Phishing: come individuare una delle minacce online più subdole

Il phishing è oggi una delle minacce informatiche più diffuse e insidiose. Secondo l'ENISA, è la causa del 60% degli incidenti informatici in Europa. Si presenta spesso sotto forma di email, SMS o messaggi che imitano comunicazioni reali e affidabili, con l'obiettivo di spingere l'utente a condividere dati sensibili o a compiere azioni pericolose.

Per le PMI, che gestiscono quotidianamente scambi digitali con clienti e fornitori, è un rischio concreto che può portare a furti di credenziali, blocchi operativi o perdite economiche. Come proteggersi?

Il phishing è una specifica tecnica di ingegneria sociale: invece di colpire i sistemi informatici, colpisce le persone.

L’ingegneria sociale, infatti, è l’insieme delle tecniche psicologiche usate dai criminali per manipolare la vittima e convincerla a compiere azioni dannose, come cliccare su un link, aprire un allegato o fornire informazioni riservate.

Questi attacchi possono presentarsi come:

• Email o messaggi falsi che imitano banche, servizi digitali o fornitori;
• Comunicazioni con toni urgenti o minacciosi che spingono a reagire senza riflettere;
• Messaggi personalizzati che sembrano provenire da colleghi o partner (spear-phishing);
• Email reali compromesse, inviate da caselle violate e quindi molto credibili (Business Email Compromise).

Inoltre, con l’uso malevolo dell’Intelligenza Artificiale, oggi queste tecniche sono ancora più sofisticate e credibili, con testi che, a differenza del passato, sono sempre meno riconoscibili come fraudolenti. Basti pensare che, secondo l’ENISA, l’80% degli attacchi di phishing tra giugno 2024 e luglio 2025 sono realizzati con l’ausilio dell’AI.

L’obiettivo è sempre lo stesso: ottenere accesso a dati sensibili o indurre la vittima a eseguire un’azione utile all’attaccante.

Nonostante i sistemi di sicurezza siano fondamentali, il phishing sfrutta soprattutto errori umani e meccanismi psicologici. Per questo la prevenzione passa anche da buone abitudini quotidiane:

1. Verificare sempre il mittente
   Se un messaggio contiene richieste insolite, toni allarmistici o errori di scrittura, è bene non agire subito. Meglio verificare tramite un canale alternativo (telefono, chat aziendale).
2. Diffidare di link e allegati sospetti
   Un clic può compromettere un intero sistema aziendale. Controlla l’indirizzo reale di un link e apri gli allegati solo se si è certi della provenienza.
3. Attivare l’autenticazione a due fattori (2FA)
   La 2FA aggiunge un livello di protezione importante: oltre alla password serve un secondo codice generato da un’app o da un token fisico. Anche se la password viene rubata, l’accesso rimane bloccato.
4. Promuovere attenzione e consapevolezza
   Molti attacchi sfruttano emozioni come fretta, urgenza, fiducia o curiosità. Riconoscere questi segnali è spesso il modo più efficace per evitare l’inganno.