Il phishing rimane uno dei modi più comuni per gli aggressori di accedere alle reti aziendali. Imita le comunicazioni aziendali quotidiane legittime, quindi è una tecnica ideale per raccogliere preziose informazioni aziendali senza farsi notare. Nel rapporto Cyber Security Breaches Survey 2025 del governo del Regno Unito, il phishing è stato il tipo più comune di violazione o attacco segnalato dalle aziende che hanno identificato incidenti, colpendo l’85% di esse e l’equivalente del 37% di tutte le aziende complessivamente.
La formazione sulla consapevolezza deve essere un mandato aziendale, non solo un compito di conformità. Un singolo tentativo di phishing andato a buon fine può esporre credenziali, concedere l’accesso ai sistemi interni e creare problemi che si diffondono ben oltre la singola posta in arrivo di un dipendente.
Il problema è che molte organizzazioni si affidano ancora a sforzi di sensibilizzazione una tantum, nonostante il phishing cambi costantemente. Un programma più efficace può offrire ai dipendenti una pratica ripetuta, abitudini di segnalazione più chiare e controlli di supporto che riducano l’impatto degli errori.
Che aspetto ha il phishing in un contesto aziendale
Il phishing aziendale si è evoluto oltre le email palesemente false piene di errori di ortografia. In pratica, è molto più probabile che i dipendenti si imbattano in tentativi dall’aspetto realistico come:
- Richieste di verifica dell’account
- Notifiche di documenti condivisi
- Pagine di accesso per le comuni piattaforme aziendali
- Approvazioni di fatture
- Aggiornamenti delle Risorse Umane
- Messaggi da fornitori attendibili o dirigenti interni.
Se un membro del team risponde, gli aggressori possono quindi utilizzare le informazioni raccolte sui dipendenti o sulle aziende per rendere i messaggi più persuasivi e realistici, specialmente in campagne più mirate.
Spear phishing, impersonificazione di dirigenti e furto di credenziali
La formazione sulla consapevolezza del phishing deve preparare i team a diversi schemi contemporaneamente. Lo spear phishing è una delle varianti più comuni del phishing. Invece di inviare un messaggio generico a migliaia di destinatari, l’attaccante personalizza l’email in base a un ruolo, un progetto, un collega o un rapporto con un fornitore specifico.
Il messaggio sembra plausibile perché è costruito attorno a qualcosa che il dipendente si aspetterebbe realisticamente di vedere. Questo tipo di targeting è spesso reso più convincente dalle informazioni raccolte dai siti web aziendali, dai profili pubblici o da altre fonti online.
Un’altra variante del phishing è l’impersonificazione di dirigenti, a volte indicata come truffa del CEO. In questo caso, l’attaccante imita un leader senior o un importante stakeholder per creare urgenza attorno a un pagamento, un File o una richiesta di credenziali, facendo pressione sul personale affinché trasferisca denaro o informazioni a meno che non vengano seguite le normali procedure di verifica.
Un terzo schema è il furto di credenziali. In questi attacchi, il dipendente viene spinto verso una pagina di login falsa progettata per catturare nomi utente, password e talvolta anche codici one-time password (OTP).
La formazione sul phishing deve riflettere i reali flussi di lavoro aziendali piuttosto che fornire consigli generici. Molte pagine di phishing sono costruite per somigliare a strumenti che i dipendenti utilizzano già ogni giorno.
Perché i messaggi aziendali di routine sono così efficaci
Il phishing rimane efficace nelle organizzazioni perché spesso si confonde con le operazioni quotidiane. Un falso prompt di login deve solo sembrare familiare per il tempo necessario affinché qualcuno agisca col pilota automatico. Lo stesso vale per i messaggi dei fornitori, le notifiche di documenti condivisi o le richieste interne urgenti.
Ecco perché la formazione non dovrebbe concentrarsi solo su formulazioni sospette o grammatica scadente. I dipendenti devono anche capire come gli aggressori sfruttano i normali modi di lavorare. Pensa a come opera la tua organizzazione e a come puoi aiutare il personale a riconoscere le richieste che esulano dai normali processi, specialmente quando sono coinvolti denaro, credenziali o informazioni sensibili.
Esempi recenti di violazioni
I recenti resoconti sulle violazioni confermano che il phishing all’interno delle aziende va ormai ben oltre le semplici truffe nella posta in arrivo.
Secondo il Data Breach Observatory di Proton, l’azienda di biglietti d’auguri Hallmark Cards è stata presa di mira dal gruppo hacker di estorsione criminale noto come ShinyHunters. Il gruppo ha ottenuto dati appartenenti a Hallmark Cards da Salesforce e ha dato all’azienda una scadenza per l’estorsione. Alla fine, il gruppo ha diffuso 2,8 milioni di record univoci.
ShinyHunters è prolifico e negli ultimi mesi ha preso di mira molte aziende di alto profilo. Nel gennaio 2026, il marchio di abbigliamento Canada Goose è stato collegato a una violazione di circa 600.000 dati dei clienti. I dati provenivano da una violazione di terzi avvenuta nell’agosto 2025.
Questi esempi sono utili perché mostrano come si presenta il phishing negli ambienti aziendali oggi: non solo inganni nella posta in arrivo, ma attacchi mirati a fornitori esterni, sistemi di identità, accesso interno e rapporti di fiducia su cui le organizzazioni fanno affidamento ogni giorno.
Perché la sola consapevolezza non basta
La consapevolezza del phishing è importante, ma non basta da sola. I dipendenti non commettono errori solo perché mancano di informazioni. Li commettono anche perché sono impegnati, distratti, sotto pressione o si muovono rapidamente attraverso flussi di lavoro in cui un messaggio di phishing può facilmente sembrare legittimo a prima vista.
Ecco perché la formazione non dovrebbe basarsi sull’idea che ogni dipendente possa individuare ogni tentativo di phishing. Le organizzazioni non possono fare affidamento solo sulla capacità di rilevamento dell’utente. Alcuni attacchi passeranno comunque, il che significa che i controlli tecnici, i processi chiari e l’istruzione degli utenti devono collaborare.
Un programma di formazione sulla consapevolezza del phishing più solido si basa su questa realtà. Aiuta i dipendenti a riconoscere i comuni segnali di avviso, a mettersi in pausa quando qualcosa non convince, a segnalare rapidamente e a lavorare all’interno di sistemi che rendono un errore più facile da contenere. Si collega inoltre naturalmente alla prontezza di risposta agli incidenti.
Se qualcuno clicca su un link malevolo o condivide credenziali, l’organizzazione ha bisogno di un percorso di risposta rapido e chiaro. La formazione diventa molto più efficace quando i dipendenti sanno cosa succede dopo una segnalazione e quale ruolo svolgono. La guida di Proton alla risposta agli incidenti può aiutare la tua organizzazione a mettere a punto un piano.
Come si presenta un programma di formazione sulla consapevolezza del phishing efficace?
Un programma di formazione efficace sulla consapevolezza del phishing non si costruisce attorno a una singola sessione annuale e a pochi esempi obsoleti. È continuo, pratico e progettato in base al modo in cui le persone lavorano realmente. Ciò significa rinforzo regolare, scenari realistici e feedback che aiuti i dipendenti a sviluppare un miglior giudizio nel tempo.
In pratica, la consapevolezza del phishing dovrebbe apparire in più di un momento. Dovrebbe far parte dell’onboarding, dei corsi di aggiornamento, di brevi promemoria basati su scenari e delle revisioni degli incidenti, non essere qualcosa che i dipendenti vedono una volta e dimenticano. Deve anche riflettere l’esposizione reale.
Qualcuno che si occupa di fatture, supporto esecutivo, comunicazione con i fornitori, accesso privilegiato o record sensibili probabilmente dovrà affrontare tipi diversi di pressione legata al phishing rispetto a chi opera in un flusso di lavoro a minor rischio. La guida al phishing dell’NCSC riflette questa realtà osservando che il personale con accesso a informazioni sensibili, beni finanziari o sistemi IT può essere preso di mira più pesantemente.
Anche la pratica deve essere usata bene. Il phishing simulato può essere utile, ma non quando si trasforma in un esercizio di colpevolizzazione. Simulazioni gestite male possono danneggiare la fiducia e scoraggiare le persone dal segnalare errori se sentono di essere colte in fallo piuttosto che supportate.
Un programma più solido utilizza le simulazioni con attenzione, fornisce feedback immediati e aumenta gradualmente la difficoltà. Non cerca di dimostrare che i dipendenti sono facili da ingannare. Li aiuta a sviluppare il riconoscimento degli schemi, le abitudini di segnalazione e una maggiore sicurezza nelle situazioni reali.
I cinque segnali di phishing che i dipendenti continuano a ignorare
Molti dipendenti conoscono i classici segnali di avviso, ma continuano a ignorare gli indizi più sottili che compaiono nei veri attacchi aziendali. La formazione sulla consapevolezza del phishing è molto più utile quando insegna alle persone a riconoscere i modelli che si adattano al loro lavoro quotidiano.
1. Un messaggio che corrisponde al flusso di lavoro, ma cambia il canale o l’urgenza
Le email di phishing più efficaci non sembrano affatto casuali. Somigliano a richieste di fatture, documenti condivisi, aggiornamenti sui pagamenti o notifiche di accesso che i dipendenti si aspettano di ricevere.
Ciò che cambia è l’urgenza, la segretezza o il processo. Un utente malintenzionato vuole che la vittima ignori i normali controlli. La guida dell’NCSC avverte specificamente che gli aggressori sfruttano i processi e le richieste aziendali, incluse le richieste di informazioni o i pagamenti non autorizzati.
2. Un nome mittente credibile che nasconde un dominio dannoso o una fonte contraffatta
I dipendenti si concentrano spesso sul nome visualizzato e non sull’indirizzo completo, sul percorso di risposta o sul dominio. Questo è uno dei motivi per cui i controlli contro lo spoofing contano, ma la formazione deve comunque insegnare alle persone a rallentare quando un marchio familiare o un collega appare leggermente “sospetto”.
L’NCSC consiglia alle organizzazioni di rendere più difficile lo spoofing delle email attraverso controlli come Domain-based Message Authentication, Reporting, and Conformance (DMARC), Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). Insieme, questi controlli di autenticazione delle email aiutano i sistemi riceventi a verificare se un messaggio proviene davvero dal dominio da cui dichiara di provenire.
3. Una pagina di login che sembra abbastanza normale
Le pagine per la raccolta di credenziali non devono essere perfette. Devono solo sembrare familiari per il tempo sufficiente affinché un dipendente inserisca un nome utente e una password. In pratica, l’indizio principale può essere il contesto più che il design: perché questa richiesta di login appare proprio ora e attraverso questo percorso?
4. Una richiesta che privilegia la velocità rispetto alla verifica
Il furto di identità dei dirigenti, le frodi sulle fatture e le truffe dei fornitori spesso fanno leva sull’urgenza. Il messaggio è studiato per far sembrare la verifica scomoda o sintomo di sfiducia. Una solida formazione sul phishing dovrebbe insegnare che un’urgenza inaspettata non è solo un linguaggio sospetto, ma un segnale per passare dalla modalità di risposta via email alla modalità di verifica.
5. Una situazione in cui segnalare crea imbarazzo
Uno dei segnali di avviso più trascurati è interno piuttosto che tecnico: un dipendente nota qualcosa di strano, ma esita a segnalarlo perché non ne è sicuro, è troppo occupato o teme di sembrare sbadato.
L’NCSC mette in guardia dal rimproverare gli utenti che faticano a riconoscere il phishing, poiché la paura di ritorsioni sopprime le segnalazioni. I programmi validi insegnano quindi ai dipendenti che segnalare tempestivamente un dubbio è utile anche se il messaggio si rivela poi innocuo.
Cosa succede quando la formazione fallisce
Quando la formazione sul phishing fallisce, il danno viene spesso misurato nelle credenziali prima ancora che in qualsiasi altra cosa. Un utente inserisce una password in un falso portale, approva un prompt inaspettato o condivide i dettagli di login attraverso una richiesta convincente che sembra interna. Da quel momento in poi, il problema non riguarda più solo una singola decisione sulla posta in arrivo, ma diventa un problema di controllo degli accessi.
È qui che la connessione tra phishing e igiene delle password diventa fondamentale. Se la stessa password viene riutilizzata su più servizi, una credenziale compromessa può diventare una via di accesso a email, strumenti SaaS, piattaforme cloud o sistemi di amministrazione. Se i login condivisi vengono ancora gestiti tramite metodi informali o non controllati, la responsabilità diminuisce ulteriormente.
Il Data Breach Observatory Report di Proton osserva che nomi ed email compaiono in 9 violazioni su 10, che il 72% delle violazioni contiene dati di contatto e che il 49% include password. Ciò significa che gli aggressori hanno spesso proprio il materiale di base necessario per rendere il phishing più convincente e per sfruttare il riutilizzo delle password quando hanno successo.
Recenti esempi di violazioni confermano lo stesso punto da un’altra angolazione. Nel resoconto delle violazioni di Proton, gli incidenti legati al phishing nel 2026 non si sono fermati a un link cliccato; sono diventati accesso alla rete, esposizione interna e incidenti aziendali più ampi. Ecco perché la prevenzione degli attacchi di phishing non può basarsi solo sul riconoscimento da parte dei dipendenti. Deve anche limitare quanto lontano possano arrivare le credenziali rubate una volta che un account è stato compromesso.
Password uniche per ogni servizio sono uno dei controlli più semplici e di maggior valore in questo caso. Non impediscono il verificarsi di un tentativo di phishing, ma aiutano a contenerne le conseguenze. Se una password viene rubata, non dovrebbe sbloccare altri cinque sistemi.
Un gestore di password aziendale sicuro supporta una strategia basata sulla cultura della sicurezza. Proton Pass for Business è progettato per aiutare i team a generare e memorizzare password forti e uniche per ogni servizio, riducendo la possibilità che un singolo evento di phishing riuscito si propaghi in tutta l’organizzazione.
Un modello pratico per la formazione sul phishing per i dipendenti
Il punto migliore da cui iniziare non sono i materiali di formazione generici, ma il modo in cui la tua organizzazione lavora effettivamente.
Concentrati prima sugli scenari di phishing che i dipendenti hanno più probabilità di affrontare: prompt di accesso, furto di identità dei fornitori, approvazioni di pagamenti, notifiche di documenti condivisi, richieste dei dirigenti o attacchi ai provider di identità. La formazione diventa molto più utile quando le persone possono riconoscerci la propria realtà lavorativa.
Anche il reporting deve essere semplice e sicuro. La guida al phishing dell’NCSC chiarisce che le organizzazioni dovrebbero aiutare gli utenti a identificare e segnalare i messaggi di phishing sospetti, mentre il Reporting Fraud Website(nuova finestra) fornisce il percorso di segnalazione ufficiale del Regno Unito per il phishing e il cyber crimine. I dipendenti dovrebbero sapere dove segnalare internamente, cosa includere e cosa fare immediatamente se hanno cliccato su un link, inserito credenziali o approvato un accesso.
La formazione dovrebbe essere supportata da controlli che riducano il costo degli errori. Ciò include il filtraggio delle email, protezioni anti-spoofing, flussi di accesso sicuri, 2FA e una migliore igiene delle password. La guida aziendale di Proton sulla prevenzione degli attacchi di phishing sottolinea inoltre l’importanza di canali di segnalazione chiari, della pratica ripetuta e del monitoraggio delle credenziali esposte.
Infine, misura più dei semplici clic. I tassi di clic delle simulazioni possono essere utili, ma i tassi di segnalazione, il tempo necessario per segnalare, i pattern di fallimento ripetuti e gli incidenti relativi alle credenziali spesso offrono un quadro più chiaro dell’effettivo miglioramento della resilienza. L’NCSC raccomanda inoltre di riflettere attentamente sulle metriche del phishing in modo che le organizzazioni non finiscano per scoraggiare le segnalazioni sicure.
Un rilevamento perfetto non è possibile, ma una risposta più efficace sì
La formazione sulla consapevolezza del phishing è più efficace quando va oltre l’idea che i dipendenti debbano essere in grado di individuare perfettamente ogni attacco. Un obiettivo più realistico è costruire un team capace di riconoscere i segnali di avviso familiari, segnalare rapidamente i dubbi e rispondere in modo da evitare che un singolo errore si trasformi in un incidente più ampio.
Tutto ciò richiede più di semplici informazioni. Richiede una pratica ripetuta, esempi che riflettano ruoli e flussi di lavoro reali e processi chiari su cui i dipendenti possano fare affidamento quando qualcosa non quadra. Richiede anche controlli che riducano l’impatto del furto di credenziali quando un tentativo di phishing va a buon fine. Per questo motivo, la formazione sul phishing per i dipendenti funziona meglio se inserita in una cultura della sicurezza più ampia, piuttosto che come esercizio di sensibilizzazione a sé stante.
Le organizzazioni che riducono efficacemente il rischio di phishing tendono a combinare gli stessi elementi: formazione pratica, abitudini di segnalazione chiare, una migliore prontezza agli incidenti e una gestione più rigorosa delle credenziali. Le risorse di Proton sugli attacchi di phishing e sulla risposta agli incidenti rafforzano tutte lo stesso principio: la consapevolezza è molto più efficace quando è supportata da sistemi che rendono una compromissione più facile da contenere.
