Il phishing aziendale resta la minaccia numero uno per le PMI italiane nel 2026. Secondo il rapporto Clusit 2025, il 91% dei cyberattacchi inizia con un'email di phishing, e l'Italia è al terzo posto in Europa per numero di attacchi. La buona notizia? Con la giusta consapevolezza e gli strumenti adeguati, puoi ridurre il rischio dell'80%. Questa guida, parte del nostro percorso sulla cybersecurity per PMI, ti insegna a riconoscere ogni tipo di phishing e a proteggere i tuoi dipendenti.
Indice dei Contenuti
- 1. I 6 Tipi di Phishing che Colpiscono le Aziende
- 2. Phishing in Italia: Numeri e Statistiche 2025-2026
- 3. Esempi Reali di Phishing Aziendale
- 4. Checklist: 10 Segnali per Riconoscere il Phishing
- 5. Cosa Fare se un Dipendente Clicca
- 6. Le Difese Tecnologiche Essenziali
- 7. La Formazione come Arma Principale
- 8. Domande Frequenti
I 6 Tipi di Phishing che Colpiscono le Aziende
Il phishing non è più solo l'email del "principe nigeriano". Nel 2026, gli attacchi sono sofisticati, personalizzati e sfruttano l'intelligenza artificiale generativa per creare messaggi indistinguibili da quelli legittimi. Come spieghiamo nella nostra guida alla cybersecurity per PMI, l'email è il vettore di attacco numero uno. Ecco le sei varianti principali:
1. Email Phishing (massivo)
L'attacco più diffuso: email inviate a migliaia di destinatari contemporaneamente, mascherate da comunicazioni di banche, corrieri, fornitori cloud (Microsoft 365, Google). Usano template professionali e link a siti clone quasi identici agli originali. Tasso di successo: 3-5% — basso ma devastante su larga scala.
2. Spear Phishing (mirato)
Attacco personalizzato verso una persona specifica, basato su informazioni raccolte da LinkedIn, sito aziendale, social media. L'email cita colleghi reali, progetti in corso, fornitori noti. Tasso di successo: 30-50%. È il tipo più pericoloso per le PMI perché difficile da distinguere da una comunicazione legittima.
3. Whaling (caccia alla balena)
Spear phishing rivolto specificamente a CEO, CFO, dirigenti. L'attaccante studia lo stile comunicativo del target e crea email che imitano comunicazioni di legali, auditor, autorità di regolamentazione. Obiettivo: autorizzare bonifici urgenti o condividere dati finanziari riservati. Danno medio: €85.000 per incidente.
4. Smishing (SMS phishing)
Phishing via SMS o messaggi WhatsApp/Telegram. Messaggi come “Il tuo pacco è in consegna, verifica qui”, “La tua fattura è scaduta”, “Accesso anomalo al tuo conto”. In crescita del 328% nel 2025 in Italia. Particolarmente efficace perché i filtri anti-phishing su mobile sono meno sofisticati.
5. Vishing (voice phishing)
Attacco telefonico: il criminale chiama fingendosi il supporto tecnico Microsoft, la banca, un fornitore. Con le deepfake vocali AI, nel 2026 può persino imitare la voce del CEO per autorizzare trasferimenti. Casi documentati in Italia di vishing combinato con spear phishing per “validare” la richiesta email.
6. Business Email Compromise (BEC)
L'attaccante compromette o simula la casella email di un dirigente/fornitore e invia richieste di pagamento a dipendenti dell'amministrazione. L'FBI stima che il BEC ha causato perdite globali per 2,9 miliardi di dollari nel 2025. In Italia, il danno medio per una PMI è di €47.000 per incidente BEC.
Phishing in Italia: Numeri e Statistiche 2025-2026
I numeri dipingono un quadro allarmante per le aziende italiane. Comprendere la dimensione del fenomeno è il primo passo per investire adeguatamente in protezione, come descritto nella nostra guida cybersecurity PMI.
Phishing in Italia: i dati chiave
- +65% di attacchi phishing alle aziende italiane nel 2025 rispetto al 2024 (Clusit)
- 91% dei cyberattacchi inizia con un'email di phishing
- 32% dei dipendenti italiani clicca su link di phishing senza formazione adeguata
- €52.000 costo medio di un attacco phishing andato a segno per una PMI
- +328% di smishing in Italia nel 2025, la variante in maggiore crescita
- 4,2 ore tempo medio per rilevare un attacco phishing senza strumenti di monitoraggio
Il dato più preoccupante è la convergenza tra phishing e ransomware: nel 2025, il 68% degli attacchi ransomware alle PMI italiane è iniziato con un'email di phishing. Una volta ottenuto l'accesso iniziale, i criminali si muovono lateralmente nella rete per settimane prima di lanciare il ransomware. Un sistema di monitoraggio proattivo può rilevare questi movimenti laterali prima che il danno sia irreparabile.
Esempi Reali di Phishing Aziendale
Per capire davvero il phishing, niente funziona meglio degli esempi concreti. Ecco tre scenari reali documentati in Italia tra il 2025 e il 2026:
Caso 1: La fattura del fornitore (BEC)
Un'azienda manifatturiera di Bergamo riceve un'email dal proprio fornitore abituale di materie prime. L'email è identica a quelle precedenti: stesso formato, stessi riferimenti, stessa firma. L'unica differenza: l'IBAN del pagamento è cambiato. L'amministrazione effettua il bonifico di €38.000 senza verificare telefonicamente. Il fornitore vero non aveva mai inviato quell'email: il criminale aveva compromesso la casella del fornitore settimane prima, studiando le comunicazioni.
Lezione: verificare SEMPRE telefonicamente le variazioni di IBAN, anche da mittenti noti.
Caso 2: Lo spear phishing al CFO (Whaling)
Il CFO di una PMI di Como riceve un'email apparentemente dal CEO (in viaggio all'estero) che chiede un bonifico urgente di €27.000 a un "nuovo consulente". L'email arriva da un dominio quasi identico (azienda-srl.com invece di azienda.srl.com) e cita dettagli reali del viaggio del CEO (trovati su LinkedIn). Il CFO, abituato a ricevere richieste simili, esegue il bonifico. Il danno viene scoperto solo 3 giorni dopo.
Lezione: definire una policy di "doppia autorizzazione" per bonifici sopra una soglia e verificare via canale diverso (telefono, di persona).
Caso 3: Il finto aggiornamento Microsoft 365
15 dipendenti di uno studio professionale di Milano ricevono un'email da "Microsoft 365 Admin" che chiede di "verificare le credenziali per evitare la disattivazione dell'account". Il link porta a una pagina login identica a quella di Microsoft. 4 dipendenti inseriscono le credenziali. I criminali accedono alle caselle email, impostano regole di inoltro invisibili e per 3 settimane leggono tutte le email aziendali, raccogliendo informazioni per attacchi BEC contro i clienti dello studio.
Lezione: attivare MFA su tutti gli account Microsoft 365 e implementare una soluzione di email security con URL rewriting.
Checklist: 10 Segnali per Riconoscere il Phishing
Stampa questa checklist e distribuiscila a tutti i dipendenti. Ogni email sospetta dovrebbe essere valutata contro questi 10 segnali. Bastano 2-3 segnali positivi per classificare un'email come potenziale phishing:
Mittente sconosciuto o sospetto
CRITICOIl dominio del mittente è leggermente diverso da quello ufficiale (es. @micros0ft.com, @amaz0n.it, @bancaint3sa.it). Controlla sempre lettera per lettera.
Senso di urgenza o minaccia
CRITICO“Il tuo account sarà disattivato entro 24 ore”, “Pagamento scaduto, azione legale imminente”, “Bonifico urgente richiesto dal CEO”. L'urgenza è sempre un red flag.
Link sospetti (hover prima di cliccare)
CRITICOPassa il mouse sul link SENZA cliccare: l'URL reale corrisponde al testo visualizzato? Un link che dice “microsoft.com” ma punta a “login-microsoft.attacker.com” è phishing.
Allegati inattesi
CRITICOFile .exe, .zip, .docm, .xlsm, .iso, .img non richiesti. Anche un PDF può contenere link malevoli. Se non aspettavi l'allegato, verifica con il mittente via telefono.
Richiesta di credenziali o dati sensibili
CRITICONessun servizio legittimo chiede password via email. Mai. Se ricevi una richiesta di “verificare le credenziali” o “inserire i dati della carta”, è phishing al 99%.
Errori grammaticali o di formattazione
ALTOCon l'AI generativa gli errori sono meno frequenti, ma presta attenzione a formattazione incoerente, logo sgranato, piede pagina diverso dal solito, tono insolito.
Saluto generico
ALTO“Gentile cliente”, “Caro utente”, “Spettabile azienda” invece del tuo nome. Le comunicazioni legittime da fornitori che ti conoscono usano il tuo nome.
Richiesta di azione insolita
ALTOTi chiedono qualcosa che non hai mai fatto prima: scaricare un software, aprire un portale nuovo, cambiare coordinate bancarie. Qualsiasi “prima volta” va verificata.
Email arrivata in orario insolito
MEDIOUn fornitore italiano che manda email alle 3 di notte? Un collega che scrive di sabato con urgenza? L'orario anomalo può indicare che l'email proviene da un fuso orario diverso.
Qualcosa non “suona” giusto
MEDIOFidati del tuo istinto. Se un'email ti sembra strana — anche senza un motivo preciso — fermati, non cliccare e segnala. È sempre meglio segnalare un falso allarme che cadere in una trappola.
Cosa Fare se un Dipendente Clicca su un Link di Phishing
Anche con la migliore formazione, prima o poi qualcuno clicherà. L'importante è avere un piano di risposta agli incidenti chiaro e agire con rapidità. Ecco la procedura step-by-step:
Step 1: Isola immediatamente il dispositivo
Stacca il cavo Ethernet, disattiva il WiFi. Non spegnere il PC (potrebbe servire per l'analisi forense). L'isolamento impedisce al malware di propagarsi nella rete.
Step 2: Cambia le credenziali compromesse
Modifica immediatamente la password dell'account coinvolto e di TUTTI gli account con la stessa password. Se hai l'MFA attivo, revoca le sessioni attive.
Step 3: Avvisa il team IT o il tuo MSP
Contatta subito il supporto IT. Un MSP come BullTech ha procedure di incident response pronte all'uso e può intervenire in minuti, non ore.
Step 4: Analizza e contieni
Scansione EDR del dispositivo, verifica dei log per accessi anomali, email inviate, download sospetti. Controlla se sono state create regole di inoltro email invisibili.
Step 5: Valuta l'obbligo di notifica GDPR
Se sono stati compromessi dati personali, hai 72 ore per notificare il Garante Privacy. Documenta tutto per la compliance.
La regola d'oro: non colpevolizzare mai il dipendente che è caduto nella trappola. Il senso di colpa porta a nascondere gli incidenti, ritardando la risposta e aggravando i danni. Usa ogni incidente come opportunità formativa per tutto il team.
Le Difese Tecnologiche Essenziali
La formazione da sola non basta: serve un livello tecnologico che riduca il numero di email pericolose che arrivano alle caselle dei dipendenti. Le soluzioni chiave:
Email Security (Libraesva)
Filtra il 99,9% delle email di phishing prima che raggiungano la casella. Include anti-phishing AI, sandboxing allegati e URL rewriting.
EDR/Antivirus (Bitdefender)
Se il phishing passa, l'EDR blocca il malware scaricato. Analisi comportamentale per rilevare anche minacce zero-day.
MFA Multi-Fattore
Anche se le credenziali vengono rubate, l'MFA impedisce l'accesso. Riduce del 99,9% le compromissioni account.
Monitoraggio SOC/MDR
Monitoraggio 24/7 degli accessi anomali. Rileva compromissioni in minuti invece che settimane. Scopri il nostro servizio SOC/MDR.
BullTech offre tutte queste difese come parte integrata dei servizi di email security, antivirus aziendale gestito e SOC/MDR. La combinazione di più livelli di protezione è l'approccio raccomandato dalla nostra checklist sicurezza informatica.
La Formazione come Arma Principale contro il Phishing
La tecnologia blocca il 99% delle minacce. Il restante 1% passa, e basta un solo click per compromettere l'intera azienda. Per questo la formazione security awareness è indispensabile:
Un programma anti-phishing efficace include:
Simulazioni di phishing mensili con email realistiche e personalizzate per reparto
Feedback immediato e costruttivo per chi cade nella simulazione (non punitivo)
Micro-formazione just-in-time: chi clicca riceve subito una lezione di 2 minuti
Dashboard con metriche per reparto: tasso di click, tasso di segnalazione, trend
Formazione specifica per ruoli ad alto rischio: amministrazione, HR, C-level
Pulsante “Segnala phishing” integrato nel client email per reporting rapido
Sessioni trimestrali di aggiornamento sulle nuove tecniche di attacco
I dati parlano chiaro: le aziende che implementano programmi strutturati di formazione cybersecurity riducono il tasso di click su phishing dal 32% al 3-5% in 4-6 mesi. Un investimento di €1.000-3.000/anno che può prevenire danni da decine di migliaia di euro. La formazione è anche un requisito della direttiva NIS2 per le aziende soggette.
Domande Frequenti sul Phishing Aziendale
Come faccio a capire se un'email è phishing?
I segnali principali sono: mittente sconosciuto o leggermente diverso dal dominio ufficiale (es. support@micr0soft.com), tono urgente o minaccioso, link che puntano a domini diversi da quello dichiarato (passa il mouse sopra per verificare), allegati inattesi con estensioni .exe, .zip o .docm, errori grammaticali o di formattazione, richieste di dati sensibili come password o coordinate bancarie. In caso di dubbio, non cliccare nulla e segnala l'email al reparto IT.
Quanto costa un attacco phishing a una PMI?
Secondo i dati IBM Security 2025, il costo medio di un data breach causato da phishing per una PMI italiana è di circa €52.000, considerando downtime, ripristino, sanzioni GDPR, danni reputazionali e perdita di clienti. Se l'attacco evolve in ransomware, il costo può salire a €115.000-200.000 tra riscatto, ripristino e perdita di produttività. La formazione dei dipendenti costa in media €1.000-3.000/anno e riduce il rischio del 70-80%.
Cos'è lo spear phishing e perché è più pericoloso?
Lo spear phishing è un attacco mirato a una persona specifica, basato su informazioni raccolte da LinkedIn, sito aziendale, social media e data leak precedenti. A differenza del phishing massivo, l'email è personalizzata: cita colleghi reali, progetti in corso, fornitori noti. Per questo ha un tasso di successo 10 volte superiore al phishing generico. La difesa richiede sia tecnologia (email security con AI) sia formazione specifica per i ruoli più esposti (CEO, CFO, HR, amministrazione).
Le simulazioni di phishing funzionano davvero?
Sì, sono uno degli strumenti più efficaci. I dati mostrano che dopo 4 cicli di simulazioni (uno al mese per 4 mesi), il tasso di click su link fraudolenti scende dal 30-35% al 3-5%. Le simulazioni funzionano perché creano “memoria muscolare”: i dipendenti imparano a riconoscere i segnali di pericolo in modo istintivo. La chiave è non usarle come strumento punitivo ma formativo, fornendo feedback immediato e costruttivo a chi cade nella simulazione.
Cosa devo fare se un dipendente clicca su un link di phishing?
Agisci immediatamente: 1) Isola il dispositivo dalla rete (stacca il cavo Ethernet, disattiva il WiFi). 2) Cambia immediatamente le credenziali dell'account compromesso e di tutti gli account con la stessa password. 3) Avvisa il reparto IT o il tuo MSP. 4) Esegui una scansione antivirus/EDR completa del dispositivo. 5) Controlla i log per attività sospette (accessi anomali, email inviate, download). 6) Se sono stati compromessi dati personali, valuta la notifica al Garante Privacy entro 72 ore (obbligo GDPR). Non colpevolizzare il dipendente: usa l'incidente come opportunità formativa.
Il phishing è la porta d'ingresso della maggior parte dei cyberattacchi alle PMI. La combinazione di tecnologia (email security, EDR, MFA) e formazione continua dei dipendenti è l'unica strategia efficace. Non aspettare il primo incidente per agire: contattaci per un assessment della tua postura anti-phishing.