FAQ : Sensibilizzazione
L'MFA (autenticazione a più fattori) protegge davvero dal phishing?
Sì, nella stragrande maggioranza dei casi. Anche se un aggressore ottiene la tua password tramite una pagina di phishing, non può accedere senza il secondo fattore (codice SMS, app di autenticazione, chiave fisica). L'MFA blocca il 99,9% degli attacchi automatizzati sugli account (Microsoft 2024). L'unica eccezione è il phishing in tempo reale (attacco MITM / Adversary-in-the-Middle) che intercetta il codice MFA nello stesso istante — questo vettore rimane marginale per le PMI. La raccomandazione: attivare l'MFA su tutti gli account professionali senza eccezione.
La formazione cybersecurity è obbligatoria per le PMI secondo la nLPD?
La nLPD (nuova Legge sulla Protezione dei Dati, in vigore da settembre 2023) impone misure organizzative di protezione dei dati, tra cui la sensibilizzazione dei collaboratori ai rischi. Se si verifica una violazione dei dati e l'azienda non può dimostrare di aver formato i suoi team, è esposta a sanzioni fino a 250 000 CHF. I report di formazione generati da Bexxo Academy servono come prova di diligenza in caso di ispezione dell'IFPDT.
La formazione cybersicurezza è obbligatoria con la nLPD svizzera?
La nLPD (legge federale svizzera sulla protezione dei dati, in vigore dal settembre 2023) esige che le aziende adottino misure organizzative per proteggere i dati personali. La formazione del personale è esplicitamente raccomandata dall'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) come misura organizzativa essenziale. In caso di violazione dei dati, l'assenza di una formazione documentata può aggravare la responsabilità dell'azienda. Bexxo fornisce un rapporto di monitoraggio che serve come prova di diligenza in caso di controllo dell'IFPDT. Multe fino a 250 000 CHF per i responsabili del trattamento in caso di violazione.
La simulazione di phishing è utile per la conformità alla nLPD?
Sì. La nLPD (nuova Legge sulla Protezione dei Dati, in vigore da settembre 2023) impone misure di sicurezza organizzative, tra cui la sensibilizzazione dei collaboratori ai rischi. In caso di violazione dei dati, un'azienda che non può dimostrare di aver formato i propri team rischia sanzioni fino a 250 000 CHF. I report delle campagne PhishTrainer servono come prova di diligenza: documentano le simulazioni effettuate, i tassi di clic nel tempo e le azioni correttive messe in atto.
Perché formare il personale alla cybersecurity?
Formare il personale alla cybersecurity è cruciale, poiché l'elemento umano rimane l'anello più vulnerabile nella maggior parte degli incidenti di sicurezza. Che si tratti di un clic su un link di phishing, di una password troppo debole o della condivisione involontaria di informazioni sensibili, gli errori umani sono all'origine di molte compromissioni.
Una buona formazione permette ai collaboratori di riconoscere le minacce, di adottare comportamenti sicuri quotidianamente (gestione delle password, vigilanza verso le email sospette, rispetto delle procedure) e di reagire correttamente in caso di dubbio. Ciò rafforza la postura di sicurezza globale dell'azienda e riduce significativamente il rischio di attacchi riusciti.
PhishTrainer è ospitato in Svizzera?
Sì. PhishTrainer è 100% svizzero: sviluppato da Bexxo (Ins, cantone di Berna) e ospitato su server in Svizzera. Nessun trasferimento di dati all'estero. I dati dei tuoi collaboratori e i risultati delle campagne rimangono sul territorio svizzero, conformemente ai requisiti della nLPD. PhishTrainer offre opzionalmente una crittografia lato client (client-side encryption): i dati vengono crittografati nel browser dell'utente prima di essere trasmessi ai nostri server. In concreto, anche la nostra infrastruttura non può accedere ai dati in chiaro — è una garanzia di massima riservatezza che pochi strumenti di simulazione possono offrire.
Qual è la differenza tra PhishTrainer e Bexxo Academy?
Sono due strumenti complementari:
- PhishTrainer agisce attraverso la pratica: invia finte e-mail di phishing ai vostri collaboratori e misura chi clicca e chi segnala l'attacco. È l'approccio comportamentale — imparare dall'esperienza. La dashboard fornisce il tasso di clic, il tasso di segnalazione e l'evoluzione nel tempo.
- Bexxo Academy agisce attraverso la conoscenza: moduli video, quiz interattivi, giochi didattici sulle minacce informatiche. Accessibile 24 ore su 24 online, completato da sessioni in presenza a Ins (BE). Ideale per l'integrazione dei nuovi collaboratori e l'aggiornamento delle conoscenze.
I due strumenti insieme coprono il ciclo completo: sensibilizzare → testare → misurare → migliorare.
Qual è la differenza tra PhishTrainer e Bexxo Academy?
PhishTrainer e Bexxo Academy sono due strumenti complementari: PhishTrainer testa (simulazione di attacchi, identificazione delle vulnerabilità, misurazione del tasso di clic), Bexxo Academy forma (moduli e-learning, quiz, video, sessioni in presenza). Funzionano in sinergia: i risultati di PhishTrainer identificano i team o i profili a rischio, Bexxo Academy fornisce i percorsi di formazione adeguati. Per una protezione efficace, Bexxo raccomanda di usare entrambi gli strumenti insieme secondo il metodo Simulare → Formare → Misurare.
Qual è la differenza tra la formazione online Bexxo Academy e le sessioni in presenza?
La formazione online (academy.bexxo.ch) è disponibile 24h/24, individuale e a progressione libera — ideale per la sensibilizzazione regolare, il monitoraggio continuo e i team geograficamente dispersi. Le sessioni in presenza a Ins (BE) sono raccomandate quando si desidera formare simultaneamente da 5 a 20 persone, realizzare workshop interattivi con messe in situazione reali, o ancorare una cultura della sicurezza durante un evento aziendale (seminario, giornata tematica). Per i team di più di 10 persone, raccomandiamo generalmente una combinazione: sensibilizzazione iniziale online, poi sessione in presenza per consolidare gli apprendimenti e trattare i casi specifici della vostra organizzazione.
Qual è la differenza tra sensibilizzazione e formazione tecnica?
La sensibilizzazione mira a diffondere una cultura generale della sicurezza, accessibile a tutti i collaboratori, indipendentemente dalla loro professione o livello tecnico. Copre argomenti concreti: phishing, password, mobilità, social network, vigilanza nel telelavoro, ecc. L'obiettivo è rendere ciascuno attore della sicurezza nelle proprie abitudini quotidiane.
La formazione tecnica, invece, si rivolge a profili più specializzati (team IT, sviluppatori, amministratori) e riguarda competenze specifiche come l'hardening dei sistemi, lo sviluppo sicuro o la gestione degli incidenti. Spesso richiede prerequisiti e mira a rafforzare la sicurezza attraverso la padronanza tecnica.
Qual è la responsabilità dell'azienda in caso di incidente causato da un dipendente non adeguatamente informato?
Se si verifica un incidente di sicurezza a causa di un comportamento a rischio di un dipendente non adeguatamente informato, l'azienda rimane in gran parte responsabile. La legge, in particolare la LPD in Svizzera e il GDPR in Europa, impone alle organizzazioni di adottare le misure necessarie per proteggere i dati e ridurre i rischi. Ciò include la formazione e la sensibilizzazione del personale.
In caso di controversia o indagine, un'azienda che non è in grado di dimostrare di aver messo in atto azioni di prevenzione (come corsi di formazione regolari, campagne di sensibilizzazione o promemoria delle buone pratiche) potrebbe essere giudicata negligente. Ciò può comportare multe, danni alla reputazione e perdita di fiducia da parte di clienti e partner.
Quali sono i rischi legati alla mancanza di consapevolezza?
La mancanza di consapevolezza espone l'azienda a rischi molto concreti: apertura di email fraudolente, installazione di software dannosi, fuga di dati o pratiche scorrette come l'utilizzo di supporti non crittografati o la condivisione di password. Questi errori possono portare a costosi attacchi informatici o addirittura a interruzioni dell'attività.
Inoltre, un personale non sensibilizzato può diventare la porta d'ingresso involontaria per un ransomware, un furto di dati o uno spionaggio industriale. In un contesto di digitalizzazione crescente, ignorare questo aspetto equivale a lasciare una falla permanente nella difesa dell'azienda.
Quali sono le diverse forme di phishing da conoscere?
Esistono 6 forme principali di phishing:
- Phishing classico — email di massa che imitano una banca, una consegna o un'amministrazione. Più di 3,4 miliardi di email fraudolente inviate ogni giorno (Forbes 2024). Spesso riconoscibile dagli errori e dall'urgenza artificiale.
- Spear phishing — attacco mirato su una persona specifica, con informazioni reali (nome del responsabile, progetto in corso). Rappresenta il 66% delle violazioni confermate (Verizon DBIR 2024).
- Whaling — variante dello spear phishing che punta specificamente ai dirigenti e ai quadri, per accedere alle finanze o alle decisioni strategiche.
- Smishing — phishing via SMS. Imita generalmente un'allerta bancaria, una consegna di pacco o un servizio pubblico. Il tasso di apertura degli SMS supera il 90% — questo vettore è in forte crescita.
- Vishing — phishing vocale per telefono. Il truffatore si finge il supporto informatico, una banca o un'amministrazione per sottrarre informazioni o scatenare un'azione immediata.
- BEC (Business Email Compromise / Frode del CEO) — usurpazione dell'identità di un dirigente o partner per ordinare un bonifico o ottenere dati sensibili. Prima fonte di perdite finanziarie legate al cybercrimine: 2,9 miliardi di USD nel 2023 (FBI IC3 2024).
Quanto tempo è necessario per formare una PMI da 20 a 50 collaboratori?
Per una PMI da 20 a 50 collaboratori, il programma tipo si svolge nell'arco di 3-6 mesi:
- Settimana 1: messa in funzione di PhishTrainer, invio della prima campagna di phishing di riferimento (baseline).
- Mesi 1-2: accesso a Bexxo Academy per tutti i collaboratori, moduli di iniziazione (da 30 a 45 min per modulo).
- Mesi 3-6: campagne di phishing mensili, promemoria mirati per i collaboratori a rischio, rapporto di avanzamento.
La messa in funzione è assicurata da Bexxo — non è richiesta alcuna competenza tecnica interna. Il tempo di amministrazione mensile è inferiore a 2 ore per il responsabile HR o IT.
Smishing (SMS) e vishing (telefono) sono pericolosi quanto il phishing via email?
Sì, e possono essere più efficaci, proprio perché le persone se li aspettano meno.
Smishing (SMS): gli SMS hanno un tasso di apertura superiore al 90%, contro il 20-30% delle email. I messaggi imitano tipicamente un'allerta di consegna (Posta, DHL), un avviso bancario o un messaggio dell'amministrazione. Il link reindirizza verso una falsa pagina di accesso. Su mobile, l'URL è spesso troncato e difficile da verificare.
Vishing (vocale): l'aggressore chiama direttamente la vittima fingendosi il supporto IT, una banca o Microsoft. La pressione in tempo reale e la voce umana aggirano le difese abituali. I deepfake vocali generati dall'IA permettono ora di imitare la voce di un collega o di un dirigente conosciuto.
La regola d'oro in entrambi i casi: non fornire mai informazioni sensibili a seguito di un messaggio o di una chiamata non sollecitata — richiamare direttamente l'organizzazione tramite un numero ufficiale conosciuto.