Torna al blog
Threat Intelligence

Phishing: perché il 90% degli attacchi inizia da un'email

12 febbraio 2026 · 5 min di lettura

L'email è ancora il vettore numero uno

Nonostante decenni di awareness e filtri sempre più sofisticati, il phishing resta responsabile del 91% degli attacchi cyber riusciti (Verizon DBIR 2025). La ragione è semplice: è l'attacco con il miglior rapporto costo/efficacia. Un'email costa frazioni di centesimo; basta che un dipendente su cento clicchi.

L'evoluzione del phishing nel 2026

Il phishing del 2026 non è quello di 5 anni fa. L'AI generativa ha eliminato gli errori grammaticali e le formattazioni sospette. Ecco le tecniche attuali:

  • AI-generated spear phishing: email personalizzate usando dati LinkedIn, sito aziendale e social media. Indistinguibili da email legittime.
  • Vishing con deepfake: chiamate telefoniche con voci clonate del CEO. Casi documentati in Italia nel 2025 con perdite fino a 150.000€.
  • Quishing: QR code malevoli in email, poster, biglietti da visita. Bypassano i filtri email tradizionali.
  • Thread hijacking: l'attaccante compromette una casella e risponde a conversazioni reali, inserendo link malevoli in contesti credibili.
  • MFA fatigue: bombardamento di richieste MFA fino a che la vittima approva per stanchezza.

Anatomia di un attacco reale

Caso reale italiano, Q4 2025: un'azienda manifatturiera veneta con 60 dipendenti. L'attaccante:

  • Identifica il CFO su LinkedIn e raccoglie informazioni sul fornitore principale
  • Crea un dominio simile al fornitore (una "l" sostituita con "1")
  • Invia un'email con fattura "aggiornata" e nuove coordinate bancarie
  • Il CFO verifica — l'email sembra provenire dal contatto noto
  • Bonifico da 38.000€ su conto estone. Fondi irrecuperabili in 4 ore.

Difese tecniche che funzionano

  • SPF + DKIM + DMARC: configurazione DNS che impedisce lo spoofing del vostro dominio. Gratuita, setup in 2 ore. Solo il 23% delle PMI italiane ha DMARC in policy "reject".
  • Email security gateway: sandboxing degli allegati, analisi URL in tempo reale, protezione da impersonation
  • Banner di avviso: "Questa email proviene dall'esterno" su tutte le mail non interne
  • MFA resistente al phishing: chiavi FIDO2 o passkey invece di SMS/TOTP

Difese umane: la simulazione che funziona

La formazione classica (slide annuale) riduce il click rate del 2%. Le simulazioni di phishing regolari lo riducono fino al 75%. Il programma efficace:

  • Simulazione mensile con template realistici e contestuali
  • Feedback immediato a chi clicca (micro-training di 3 minuti)
  • Metriche di miglioramento condivise con il management
  • Reward per chi segnala (non punizione per chi clicca)

Il phishing si combatte con una combinazione di tecnologia e cultura. Nessuna delle due da sola è sufficiente.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli