Puoi formare i tuoi dipendenti con i migliori corsi di cybersecurity, ma l'unico modo per sapere se la formazione funziona è metterla alla prova. Le simulazioni di phishing sono l'equivalente delle esercitazioni antincendio per la sicurezza informatica: testano la prontezza reale delle persone in condizioni realistiche, senza il rischio di un attacco vero. I dati parlano chiaro: le aziende che conducono simulazioni regolari riducono il tasso di click su email malevole dal 30% a meno del 5% in 12 mesi (KnowBe4 Benchmarking Report 2025). In questa guida approfondiamo come funziona una campagna di phishing simulata, quali piattaforme utilizzare, come misurare i risultati e come gestire gli aspetti legali in conformità al GDPR.
Indice dei Contenuti
- 1. Cos'È una Simulazione di Phishing
- 2. Come Funziona una Campagna: Le 6 Fasi
- 3. Piattaforme di Simulazione: Confronto 2026
- 4. Metriche da Monitorare e Benchmark di Settore
- 5. Livelli di Difficoltà Progressiva
- 6. Aspetti Legali: GDPR e Privacy dei Dipendenti
- 7. Il Servizio di Simulazione BullTech
- 8. Domande Frequenti
1. Cos'È una Simulazione di Phishing
Una simulazione di phishing è un test controllato in cui un'organizzazione invia ai propri dipendenti email di phishing “finte” — progettate per replicare attacchi reali — con l'obiettivo di misurare il livello di consapevolezza e allenare la capacità di riconoscimento delle minacce. A differenza di un penetration test tecnico che valuta le vulnerabilità dell'infrastruttura, la simulazione di phishing valuta la vulnerabilità del fattore umano.
Il concetto è semplice ma potente: se riesci a ingannare i tuoi dipendenti con un'email finta in un ambiente controllato, un attaccante reale può fare altrettanto con conseguenze devastanti. La simulazione trasforma un potenziale incidente in un'opportunità di apprendimento. Il “teachable moment” — il momento in cui il dipendente scopre di aver cliccato su una simulazione — ha un impatto formativo molto superiore a qualsiasi lezione teorica, perché attiva l'apprendimento esperienziale e crea un ricordo emotivo duraturo.
Le simulazioni sono raccomandate da tutte le principali autorità di cybersecurity: ENISA (European Union Agency for Cybersecurity) le include nelle linee guida per la security awareness, il NIST (National Institute of Standards and Technology) le prevede nel framework 800-50 per i programmi di security training, e la NIS2 implicitamente le richiede quando prescrive “misure adeguate di gestione dei rischi cyber” e “formazione regolare del personale”. Non sono un'opzione: sono una componente essenziale di qualsiasi programma di sicurezza serio.
Benchmark: prima vs dopo le simulazioni
Dati dal KnowBe4 Phishing Benchmarking Report 2025 (campione: 65.000 organizzazioni globali, di cui 4.200 in EMEA). Prima campagna (baseline): tasso di click medio del 33,1% per PMI con 25-250 dipendenti. Dopo 90 giorni di formazione + simulazioni: 18,9%. Dopo 12 mesi di programma strutturato: 4,7%. Riduzione complessiva dell'86% del tasso di click. Le aziende italiane partono da un baseline leggermente superiore alla media EMEA (35,2%) ma raggiungono risultati analoghi dopo 12 mesi.
2. Come Funziona una Campagna: Le 6 Fasi
Una campagna di phishing simulata ben progettata segue un processo strutturato in sei fasi, dalla pianificazione alla formazione post-campagna. Ogni fase è critica per il successo complessivo del programma.
Fase 1: Pianificazione
Si definiscono gli obiettivi della campagna (baseline iniziale, test post-formazione, valutazione per reparto), il target (tutta l’azienda, reparto specifico, management), la tipologia di phishing da simulare (generico, spear phishing, BEC), i tempi di invio (orario lavorativo, pausa pranzo, sera), e i criteri di successo. Si coordinano con il DPO gli aspetti privacy e con le risorse umane la comunicazione al personale.
Fase 2: Creazione del Template
Si progetta l’email di phishing simulata. Per la baseline, si usano template generici (notifica spedizione DHL, reset password Microsoft, fattura in scadenza). Per le campagne successive, si personalizzano i template con dettagli aziendali reali: nome del CEO, progetti in corso, fornitori abituali. La landing page di cattura replica la pagina di login del servizio impersonato. Il livello di sofisticazione deve essere coerente con il livello di formazione già erogato.
Fase 3: Lancio della Campagna
L’email viene inviata ai destinatari target dalla piattaforma di simulazione. Per evitare che il sistema antispam aziendale la blocchi, si configurano whitelist temporanee sull’email gateway (solo gli IP della piattaforma di simulazione). L’invio viene distribuito nell’arco di 1-2 ore per evitare che i dipendenti si avvisino reciprocamente all’arrivo simultaneo dell’email.
Fase 4: Monitoraggio in Tempo Reale
La piattaforma traccia in tempo reale: quanti hanno aperto l’email, quanti hanno cliccato sul link, quanti hanno inserito credenziali nella landing page, quanti hanno aperto l’allegato, quanti hanno segnalato l’email come phishing usando il pulsante di report. I dati vengono aggregati per reparto, ruolo, sede e confrontati con le campagne precedenti.
Fase 5: Reporting e Analisi
Al termine della campagna (tipicamente dopo 72 ore), si genera il report completo: PPP (Phish-Prone Percentage) globale e per reparto, confronto con baseline e campagne precedenti, trend temporale, benchmark di settore, identificazione dei reparti/ruoli più vulnerabili, analisi del tasso di segnalazione. Il report viene presentato al management e al DPO.
Fase 6: Formazione Post-Campagna
Chi ha cliccato riceve formazione just-in-time al momento del click (teachable moment) più un modulo di approfondimento assegnato automaticamente. I risultati aggregati vengono condivisi con tutta l’azienda in modo anonimo, evidenziando i segnali che avrebbero dovuto essere riconosciuti. Le lezioni apprese alimentano la progettazione della campagna successiva.
3. Piattaforme di Simulazione: Confronto 2026
Il mercato delle piattaforme di phishing simulation è maturo e offre diverse opzioni per aziende di ogni dimensione. La scelta dipende dal budget, dal numero di utenti, dall'integrazione con gli strumenti già in uso e dal livello di personalizzazione richiesto. Ecco le principali piattaforme disponibili in Italia nel 2026.
KnowBe4
Leader di mercato (Gartner Magic Quadrant). Libreria di 15.000+ template, piattaforma e-learning integrata, reporting avanzato, benchmark di settore. Prezzo: €15-25/utente/anno. Ideale per PMI che vogliono una soluzione all-in-one con la più ampia libreria di contenuti.
Proofpoint SAT
Integrato con il gateway email Proofpoint. Template di alta qualità, formazione adattiva basata sul comportamento, integrazione con il SOC. Prezzo: €20-35/utente/anno. Ideale per aziende che già usano Proofpoint come email gateway.
WatchGuard DNSWatch
Modulo di phishing simulation incluso nella piattaforma WatchGuard. Blocco DNS dei link malevoli con landing page educativa automatica. Incluso nelle licenze WatchGuard Total Security. Ideale per i clienti WatchGuard che vogliono una soluzione integrata.
Cofense PhishMe
Focus sulla segnalazione e sul triage delle email sospette. Pulsante “Report Phishing” integrato in Outlook e Gmail, connessione diretta al SOC per l’analisi. Prezzo: €18-30/utente/anno. Ideale per aziende con un SOC interno o esterno.
BullTech utilizza una combinazione di WatchGuard DNSWatch (per la protezione in tempo reale con landing page educative automatiche) e piattaforme dedicate di phishing simulation per le campagne strutturate. La scelta della piattaforma viene personalizzata in base all'infrastruttura esistente del cliente. Per le aziende con stack WatchGuard, l'integrazione è nativa e senza costi aggiuntivi. Per le aziende che necessitano di funzionalità avanzate (template personalizzati, spear phishing, BEC simulation), integriamo piattaforme specializzate gestite dal nostro team di formazione cybersecurity.
Criteri di Scelta della Piattaforma
Nella scelta della piattaforma, i fattori determinanti sono: la qualità e la quantità dei template disponibili in italiano (molte piattaforme hanno librerie prevalentemente in inglese), la possibilità di creare template personalizzati con dettagli aziendali, l'integrazione con il client email in uso (Outlook, Gmail), la presenza di un pulsante “Report Phishing” integrato per facilitare le segnalazioni, la qualità della reportistica e la possibilità di esportare i dati per la compliance, e il supporto tecnico in italiano.
Un aspetto spesso sottovalutato è l'integrazione con la piattaforma e-learning: le migliori soluzioni collegano automaticamente il risultato della simulazione al contenuto formativo appropriato. Se un dipendente clicca su una simulazione di BEC, riceve un modulo specifico sulle frodi BEC, non un corso generico sul phishing. Questa personalizzazione automatica del percorso formativo aumenta significativamente l'efficacia dell'apprendimento e riduce i tempi necessari per raggiungere gli obiettivi di riduzione del PPP.
4. Metriche da Monitorare e Benchmark di Settore
Le simulazioni di phishing generano una ricchezza di dati che, se analizzati correttamente, forniscono insight preziosi sulla postura di sicurezza dell'organizzazione e guidano le decisioni su dove concentrare la formazione. Ecco le metriche fondamentali e i benchmark di riferimento per le PMI italiane.
Phish-Prone Percentage (PPP)
La metrica principale: la percentuale di dipendenti che interagiscono con l'email di phishing in modo pericoloso (click sul link, apertura allegato, inserimento credenziali). Il PPP si misura a diversi livelli di gravità: apertura email (basso rischio, indica curiosità), click sul link (rischio medio), inserimento credenziali o download allegato (rischio alto). I benchmark 2025 per le PMI italiane (25-250 dipendenti): baseline senza formazione 30-38%, dopo 90 giorni di programma 15-20%, dopo 12 mesi di programma strutturato 3-7%. L'obiettivo realistico per il primo anno è portare il PPP sotto il 5% per template di difficoltà media.
Report Rate (Tasso di Segnalazione)
Una metrica spesso più importante del PPP: quanti dipendenti hanno segnalato l'email come sospetta usando il pulsante “Report Phishing” o inoltrando a security@azienda.it? Un PPP basso ma con un report rate anch'esso basso indica che i dipendenti ignorano l'email senza segnalarla — il che significa che farebbero lo stesso con un vero attacco. L'obiettivo è un report rate superiore al 60%: più di metà dei dipendenti non solo riconosce il phishing, ma lo segnala attivamente. Il benchmark medio per le aziende con programmi maturi è del 65-75%.
Time to Report (Tempo di Segnalazione)
Quanto tempo intercorre tra la ricezione dell'email e la segnalazione? In un attacco reale, ogni minuto conta: prima il team di sicurezza o il SOC viene avvisato, prima può bloccare la minaccia per tutta l'organizzazione. L'obiettivo è un time to report mediano inferiore a 10 minuti. Le aziende senza formazione hanno un time to report medio di ore o giorni (quando la segnalazione avviene). Un programma maturo porta il tempo mediano sotto i 5 minuti.
Metriche Complementari
Oltre alle tre metriche principali, è utile monitorare: il tasso di completamento dei moduli formativi assegnati post-simulazione (obiettivo: 95%+), la distribuzione del PPP per reparto (identifica le aree di debolezza), il trend del PPP campagna su campagna (verifica il miglioramento continuo), il confronto con il benchmark del proprio settore (manifatturiero, servizi professionali, sanità, ecc.), e il costo per incidente evitato (ROI del programma). BullTech fornisce ai clienti una dashboard con tutte queste metriche, aggiornata in tempo reale durante le campagne e con report trimestrali di analisi.
5. Livelli di Difficoltà Progressiva
Le simulazioni efficaci seguono una curva di difficoltà crescente. Iniziare con template troppo sofisticati produce un PPP elevato che demoralizza i dipendenti. Iniziare troppo facile non testa realmente la preparazione. Il programma ideale prevede quattro livelli progressivi.
Livello 1 — Phishing Generico (Baseline)
Template riconoscibili: notifica spedizione corriere, reset password generico, vincita premio. Errori di formattazione visibili, mittente chiaramente sospetto. Tasso di click atteso: 25-35%. Usato per la campagna baseline per stabilire il punto di partenza. I dipendenti che cliccano ricevono formazione sui fondamentali del riconoscimento phishing.
Livello 2 — Phishing Contestualizzato
Template che sfruttano il contesto aziendale: comunicazione HR su ferie/buoni pasto, notifica dal gestionale aziendale, aggiornamento policy IT. Mittente con dominio lookalike (es. @bulltech-hr.it). Tasso di click atteso: 15-25%. Testa la capacità di verificare il mittente e valutare la coerenza della richiesta.
Livello 3 — Spear Phishing Mirato
Email personalizzate con nome del destinatario, riferimenti a progetti reali, impersonamento di un collega o fornitore specifico. Dominio quasi identico, formattazione perfetta. Tasso di click atteso: 8-15%. Testa la capacità di riconoscere attacchi sofisticati e la procedura di verifica multi-canale.
Livello 4 — BEC e Pretexting Avanzato
Simulazione di Business Email Compromise: email dal “CEO” che richiede un’azione urgente, comunicazione dal “fornitore” con nuove coordinate bancarie, richiesta “dal commercialista” di dati fiscali. Nessun link malevolo, nessun allegato: solo social engineering puro. Tasso di click atteso per dipendenti formati: 3-8%.
La progressione tra livelli non è lineare: si alternano campagne di diversa difficoltà per evitare che i dipendenti si “abituino” a un pattern specifico. Una sequenza tipica su 12 mesi con 6 campagne bimestrali potrebbe essere: L1 (baseline) → L2 → L1 (verifica miglioramento) → L3 → L2 → L4. Il mix mantiene alta l'attenzione e fornisce dati comparabili tra campagne dello stesso livello.
6. Aspetti Legali: GDPR e Privacy dei Dipendenti
Le simulazioni di phishing coinvolgono il trattamento di dati personali dei dipendenti (email aziendale, interazioni con l'email simulata, risultati delle campagne), pertanto devono rispettare il GDPR e le normative italiane sulla privacy dei lavoratori. L'aspetto legale è spesso il freno principale che impedisce alle aziende di implementare un programma di simulazione, ma una corretta progettazione elimina ogni rischio.
Base Giuridica: Legittimo Interesse
La base giuridica più appropriata per le simulazioni di phishing è il legittimo interesse del titolare del trattamento (art. 6, comma 1, lettera f del GDPR). La sicurezza informatica dell'organizzazione è un interesse legittimo riconosciuto dal GDPR stesso (Considerando 49: “il trattamento di dati personali nella misura strettamente necessaria e proporzionata per garantire la sicurezza della rete e dell'informazione costituisce un legittimo interesse”). È necessario documentare il Legitimate Interest Assessment (LIA) che bilancia l'interesse dell'azienda con i diritti dei dipendenti.
Obblighi di Informazione
Il GDPR richiede trasparenza, ma non richiede di rivelare il momento esatto della simulazione (il che la renderebbe inutile). L'approccio corretto prevede: includere le simulazioni di phishing nella policy di sicurezza aziendale, che il dipendente firma durante l'onboarding o l'aggiornamento periodico. La policy deve specificare che “l'azienda conduce periodicamente test di security awareness che possono includere l'invio di email simulate per valutare e migliorare la consapevolezza del personale”. Non è necessario specificare quando, come o con quale frequenza.
Minimizzazione e Finalità
I dati raccolti durante le simulazioni devono essere minimizzati: si raccolgono solo le metriche necessarie allo scopo formativo. I dati individuali (chi ha cliccato) sono trattati per erogare formazione mirata e vengono anonimizzati o cancellati entro un periodo definito (tipicamente 12 mesi). I report per il management sono aggregati per reparto, non nominativi. I risultati delle simulazioni non possono essere utilizzati per procedimenti disciplinari, valutazioni delle performance o licenziamenti. La finalità è esclusivamente formativa.
Checklist compliance GDPR per simulazioni phishing
1) Documentare il Legitimate Interest Assessment (LIA). 2) Aggiornare l'informativa privacy dei dipendenti includendo le simulazioni. 3) Includere le simulazioni nella policy di sicurezza aziendale. 4) Condurre la DPIA se le simulazioni sono sistematiche. 5) Coinvolgere il DPO nella progettazione. 6) Raccogliere solo dati strettamente necessari. 7) Anonimizzare i report per il management. 8) Non collegare i risultati a procedimenti disciplinari. 9) Definire periodo di retention e cancellazione dei dati individuali. 10) Garantire il diritto di accesso del dipendente ai propri dati.
7. Il Servizio di Simulazione BullTech
BullTech Informatica offre un servizio completo di simulazione phishing integrato nel programma di formazione cybersecurity per PMI. Il servizio è progettato per essere chiavi in mano: dalla pianificazione alla reportistica, dalla compliance GDPR alla formazione post-campagna. L'azienda cliente non deve fare nulla, se non leggere i report e vedere i risultati migliorare campagna dopo campagna.
Il nostro approccio si articola in tre fasi. La prima è l'assessment iniziale: conduciamo una campagna baseline senza preavviso per misurare il PPP attuale dell'azienda. Forniamo il template di policy di sicurezza da far firmare ai dipendenti, la documentazione LIA e DPIA per il DPO, e un report dettagliato con il confronto con i benchmark del settore.
La seconda fase è il programma continuativo: 6 campagne annuali (bimestrali) con difficoltà progressiva, template personalizzati per il settore del cliente, formazione just-in-time per chi clicca, micro-moduli mensili di rinforzo, e reportistica automatizzata. Ogni campagna viene progettata dal nostro team di specialisti basandosi sui risultati della precedente e sulle nuove minacce emergenti.
La terza fase è l'integrazione con lo stack di sicurezza: le simulazioni si integrano con Libraesva Email Security (whitelist temporanee automatiche per le campagne), WatchGuard DNSWatch (landing page educative per i click su link reali malevoli), e il nostro SOC/MDR (le segnalazioni dei dipendenti durante le simulazioni allenano anche il processo di segnalazione per gli incidenti reali). Il risultato è un programma di sicurezza in cui formazione, simulazione e protezione tecnologica si rafforzano reciprocamente.
6 Campagne/Anno
Simulazioni bimestrali con template personalizzati e difficoltà progressiva. Dalla baseline al livello BEC avanzato.
Formazione Integrata
Teachable moment immediato + micro-moduli post-click + rinforzo mensile. Apprendimento continuo, non episodico.
Report Compliance
Dashboard in tempo reale + report trimestrali per management e DPO. Documentazione NIS2/GDPR inclusa.
Domande Frequenti
Le simulazioni di phishing sui dipendenti sono legali in Italia?
Sì, le simulazioni di phishing sono legali in Italia purché rispettino specifici requisiti normativi. Il GDPR (art. 6, comma 1, lettera f) consente il trattamento dei dati basato sul “legittimo interesse” del titolare, che nel caso delle simulazioni di phishing è la protezione della sicurezza informatica aziendale. Tuttavia, è necessario: informare preventivamente i dipendenti che l’azienda conduce programmi di security awareness che POSSONO includere simulazioni (senza specificare quando); includere le simulazioni di phishing nella policy di sicurezza aziendale firmata dal dipendente; non raccogliere dati personali non necessari (le metriche sono aggregate, non nominative, salvo necessità di formazione mirata); coinvolgere il DPO nella progettazione del programma; documentare la DPIA (Data Protection Impact Assessment) se le simulazioni sono sistematiche. È fondamentale che l’obiettivo sia formativo, mai disciplinare. BullTech include tutti questi aspetti nella progettazione del programma, fornendo template di policy e documentazione DPIA pronta all’uso.
Le simulazioni di phishing violano la privacy dei dipendenti?
No, se progettate correttamente. La chiave è la proporzionalità: si raccolgono solo i dati strettamente necessari allo scopo formativo. Le metriche aggregate (tasso di click per reparto, trend temporali) non costituiscono profilazione individuale. I dati individuali (chi ha cliccato) sono trattati esclusivamente per erogare la formazione mirata e cancellati dopo un periodo definito (tipicamente 12 mesi). Il dipendente ha il diritto di accedere ai propri dati di performance nelle simulazioni. È buona prassi: anonimizzare i risultati nei report per il management (salvo casi di rischio critico), non collegare i risultati delle simulazioni alle valutazioni delle performance o a procedimenti disciplinari, garantire che le informazioni siano accessibili solo al team di sicurezza e al DPO. Il Garante Privacy ha espresso parere favorevole alle simulazioni di phishing in contesto aziendale, a patto che rispettino i principi di minimizzazione, trasparenza e finalità formativa.
Cosa succede se un dipendente clicca sul link nella simulazione?
Quando un dipendente clicca su un link in una simulazione di phishing, viene immediatamente reindirizzato a una “landing page educativa” (chiamata anche “teachable moment page”). Questa pagina spiega: che si trattava di una simulazione, quali segnali avrebbe dovuto riconoscere nell’email specifica (evidenziati visivamente), cosa fare la prossima volta che riceve un’email sospetta, come segnalare correttamente un tentativo di phishing. Il tutto in 2-3 minuti di lettura. Successivamente, al dipendente viene assegnato automaticamente un micro-modulo formativo di 5-10 minuti sulla tipologia specifica di phishing utilizzata nella simulazione. L’approccio è formativo, mai punitivo: il messaggio deve essere “obbiettivo raggiunto: ora sai riconoscerlo”, non “hai sbagliato”. La piattaforma registra il click per le metriche aggregate e per il tracciamento del miglioramento individuale nel tempo.
Con quale frequenza bisogna eseguire le simulazioni di phishing?
La frequenza ottimale, supportata dalla ricerca del SANS Institute e dai dati di KnowBe4, è bimestrale (ogni 2 mesi, quindi 6 campagne all’anno). Questo ritmo bilancia l’efficacia formativa con il rischio di “simulation fatigue” (i dipendenti si abituano e ignorano il programma). Il trimestrale è il minimo efficace: sotto questa frequenza, i benefici si disperdono rapidamente. Il mensile è troppo frequente per la maggior parte delle aziende e genera insofferenza. Ogni campagna deve utilizzare template diversi con difficoltà crescente: si inizia con phishing generico riconoscibile (tasso di click atteso: 25-35%), si progredisce verso spear phishing personalizzato (tasso atteso: 10-15%), fino a simulazioni BEC sofisticate (tasso atteso: 3-8% per dipendenti ben formati). L’obiettivo a 12 mesi è un tasso di click inferiore al 5% su template di difficoltà media e un tasso di segnalazione superiore al 60%.
Quanto costa una piattaforma di simulazione phishing?
I costi variano in base alla piattaforma, al numero di utenti e ai servizi inclusi. Le piattaforme principali sul mercato hanno i seguenti range per PMI con 25-100 utenti: KnowBe4 (leader di mercato): da 15 a 25 euro/utente/anno, include libreria di template, piattaforma e-learning, simulazioni illimitate, reportistica avanzata; Proofpoint Security Awareness: da 20 a 35 euro/utente/anno, integrato con il gateway email Proofpoint; WatchGuard AuthPoint con modulo awareness: incluso nelle licenze WatchGuard per i clienti esistenti; Cofense PhishMe: da 18 a 30 euro/utente/anno, forte nella reportistica e nell’integrazione con i SOC. BullTech integra le simulazioni di phishing nei contratti di assistenza gestita (MSP): per i clienti con contratto attivo, il costo delle simulazioni è incluso nel canone mensile. Per le aziende senza contratto MSP, offriamo pacchetti dedicati a partire da 2.500 euro/anno per 25 utenti, comprensivi di piattaforma, 6 campagne annuali, formazione e reportistica per la compliance.
Le simulazioni di phishing sono più efficaci della formazione tradizionale?
Le simulazioni di phishing sono significativamente più efficaci della sola formazione tradizionale (aula o e-learning), ma l’approccio ottimale le combina entrambe. I dati del SANS Institute mostrano che: la formazione tradizionale da sola riduce il tasso di click del 20-30% nel primo mese, ma l’effetto si dissolve entro 90 giorni; le simulazioni da sole (senza formazione) hanno un effetto limitato perché il dipendente non comprende il “perché”; la combinazione formazione + simulazioni riduce il tasso di click del 75-85% in modo duraturo (oltre 12 mesi). Il motivo è neuroscientifico: le simulazioni attivano l’apprendimento esperienziale (learning by doing), che è 3-5 volte più efficace dell’apprendimento passivo (ascoltare una lezione). Il “momento educativo” immediatamente dopo il click crea un’associazione emotiva forte che ancora la lezione nella memoria a lungo termine. BullTech progetta programmi integrati che combinano formazione iniziale in aula, micro-learning mensile, simulazioni bimestrali e reportistica trimestrale per massimizzare l’efficacia.
Vuoi scoprire quanto è vulnerabile la tua azienda al phishing? Contattaci per una campagna di simulazione baseline gratuita. Misuriamo il tuo PPP attuale, forniamo un report dettagliato e ti proponiamo un programma personalizzato per portare il tasso di click sotto il 5% in 12 mesi. Scopri anche la nostra guida all'awareness phishing aziendale e il servizio di formazione cybersecurity per PMI.