Il 91% degli attacchi informatici alle aziende inizia con un'email di phishing — dato confermato dal Verizon Data Breach Investigations Report 2025. Non stiamo parlando di quelle email del principe nigeriano che ti vuole regalare 10 milioni: il phishing moderno e sofisticato, mirato e, nel caso delle PMI italiane, dannatamente efficace. Noi di BullTech Informatica, MSP a Vimercate (MB) dal 2009, vediamo almeno 3-4 tentativi di phishing seri a settimana sui nostri clienti. In questa guida ti spiego come funziona, come riconoscerlo e, soprattutto, come difenderti senza spendere una fortuna.
Cos'e il Phishing e Perche Deve Preoccuparti
Il phishing e una tecnica di attacco informatico che usa l'inganno per convincerti a fare qualcosa che non dovresti: cliccare un link, scaricare un allegato, inserire le tue credenziali su un sito falso, o — nel caso peggiore — fare un bonifico su un conto sbagliato.
La parola chiave e inganno. Il phishing non sfrutta una falla nel tuo firewall o una vulnerabilita del software: sfrutta te. Sfrutta la fretta, la disattenzione, la fiducia. E per questo e cosi difficile da fermare con la sola tecnologia.
Qualche numero per capire la portata del problema in Italia:
- 150.000+ tentativi di phishing segnalati nel 2025 (Polizia Postale)
- 68% delle PMI italiane ha ricevuto almeno un tentativo nell'ultimo anno
- 35.000 EUR il danno medio per un attacco BEC riuscito su una PMI
- +40% aumento degli attacchi phishing in Italia tra 2024 e 2025
- 4 minuti: tempo medio perche un dipendente clicchi su un link di phishing (dato Google/Mandiant)
I 6 Tipi di Phishing che Colpiscono le Aziende Italiane
Non tutto il phishing e uguale. Capire le differenze e fondamentale perche ogni tipo richiede difese diverse.
1. Email Phishing (il classico)
L'email massiva che finge di essere la banca, l'Agenzia delle Entrate, INPS o il corriere. Viene inviata a migliaia di destinatari sperando che qualcuno abbocchi. In Italia, le campagne piu comuni nel 2025-2026 imitano: fatture di fornitori, notifiche PEC, rimborsi fiscali e avvisi di consegna pacchi.
2. Spear Phishing (il mirato)
Qui il criminale ha fatto i compiti. Ha studiato la tua azienda su LinkedIn, sa chi sei, conosce il nome del tuo commercialista e ti scrive un'email che sembra perfettamente legittima. Tipo: "Ciao Andrea, ti giro la fattura aggiornata come da nostra telefonata di ieri". Il tasso di successo dello spear phishing e 10 volte piu alto del phishing generico perche e costruito su misura per te.
3. Whaling (il "pesce grosso")
E lo spear phishing che prende di mira CEO, CFO, titolari — i pesci grossi dell'azienda. Perche? Perche sono quelli che possono autorizzare bonifici, accedere a dati sensibili e prendere decisioni senza chiedere permesso a nessuno. Un attacco whaling tipico: il CFO riceve un'email apparentemente dal CEO che chiede un bonifico urgente a un nuovo fornitore.
4. BEC — Business Email Compromise
Questo e il piu pericoloso in termini economici. Il criminale compromette (o imita perfettamente) l'email di un dirigente o di un fornitore e invia istruzioni di pagamento fraudolente. L'FBI stima che il BEC abbia causato 50 miliardi di dollari di danni a livello globale tra il 2013 e il 2025. In Italia, uno dei casi piu frequenti e la modifica dell'IBAN nelle fatture dei fornitori.
5. Smishing (SMS + Phishing)
Il phishing via SMS. "Il tuo pacco e in consegna, verifica l'indirizzo qui" oppure "La tua banca ha bloccato il conto, accedi subito". Funziona perche sul telefono e piu difficile verificare i link e perche le persone tendono a fidarsi degli SMS piu che delle email.
6. Vishing (Voice + Phishing)
Il phishing telefonico. Qualcuno ti chiama fingendo di essere il supporto tecnico di Microsoft, la tua banca o il tuo fornitore di servizi IT. Con l'intelligenza artificiale, nel 2026 i criminali possono persino clonare la voce di un collega o di un superiore. Il caso piu eclatante in Italia: un dipendente di una PMI lombarda ha trasferito 28.000 EUR dopo una chiamata dal "direttore finanziario" che era in realta un deepfake vocale.
I 5 Segnali per Riconoscere un'Email di Phishing
Ecco la checklist che diamo ai dipendenti dei nostri clienti. Stampala e appendila vicino alla macchinetta del caffe — funziona meglio di qualsiasi slide di formazione.
1. Il mittente non torna
Il nome visualizzato dice "Banca Intesa" ma l'indirizzo e noreply@banca-intesa-verifiche.xyz. Controlla SEMPRE il dominio dopo la @. Se non e il dominio ufficiale dell'azienda, e phishing. Punto.
2. Urgenza artificiale
"Il tuo account sara chiuso tra 2 ore", "Azione immediata richiesta", "Ultimo avviso prima della sospensione". Le aziende serie non ti danno scadenze di 2 ore via email. Se ti mettono fretta, fermati.
3. Link sospetti
Passa il mouse sopra il link (senza cliccare!) e guarda dove punta. Se dice "Accedi al tuo conto" ma il link porta a http://login-sicuro-banca.com-verifica.ru, e phishing. I domini veri sono alla fine dell'URL, prima della prima barra.
4. Allegati inattesi
Fattura.pdf.exe, Documento_urgente.docm, Conferma_ordine.zip. Se non stavi aspettando quel file, non aprirlo. Se il file ha doppia estensione o e un .docm (macro), trattalo come una bomba a orologeria.
5. Richieste insolite
Il "capo" ti chiede via email di comprare 5 gift card Amazon? Il "fornitore" ha cambiato IBAN e vuole il pagamento domani? Il "supporto tecnico" ti chiede la password? Nessuna azienda seria chiede queste cose via email. Alza il telefono e verifica.
Caso Pratico: Lo Studio Commercialista di Monza che Ha Pagato 35.000 EUR
Te lo racconto perche e successo davvero, a un cliente che poi e venuto da noi (troppo tardi, purtroppo, per quel bonifico).
Uno studio commercialista con 12 dipendenti a Monza. Un venerdi pomeriggio alle 16:30 — orario scelto apposta, quando tutti hanno la testa al weekend — la responsabile amministrativa riceve un'email dal "titolare". L'email arriva da un indirizzo quasi identico al vero dominio dello studio (mancava una lettera, tipo studiorossi.it invece di studiirossi.it).
Il messaggio: "Per favore fai un bonifico urgente di 35.000 EUR a questo IBAN per chiudere la pratica del cliente XY prima di lunedi. Non chiamarmi, sono in riunione, conferma via email quando fatto."
La responsabile non ha verificato. Il bonifico e partito. Lunedi mattina, quando il vero titolare ha detto "Quale bonifico?", era troppo tardi. Il denaro era gia stato trasferito su conti esteri e parcellizzato in decine di transazioni irrecuperabili.
Cosa mancava: una procedura interna che obbligasse la verifica telefonica per bonifici sopra i 5.000 EUR, formazione anti-phishing per il personale, e un sistema di email filtering che segnalasse i domini simili (lookalike domains). Tutte cose che costano molto meno di 35.000 EUR.
Formazione Anti-Phishing: Quanto Costa e Quanto Ti Fa Risparmiare
Lo so, "formazione" suona come "noia mortale in sala riunioni con le slide di PowerPoint". Ma sentimi: e l'investimento con il ROI piu alto in tutta la cybersecurity.
I numeri parlano chiaro:
- Prima della formazione: il 32% dei dipendenti clicca su link di phishing simulato (media italiana, dati KnowBe4 2025)
- Dopo 12 mesi di formazione + simulazioni: il tasso scende al 5%
- Costo medio: 15-40 EUR/dipendente/anno per piattaforme automatizzate
- Per un'azienda con 30 dipendenti: 450-1.200 EUR/anno
- Costo medio di un attacco BEC riuscito: 35.000-50.000 EUR
Facciamo due conti: spendi 1.000 EUR all'anno di formazione per evitare un rischio da 35.000 EUR. Il ROI e del 3.400%. Prova a trovare un altro investimento con questo rendimento.
La formazione efficace non e una giornata all'anno con il consulente esterno. Oltre alla formazione, un buon antivirus aziendale resta fondamentale come prima linea di difesa. E un programma continuo che include:
- Sessioni brevi (20-30 minuti) ogni trimestre
- Simulazioni di phishing mensili con email finte inviate ai dipendenti
- Feedback immediato a chi "abbocca" (senza umiliare nessuno)
- Aggiornamenti sulle nuove tecniche di attacco
- Una procedura chiara per segnalare email sospette
Simulazioni di Phishing: Come Funzionano
Le simulazioni sono il cuore della formazione. Funzionano cosi: il tuo fornitore di sicurezza (come noi di BullTech) invia email di phishing finte ai tuoi dipendenti, senza avvisarli. Le email sono realistiche — imitano fatture, notifiche PEC, email dal corriere, messaggi dall'Agenzia delle Entrate.
Chi clicca sul link viene reindirizzato a una pagina di formazione che spiega cosa e successo e come avrebbe potuto riconoscere la trappola. Nessuna punizione, nessuna gogna pubblica — solo apprendimento.
I tool piu usati in Italia:
- KnowBe4 — il leader mondiale, template in italiano, dashboard dettagliata con statistiche per reparto
- Proofpoint Security Awareness Training — ottimo per aziende che gia usano Proofpoint come email gateway
- Cyber Guru — piattaforma italiana, contenuti localizzati, gamification per aumentare l'engagement
- Sophos Phish Threat — incluso nelle licenze Sophos Central, buon rapporto qualita/prezzo
Noi di BullTech usiamo un mix di KnowBe4 per i clienti piu strutturati e Sophos Phish Threat per le PMI piu piccole. I risultati? Il nostro cliente medio passa dal 25-30% di "click rate" iniziale al 3-5% dopo 6 mesi.
Strumenti Tecnici di Difesa: SPF, DKIM, DMARC e Oltre
La formazione da sola non basta. Servono anche le difese tecniche. Ecco lo stack completo che implementiamo per i nostri clienti:
Livello 1: Autenticazione Email (SPF, DKIM, DMARC)
Sono tre record DNS che lavorano insieme per impedire a chiunque di inviare email fingendo di essere te. In parole semplici:
- SPF (Sender Policy Framework): dice al mondo "solo questi server possono inviare email per il dominio bulltech.it"
- DKIM (DomainKeys Identified Mail): aggiunge una firma digitale a ogni email in uscita, come un sigillo di ceralacca digitale
- DMARC (Domain-based Message Authentication): dice al server ricevente cosa fare se un'email non supera SPF e DKIM (scartarla, metterla in quarantena o solo segnalarla)
Il dato triste: secondo un'analisi di dmarc.org, solo il 35% delle PMI italiane ha configurato correttamente tutti e tre i protocolli. Il che significa che il 65% delle aziende italiane permette a chiunque di inviare email fingendo di essere loro.
Livello 2: Email Security Gateway
Un filtro avanzato che analizza ogni email in arrivo prima che raggiunga la casella del dipendente. I migliori nel 2026:
- Proofpoint Essentials — da 3-5 EUR/utente/mese
- Mimecast — da 4-6 EUR/utente/mese
- Microsoft Defender for Office 365 Plan 2 — incluso in Microsoft 365 E5 o acquistabile separatamente da 5 EUR/utente/mese
- Barracuda Email Security Gateway — da 2-4 EUR/utente/mese
Livello 3: Sandboxing
Quando un'email contiene un allegato sospetto, il sandboxing lo apre in un ambiente isolato (una "stanza sicura" virtuale) per vedere cosa fa. Se l'allegato tenta di installare malware, criptare file o comunicare con server esterni, viene bloccato prima di raggiungere il destinatario. Costo: generalmente incluso nei piani premium degli email gateway sopra menzionati.
Livello 4: MFA su Tutto
L'autenticazione a due fattori (MFA) e la rete di sicurezza per quando qualcuno abbocca: anche se il dipendente inserisce le credenziali su un sito di phishing, l'attaccante non puo accedere senza il secondo fattore. Microsoft riporta che MFA blocca il 99,9% degli attacchi automatizzati.
Regola BullTech: MFA obbligatoria su email, VPN, accesso remoto, applicazioni cloud e qualsiasi sistema che contenga dati sensibili. Nessuna eccezione.
Hai Cliccato su un Link di Phishing? Ecco Cosa Fare (10 Passi)
Niente panico. Ma muoviti in fretta. Ecco la procedura che diamo ai nostri clienti:
Disconnettiti da Internet immediatamente (stacca il cavo Ethernet o disattiva il Wi-Fi)
NON spegnere il computer (servira per l'analisi forense)
Chiama il tuo reparto IT o il tuo MSP (noi rispondiamo al 039 946 4948)
Cambia TUTTE le password che hai usato nelle ultime 24 ore, da un ALTRO dispositivo
Attiva MFA su tutti gli account se non lo hai gia fatto
Controlla i movimenti bancari e le autorizzazioni di pagamento recenti
Se hai inserito dati su un sito falso, avvisa subito la banca/il servizio coinvolto
Non cancellare l'email di phishing — serve come prova per l'analisi e l'eventuale denuncia
Fai una scansione antivirus completa del dispositivo (meglio: falla fare al tuo IT)
Segnala l'incidente alla Polizia Postale (anche online su commissariatodips.it) e, se coinvolge dati personali, valuta la notifica al Garante Privacy entro 72 ore
La velocita e tutto. Un attacco di phishing puo essere contenuto se si interviene entro i primi 30-60 minuti. Dopo, il danno si moltiplica esponenzialmente.
Quanto Costa Proteggere la Tua Azienda dal Phishing
Te lo riassumo con una tabella onesta, basata sui prezzi reali che applichiamo ai nostri clienti (azienda tipo: 20-50 dipendenti):
| Componente | Costo mensile | Cosa fa |
|---|---|---|
| SPF + DKIM + DMARC | 0 EUR (una tantum 200-500 EUR setup) | Blocca lo spoofing del tuo dominio |
| Email Security Gateway | 100-250 EUR | Filtra il 99% delle email di phishing |
| Formazione + Simulazioni | 40-100 EUR | Riduce i click dal 32% al 5% |
| MFA su tutti i servizi | 0 EUR (incluso in M365) | Blocca il 99,9% degli accessi non autorizzati |
| Cyber Insurance | 70-250 EUR | Rete di sicurezza finanziaria |
| TOTALE | 210-600 EUR/mese | Protezione anti-phishing completa |
Confronta questi 210-600 EUR/mese con il costo di un singolo attacco riuscito (35.000+ EUR) e la scelta diventa ovvia. Come dice sempre il nostro titolare Andrea: "La sicurezza costa, ma costa molto meno dell'insicurezza."
Per approfondire la sicurezza della tua azienda, leggi anche la nostra pagina dedicata alla sicurezza informatica gestita, oppure la guida completa alla sicurezza informatica aziendale che copre tutti i pilastri della difesa, non solo il phishing.
Domande Frequenti sul Phishing Aziendale
Come riconosco un'email di phishing?
I 5 segnali principali sono: mittente sospetto (controlla il dominio dopo la @, non il nome visualizzato), senso di urgenza eccessivo ("il tuo account sara chiuso tra 2 ore"), link che puntano a domini diversi da quelli ufficiali (passa il mouse sopra senza cliccare), allegati inattesi con estensioni .exe, .zip, .docm, e richieste insolite di dati sensibili o pagamenti. Nel dubbio, contatta il presunto mittente su un canale diverso (telefono) per verificare.
Quanto costa la formazione anti-phishing per i dipendenti?
La formazione anti-phishing costa mediamente tra 15 e 40 EUR per dipendente all'anno per piattaforme automatizzate con simulazioni mensili (come KnowBe4 o Proofpoint SAT). Per sessioni in aula con un formatore, si parla di 1.500-3.000 EUR per giornata per gruppi fino a 30 persone. Il ROI e altissimo: la formazione riduce il tasso di click su link malevoli dal 32% al 5% in 12 mesi, e un singolo attacco BEC costa in media 35.000-50.000 EUR alle PMI italiane.
Come configuro DMARC per la mia azienda?
Per configurare DMARC servono 3 step: primo, configura SPF (record TXT nel DNS che elenca i server autorizzati a inviare email per il tuo dominio). Secondo, attiva DKIM (firma crittografica sulle email in uscita). Terzo, aggiungi il record DMARC (un record TXT tipo: v=DMARC1; p=quarantine; rua=mailto:dmarc@tuodominio.it). Inizia con p=none per monitorare, poi passa a p=quarantine dopo 30 giorni di dati puliti, e infine a p=reject. Tempo medio di implementazione: 2-4 settimane con un MSP come BullTech.
Quante aziende italiane vengono colpite dal phishing?
Secondo il rapporto CLUSIT 2025 e i dati della Polizia Postale, nel 2025 sono stati segnalati oltre 150.000 tentativi di phishing in Italia, con un aumento del 40% rispetto al 2024. Il 68% delle PMI italiane ha ricevuto almeno un'email di phishing nell'ultimo anno. Il settore piu colpito e quello finanziario (banche e assicurazioni), seguito da manifatturiero e studi professionali. Il danno medio per le PMI che cadono nella trappola: tra 15.000 e 50.000 EUR per incidente.
Serve un'assicurazione cyber per proteggersi dal phishing?
Si, la cyber insurance e fortemente consigliata come ultimo livello di difesa. Le polizze coprono: danni diretti (ransomware, furto fondi), costi di risposta all'incidente (forensics, notifiche GDPR, avvocati), fermo attivita e, in alcuni casi, il pagamento fraudolento causato da BEC. Per una PMI con 20-50 dipendenti, una polizza cyber costa tra 800 e 3.000 EUR all'anno. Attenzione: molte polizze richiedono requisiti minimi di sicurezza (MFA, backup, formazione) — senza questi, il risarcimento puo essere negato.