Hai formato i tuoi dipendenti sulla cybersecurity. Bene. Ma come fai a sapere se hanno davvero imparato qualcosa? L'unico modo è metterli alla prova. Le simulazioni di phishing sono le esercitazioni antincendio della sicurezza informatica: testano la prontezza delle persone in condizioni realistiche, senza il rischio di un attacco vero. I numeri parlano chiaro: le aziende che fanno simulazioni regolari riducono il tasso di click su email malevole dal 30% a meno del 5% in 12 mesi (KnowBe4 Benchmarking Report 2025). Qui ti spieghiamo come funziona una campagna di phishing simulata, quali piattaforme usare, come misurare i risultati e come gestire gli aspetti legali rispettando il GDPR.
Indice dei Contenuti
- 1. Cos'È una Simulazione di Phishing
- 2. Come Funziona una Campagna: Le 6 Fasi
- 3. Piattaforme di Simulazione: Confronto 2026
- 4. Metriche da Monitorare e Benchmark di Settore
- 5. Livelli di Difficoltà Progressiva
- 6. Aspetti Legali: GDPR e Privacy dei Dipendenti
- 7. Il Servizio di Simulazione BullTech
- 8. Domande Frequenti
1. Cos'È una Simulazione di Phishing
In pratica: mandi ai tuoi dipendenti email di phishing “finte” — costruite per sembrare attacchi reali — e misuri chi ci casca. A differenza di un penetration test che verifica le falle tecniche dei tuoi server e della rete, la simulazione di phishing testa il fattore umano: le persone.
Il ragionamento è semplice: se un'email finta riesce a ingannare il tuo team in un ambiente controllato, un attaccante vero può fare lo stesso con conseguenze devastanti. La simulazione trasforma un possibile incidente in un'opportunità di apprendimento. Il “teachable moment” — quel momento in cui il dipendente scopre di aver cliccato su un test — insegna più di qualsiasi lezione teorica, perché attiva l'apprendimento esperienziale e crea un ricordo emotivo che resta.
Le simulazioni sono raccomandate da tutte le principali autorità di cybersecurity: ENISA le include nelle linee guida, il NIST le prevede nel framework 800-50, e la NIS2 le richiede indirettamente quando parla di “misure adeguate di gestione dei rischi cyber” e “formazione regolare del personale”. Non sono un optional: sono una parte essenziale di qualsiasi programma di sicurezza serio.
Benchmark: prima vs dopo le simulazioni
Dati dal KnowBe4 Phishing Benchmarking Report 2025 (campione: 65.000 organizzazioni globali, di cui 4.200 in EMEA). Prima campagna (baseline): tasso di click medio del 33,1% per PMI con 25-250 dipendenti. Dopo 90 giorni di formazione + simulazioni: 18,9%. Dopo 12 mesi di programma strutturato: 4,7%. Riduzione complessiva dell'86% del tasso di click. Le aziende italiane partono da un baseline leggermente superiore alla media EMEA (35,2%) ma raggiungono risultati analoghi dopo 12 mesi.
2. Come Funziona una Campagna: Le 6 Fasi
Una campagna di phishing simulata fatta bene segue sei fasi precise, dalla pianificazione alla formazione post-campagna. Saltarne una significa compromettere i risultati.
Fase 1: Pianificazione
Si definiscono gli obiettivi della campagna (baseline iniziale, test post-formazione, valutazione per reparto), il target (tutta l'azienda, reparto specifico, management), la tipologia di phishing da simulare (generico, spear phishing, BEC), i tempi di invio (orario lavorativo, pausa pranzo, sera), e i criteri di successo. Si coordinano con il DPO gli aspetti privacy e con le risorse umane la comunicazione al personale.
Fase 2: Creazione del Template
Si progetta l'email di phishing simulata. Per la baseline, si usano template generici (notifica spedizione DHL, reset password Microsoft, fattura in scadenza). Per le campagne successive, si personalizzano i template con dettagli aziendali reali: nome del CEO, progetti in corso, fornitori abituali. La landing page di cattura replica la pagina di login del servizio impersonato. Il livello di sofisticazione deve essere coerente con il livello di formazione già erogato.
Fase 3: Lancio della Campagna
L'email viene inviata ai destinatari target dalla piattaforma di simulazione. Per evitare che il sistema antispam aziendale la blocchi, si configurano whitelist temporanee sull'email gateway (solo gli IP della piattaforma di simulazione). L'invio viene distribuito nell'arco di 1-2 ore per evitare che i dipendenti si avvisino reciprocamente all'arrivo simultaneo dell'email.
Fase 4: Monitoraggio in Tempo Reale
La piattaforma traccia in tempo reale: quanti hanno aperto l'email, quanti hanno cliccato sul link, quanti hanno inserito credenziali nella landing page, quanti hanno aperto l'allegato, quanti hanno segnalato l'email come phishing usando il pulsante di report. I dati vengono aggregati per reparto, ruolo, sede e confrontati con le campagne precedenti.
Fase 5: Reporting e Analisi
Al termine della campagna (tipicamente dopo 72 ore), si genera il report completo: PPP (Phish-Prone Percentage) globale e per reparto, confronto con baseline e campagne precedenti, trend temporale, benchmark di settore, identificazione dei reparti/ruoli più vulnerabili, analisi del tasso di segnalazione. Il report viene presentato al management e al DPO.
Fase 6: Formazione Post-Campagna
Chi ha cliccato riceve formazione just-in-time al momento del click (teachable moment) più un modulo di approfondimento assegnato automaticamente. I risultati aggregati vengono condivisi con tutta l'azienda in modo anonimo, evidenziando i segnali che avrebbero dovuto essere riconosciuti. Le lezioni apprese alimentano la progettazione della campagna successiva.
3. Piattaforme di Simulazione: Confronto 2026
Oggi ci sono diverse piattaforme tra cui scegliere, per aziende di ogni dimensione. Quale fa per te dipende dal budget, da quanti utenti hai, dagli strumenti che usi già e da quanto vuoi personalizzare le campagne. Ecco le principali disponibili in Italia nel 2026.
KnowBe4
Leader di mercato (Gartner Magic Quadrant). Libreria di 15.000+ template, piattaforma e-learning integrata, reporting avanzato, benchmark di settore. Prezzo: €15-25/utente/anno. Ideale per PMI che vogliono una soluzione all-in-one con la più ampia libreria di contenuti.
Proofpoint SAT
Integrato con il gateway email Proofpoint. Template di alta qualità, formazione adattiva basata sul comportamento, integrazione con il SOC. Prezzo: €20-35/utente/anno. Ideale per aziende che già usano Proofpoint come email gateway.
WatchGuard DNSWatch
Modulo di phishing simulation incluso nella piattaforma WatchGuard. Blocco DNS dei link malevoli con landing page educativa automatica. Incluso nelle licenze WatchGuard Total Security. Ideale per i clienti WatchGuard che vogliono una soluzione integrata.
Cofense PhishMe
Focus sulla segnalazione e sul triage delle email sospette. Pulsante “Report Phishing” integrato in Outlook e Gmail, connessione diretta al SOC per l'analisi. Prezzo: €18-30/utente/anno. Ideale per aziende con un SOC interno o esterno.
BullTech utilizza una combinazione di WatchGuard DNSWatch (per la protezione in tempo reale con landing page educative automatiche) e piattaforme dedicate di phishing simulation per le campagne strutturate. La scelta della piattaforma viene personalizzata in base all'infrastruttura esistente del cliente. Per le aziende con stack WatchGuard, l'integrazione è nativa e senza costi aggiuntivi. Per le aziende che necessitano di funzionalità avanzate (template personalizzati, spear phishing, BEC simulation), integriamo piattaforme specializzate gestite dal nostro team di formazione cybersecurity.
Criteri di Scelta della Piattaforma
Nella scelta della piattaforma, i fattori determinanti sono: la qualità e la quantità dei template disponibili in italiano (molte piattaforme hanno librerie prevalentemente in inglese), la possibilità di creare template personalizzati con dettagli aziendali, l'integrazione con il client email in uso (Outlook, Gmail), la presenza di un pulsante “Report Phishing” integrato per facilitare le segnalazioni, la qualità della reportistica e la possibilità di esportare i dati per la compliance, e il supporto tecnico in italiano.
Un aspetto spesso sottovalutato è l'integrazione con la piattaforma e-learning: le migliori soluzioni collegano automaticamente il risultato della simulazione al contenuto formativo appropriato. Se un dipendente clicca su una simulazione di BEC, riceve un modulo specifico sulle frodi BEC, non un corso generico sul phishing. Questa personalizzazione automatica del percorso formativo aumenta significativamente l'efficacia dell'apprendimento e riduce i tempi necessari per raggiungere gli obiettivi di riduzione del PPP.
4. Metriche da Monitorare e Benchmark di Settore
Le simulazioni producono un sacco di dati utili. Se li leggi bene, ti dicono esattamente dove la tua azienda è vulnerabile e dove concentrare la formazione. Ecco le metriche che contano e i benchmark di riferimento per le PMI italiane.
Phish-Prone Percentage (PPP)
La metrica principale: la percentuale di dipendenti che interagiscono con l'email di phishing in modo pericoloso (click sul link, apertura allegato, inserimento credenziali). Il PPP si misura a diversi livelli di gravità: apertura email (basso rischio, indica curiosità), click sul link (rischio medio), inserimento credenziali o download allegato (rischio alto). I benchmark 2025 per le PMI italiane (25-250 dipendenti): baseline senza formazione 30-38%, dopo 90 giorni di programma 15-20%, dopo 12 mesi di programma strutturato 3-7%. L'obiettivo realistico per il primo anno è portare il PPP sotto il 5% per template di difficoltà media.
Report Rate (Tasso di Segnalazione)
Una metrica spesso più importante del PPP: quanti dipendenti hanno segnalato l'email come sospetta usando il pulsante “Report Phishing” o inoltrando a security@azienda.it? Un PPP basso ma con un report rate anch'esso basso indica che i dipendenti ignorano l'email senza segnalarla — il che significa che farebbero lo stesso con un vero attacco. L'obiettivo è un report rate superiore al 60%: più di metà dei dipendenti non solo riconosce il phishing, ma lo segnala attivamente. Il benchmark medio per le aziende con programmi maturi è del 65-75%.
Time to Report (Tempo di Segnalazione)
Quanto tempo intercorre tra la ricezione dell'email e la segnalazione? In un attacco reale, ogni minuto conta: prima il team di sicurezza o il SOC viene avvisato, prima può bloccare la minaccia per tutta l'organizzazione. L'obiettivo è un time to report mediano inferiore a 10 minuti. Le aziende senza formazione hanno un time to report medio di ore o giorni (quando la segnalazione avviene). Un programma maturo porta il tempo mediano sotto i 5 minuti.
Metriche Complementari
Oltre alle tre metriche principali, è utile monitorare: il tasso di completamento dei moduli formativi assegnati post-simulazione (obiettivo: 95%+), la distribuzione del PPP per reparto (identifica le aree di debolezza), il trend del PPP campagna su campagna (verifica il miglioramento continuo), il confronto con il benchmark del proprio settore (manifatturiero, servizi professionali, sanità, ecc.), e il costo per incidente evitato (ROI del programma). BullTech fornisce ai clienti una dashboard con tutte queste metriche, aggiornata in tempo reale durante le campagne e con report trimestrali di analisi.
5. Livelli di Difficoltà Progressiva
Le simulazioni che funzionano seguono una difficoltà crescente. Se parti troppo difficile, il tasso di click sarà altissimo e i dipendenti si demoralizzeranno. Se parti troppo facile, non testi niente. Il programma giusto prevede quattro livelli progressivi.
Livello 1 — Phishing Generico (Baseline)
Template riconoscibili: notifica spedizione corriere, reset password generico, vincita premio. Errori di formattazione visibili, mittente chiaramente sospetto. Tasso di click atteso: 25-35%. Usato per la campagna baseline per stabilire il punto di partenza. I dipendenti che cliccano ricevono formazione sui fondamentali del riconoscimento phishing.
Livello 2 — Phishing Contestualizzato
Template che sfruttano il contesto aziendale: comunicazione HR su ferie/buoni pasto, notifica dal gestionale aziendale, aggiornamento policy IT. Mittente con dominio lookalike (es. @bulltech-hr.it). Tasso di click atteso: 15-25%. Testa la capacità di verificare il mittente e valutare la coerenza della richiesta.
Livello 3 — Spear Phishing Mirato
Email personalizzate con nome del destinatario, riferimenti a progetti reali, impersonamento di un collega o fornitore specifico. Dominio quasi identico, formattazione perfetta. Tasso di click atteso: 8-15%. Testa la capacità di riconoscere attacchi sofisticati e la procedura di verifica multi-canale.
Livello 4 — BEC e Pretexting Avanzato
Simulazione di Business Email Compromise: email dal “CEO” che richiede un'azione urgente, comunicazione dal “fornitore” con nuove coordinate bancarie, richiesta “dal commercialista” di dati fiscali. Nessun link malevolo, nessun allegato: solo social engineering puro. Tasso di click atteso per dipendenti formati: 3-8%.
La progressione tra livelli non è lineare: si alternano campagne di diversa difficoltà per evitare che i dipendenti si “abituino” a un pattern specifico. Una sequenza tipica su 12 mesi con 6 campagne bimestrali potrebbe essere: L1 (baseline) → L2 → L1 (verifica miglioramento) → L3 → L2 → L4. Il mix mantiene alta l'attenzione e fornisce dati comparabili tra campagne dello stesso livello.
6. Aspetti Legali: GDPR e Privacy dei Dipendenti
Le simulazioni di phishing trattano dati personali dei dipendenti (email, interazioni con l'email simulata, risultati), quindi devono rispettare il GDPR e le normative italiane sulla privacy dei lavoratori. Spesso è proprio la paura del “lato legale” a frenare le aziende. Ma se progetti il programma nel modo giusto, non c'è nessun problema.
Base Giuridica: Legittimo Interesse
La base giuridica più appropriata per le simulazioni di phishing è il legittimo interesse del titolare del trattamento (art. 6, comma 1, lettera f del GDPR). La sicurezza informatica dell'organizzazione è un interesse legittimo riconosciuto dal GDPR stesso (Considerando 49: “il trattamento di dati personali nella misura strettamente necessaria e proporzionata per garantire la sicurezza della rete e dell'informazione costituisce un legittimo interesse”). È necessario documentare il Legitimate Interest Assessment (LIA) che bilancia l'interesse dell'azienda con i diritti dei dipendenti.
Obblighi di Informazione
Il GDPR richiede trasparenza, ma non richiede di rivelare il momento esatto della simulazione (il che la renderebbe inutile). L'approccio corretto prevede: includere le simulazioni di phishing nella policy di sicurezza aziendale, che il dipendente firma durante l'onboarding o l'aggiornamento periodico. La policy deve specificare che “l'azienda conduce periodicamente test di security awareness che possono includere l'invio di email simulate per valutare e migliorare la consapevolezza del personale”. Non è necessario specificare quando, come o con quale frequenza.
Minimizzazione e Finalità
I dati raccolti durante le simulazioni devono essere minimizzati: si raccolgono solo le metriche necessarie allo scopo formativo. I dati individuali (chi ha cliccato) sono trattati per erogare formazione mirata e vengono anonimizzati o cancellati entro un periodo definito (tipicamente 12 mesi). I report per il management sono aggregati per reparto, non nominativi. I risultati delle simulazioni non possono essere utilizzati per procedimenti disciplinari, valutazioni delle performance o licenziamenti. La finalità è esclusivamente formativa.
Checklist compliance GDPR per simulazioni phishing
1) Documentare il Legitimate Interest Assessment (LIA). 2) Aggiornare l'informativa privacy dei dipendenti includendo le simulazioni. 3) Includere le simulazioni nella policy di sicurezza aziendale. 4) Condurre la DPIA se le simulazioni sono sistematiche. 5) Coinvolgere il DPO nella progettazione. 6) Raccogliere solo dati strettamente necessari. 7) Anonimizzare i report per il management. 8) Non collegare i risultati a procedimenti disciplinari. 9) Definire periodo di retention e cancellazione dei dati individuali. 10) Garantire il diritto di accesso del dipendente ai propri dati.
7. Il Servizio di Simulazione BullTech
Noi di BullTech offriamo un servizio completo di simulazione phishing dentro il nostro programma di formazione cybersecurity per PMI. È un servizio chiavi in mano: dalla pianificazione alla reportistica, dalla compliance GDPR alla formazione post-campagna. Tu non devi fare niente, se non leggere i report e guardare i risultati migliorare campagna dopo campagna.
Il nostro approccio ha tre fasi. La prima è il checkup iniziale: lanciamo una campagna baseline senza preavviso per misurare il PPP attuale della tua azienda. Ti diamo il template di policy di sicurezza da far firmare ai dipendenti, la documentazione LIA e DPIA per il DPO, e un report dettagliato con il confronto con i benchmark del tuo settore.
La seconda fase è il programma continuativo: 6 campagne l'anno (una ogni due mesi) con difficoltà crescente, template personalizzati per il tuo settore, formazione immediata per chi clicca, micro-moduli mensili di rinforzo e report automatizzati. Ogni campagna la progettiamo basandoci sui risultati della precedente e sulle nuove minacce in circolazione.
La terza fase è l'integrazione con i tuoi strumenti di sicurezza: le simulazioni si collegano a Libraesva Email Security (whitelist automatiche per le campagne), WatchGuard DNSWatch (pagine educative quando qualcuno clicca su link malevoli veri), e il nostro SOC/MDR (le segnalazioni dei dipendenti durante le simulazioni allenano anche il processo per gli incidenti reali). Il risultato: formazione, simulazione e protezione tecnologica che si rafforzano a vicenda.
6 Campagne/Anno
Simulazioni bimestrali con template personalizzati e difficoltà progressiva. Dalla baseline al livello BEC avanzato.
Formazione Integrata
Teachable moment immediato + micro-moduli post-click + rinforzo mensile. Apprendimento continuo, non episodico.
Report Compliance
Dashboard in tempo reale + report trimestrali per management e DPO. Documentazione NIS2/GDPR inclusa.
Domande Frequenti
Le simulazioni di phishing sui dipendenti sono legali in Italia?
Sì, sono perfettamente legali in Italia se rispetti alcune regole. Il GDPR (art. 6, comma 1, lettera f) consente il trattamento dati basato sul “legittimo interesse” del titolare — e proteggere la sicurezza informatica aziendale lo è senza dubbio. Però devi: informare i dipendenti che l’azienda fa programmi di security awareness che POSSONO includere simulazioni (senza dire quando); inserire le simulazioni nella policy di sicurezza firmata dal dipendente; raccogliere solo metriche aggregate, non nominative (salvo che serva formazione mirata); coinvolgere il DPO nella progettazione; fare la DPIA (Data Protection Impact Assessment, cioè la valutazione d’impatto sulla privacy) se le simulazioni sono sistematiche. Il punto chiave: l’obiettivo deve essere formativo, mai disciplinare. Noi includiamo tutto questo nella progettazione del programma, con template di policy e documentazione DPIA già pronti.
Le simulazioni di phishing violano la privacy dei dipendenti?
No, se le fai bene. Il punto è la proporzionalità: raccogli solo i dati che ti servono per la formazione. Le metriche aggregate (tasso di click per reparto, trend nel tempo) non sono profilazione individuale. I dati su chi ha cliccato servono solo per la formazione mirata e li cancelli dopo un periodo definito (di solito 12 mesi). Il dipendente può sempre chiedere di vedere i propri risultati. Come buona prassi: anonimizza i risultati nei report per la direzione (salvo rischi critici), non collegare mai i risultati a valutazioni di performance o provvedimenti disciplinari, e limita l’accesso ai dati al team di sicurezza e al DPO. Anche il Garante Privacy si è espresso a favore delle simulazioni in azienda, purché rispettino minimizzazione, trasparenza e finalità formativa.
Cosa succede se un dipendente clicca sul link nella simulazione?
Niente panico: viene reindirizzato a una “landing page educativa” (chiamata anche “teachable moment page”). È una pagina che gli spiega: che era una simulazione, quali segnali avrebbe dovuto notare in quella specifica email (evidenziati visivamente), cosa fare la prossima volta che riceve un’email sospetta, come segnalare correttamente un tentativo di phishing. Il tutto in 2-3 minuti di lettura. Subito dopo, gli viene assegnato un micro-modulo formativo di 5-10 minuti sulla tipologia specifica di phishing usata nella simulazione. L’approccio è sempre formativo, mai punitivo: il messaggio deve essere “obbiettivo raggiunto: ora sai riconoscerlo”, non “hai sbagliato”. La piattaforma registra il click solo per le metriche aggregate e per tracciare il miglioramento nel tempo.
Con quale frequenza bisogna eseguire le simulazioni di phishing?
Secondo i dati del SANS Institute e di KnowBe4, il ritmo ideale è una simulazione ogni due mesi (quindi 6 all’anno). Perché ogni due mesi? Perché è il punto di equilibrio tra efficacia e rischio di “simulation fatigue” — cioè il momento in cui i dipendenti iniziano a ignorare tutto perché “tanto è la solita simulazione”. Ogni tre mesi è il minimo: meno di così, i benefici svaniscono in fretta. Ogni mese è troppo e genera insofferenza. La cosa importante è variare i template e aumentare la difficoltà: inizi con phishing generico facile da riconoscere (tasso di click atteso: 25-35%), poi passi allo spear phishing personalizzato (10-15%), fino alle simulazioni BEC sofisticate (3-8% per chi è ben formato). L’obiettivo a 12 mesi? Click rate sotto il 5% su template medi e tasso di segnalazione sopra il 60%.
Quanto costa una piattaforma di simulazione phishing?
Dipende dalla piattaforma, dal numero di utenti e da cosa è incluso. Ecco i range per PMI con 25-100 utenti: KnowBe4 (leader di mercato): 15-25 euro/utente/anno, con libreria template, e-learning, simulazioni illimitate e reportistica avanzata; Proofpoint Security Awareness: 20-35 euro/utente/anno, integrato con il gateway email Proofpoint; WatchGuard AuthPoint con modulo awareness: incluso nelle licenze WatchGuard per chi le ha già; Cofense PhishMe: 18-30 euro/utente/anno, forte in reportistica e integrazione con i SOC. Noi di BullTech includiamo le simulazioni nei contratti di assistenza gestita (MSP): se hai già un contratto con noi, le simulazioni sono nel canone mensile. Se non hai un contratto MSP, offriamo pacchetti dedicati da 2.500 euro/anno per 25 utenti, comprensivi di piattaforma, 6 campagne annuali, formazione e reportistica per la compliance.
Le simulazioni di phishing sono più efficaci della formazione tradizionale?
Molto più efficaci della sola formazione in aula o e-learning, ma il risultato migliore lo ottieni combinandole. I dati del SANS Institute parlano chiaro: la formazione tradizionale da sola riduce i click del 20-30% nel primo mese, ma l’effetto sparisce entro 90 giorni; le simulazioni da sole funzionano poco perché il dipendente non capisce il “perché” ha sbagliato; la combinazione formazione + simulazioni riduce i click del 75-85% in modo stabile (oltre 12 mesi). Il motivo? Le simulazioni attivano il learning by doing, cioè l’apprendimento pratico, che è 3-5 volte più efficace di una lezione passiva. Il “momento educativo” subito dopo il click crea un’associazione emotiva forte che fissa la lezione nella memoria a lungo termine. Noi progettiamo programmi integrati: formazione iniziale in aula, micro-learning mensile, simulazioni bimestrali e report trimestrali.
Vuoi scoprire quanto è vulnerabile la tua azienda al phishing? Scrivici per una campagna di simulazione baseline gratuita. Misuriamo il tuo PPP attuale, ti diamo un report dettagliato e ti proponiamo un programma su misura per portare il tasso di click sotto il 5% in 12 mesi. Dai un'occhiata anche alla nostra guida sull'awareness phishing aziendale e al servizio di formazione cybersecurity per PMI.