C’è ancora chi pensa al phishing come a quella e-mail piena di errori grammaticali, scritta da mittenti facilmente identificabili come “malintenzionati”. Nel frattempo, il fenomeno è cambiato radicalmente. Oggi un attacco di phishing può arrivare da un messaggio perfettamente scritto, coerente con il linguaggio interno dell’azienda, recapitato via e-mail, SMS, chiamata vocale o perfino QR code. E se dietro c’è pure un’intelligenza artificiale generativa che costruisce il testo su misura, la probabilità che qualcuno ci caschi non è affatto trascurabile.
Parlare di phishing, poi, porta inevitabilmente a parlare del contenitore più ampio: il social engineering, cioè l’insieme di tecniche che puntano ad aggirare i sistemi di sicurezza lavorando sull’anello debole di qualsiasi organizzazione, le persone. Si tratta di sfruttare la fiducia, l’urgenza, l’abitudine o la paura di chi riceve un messaggio.
Lo scenario va ben oltre il singolo incidente e riguarda accessi compromessi, dati sottratti, fermo operativo, danni reputazionali.
Phishing e social engineering: di cosa parliamo
Il phishing è una tecnica di attacco basata sull’inganno comunicativo. L’obiettivo è convincere la vittima a compiere un’azione come cliccare un link, inserire credenziali, scaricare un allegato, autorizzare un pagamento, condividere informazioni riservate. L’Anti-Phishing Working Group lo definisce un crimine che combina social engineering e sotterfugio tecnico per raggiungere lo scopo.
Il social engineering è il concetto più ampio: qualsiasi forma di manipolazione psicologica che spinge una persona a fare qualcosa che altrimenti non farebbe. Dentro questa famiglia rientrano varianti diverse, ciascuna con caratteristiche specifiche. Lo spear phishing costruisce messaggi su misura per una persona o un reparto. La business e-mail compromise (BEC) fa impersonare un manager, un fornitore o un partner per ottenere bonifici o modifiche a coordinate bancarie. Lo smishing e il vishing usano SMS e telefonate. Il quishing sfrutta QR code apparentemente innocui. E poi ci sono gli attacchi multi-canale, dove e-mail, messaggio e chiamata si combinano per rendere l’inganno ancora più credibile.
La differenza rispetto a qualche anno fa è nella qualità, ed è per questo che funziona anche in organizzazioni mature dal punto di vista IT.
I numeri del 2025: un problema globale, misurabile e in crescita
Per dimensionare il fenomeno diamo qualche dato.
L’APWG ha osservato 3,8 milioni di attacchi di phishing nel 2025, in lieve aumento rispetto ai 3,76 milioni del 2024. Nello stesso report emergono anche due elementi particolarmente rilevanti per il mondo business. Prima di tutto, i canali più colpiti restano social media e SaaS/webmail, entrambi al 20,3%. In secondo luogo, gli attacchi BEC con richiesta di trasferimento bancario nel quarto trimestre sono cresciuti del 136% rispetto al trimestre precedente, con una richiesta media di 50.297 dollari per attacco.
Il Verizon DBIR 2025 conferma il peso del fattore umano: su 22.052 incidenti analizzati e 12.195 data breach confermati, l’elemento umano risulta coinvolto in circa il 60% dei casi. Tra i vettori di accesso iniziale, l’abuso di credenziali pesa per il 22%, lo sfruttamento di vulnerabilità per il 20% e il phishing per il 16%. Lo stesso report segnala che il coinvolgimento di terze parti nei breach è raddoppiato, passando dal 15% al 30%.
Sul fronte economico, IBM stima un costo medio globale di 4,44 milioni di dollari per data breach nel 2025 (in calo del 9% rispetto al 2024, grazie a tempi di detection più rapidi). Il phishing risulta il vettore iniziale più frequente, presente nel 16% dei breach, con un costo medio di 4,8 milioni di dollari per incidente.
Il report FBI IC3 2025: 20,8 miliardi di dollari di perdite
Un dato che merita un approfondimento specifico arriva dall’FBI. Il report IC3 2025, pubblicato il 6 aprile 2026, registra per la prima volta oltre un milione di segnalazioni in un anno e un totale di 20,87 miliardi di dollari di perdite legate al cybercrime. Il phishing/spoofing resta la categoria più segnalata con 191.561 complaint. Le sole frodi BEC hanno generato 24.768 segnalazioni e 3,046 miliardi di dollari di danni.
Per la prima volta, inoltre, questo report include una sezione dedicata all’uso dell’AI nel crimine informatico. Ma l’FBI stessa avverte che il dato è quasi certamente sottostimato, perché molte vittime non si rendono conto che l’AI è stata usata per ingannarle. Parliamo di aziende che hanno subito perdite addirittura superiori a 30 milioni di dollari per BEC con componente AI, con l’uso combinato di chat generator per email credibili e voice cloning per telefonate di conferma.
Italia: il phishing non è un problema “da multinazionali”
Guardiamo, ora, esclusivamente in casa nostra. Il report CERT-AGID 2025 documenta 3.620 campagne malevole censite in Italia e 51.530 indicatori di compromissione condivisi con la constituency. Tra i fenomeni più evidenti c’è l’esplosione del phishing a tema PagoPA, con 328 campagne specifiche basate su falsi solleciti di pagamento per presunte sanzioni stradali. La PEC, tradizionalmente percepita come canale sicuro e istituzionale, ha quasi raddoppiato la propria incidenza come vettore di attacco.
Il CERT-AGID segnala anche la crescita della tecnica ClickFix, una forma di social engineering in cui l’utente viene indotto a eseguire manualmente comandi sul proprio sistema, spesso dietro un finto CAPTCHA o una procedura di supporto apparente. Questo tipo di attacco è particolarmente insidioso perché aggira i controlli automatici, dato che è l’utente stesso a compiere l’azione malevola.
Sul fronte malware, circa il 60% dei campioni analizzati è costituito da infostealer, software progettato per sottrarre credenziali, cookie di sessione e dati salvati nei browser. Ne abbiamo parlato anche nel nostro ultimo articolo in materia di credenziali esposte.
In sintesi, i dati ci dicono che il phishing non è un rischio teorico, riservato alle grandi organizzazioni internazionali. È un problema concreto e quotidiano che riguarda anche le PMI, le PA e le aziende del nostro territorio. Le conseguenze impattano la tenuta di identità, i processi e la continuità operativa.
Perché il B2B è particolarmente esposto
Nel mondo consumer le esche più frequenti giocano su home banking, corrieri, bollette, account bloccati. In ambito aziendale il livello cambia e la qualità degli attacchi, così come le conseguenze, aumenta esponenzialmente.
Il B2B è esposto perché vive di relazioni, processi e fiducia. Più un’organizzazione è interconnessa, più cresce la superficie utile per il social engineering. Il dato Verizon sul raddoppio del coinvolgimento di terze parti nei breach (dal 15% al 30%) conferma esattamente questo scenario.
C’è poi uno spunto di riflessione ulteriore. Il danno non coincide quasi mai con il momento del click, che è solo l’innesco. La vera criticità arriva dopo: account compromessi, movimenti laterali nella rete, persistenza nascosta, esfiltrazione di dati, cifratura dei sistemi, fermo operativo. Ad essere messa a rischio è la business continuity.
Come si riduce il rischio: le quattro leve che fanno la differenza
Awareness continua, non formazione una tantum
La prima linea di difesa resta la consapevolezza delle persone. Ma non quella del corso annuale obbligatorio, dimenticato il giorno dopo. Serve un percorso strutturato, continuo e calibrato sul contesto reale dell’azienda. Con la nostra divisione cybersecurity Orazero, affrontiamo la Cybersecurity Awareness partendo dall’analisi del livello di consapevolezza aziendale, costruendo piani formativi personalizzati e integrando simulazioni di phishing evolute con reportistica puntuale. L’obiettivo è trasformare la formazione in uno strumento concreto di riduzione del rischio.
Proteggere le identità e rendere più difficile il furto di accessi
Le credenziali sono la risorsa più appetibile per chi attacca. Secondo IBM, il phishing ha superato il furto diretto di credenziali come primo vettore di accesso, ma nella maggior parte dei casi l’obiettivo finale è comunque quello di ottenere un nome utente e una password validi. Per questo è essenziale implementare o rafforzare l’autenticazione multifattore, le policy di accesso, la segmentazione dei privilegi e i controlli sugli account ad alto impatto, come suggerito, tra l’altro, da CISA e Microsoft.
Procedure chiare per bloccare BEC e frodi autorizzative
Buona parte della difesa contro la BEC si gioca sui processi interni. Bonifici, cambi di coordinate bancarie, approvazioni straordinarie, urgenze che arrivano dall’alto. Queste dinamiche devono avere passaggi di verifica indipendenti dal tono del messaggio ricevuto. Una telefonata di conferma verso un contatto già noto, una doppia approvazione, la verifica di ogni richiesta sensibile sono passaggi che fanno la differenza tra un tentativo sventato e un danno economico e reputazione significativo.
Monitoraggio continuo e capacità di risposta
La prevenzione, anche quando è ben fatta, non può coprire il 100% dei casi. Per questo il livello successivo è la capacità di intercettare i segnali di compromissione prima che diventino un incidente. Con Orazero mettiamo a disposizione un Next Gen SOC attivo H24, 7 giorni su 7, progettato per monitorare gli ambienti IT e individuare tempestivamente anomalie, accessi sospetti e comportamenti fuori norma.
Il ruolo di Planetel e Orazero per una strategia di Cybersecurity efficace
Formazione e tecnologia sono due facce della Cybersecurity che devono essere entrambe presenti, integrate e ottimizzate in una strategia di sicurezza informatica efficace. Da un lato costruire una cultura della sicurezza che riduca l’efficacia del phishing e del social engineering. Dall’altro dotarsi di capacità di monitoraggio e controllo che consentano di rilevare segnali anomali, contenere gli incidenti e proteggere la continuità operativa.
Il posizionamento di Planetel e della nostra divisione cybersecurity Orazero è volto proprio ad accompagnare le organizzazioni con un approccio strutturato, vicino e concreto. Il nostro perimetro di lavoro integra awareness, assessment del rischio, gestione delle identità, protezione delle infrastrutture, incident response, compliance e monitoraggio continuo attraverso un SOC H24.
Investire in Cybersecurity oggi significa spostare la priorità dalla sola difesa perimetrale alla resilienza operativa. Scegliere il partner giusto può fare la differenza.
Il primo passo è capire dove si è esposti
Phishing e social engineering, dunque, sono due delle leve più usate per aprire la strada a breach, frodi e incidenti complessi. Capirne la logica è il primo passo. Il secondo è costruire un sistema che riduca il margine di errore umano e aumenti la capacità di individuare e contenere i segnali di compromissione.
È in questo spazio che, con Orazero, possiamo rappresentare un partner competente, affidabile e flessibile per le aziende.
Se vuoi approfondire il discorso senza impegno, contattaci a [email protected] o allo 035 204461.
Fonti:
APWG, Phishing Activity Trends Report Q1-Q4 2025 (ultimo report Q4 pubblicato il 18 febbraio 2026).
Verizon, 2025 Data Breach Investigations Report.
IBM, Cost of a Data Breach Report 2025.
FBI IC3, 2025 Internet Crime Report (pubblicato il 6 aprile 2026).
ENISA, Threat Landscape 2025.
CERT-AGID, Report riepilogativo campagne malevole 2025 (pubblicato a febbraio 2026).
CISA, linee guida su phishing-resistant MFA e passkey/FIDO2.
Microsoft Security Blog, case report su Teams voice phishing, OAuth abuse e device code phishing (marzo-aprile 2026).
Fortra/APWG, analisi Scripted Sparrow e BEC trends Q4 2025.