Il dato che fa riflettere: il 91% delle violazioni informatiche inizia con un'email di phishing. Non con exploit tecnici sofisticati, ma con qualcuno in azienda che clicca su un link. La buona notizia: con le giuste contromisure il rischio si riduce drasticamente, e la protezione base (MFA) costa €0 — bastava attivarla.
Cos'è il phishing
Il phishing è una tecnica di ingegneria sociale in cui i criminali informatici inviano comunicazioni false — email, SMS, telefonate — fingendo di essere entità fidate (banche, Microsoft, corrieri, colleghi, dirigenti) per rubare credenziali, dati sensibili o denaro.
Il nome viene dall'inglese "fishing" (pescare): gli attaccanti lanciano un'esca e aspettano che qualcuno abbocchi. E il tasso di successo è preoccupante: nel 2025 il 30% dei dipendenti clicca su link di phishing simulati nelle aziende senza formazione specifica. Con formazione adeguata, questo numero scende sotto il 5%.
Un clic su un link sbagliato può portare a: furto di credenziali aziendali, installazione di ransomware, accesso ai sistemi interni, bonifici fraudolenti. Il costo medio di un incidente phishing per una PMI italiana nel 2025 è di €45.000 tra fermo produzione, recupero dati e danni reputazionali.
I 5 tipi di phishing che colpiscono le aziende
Phishing
Rischio: Basso-MedioEmail generiche spedite a milioni di persone. Fingono di essere banche, corrieri, provider email.
"Il tuo pacco non è stato consegnato. Clicca qui per riprogrammare."
Spear Phishing
Rischio: AltoEmail personalizzate per te, con il tuo nome e riferimenti reali all'azienda. Molto più credibili.
"Ciao Mario, ti invio il contratto aggiornato come da nostra call di ieri." [allegato malware]
Whaling
Rischio: CriticoSpear phishing mirato ai dirigenti (CEO, CFO). Obiettivo: bonifici fraudolenti o accesso a dati sensibili.
Email al CFO che finge di essere il CEO: "Ho bisogno di un bonifico urgente per chiudere l'acquisizione."
Smishing
Rischio: MedioPhishing via SMS. Finge di essere la banca, l'Agenzia delle Entrate o un corriere.
"Attività sospetta sul tuo conto. Chiama subito il [numero falso]."
Vishing
Rischio: Medio-AltoPhishing telefonico. Una voce (spesso AI sintetica) finge di essere il supporto tecnico o la banca.
"Sono del supporto Microsoft, ho rilevato un virus sul suo computer. Mi dia accesso remoto."
7 segnali per riconoscere un'email di phishing
Insegna questi 7 punti a tutti i tuoi dipendenti. Bastano 10 minuti di formazione per ridurre drasticamente il rischio.
Mittente sospetto
Controlla il dominio reale, non solo il nome visualizzato. 'Microsoft Support <noreply@micros0ft-help.com>' non è Microsoft.
Urgenza artificiale
"Il tuo account sarà bloccato entro 24 ore", "Azione richiesta immediatamente". Le aziende serie non usano questo linguaggio.
Link diverso dal testo
Passa il mouse sul link senza cliccare: l'URL che appare in basso deve corrispondere al dominio del testo. Se non coincide, è phishing.
Allegati .zip, .exe, .docm
Un allegato Office che chiede di 'abilitare le macro' è quasi sempre malware. Non farlo mai senza conferma telefonica del mittente.
Richiesta di credenziali
Nessuna azienda legittima chiede username e password via email. MAI inserire credenziali in una pagina raggiunta da un link email.
Errori grammaticali
Molti attacchi usano traduzioni automatiche. Errori di grammatica, punteggiatura strana o italiano meccanico sono segnali.
Pressione a non verificare
"Non ne parlare con nessuno", "Fai prima che sia troppo tardi". È una tecnica per impedirti di chiedere conferma ai colleghi.
Come proteggere la tua azienda: 4 livelli di difesa
La difesa efficace è stratificata: ogni livello blocca gli attacchi che sfuggono al precedente. Non serve implementarli tutti insieme — inizia dal più economico e aggiungi gli altri gradualmente.
MFA (autenticazione a 2 fattori)
Gratis (incluso in Microsoft 365 e Google Workspace)Blocca il 99% degli accessi non autorizzati anche se la password è rubata
Come si implementa: Si attiva in 10 minuti dal pannello di amministrazione M365
Filtro email anti-phishing
Da €3/utente/mese (Barracuda, Defender for M365 Piano 2)Blocca il 95-99% delle email di phishing prima che arrivino in inbox
Come si implementa: Configurazione MX record + 1-2 giorni di setup
Simulazioni phishing
Da €500/anno (KnowBe4, Proofpoint, Gophish gratis)Riduce il click rate dei dipendenti dal 30% a meno del 5% in 6 mesi
Come si implementa: Invio mensile di email phishing simulate, con formazione automatica per chi clicca
Formazione anti-phishing
Inclusa nel contratto BullTechI dipendenti formati riconoscono gli attacchi e li segnalano invece di cliccare
Come si implementa: 1-2 ore di formazione base + aggiornamento annuale
Quanto costa davvero un attacco phishing alla tua azienda
Spesso le PMI pensano "noi siamo troppo piccoli per essere un target". Sbagliato: gli attaccanti preferiscono le PMI proprio perché hanno meno difese. I numeri 2025 per le PMI italiane:
Costi diretti di un incidente
- Fermo produzione (2-5 giorni)€10.000-30.000
- Recupero dati / incident response€5.000-15.000
- Rinnovo sistemi compromessi€3.000-8.000
- Totale medio PMI€45.000
Costo protezione base
- MFA (Microsoft 365)€0/anno
- Filtro email (10 utenti)€360/anno
- Simulazioni phishing (10 utenti)€500/anno
- Totale protezione base€860/anno
€860 contro €45.000. Non è un calcolo complicato. Eppure l'85% delle PMI italiane non ha ancora attivato neanche l'MFA.
Domande frequenti
Come riconoscere un'email di phishing?
5 segnali da guardare sempre: 1) mittente sospetto (dominio simile ma non uguale, es. amaz0n.com invece di amazon.com), 2) urgenza eccessiva ('il tuo account sarà bloccato entro 24 ore'), 3) link che non corrispondono al dominio reale (passa il mouse sopra senza cliccare per vedere l'URL reale), 4) allegati .zip, .exe, .docm non richiesti, 5) errori grammaticali o traduzioni strane. Nel dubbio: non cliccare e chiedi all'IT prima di fare qualsiasi cosa.
Quanto costa proteggere l'azienda dal phishing?
MFA (autenticazione a due fattori): gratis con Microsoft 365 o Google Workspace — bastava attivarlo. Filtro email avanzato anti-phishing (Barracuda, Proofpoint, Defender for M365): da €3/utente/mese. Simulazioni phishing per i dipendenti (KnowBe4, Proofpoint): da €500/anno per 10 utenti. Formazione anti-phishing: BullTech la include nel contratto di assistenza mensile. Totale protezione base per 10 dipendenti: circa €600-900/anno.
Cos'è lo spear phishing e perché è più pericoloso?
Il phishing normale è come una rete da pesca: email generiche spedite a milioni di persone. Lo spear phishing è un arpione: email costruite specificamente per te, con il tuo nome, il nome del tuo capo, riferimenti a progetti reali. Gli attaccanti raccolgono informazioni da LinkedIn, sito aziendale e social per rendere l'email credibile. Il tasso di successo dello spear phishing è 3-4 volte superiore al phishing generico.
Cosa fare se un dipendente clicca su un link di phishing?
Procedura d'emergenza: 1) disconnetti immediatamente il PC dalla rete (cavo ethernet fuori o WiFi off), 2) chiama il tuo IT o BullTech, 3) cambia immediatamente le password dell'account compromesso DA UN ALTRO DISPOSITIVO, 4) attiva MFA se non era già attivo, 5) controlla se ci sono stati accessi non autorizzati agli account nei 30 minuti precedenti. Non spegnere il PC: i log in memoria potrebbero servire all'analisi forense.
Il MFA protegge davvero dal phishing?
L'MFA classico (codice SMS o app authenticator) blocca il 99% degli attacchi automatizzati ma non lo spear phishing avanzato (attacchi MFA fatigue o adversary-in-the-middle). La protezione più robusta è l'MFA con chiavi FIDO2/Passkey (YubiKey o Microsoft Authenticator passkey): resistente anche agli attacchi più sofisticati. Comunque, qualsiasi MFA è enormemente meglio di nessun MFA.
La tua azienda è protetta dal phishing?
In 20 minuti verifichiamo il tuo livello di protezione: MFA attivo, filtro email, policy password. Check gratuito, senza impegno. Se tutto è a posto te lo diciamo.
Il team di esperti IT di BullTech Informatica condivide analisi, guide e best practice per la sicurezza e la gestione IT aziendale.