Il phishing che conosci non esiste più

C'era una volta l'email del principe nigeriano. Poi sono arrivate le finte comunicazioni bancarie con errori di grammatica evidenti. Per anni, "riconoscere il phishing" significava cercare refusi e mittenti sospetti.

Nel 2026 quella regola non funziona più. I modelli di linguaggio generano testi impeccabili in qualsiasi lingua, i deepfake audio imitano la voce del tuo CEO, e gli attacchi sono costruiti su informazioni reali prese dai tuoi profili LinkedIn e dal sito aziendale. Il phishing è diventato chirurgico.

Cos'è cambiato: dall'email di massa allo spear phishing AI

Il phishing tradizionale era un gioco di numeri: invia un milione di email, qualcuno abbocca. Costava poco, rendeva poco per singolo attacco, ma in volume era efficace.

Lo spear phishing è il contrario: un attacco mirato a una persona specifica, costruito su misura. Oggi i criminali usano strumenti AI per automatizzare questa personalizzazione su larga scala. Il risultato è il peggio dei due mondi: attacchi personalizzati e convincenti, ma prodotti in quantità industriale.

Un esempio concreto: un dipendente riceve un'email che sembra provenire dal CFO, cita il nome del progetto su cui sta lavorando, fa riferimento a una scadenza reale, e chiede di approvare un bonifico urgente. Ogni dettaglio è verificabile e reale. L'unica cosa falsa è il mittente.

Le varianti che devi conoscere nel 2026

Il phishing non vive più solo via email. Le superfici di attacco si sono moltiplicate:

  • Vishing (voice phishing): telefonate con voci sintetiche che imitano colleghi o superiori. La tecnologia di clonazione vocale richiede oggi solo pochi secondi di audio per produrre una replica convincente. Basta un video LinkedIn o una registrazione di una call.
  • Smishing: messaggi SMS o WhatsApp con link malevoli. Il tasso di apertura degli SMS è ancora altissimo — intorno al 90% — e molte persone abbassano la guardia sui canali non email.
  • Quishing: phishing via QR code. Il link nascosto nel QR non è visibile prima della scansione, aggira molti filtri antispam, e funziona bene in contesti fisici come locali, eventi, o documenti stampati.
  • BEC (Business Email Compromise): compromissione o spoofing della casella di un partner o fornitore reale. L'attaccante entra nella conversazione esistente e, al momento giusto, cambia le coordinate bancarie per un pagamento in corso.

Come riconoscerlo oggi: i segnali che contano ancora

Anche con l'AI, alcuni indicatori rimangono validi:

  • L'urgenza artificiale è il segnale più affidabile. "Fallo subito", "entro oggi", "non posso essere raggiunto telefonicamente" — la pressione temporale serve a impedire la verifica. Un'azienda seria non gestisce operazioni critiche con questo tono.
  • Richieste fuori dai processi normali dovrebbero sempre alzare un flag. Se il tuo CFO non ti ha mai chiesto di approvare un pagamento via email senza passare dal gestionale, quella richiesta è sospetta indipendentemente da quanto sembri autentica.
  • Il dominio del mittente, guardato con attenzione. Non l'alias visibile, ma l'indirizzo reale. mario.rossi@ekulos.com è diverso da mario.rossi@eku1os.com o mario.rossi@ekulos.support. Un carattere basta.
  • Link che non corrispondono al testo. Prima di cliccare, passa il mouse sopra il link e verifica dove porta davvero. Su mobile, tieni premuto per vedere l'URL completo.

Le difese tecniche che fanno la differenza

La tecnologia da sola non basta, ma alcune misure riducono drasticamente la superficie di attacco:

  • MFA phishing-resistant: non tutti i secondi fattori sono uguali. Gli OTP via SMS sono vulnerabili al SIM swapping e al real-time phishing. Le chiavi hardware FIDO2 (come YubiKey) o le passkey sono resistenti al phishing per design — anche se l'utente inserisce le credenziali su un sito falso, l'autenticazione non funziona sul dominio sbagliato.
  • DMARC, DKIM e SPF sul dominio aziendale. Questi protocolli email rendono molto più difficile per gli attaccanti fare spoofing del tuo dominio per colpire i tuoi clienti e partner. Configurarli è un'operazione tecnica una-tantum con impatto duraturo.
  • Filtri email con sandboxing: i moderni gateway email analizzano gli allegati in ambienti isolati prima di consegnarli. Non eliminano tutto, ma alzano significativamente il costo dell'attacco.
  • DNS filtering: blocca la risoluzione di domini malevoli noti prima ancora che l'utente carichi la pagina.

La difesa più importante: il fattore umano

Nessuna tecnologia protegge da un dipendente che, convinto di parlare con il suo responsabile, esegue volontariamente un'operazione malevola.

La formazione è l'unica contromisura reale. Non la formazione teorica annuale che tutti cliccano in 20 minuti per togliersi il pensiero — quella non funziona. Funzionano le simulazioni di phishing reali: campagne inviate ai dipendenti senza preavviso, che misurano chi clicca, chi inserisce credenziali, chi segnala. I dati guidano la formazione successiva.

L'obiettivo non è punire chi abbocca, ma creare una cultura in cui la verifica è normale e segnalare un'email sospetta è un atto attivo, non un fastidio.

Un processo minimo da implementare subito

Se parti da zero, questo è l'ordine di priorità:

Configura DMARC in modalità quarantena o reject sul tuo dominio — protegge i tuoi clienti e partner dallo spoofing. Abilita MFA su tutti gli account aziendali, partendo da email e VPN. Definisci un processo verificabile per i pagamenti: nessun bonifico viene eseguito senza una conferma su un canale separato dall'email. Fai almeno una simulazione di phishing all'anno per misurare la vulnerabilità reale del team. Crea un canale semplice per segnalare email sospette — se è complicato, le persone non lo usano.

Il phishing nel 2026 è sofisticato, ma non è invincibile. La combinazione di processi chiari, tecnologia di base ben configurata e persone consapevoli è ancora la difesa più efficace che esiste.