole, minuscole, numeri e caratteri speciali (!@#$%^&*).

Unicità

NON usare MAI la stessa password per account diversi, soprattutto professionali e personali.

Evita informazioni personali

Non usare il tuo nome, data di nascita, nome di un parente, nome di un animale domestico...

Usa una passphrase

Una frase facile da ricordare per te ma difficile da indovinare (Es: "IlMioGattoAmaLeCrocchetteBlu!7").

Considera un gestore di password

Uno strumento sicuro per generare e memorizzare le tue password complesse.

Découvrez en vidéo

Comment créer un mot de passe fort et incassable.

Comment les hackers cassent vos mots de passe.

2. Autenticazione a Più Fattori (MFA)

Cos'è?

L'MFA richiede almeno due prove della tua identità per accedere (qualcosa che sai - password, qualcosa che hai - telefono/token, qualcosa che sei - impronta digitale/riconoscimento facciale).

Perché è cruciale?

Anche se un truffatore ottiene la tua password tramite phishing, non potrà accedere senza il secondo fattore. L'MFA blocca il 99,9% degli attacchi automatizzati sugli account (Microsoft 2024). È la misura di sicurezza con il miglior rapporto sforzo/protezione disponibile oggi.

Attivala ovunque

Attiva l'MFA su tutti i tuoi account professionali e personali che la offrono (email, VPN, app, banche, social network...).

Password forti + MFA = Una sicurezza notevolmente rafforzata.

Attenzione alle Tattiche di Phishing: Urgenza e Pressione

1. Come riconoscere questa tattica

Scadenze molto brevi

"Hai 24 ore per rispondere", "Il tuo account verrà eliminato a breve se non agisci".

Minacce

"Il tuo account è stato compromesso", "Rischi una multa", "La tua consegna non potrà essere effettuata".

Richieste insolite e urgenti

Un superiore che chiede un bonifico bancario urgente via email, una richiesta immediata di una carta regalo, ecc.

Tono allarmistico

Uso di maiuscole, punti esclamativi eccessivi, formulazioni drammatiche.

2. Come reagire all'urgenza

Prenditi il tuo tempo

Un'email importante generalmente non richiede un'azione immediata sotto pena di conseguenze disastrose. Respira e analizza con calma il messaggio.

Non cliccare

Evita di cliccare sui link o di aprire gli allegati se senti pressione.

Verifica tramite un altro canale

Se il messaggio afferma di provenire da una persona o da un'organizzazione che conosci, contattali direttamente tramite un mezzo abituale (telefono, app ufficiale, sito web) per verificare l'informazione. NON usare i recapiti forniti nell'email sospetta.

Parlane

Se hai dubbi su un'email, parlane con un collega o contatta il tuo reparto IT prima di agire.

Non lasciare che la pressione ti faccia commettere un errore. La verifica è la chiave.

Domande frequenti sul phishing

Che cos'è il phishing?

Il phishing (o hameçonnage) è una tecnica di frode online che consiste nell'inviare email, SMS o messaggi che imitano comunicazioni legittime (banca, amministrazione, datore di lavoro) per ingannare la vittima e sottrarle informazioni riservate — password, dati bancari, credenziali professionali. Il phishing è il vettore di attacco più utilizzato: il 91% degli attacchi informatici inizia con un'email fraudolenta (Proofpoint 2024).

Che cos'è lo spear phishing e perché è più pericoloso?

Lo spear phishing è una variante mirata del phishing classico: invece di inviare milioni di email generiche, gli aggressori personalizzano l'attacco usando informazioni reali sulla vittima (nome del responsabile, progetto in corso, nome di un fornitore). Questo targeting rende l'email molto più credibile. Lo spear phishing rappresenta il 66% delle violazioni di dati confermate (Verizon DBIR 2024). Con l'IA, gli aggressori possono ora generare queste email personalizzate su larga scala — il costo di un attacco mirato è notevolmente diminuito.

Come formare efficacemente i team contro il phishing?

La formazione teorica da sola non è sufficiente: gli studi dimostrano che i collaboratori dimenticano il 70% del contenuto di una formazione nella settimana successiva (Ebbinghaus, confermato in numerosi studi sull'e-learning). L'approccio più efficace combina simulazione e formazione correttiva: inviare vere campagne di phishing simulato (tramite PhishTrainer), identificare i collaboratori che cliccano, quindi reindirizzarli automaticamente verso una formazione mirata (Bexxo Academy). Questo metodo riduce il tasso di clic del 60-70% in sei mesi (Proofpoint 2024). Le simulazioni regolari (4-6 all'anno) mantengono il livello di vigilanza nel tempo.

Come l'intelligenza artificiale trasforma gli attacchi di phishing?

L'IA generativa ha radicalmente cambiato la minaccia phishing dal 2023. Tre sviluppi principali:
  • Email perfettamente redatte — finiti gli errori di ortografia che permettevano di rilevare un phishing. I LLM generano email in italiano impeccabile, adattate al tono dell'azienda presa di mira. Le email generate dall'IA hanno un tasso di clic 4 volte superiore alle email manuali (APWG / Keepnet 2025).
  • Personalizzazione su larga scala — l'IA può analizzare il profilo LinkedIn, i post pubblici e il sito web di un bersaglio per creare uno spear phishing ultra-realistico in pochi secondi. Quello che richiedeva ore a un aggressore umano ora richiede pochi secondi.
  • Deepfake vocali e video — chiamate vishing che imitano la voce di un dirigente o intere videoconferenze con avatar deepfake sono già state utilizzate per scatenare bonifici fraudolenti (casi documentati nel 2024 a Hong Kong: 25 milioni di USD persi).
La conseguenza diretta: la vigilanza umana da sola non è più sufficiente. La simulazione regolare (PhishTrainer) e la formazione continua (Bexxo Academy) sono indispensabili per mantenere un livello di difesa adeguato alla minaccia attuale.

Come si riconosce un'email di phishing?

I principali segnali di allarme sono: un indirizzo del mittente leggermente diverso dall'originale (es. support@rnazonl.com invece di @amazon.com), un senso di urgenza o minaccia che spinge ad agire in fretta, una richiesta di password o dati bancari, un URL del link che non corrisponde al sito previsto (verificare prima di cliccare), errori di ortografia o impaginazione. Attenzione: le email generate dall'IA sono ora perfettamente redatte — la grammatica da sola non basta più per rilevarle.

Cosa fare se ho cliccato su un link di phishing?

Agire immediatamente: (1) scollegarsi dalla rete aziendale (Wi-Fi, cavo); (2) segnalare l'incidente al reparto IT o al responsabile della sicurezza senza attendere — per telefono, non via email; (3) cambiare la password da un altro dispositivo sicuro; (4) non eliminare l'email sospetta, serve per l'analisi forense; (5) attivare l'MFA se non è ancora stato fatto. Prima si agisce, più i danni possono essere limitati.

L'MFA (autenticazione a più fattori) protegge davvero dal phishing?

Sì, nella stragrande maggioranza dei casi. Anche se un aggressore ottiene la tua password tramite una pagina di phishing, non può accedere senza il secondo fattore (codice SMS, app di autenticazione, chiave fisica). L'MFA blocca il 99,9% degli attacchi automatizzati sugli account (Microsoft 2024). L'unica eccezione è il phishing in tempo reale (attacco MITM / Adversary-in-the-Middle) che intercetta il codice MFA nello stesso istante — questo vettore rimane marginale per le PMI. La raccomandazione: attivare l'MFA su tutti gli account professionali senza eccezione.

Quali sono le diverse forme di phishing da conoscere?

Esistono 6 forme principali di phishing:
  • Phishing classico — email di massa che imitano una banca, una consegna o un'amministrazione. Più di 3,4 miliardi di email fraudolente inviate ogni giorno (Forbes 2024). Spesso riconoscibile dagli errori e dall'urgenza artificiale.
  • Spear phishing — attacco mirato su una persona specifica, con informazioni reali (nome del responsabile, progetto in corso). Rappresenta il 66% delle violazioni confermate (Verizon DBIR 2024).
  • Whaling — variante dello spear phishing che punta specificamente ai dirigenti e ai quadri, per accedere alle finanze o alle decisioni strategiche.
  • Smishing — phishing via SMS. Imita generalmente un'allerta bancaria, una consegna di pacco o un servizio pubblico. Il tasso di apertura degli SMS supera il 90% — questo vettore è in forte crescita.
  • Vishing — phishing vocale per telefono. Il truffatore si finge il supporto informatico, una banca o un'amministrazione per sottrarre informazioni o scatenare un'azione immediata.
  • BEC (Business Email Compromise / Frode del CEO) — usurpazione dell'identità di un dirigente o partner per ordinare un bonifico o ottenere dati sensibili. Prima fonte di perdite finanziarie legate al cybercrimine: 2,9 miliardi di USD nel 2023 (FBI IC3 2024).

Smishing (SMS) e vishing (telefono) sono pericolosi quanto il phishing via email?

Sì, e possono essere più efficaci, proprio perché le persone se li aspettano meno.

Smishing (SMS): gli SMS hanno un tasso di apertura superiore al 90%, contro il 20-30% delle email. I messaggi imitano tipicamente un'allerta di consegna (Posta, DHL), un avviso bancario o un messaggio dell'amministrazione. Il link reindirizza verso una falsa pagina di accesso. Su mobile, l'URL è spesso troncato e difficile da verificare.

Vishing (vocale): l'aggressore chiama direttamente la vittima fingendosi il supporto IT, una banca o Microsoft. La pressione in tempo reale e la voce umana aggirano le difese abituali. I deepfake vocali generati dall'IA permettono ora di imitare la voce di un collega o di un dirigente conosciuto.

La regola d'oro in entrambi i casi: non fornire mai informazioni sensibili a seguito di un messaggio o di una chiamata non sollecitata — richiamare direttamente l'organizzazione tramite un numero ufficiale conosciuto.
Il phishing (o hameçonnage) è una tecnica di frode online che consiste nell'inviare email, SMS o messaggi che imitano comunicazioni legittime (banca, amministrazione, datore di lavoro) per ingannare la vittima e sottrarle informazioni riservate — password, dati bancari, credenziali professionali. Il phishing è il vettore di attacco più utilizzato: il 91% degli attacchi informatici inizia con un'email fraudolenta (Proofpoint 2024).
Lo spear phishing è una variante mirata del phishing classico: invece di inviare milioni di email generiche, gli aggressori personalizzano l'attacco usando informazioni reali sulla vittima (nome del responsabile, progetto in corso, nome di un fornitore). Questo targeting rende l'email molto più credibile. Lo spear phishing rappresenta il 66% delle violazioni di dati confermate (Verizon DBIR 2024). Con l'IA, gli aggressori possono ora generare queste email personalizzate su larga scala — il costo di un attacco mirato è notevolmente diminuito.
La formazione teorica da sola non è sufficiente: gli studi dimostrano che i collaboratori dimenticano il 70% del contenuto di una formazione nella settimana successiva (Ebbinghaus, confermato in numerosi studi sull'e-learning). L'approccio più efficace combina simulazione e formazione correttiva: inviare vere campagne di phishing simulato (tramite PhishTrainer), identificare i collaboratori che cliccano, quindi reindirizzarli automaticamente verso una formazione mirata (Bexxo Academy). Questo metodo riduce il tasso di clic del 60-70% in sei mesi (Proofpoint 2024). Le simulazioni regolari (4-6 all'anno) mantengono il livello di vigilanza nel tempo.
L'IA generativa ha radicalmente cambiato la minaccia phishing dal 2023. Tre sviluppi principali:
  • Email perfettamente redatte — finiti gli errori di ortografia che permettevano di rilevare un phishing. I LLM generano email in italiano impeccabile, adattate al tono dell'azienda presa di mira. Le email generate dall'IA hanno un tasso di clic 4 volte superiore alle email manuali (APWG / Keepnet 2025).
  • Personalizzazione su larga scala — l'IA può analizzare il profilo LinkedIn, i post pubblici e il sito web di un bersaglio per creare uno spear phishing ultra-realistico in pochi secondi. Quello che richiedeva ore a un aggressore umano ora richiede pochi secondi.
  • Deepfake vocali e video — chiamate vishing che imitano la voce di un dirigente o intere videoconferenze con avatar deepfake sono già state utilizzate per scatenare bonifici fraudolenti (casi documentati nel 2024 a Hong Kong: 25 milioni di USD persi).
La conseguenza diretta: la vigilanza umana da sola non è più sufficiente. La simulazione regolare (PhishTrainer) e la formazione continua (Bexxo Academy) sono indispensabili per mantenere un livello di difesa adeguato alla minaccia attuale.
I principali segnali di allarme sono: un indirizzo del mittente leggermente diverso dall'originale (es. support@rnazonl.com invece di @amazon.com), un senso di urgenza o minaccia che spinge ad agire in fretta, una richiesta di password o dati bancari, un URL del link che non corrisponde al sito previsto (verificare prima di cliccare), errori di ortografia o impaginazione. Attenzione: le email generate dall'IA sono ora perfettamente redatte — la grammatica da sola non basta più per rilevarle.
Agire immediatamente: (1) scollegarsi dalla rete aziendale (Wi-Fi, cavo); (2) segnalare l'incidente al reparto IT o al responsabile della sicurezza senza attendere — per telefono, non via email; (3) cambiare la password da un altro dispositivo sicuro; (4) non eliminare l'email sospetta, serve per l'analisi forense; (5) attivare l'MFA se non è ancora stato fatto. Prima si agisce, più i danni possono essere limitati.
Sì, nella stragrande maggioranza dei casi. Anche se un aggressore ottiene la tua password tramite una pagina di phishing, non può accedere senza il secondo fattore (codice SMS, app di autenticazione, chiave fisica). L'MFA blocca il 99,9% degli attacchi automatizzati sugli account (Microsoft 2024). L'unica eccezione è il phishing in tempo reale (attacco MITM / Adversary-in-the-Middle) che intercetta il codice MFA nello stesso istante — questo vettore rimane marginale per le PMI. La raccomandazione: attivare l'MFA su tutti gli account professionali senza eccezione.
Esistono 6 forme principali di phishing:
  • Phishing classico — email di massa che imitano una banca, una consegna o un'amministrazione. Più di 3,4 miliardi di email fraudolente inviate ogni giorno (Forbes 2024). Spesso riconoscibile dagli errori e dall'urgenza artificiale.
  • Spear phishing — attacco mirato su una persona specifica, con informazioni reali (nome del responsabile, progetto in corso). Rappresenta il 66% delle violazioni confermate (Verizon DBIR 2024).
  • Whaling — variante dello spear phishing che punta specificamente ai dirigenti e ai quadri, per accedere alle finanze o alle decisioni strategiche.
  • Smishing — phishing via SMS. Imita generalmente un'allerta bancaria, una consegna di pacco o un servizio pubblico. Il tasso di apertura degli SMS supera il 90% — questo vettore è in forte crescita.
  • Vishing — phishing vocale per telefono. Il truffatore si finge il supporto informatico, una banca o un'amministrazione per sottrarre informazioni o scatenare un'azione immediata.
  • BEC (Business Email Compromise / Frode del CEO) — usurpazione dell'identità di un dirigente o partner per ordinare un bonifico o ottenere dati sensibili. Prima fonte di perdite finanziarie legate al cybercrimine: 2,9 miliardi di USD nel 2023 (FBI IC3 2024).
Sì, e possono essere più efficaci, proprio perché le persone se li aspettano meno.

Smishing (SMS): gli SMS hanno un tasso di apertura superiore al 90%, contro il 20-30% delle email. I messaggi imitano tipicamente un'allerta di consegna (Posta, DHL), un avviso bancario o un messaggio dell'amministrazione. Il link reindirizza verso una falsa pagina di accesso. Su mobile, l'URL è spesso troncato e difficile da verificare.

Vishing (vocale): l'aggressore chiama direttamente la vittima fingendosi il supporto IT, una banca o Microsoft. La pressione in tempo reale e la voce umana aggirano le difese abituali. I deepfake vocali generati dall'IA permettono ora di imitare la voce di un collega o di un dirigente conosciuto.

La regola d'oro in entrambi i casi: non fornire mai informazioni sensibili a seguito di un messaggio o di una chiamata non sollecitata — richiamare direttamente l'organizzazione tramite un numero ufficiale conosciuto.
Forma i tuoi team

Forma i tuoi team con PhishTrainer.

Con PhishTrainer, trasforma i tuoi collaboratori nella prima linea di difesa contro il phishing. Simula, sensibilizza e proteggi la tua azienda in modo duraturo grazie a campagne di phishing realistiche e coinvolgenti.

Vedi la dimostrazione