Torna al blog

Tendenze del phishing nel 2026: cosa sta davvero cambiando (e cosa no)

Scopri le principali tendenze del phishing per il 2026: deepfake basati sull'IA, dispositivi mobili/QR, abuso del consenso SaaS e infrastruttura di fiducia. Difese pratiche per le PMI.

Di Autophish Team|Pubblicato il 11/26/2025
Cover image for Tendenze del phishing nel 2026: cosa sta davvero cambiando (e cosa no)

Se lavori nel settore della sicurezza o della conformità, può sembrare che ogni anno venga dichiarato “l’anno del phishing”. La cattiva notizia: sarà ancora così nel 2026. La buona notizia: le tendenze sono più evoluzione che fantascienza.

La maggior parte di ciò che vedremo nel 2026 si basa direttamente su ciò che già oggi sta danneggiando le organizzazioni: truffe tramite QR code e dispositivi mobili, abuso del consenso SaaS, compromissione delle e-mail aziendali (BEC) e aggressori che mirano alla fiducia stessa piuttosto che alle sole password. I principali rapporti sulle minacce di ENISA e Microsoft continuano a elencare il social engineering e il phishing come rischi di primo piano, con lo smishing (phishing via SMS) e gli attacchi basati sui QR code (“quishing”) in rapida crescita (ad esempio le sintesi del Threat Landscape dell’ENISA: Panoramica del Threat Landscape dell’ENISA e il rapporto ENISA Threat Landscape 2023: Rapporto ENISA Threat Landscape 2023 e i rapporti sulla difesa digitale di Microsoft: portale dei rapporti sulla difesa digitale di Microsoft).

Questa guida ti illustra 10 tendenze concrete del phishing per il 2026, perché sono importanti in particolare per le PMI e cosa puoi realisticamente fare nei prossimi 90 giorni, senza bisogno di un budget da Hollywood.

L'elenco sintetico: cosa cambierà davvero nel 2026

Ecco la versione sintetica per la tua prossima riunione del consiglio di amministrazione o della direzione:

  • Il BEC assistito da deepfake diventa mainstream
    L'impersonificazione vocale e video passa da "wow, che demo fantastica" a "il team finanziario ha ricevuto davvero una chiamata del genere la settimana scorsa". Le ultime edizioni del Digital Defense Report di Microsoft indicano esplicitamente i deepfake come fattore abilitante per il BEC (ad esempio: Microsoft Digital Defense Report 2025 (PDF)).

  • Il phishing segue le tue chat e i tuoi codici QR
    WhatsApp, Signal, Teams e i flussi di accesso tramite QR diventano obiettivi primari, non attività secondarie. I rapporti settoriali dell'ENISA e il panorama delle minacce nel settore finanziario evidenziano lo smishing e il phishing basato sui codici QR come vettori di attacco in aumento: Panorama delle minacce ENISA – Settore finanziario.

  • Le password contano meno dei token e dei consensi
    Il phishing del consenso OAuth e il furto dei token di sessione danno agli aggressori un accesso duraturo senza mai “effettuare l’accesso”. Vedi l’articolo di Microsoft "Spiegazione e prevenzione del phishing del consenso OAuth": Blog Microsoft Entra – Spiegazione e prevenzione del phishing del consenso OAuth.

  • Abusare dell'"infrastruttura di fiducia" è meglio che spoofare il tuo marchio
    Domini Microsoft/Google legittimi, moduli web, strumenti per la creazione di siti e strumenti di helpdesk vengono dirottati per creare esche estremamente convincenti.

  • Le app di big data diventano scrigni del tesoro con un solo clic
    I data warehouse (Snowflake e simili) e le condivisioni di file sono obiettivi di alto valore e a basso attrito se una singola identità o un token vengono compromessi. La campagna UNC5537/Snowflake ne è un ottimo esempio, documentato qui: Google Cloud / Mandiant – UNC5537 prende di mira Snowflake e nella guida alla ricerca delle minacce associata: Guida alla ricerca delle minacce Snowflake (PDF).

  • La normativa finalmente si adegua
    Quadri normativi come NIS2 prevedono esplicitamente una formazione continua e verificabile sulla sicurezza e sul phishing, non solo un corso di e-learning una tantum (vedi il testo legale NIS2 su EUR-Lex: Testo legale della direttiva NIS2 e linee guida pratiche sulla formazione come Linee guida NIS2 su formazione e sensibilizzazione).

E sì: l'automazione vince. Le organizzazioni che testano, misurano e ottimizzano continuamente i controlli ottengono semplicemente risultati migliori rispetto a quelle che organizzano una sola “settimana di sensibilizzazione informatica” all’anno.

In breve: 10 tendenze di phishing e controlli rapidi

|

| Tendenza | Perché piace agli hacker | Controllo rapido da avviare questo mese |

|---|-------|-----------------------|----------------------------------------| | 1 | BEC assistito da deepfake | Elevato ROI, volume ridotto, altamente personalizzato | Approvazioni di pagamento rigorose + regole di richiamata | | 2 | Mobile e messaggistica + QR | Tutti vivono nelle chat; QR = accesso silenzioso | Aggiornamento BYOD, limitare i collegamenti sui dispositivi non gestiti | | 3 | Consenso SaaS e abuso di OAuth | Accesso senza password con token a lunga durata | Governance del consenso delle app, liste di autorizzazione dei tenant | | 4 | Abuso dell'"infrastruttura di fiducia" | I domini di prima parte sembrano "ovviamente sicuri" | Filtri per l'età degli URL, DMARC rigoroso su tutti i percorsi di posta | | 5 | Phishing dall'interno | “Proviene dall'interno” riduce i sospetti | Rafforza i connettori, monitora la posta dall'interno | | 6 | Phishing senza credenziali | I token, non le password, sono le nuove chiavi | Chiavi FIDO2, token legati al dispositivo, controlli sulla stanchezza da MFA | | 7 | Campagne legate al settore | Tasse / viaggi / sport = picchi di clic | Avvisi e simulazioni basati sul calendario | | 8 | Esche LLM localizzate | Il tono e il gergo nativi aggirano il filtro “cattivo inglese” | Insegna i segnali di allarme strutturali, non la qualità linguistica | | 9 | Pivot su data warehouse e condivisione file | Un account → milioni di record | SSO + MFA ovunque, analisi comportamentale | |10| Pressione normativa e audit | I consigli di amministrazione devono dimostrare la dovuta diligenza | Simulazioni trimestrali con tracciati di audit puliti |

Di seguito approfondiamo ogni tendenza con: Novità del 2026 → Cosa stiamo vedendo → Agisci ora.

Tendenza 1: Il BEC assistito da deepfake diventa mainstream

Novità del 2026

Il Business Email Compromise è da anni una delle minacce informatiche più costose, e i Digital Defense Report di Microsoft e altre analisi dei fornitori continuano a indicare il BEC come uno degli attacchi più gravi in termini di impatto (ad esempio, il rapporto del 2023: Microsoft Digital Defense Report 2023 (PDF)).

Ciò che sta cambiando è la qualità e l'accessibilità degli strumenti deepfake:

  • I servizi di clonazione vocale possono produrre in pochi minuti un credibile "CFO in Bluetooth su un taxi".
  • Gli strumenti disponibili sul mercato possono generare brevi clip video che superano un rapido controllo di plausibilità durante una chiamata Teams affrettata.
  • Le autorità di regolamentazione e le unità anticrimine finanziario stanno mettendo in guardia in modo esplicito contro gli schemi di frode che utilizzano audio e video deepfake nelle transazioni di alto valore (vedi la sezione sulle frodi basate sui deepfake nel Microsoft Digital Defense Report 2025: Microsoft Digital Defense Report 2025 (PDF)).

Il risultato: classiche storie di BEC, ma con un volto e una voce sintetici.

Cosa stiamo osservando sul campo

Gli aggressori saltano sempre più spesso le lunghe catene di email e passano direttamente alle “chiamate urgenti” per spingere modifiche ai pagamenti, nuovi conti dei beneficiari o trasferimenti ad alto rischio, facendo riferimento a progetti reali e gergo interno che hanno raccolto da email, LinkedIn e dati trapelati.

Agisci subito

  • Politica:
    • Richiedi una verifica fuori banda (richiamata telefonica a un numero verificato dal tuo ERP/CRM) per tutte le coordinate bancarie nuove o modificate e per i trasferimenti di importo elevato.
  • Controllo:
    • Configura blocchi sui pagamenti e doppie approvazioni oltre determinate soglie — idealmente due approvatori di reparti diversi.
  • Sensibilizzazione:
    • Insegna al personale che “Li ho visti in video” non è un controllo. Organizza simulazioni dal vivo in cui un falso “CFO” chiama durante un momento di grande affluenza.

Tendenza 2: Phishing su dispositivi mobili e app di messaggistica + codici QR come token di autenticazione

Novità del 2026

Il phishing non è più solo un problema legato alle e-mail:

  • Lo smishing e il phishing tramite app di messaggistica (WhatsApp, Signal, Telegram, chat aziendali) sono aumentati vertiginosamente, con attacchi basati su URL e trucchi con codici QR utilizzati per dirottare gli account. Il panorama delle minacce nel settore finanziario dell’ENISA rileva che il phishing, lo smishing e il vishing sono tra i tipi di attacco più comuni contro gli istituti finanziari europei: Panorama delle minacce ENISA – Settore finanziario.
  • Gli hacker abusano sempre più spesso dei codici QR come meccanismi di accesso, ingannando le persone affinché scansionino codici che collegano i loro account a un dispositivo o a una sessione controllati dall'hacker. Questo schema ricorre in diverse segnalazioni recenti relative a prese di controllo di account di messaggistica e campagne di malware mobile.

In combinazione con il BYOD e i canali di messaggistica ombra, è un terreno di gioco ideale.

Cosa stiamo vedendo sul campo

Casi reali mostrano funzionari governativi e dirigenti che perdono i propri account di messaggistica tramite codici QR dannosi, e i rapporti sulle minacce evidenziano un'enorme crescita delle campagne di phishing basate su URL e QR rispetto ai classici allegati (ad esempio la panoramica dell'ENISA sui vettori di attacco di ingegneria sociale: Panoramica del panorama delle minacce ENISA).

Agisci subito

  • Politica:
    • Aggiorna le politiche BYOD e di messaggistica: quali app sono consentite per il lavoro, quali no e cosa è severamente vietato (ad es. condividere codici QR di accesso o screenshot delle richieste di autenticazione).
  • Controllo:
    • Applica la corrispondenza dei numeri e il binding dei dispositivi per l'autenticazione a più fattori (MFA); limita il collegamento degli account a nuovi dispositivi da endpoint non gestiti, ove possibile.
  • Sensibilizzazione:
    • Esegui simulazioni che riproducono avvisi di consegna, richieste MFA e inviti a chat — inclusi i codici QR — per insegnare alle persone a fermarsi un attimo prima di scansionare.

Tendenza 3: Phishing del consenso SaaS e abuso dei token OAuth

Novità del 2026

Invece di rubare le password, gli hacker chiedono semplicemente ai tuoi utenti di cliccare su “Accetta”.

Nel phishing del consenso OAuth, un utente viene attirato su una schermata di consenso dall’aspetto legittimo che chiede le autorizzazioni per leggere email, file o calendari. Una volta approvata, l’hacker ottiene un token di accesso a lunga durata—senza password, senza richiesta di autenticazione a più fattori (MFA) e spesso senza un registro di accesso evidente da analizzare. La guida ufficiale di Microsoft illustra questo schema in dettaglio:
Blog Microsoft Entra – Spiegazione e prevenzione del phishing del consenso OAuth

Anche alcuni ricercatori indipendenti stanno monitorando come il phishing del consenso si stia evolvendo per aggirare i controlli di rilevamento, ad esempio:
Push Security – Come si sta evolvendo il phishing del consenso e
Valence Security – La crescente minaccia del phishing del consenso

Le campagne più recenti sfruttano addirittura agenti AI e strumenti low-code; i bot compromessi possono essere usati per rubare token OAuth su larga scala (ad esempio la tecnica “CoPhish” che sfrutta gli agenti di Microsoft Copilot Studio: TechRadar – Agenti di Copilot Studio dirottati per rubare token OAuth).

Cosa stiamo osservando sul campo

I team di sicurezza cloud segnalano un aumento degli incidenti di “accesso misterioso ai dati” in cui non si riscontra alcun cambio di password o accesso sospetto, ma solo un’app appena autorizzata con ampi permessi su caselle di posta e SharePoint.

Agisci subito

  • Politica:
    • Definisci quali team possono approvare nuove app e quali "ambiti ad alto rischio" (ad es. Mail.ReadWrite, Files.Read.All) richiedono una revisione formale.
  • Controllo:
    • Usa la governance del consenso delle app del tuo IdP: disabilita il consenso guidato dall'utente dove possibile, mantieni liste di autorizzazione dei tenant e abilita la valutazione continua dell'accesso o qualcosa di equivalente.
  • Sensibilizzazione:
    • Includi schermate di consenso e flussi “Accedi con…” nella formazione: la maggior parte degli utenti non si rende conto che quei pop-up possono essere dannosi.

Tendenza 4: Abuso dell’“infrastruttura di fiducia” (moduli, costruttori di siti, strumenti di supporto)

Novità del 2026

Perché preoccuparsi di spoofare il tuo dominio se un aggressore può inviare link su:

  • *.microsoft.com (Moduli, SharePoint, Copilot, ecc.)
  • *.google.com (Docs, Drive, Sites)
  • Costruttori di siti e piattaforme di supporto ben noti (sistemi di ticket, strumenti RMM, emailer CRM)

I principali rapporti sulle minacce sottolineano che gli URL dannosi ospitati su servizi legittimi superano ormai di gran lunga i classici allegati dannosi (vedi, ad esempio, i Digital Defense Reports di Microsoft e le sintesi delle tendenze di social engineering dell'ENISA:
Portale Microsoft Digital Defense Report
ENISA – Le tecnologie emergenti facilitano il phishing).

Cosa stiamo osservando sul campo

Stiamo assistendo a un aumento delle campagne in cui l'intero flusso – dal modulo al file fino all'e-mail di follow-up – passa attraverso infrastrutture cloud legittime, rendendo molto più difficile il lavoro dei filtri tradizionali che si basano esclusivamente sulla reputazione del dominio.

Agisci subito

  • Politica:
    • Richiedi che tutti i moduli rivolti ai clienti che raccolgono dati sensibili siano documentati e registrati centralmente (in modo da poter individuare i falsi).
  • Controllo:
    • Usa gateway di posta elettronica sicuri o strumenti cloud-native che controllino l'età dell'URL, il contesto di hosting, e i tipi di file invece che solo la reputazione del mittente; applica l’allineamento DMARC per tutti i percorsi di posta legittimi, inclusi gli strumenti di assistenza e di ticketing. La panoramica “Threat Landscape” dell’ENISA offre un buon riassunto di tali vettori: Panoramica Threat Landscape dell’ENISA.
  • Sensibilizzazione:
    • Insegna agli utenti: “Dominio legittimo” ≠ richiesta legittima. Chiediti “Mi aspettavo questo modulo/file/email di assistenza?” come riflesso.

Tendenza 5: Phishing dall’aspetto interno senza compromissione effettiva

Novità del 2026

Molti sistemi di posta cloud offrono funzionalità come Direct Send, connettori e relay, così app e dispositivi possono inviare email “come interne”. Se configurate in modo errato, consentono:

  • Email che sembrano provenire dall’interno della tua organizzazione o da tenant di partner fidati
  • Email di sistema o relative ai ticket che aggirano i filtri intensivi

Gli aggressori abusano sempre più spesso di queste funzionalità, oppure compromettono un singolo account di servizio, per inviare phishing “interno” senza hackerare alcuna casella di posta umana.

Cosa stiamo osservando sul campo

Chi si occupa di rispondere agli incidenti segnala spesso campagne di phishing “interne” provenienti da intervalli IP inaspettati, relay configurati in modo errato o caselle di posta condivise compromesse, non dal laptop del CEO.

Agisci subito

  • Politica:
    • Fai un inventario di tutti i sistemi autorizzati a inviare come il tuo dominio e definisci il proprietario + la giustificazione aziendale. Niente proprietario, niente invii.
  • Controllo:
    • Rendi più rigorosi i connettori di posta: limitali a specifici intervalli IP e metodi di autenticazione; monitora i picchi nel traffico interno-interno con modelli insoliti.
  • Sensibilizzazione:
    • Aggiungi un mantra alla formazione sulla sensibilizzazione: “Interno ≠ sicuro di default”. Incoraggia la segnalazione di qualsiasi richiesta interna strana, non solo quelle esterne.

Tendenza 6: Phishing senza credenziali – token, sessioni e stanchezza da MFA

Novità del 2026

Se la tua strategia è “password forti + MFA e siamo a posto”, il 2026 ti saluta.

Le attuali analisi delle violazioni mostrano che gli aggressori stanno passando invece a tecniche basate su cookie di sessione, token di aggiornamento e stanchezza da MFA:

  • Furto di token del browser tramite malware o infostealer
  • “Bombardare” gli utenti con notifiche fino a quando non accettano accidentalmente le richieste di autenticazione
  • Catturare i token in tempo reale tramite kit di phishing “adversary-in-the-middle”

La campagna Snowflake/UNC5537 è un caso da manuale di ciò che accade quando credenziali rubate e mancanza di MFA incontrano una potente piattaforma dati:
Google Cloud / Mandiant – UNC5537 prende di mira Snowflake
Guida alla ricerca delle minacce su Snowflake (PDF)
Una buona sintesi di alto livello è disponibile anche dalla Cloud Security Alliance: Cloud Security Alliance – Analisi della violazione dei dati di Snowflake del 2024.

Cosa stiamo osservando sul campo

In incidenti di grande portata come il furto di dati legato a Snowflake, gli aggressori hanno spesso utilizzato credenziali e token rubati in precedenza per accedere a piattaforme di dati di alto valore, per poi sottrarre informazioni e ricattare su larga scala.

Agisci subito

  • Politica:
    • Rendi obbligatorio l'MFA resistente al phishing (chiavi di sicurezza FIDO2 o passkey) innanzitutto per gli amministratori e i ruoli ad alto rischio.
  • Controllo:
    • Imponi l'uso di token legati al dispositivo, l'accesso condizionale (viaggi impossibili, IP insoliti) e la revoca automatica dei token dopo eventi sospetti.
  • Sensibilizzazione:
    • Insegna al personale che le richieste ripetute di MFA = emergenza, non fastidio. Simula scenari di "stanchezza da MFA" nel tuo programma di phishing.

Tendenza 7: Campagne sincronizzate con il settore (fiscalità, viaggi, sport, sovvenzioni)

Novità del 2026

Gli aggressori sono bravissimi con l'OSINT basato sul calendario:

  • Scadenze fiscali
  • Grandi eventi sportivi
  • Periodi di concessione di sovvenzioni e sussidi
  • Stagioni di viaggio comuni

I rapporti sulle minacce mostrano che le campagne di phishing si concentrano proprio intorno a questi eventi, con esche che promettono rimborsi, biglietti o attività urgenti di conformità. L'ENISA e vari rapporti di settore indicano l'ingegneria sociale come uno dei principali fattori nelle frodi e negli incidenti legati alla finanza, ad esempio:
ENISA Threat Landscape – Finance Sector e un riassunto di facile lettura qui: ComplexDiscovery – Aumento delle minacce informatiche nel settore finanziario europeo.

Cosa stiamo osservando sul campo

Le PMI segnalano sempre più spesso ondate brevi e intense di attacchi di phishing altamente personalizzati proprio quando tutti si affrettano a inviare moduli, acquistare biglietti o richiedere sconti.

Agisci subito

  • Politica:
    • Crea un “calendario informatico” parallelamente al tuo calendario aziendale: prendi nota dei periodi ad alto rischio per il tuo settore e la tua area geografica.
  • Controllo:
    • Preconfigura banner o avvisi via e-mail per parole chiave specifiche (tasse, rimborso, biglietto, sovvenzione) in quei periodi.
  • Sensibilizzazione:
    • Esegui simulazioni di phishing a tempo e consigli just-in-time una settimana prima di eventi a rischio prevedibili.

Tendenza 8: Esche LLM localizzate (imitazione di lingua e tono)

Novità del 2026

I modelli linguistici di grandi dimensioni (LLM) hanno in gran parte reso obsoleta la vecchia regola empirica “errori ortografici = phishing”.

  • Gli hacker possono generare email perfettamente localizzate in tedesco austriaco, inglese britannico, portoghese brasiliano… inclusi modi di dire e livelli di cortesia.
  • I dati pubblici (siti web, social media, annunci di lavoro) consentono loro di imitare il tono di voce della tua organizzazione in modo fin troppo realistico.

L'ENISA sottolinea esplicitamente che le tecnologie emergenti come l'IA e l'automazione aiutano gli hacker ad analizzare i comportamenti e a lanciare attacchi di phishing più mirati: ENISA – Le tecnologie emergenti facilitano il phishing.
Le campagne di sensibilizzazione in tutta Europa ora mettono in evidenza l'IA, i deepfake e lo smishing come argomenti centrali (ad esempio: ENISA – Promuovere la sicurezza nel mondo digitale durante il Mese europeo della sicurezza informatica).

Cosa stiamo osservando sul campo

Sempre più organizzazioni segnalano email di phishing in cui la qualità del linguaggio è indistinguibile da quella delle comunicazioni interne autentiche, fino alle firme e alle frasi standard. Articoli come questo riassunto di TechRadar descrivono come le email di phishing generate dall'IA appaiano ora più pulite e convincenti di molte email legittime:
TechRadar – L'IA sta rendendo le email di phishing molto più convincenti.

Agisci subito

  • Politica:
    • Elimina dalle linee guida ufficiali frasi come “cerca gli errori di ortografia”; ora sono decisamente fuorvianti.
  • Controllo:
    • Investi in un rilevamento basato sul contenuto che analizzi l'intento, i link e gli allegati, non solo semplici firme o liste di blocco.
  • Consapevolezza:
    • Insegna invece a riconoscere gli indizi strutturali: urgenza inaspettata, canali insoliti, richieste di bypassare le procedure o pagine di accesso che non corrispondono ai flussi normali.

Tendenza 9: Pivot su data warehouse e condivisione file (Snowflake, Drive, SharePoint e simili)

Novità del 2026

I sistemi incentrati sui dati come Snowflake, BigQuery, i data lake S3 e le piattaforme di collaborazione contengono volumi incredibili di dati operativi e relativi ai clienti.

Recenti indagini sul furto di dati legato a Snowflake del 2024 mostrano come gli aggressori abbiano usato credenziali e token rubati per accedere a diversi ambienti dei clienti e lanciare campagne di estorsione su larga scala, come descritto da Mandiant e Snowflake:
Google Cloud / Mandiant – UNC5537 prende di mira Snowflake
Guida alla ricerca delle minacce Snowflake (PDF)
Una buona panoramica indipendente dai fornitori è fornita anche dalla Cloud Security Alliance:
Cloud Security Alliance – Analisi della violazione dei dati di Snowflake del 2024
e la panoramica pubblica su Wikipedia fornisce il contesto per comprendere l'impatto più ampio:
Wikipedia – Violazione dei dati di Snowflake

Per gli hacker, queste piattaforme sono un sogno:

  • Una sola identità compromessa può fornire accesso a milioni di record.
  • I dati possono essere sottratti silenziosamente tramite query dall'aspetto normale.

Cosa stiamo osservando sul campo

Anche le organizzazioni più piccole ora si affidano a data warehouse cloud e unità condivise per tutto, dalle esportazioni CRM ai report delle risorse umane, spesso con account di servizio e ruoli con privilegi eccessivi che nessuno controlla.

Agisci subito

  • Politica:
    • Considera le piattaforme dati come “gioielli della corona” nel tuo registro dei rischi; richiedi approvazioni esplicite su chi può accedere a cosa e perché.
  • Controllo:
    • Applica SSO + MFA per tutti gli accessi; riduci i privilegi permanenti; monitora query, esportazioni e download anomali.
  • Sensibilizzazione:
    • Includi scenari di “dati su larga scala” nella formazione: il personale deve sapere che un account di analisi compromesso può essere peggio di 100 caselle di posta.

Tendenza 10: Pressione normativa → programmi di sensibilizzazione verificabili e di contrasto al phishing

Novità del 2026

Normative come la Direttiva NIS2 (UE) inaspriscono esplicitamente i requisiti in materia di governance, gestione dei rischi e sensibilizzazione del personale in molti settori, comprese le organizzazioni di medie dimensioni.

Il testo legale è disponibile qui:
https://eur-lex.europa.eu/eli/dir/2022/2555/oj/eng

Alcune guide pratiche chiariscono meglio le aspettative:

Temi chiave:

  • La consapevolezza in materia di sicurezza non è facoltativa per le entità interessate: le autorità di regolamentazione si aspettano prove concrete.
  • I consigli di amministrazione e gli organi direttivi sono esplicitamente responsabili della supervisione dei rischi informatici.
  • La documentazione è fondamentale: politiche, registri di formazione e gestione degli incidenti devono reggere a un esame approfondito.

Cosa stiamo osservando sul campo

Le PMI che un tempo si limitavano a una presentazione annuale ora si stanno affrettando a dimostrare simulazioni di phishing strutturate e ricorrenti, monitoraggio delle presenze e follow-up documentati, specialmente quando hanno a che fare con clienti soggetti a regolamentazione.

Nota: Nulla di quanto contenuto in questo articolo costituisce un parere legale. Consulta sempre il tuo team legale/di conformità per l’interpretazione della NIS2 e delle leggi correlate nella tua giurisdizione.

Agisci subito

  • Politica:
    • Definisci una politica formale di sensibilizzazione alla sicurezza e al phishing: frequenza, gruppi target, misurazioni e responsabilità.
  • Controllo:
    • Implementa una piattaforma che offra opzioni di anonimizzazione, possibilità di rinuncia dove necessario e reportistica chiara in linea con le aspettative del comitato aziendale e del GDPR — ad esempio, le modalità rispettose della privacy descritte nella guida all'anonimizzazione di AutoPhish all'indirizzo https://autophish.io/anonymization (o il tuo URL locale equivalente).
  • Sensibilizzazione:
    • Comunica chiaramente che le simulazioni di phishing hanno lo scopo di insegnare, non di punire: una cultura senza colpe migliora effettivamente i tassi di segnalazione.

Cosa dovrebbero fare le PMI in questo trimestre (piano di 90 giorni)

Non devi risolvere tutto in una volta. Ecco una roadmap realistica di 90 giorni.

Settimane 1–4: Ottieni visibilità e risultati immediati

  • Esegui un test di phishing di riferimento su un ampio gruppo di utenti per capire i tassi di clic e di segnalazione.
  • Mappa i tuoi processi aziendali critici che potrebbero essere colpiti dal phishing (pagamenti, modifiche alle risorse umane, accesso remoto, esportazione dei dati).
  • Abilita o rafforza l'autenticazione a più fattori (MFA) per tutti gli account, dando priorità agli amministratori e all'accesso esterno.
  • Esamina i connettori/relay di posta e documenta quali sistemi inviano messaggi a nome del tuo dominio.

Settimane 5–8: Rafforza i flussi ad alto rischio

  • Implementa l'MFA resistente al phishing (FIDO2 / passkeys) per gli amministratori di finanza, risorse umane e IT.
  • Implementa una governance di base del consenso alle app: disattiva il consenso aperto dove possibile, definisci una lista di app consentite per quelle aziendali.
  • Aggiorna le politiche BYOD e di messaggistica, incluse le regole per gli accessi tramite QR code e le approvazioni via chat.
  • Configura banner di sicurezza e filtri per i messaggi relativi a tasse, sovvenzioni e pagamenti in vista dei periodi di picco noti.

Settimane 9–12: Crea pratiche sostenibili e verificabili

  • Passa da test una tantum a un programma di simulazione ricorrente (ad es. piccole campagne mensili + una "grande" campagna trimestrale).
  • Introduci un semplice pulsante di segnalazione con un clic nella posta e forma il personale su come usarlo.
  • Documenta il tuo programma: politiche, scadenze, impostazioni di anonimizzazione e metriche di riepilogo: questo ti aiuterà con NIS2 e gli audit dei clienti.
  • Allinea le simulazioni di phishing con altre iniziative di sicurezza (esercitazioni di risposta agli incidenti, simulazioni teoriche, valutazioni dei fornitori).

Se non farai nient’altro nel 2026, mettere in atto queste basi ti farà stare un passo avanti rispetto a molti tuoi colleghi.

Come ti aiuta AutoPhish (senza il bingo delle parole alla moda)

Gli strumenti non cambiano magicamente la cultura, ma possono rendere più facili le cose giuste e più difficili quelle sbagliate.

AutoPhish è stato creato appositamente per le PMI che hanno bisogno di una formazione moderna sul phishing senza dover trasformare la propria azienda in un SOC a tempo pieno:

  • Esegui campagne di phishing automatizzate e programmate in base al calendario che rispecchiano le tendenze sopra descritte (dispositivi mobili, codici QR, schermate di consenso, esche in stile BEC).
  • Usa modalità rispettose della privacy e opzioni di anonimizzazione che rendono i comitati aziendali e i responsabili della protezione dei dati molto meno nervosi (vedi la guida pubblica all'anonimizzazione, ad esempio: Guida all'anonimizzazione di AutoPhish).
  • Allineati alle normative come la NIS2 fornendo audit trail chiari: chi è stato preso di mira, come sono state configurate le campagne e quali miglioramenti ne sono derivati.
  • Combina modelli basati sui ruoli (finanza, risorse umane, dirigenti, IT) con contenuti localizzati in modo che gli utenti vedano esche realistiche e linguisticamente appropriate.
  • Integra le simulazioni con i tuoi contenuti formativi esistenti, inclusi i video dei fornitori e i tuoi materiali di sensibilizzazione.

Se stai valutando diversi strumenti, dai un'occhiata alle nostre analisi approfondite su:

Domande frequenti: il phishing nel 2026

Il phishing riguarda ancora principalmente le e-mail?

L'e-mail rimane un vettore importante, ma il phishing basato su URL e chat ha superato i classici attacchi basati su allegati, e lo smishing e le truffe basate sui codici QR stanno crescendo rapidamente. Le sintesi sul panorama delle minacce e i rapporti settoriali dell'ENISA forniscono dati attendibili su questa tendenza:
Panoramica sul panorama delle minacce dell'ENISA
Panorama delle minacce dell'ENISA – Settore finanziario

Il phishing può davvero avvenire al telefono o su WhatsApp?

Sì. Le chiamate vocali, la segreteria telefonica, gli SMS e le app di messaggistica vengono tutti utilizzati per il vishing, lo smishing e il phishing via chat. I materiali dell’ENISA per il Mese europeo della sicurezza informatica si concentrano esplicitamente sul social engineering, lo smishing e i deepfake:
ENISA – Promuovere la sicurezza nel mondo digitale durante il Mese europeo della sicurezza informatica

Le e-mail di phishing sono davvero illegali?

Nella maggior parte dei paesi, il phishing comporta reati di frode, furto d'identità o uso improprio del computer. Anche se un tentativo di phishing fallisce, l'invio di tali messaggi può violare le leggi sull'accesso non autorizzato o sull'uso improprio dei dati. Consulta un consulente legale locale per i dettagli, specialmente se stai progettando simulazioni interne.

L'IA rende il phishing inarrestabile?

No, ma rende il phishing a basso sforzo di qualità superiore. L'attenzione si sposta dall'individuare evidenti errori ortografici al riconoscere contesti, richieste e flussi sospetti. Rapporti come quello dell'ENISA "Le tecnologie emergenti rendono più facile il phishing" e la panoramica di TechRadar sul phishing potenziato dall'IA mostrano come sia gli aggressori che i difensori si stiano adattando:
ENISA – Le tecnologie emergenti rendono più facile il phishing
TechRadar – L'IA sta rendendo le e-mail di phishing molto più convincenti

Con il giusto mix di controlli, cultura e test continui, il phishing potenziato dall'IA è perfettamente gestibile.

Con quale frequenza dovremmo eseguire simulazioni di phishing?

Per la maggior parte delle PMI, un buon punto di partenza è:

  • Una piccola campagna al mese (temi mirati, piccoli gruppi)
  • Una campagna più ampia, a livello aziendale, ogni trimestre
  • Simulazioni extra legate a eventi specifici in occasione della stagione fiscale, del lancio di prodotti importanti o di altri periodi di grande attività.

La chiave è renderle ricorrenti in modo prevedibile e non punitive, in modo che le persone partecipino attivamente invece di cercare di aggirare il sistema.

Ulteriori letture e fonti

Ecco alcuni punti di partenza affidabili utilizzati durante la stesura di questo articolo (tutti con URL completi):

Pronto a capire a che punto sei?

Non ti serve una sfera di cristallo per prepararti al 2026.

Esegui un test di phishing di riferimento questa settimana, osserva cosa succede e decidi quale delle 10 tendenze sopra indicate è più importante per la tua organizzazione. Se desideri ricevere aiuto per farlo in modo rispettoso della privacy e compatibile con il comitato aziendale, puoi iniziare una prova di AutoPhish in qualsiasi momento.

Torna a tutti gli articoli

Avvia il tuo primo test di phishing in 10 minuti.

Registrazione gratuita — senza carta di credito. Prova Pro per 7 giorni quando sei pronto.

Inizia a simulareVuoi una demo per un team più grande? Parla con noi →