Lunedì mattina, un tuo collega apre un'email che sembra arrivare da Microsoft. Clicca sul link, mette le credenziali... e in pochi secondi un criminale ha accesso alla posta aziendale. Ti sembra improbabile? Il 91% delle violazioni informatiche inizia proprio con un'email di phishing. Nel 2025, questi attacchi verso le PMI italiane sono cresciuti del 67%. In questa guida ti spiego come riconoscere il phishing e cosa fare per proteggere il tuo team.
Indice dei Contenuti
Le 5 Tipologie di Phishing Aziendale
Il phishing non è più solo la classica email truffa. I criminali usano canali e tecniche diverse per fregare chi lavora in azienda. Conoscerle tutte è il primo passo per non cascarci.
Email Phishing
La forma più diffusa: email massicce che imitano banche, corrieri, fornitori di servizi cloud. Contengono link a siti clonati o allegati infetti. Puntano sulla quantità, non sulla precisione.
Spear Phishing
Attacchi mirati verso specifici dipendenti, con email personalizzate che citano nomi di colleghi, progetti reali o dettagli aziendali. Molto più difficili da riconoscere.
Whaling (CEO Fraud)
Colpisce i dirigenti aziendali o si spaccia per il CEO/CFO per richiedere bonifici urgenti o dati riservati. Sfrutta l'autorità gerarchica per bypassare i controlli.
Smishing (SMS Phishing)
Messaggi SMS fraudolenti che impersonano corrieri, banche o servizi aziendali. Contengono link abbreviati che portano a siti malevoli o installano malware.
Vishing (Voice Phishing)
Telefonate fraudolente in cui l'attaccante si spaccia per il supporto tecnico Microsoft, la banca aziendale o un fornitore. Richiede credenziali, autorizzazioni di accesso remoto o pagamenti urgenti. L'uso dell'AI per clonare le voci rende questa tecnica sempre più pericolosa.
I Segnali per Riconoscere un Attacco di Phishing
Anche gli attacchi più furbi lasciano tracce. Ecco i segnali d'allarme che ogni persona in azienda deve imparare a riconoscere:
- Senso di urgenza – "Il tuo account verrà bloccato entro 24 ore", "Pagamento immediato richiesto". La pressione temporale è la tecnica più usata per impedire la riflessione.
- Indirizzo mittente sospetto – Il display name può sembrare legittimo, ma l'indirizzo email reale spesso contiene errori sottili: supporto@micros0ft-italia.com invece di un dominio Microsoft ufficiale.
- Errori grammaticali e di formattazione – Testo tradotto male, formattazione incoerente, logo sfocato o datato. Attenzione: con l'AI generativa, questo segnale è meno affidabile rispetto al passato.
- Link sospetti – Passando il mouse sopra il link (senza cliccare) si vede l'URL reale. Se non corrisponde al dominio ufficiale del mittente, è phishing.
- Richieste insolite – Un fornitore che chiede di cambiare IBAN per il prossimo pagamento, il CEO che chiede un bonifico urgente via email, il supporto IT che chiede la password.
- Allegati non attesi – Fatture, documenti o file compressi ricevuti senza contesto o da mittenti inattesi. I formati .exe, .scr, .zip, .docm sono particolarmente pericolosi.
- Saluti generici – "Gentile Cliente" o "Caro Utente" invece del tuo nome specifico, soprattutto da servizi presso i quali sei registrato con nome e cognome.
Attenzione: il phishing basato su AI
Nel 2026, i cybercriminali utilizzano strumenti di intelligenza artificiale generativa per creare email di phishing perfette: senza errori grammaticali, con tono professionale e personalizzazione avanzata. L'AI viene usata anche per generare deepfake vocali nel vishing e per creare siti web clonati indistinguibili dagli originali. Per questo, affidarsi solo al "buon occhio" non basta più: servono strumenti tecnologici di protezione.
Esempi Reali di Phishing in Azienda
Per capire quanto può essere pericoloso, ecco tre storie vere successe ad aziende lombarde che seguiamo:
La Falsa Fattura del Fornitore
Un'azienda manifatturiera di Monza riceve un'email apparentemente dal proprio fornitore abituale, con una fattura in allegato e la richiesta di aggiornare le coordinate bancarie per i futuri pagamenti. L'email proviene da un indirizzo quasi identico (fornitore@azienda-srl.com invece di fornitore@aziendasrl.com). L'amministrazione effettua il pagamento di 35.000 euro sul nuovo IBAN, scoprendo la truffa solo al sollecito del fornitore reale.
Il Finto Aggiornamento Microsoft 365
Diversi dipendenti di uno studio professionale ricevono un'email con oggetto "Azione richiesta: aggiorna la tua password di Microsoft 365". Il link porta a una pagina di login identica a quella di Microsoft. Due dipendenti inseriscono le credenziali, dando agli attaccanti accesso completo alle caselle email aziendali, da cui vengono poi lanciati ulteriori attacchi verso clienti e fornitori.
Il CEO Fraud via WhatsApp
Il responsabile amministrativo di una PMI brianzola riceve un messaggio WhatsApp apparentemente dall'amministratore delegato: "Sono in riunione, non posso chiamare. Devi fare un bonifico urgente di 28.000 euro a questo IBAN, ti spiego dopo". Il numero è diverso da quello abituale, ma il messaggio usa il tono e le espressioni tipiche del CEO. L'azienda perde 28.000 euro prima di scoprire la truffa.
Come Formare i Dipendenti Contro il Phishing
La tecnologia da sola non basta: le persone restano l'anello più debole della catena. E non è colpa loro — nessuno nasce sapendo riconoscere un'email truffa. Un buon programma di formazione deve essere continuo, pratico e con risultati misurabili.
Sessioni di Formazione Periodiche
Almeno ogni tre mesi, riunisci il team per 30-45 minuti e mostra: le nuove tecniche di phishing in circolazione, casi reali (anonimizzati) capitati ad aziende simili, la procedura giusta per segnalare email sospette e le regole base per gestire le password. Le sessioni devono essere brevi, coinvolgenti e adatte al livello tecnico di chi partecipa.
Simulazioni di Phishing
Le simulazioni di phishing sono lo strumento più efficace per testare quanto sono preparati i tuoi colleghi nella pratica. Si mandano email di phishing finte (ma realistiche) e si misura chi clicca, chi inserisce credenziali e chi segnala nel modo giusto. I risultati ti dicono su quali reparti o persone concentrare la formazione. Dopo 4 cicli di simulazione, le aziende vedono in media una riduzione del 75% dei click su link di phishing.
Cultura della Segnalazione
Le persone devono sentirsi libere di segnalare email sospette senza paura di fare brutta figura. Un pulsante "Segnala Phishing" nel client di posta, una procedura semplice e veloce, e il riconoscimento (mai la punizione) di chi segnala correttamente fanno tutta la differenza. L'obiettivo è trasformare ogni persona del team in un sensore di sicurezza attivo.
Strumenti e Tecnologie di Protezione
Oltre alla formazione, servono strumenti tecnologici che blocchino le minacce prima che arrivino nella casella di posta dei tuoi colleghi. Ecco i più importanti:
Email Security Avanzata (Libraesva)
Filtraggio anti-phishing con sandboxing degli allegati, URL rewriting per verificare i link in tempo reale e protezione anti-spoofing con SPF, DKIM e DMARC configurati correttamente.
Autenticazione Multi-Fattore (MFA)
Anche se qualcuno cade nel phishing e inserisce le credenziali, l'MFA impedisce all'attaccante di entrare. Va attivata su tutti i servizi importanti: email, VPN, cloud, gestionali.
Endpoint Detection and Response (EDR)
Soluzioni come Bitdefender GravityZone rilevano e bloccano malware scaricato tramite link di phishing, anche se si tratta di minacce zero-day non ancora note alle firme antivirus tradizionali.
DNS Filtering
Il filtraggio DNS blocca la navigazione verso siti di phishing noti e domini malevoli, anche se il dipendente clicca sul link. Una rete di sicurezza aggiuntiva che protegge automaticamente.
Formazione Continua e Simulazioni
Piattaforme dedicate per campagne di phishing simulato, micro-learning sulla sicurezza e reportistica dettagliata per misurare il miglioramento nel tempo.
Il Servizio di Formazione Cybersecurity di BullTech
In BullTech mettiamo insieme tecnologia e formazione per costruire una difesa anti-phishing su più livelli. Il nostro servizio di sicurezza informatica include un programma pensato apposta per il phishing:
- Un checkup iniziale con una simulazione di phishing per capire quanto sei esposto oggi
- Formazione su misura per tutti, con contenuti adattati ai ruoli (l'amministrazione ha rischi diversi dal magazzino)
- Simulazioni periodiche con report dettagliati e metriche di miglioramento
- Installazione e configurazione di Libraesva, MFA e EDR per una protezione su più livelli
- Configurazione DMARC, SPF e DKIM per proteggere il tuo dominio dall'email spoofing
- Supporto continuo con avvisi su nuove campagne di phishing e aggiornamento delle difese
In oltre 15 anni abbiamo formato più di 2.000 persone contro il phishing nelle aziende lombarde, riducendo in media dell'80% i click su email fraudolente. Dai un'occhiata anche al nostro servizio di gestione endpoint per proteggere tutti i dispositivi aziendali.
Non aspettare che il phishing colpisca la tua azienda: prevenire costa una frazione rispetto ai danni di una violazione. Scrivici per un checkup gratuito della tua esposizione al phishing.