Vai al contenuto
Inizia
Open search

Phishing fasullo: fondamento o follia?

I dibattiti sull’efficacia delle simulazioni di phishing sono molto diffusi. Sophos X-Ops esamina gli argomenti a favore e contro — e la nostra filosofia in materia di phishing

Ottobre 31, 2025

Ross McKerchar

Scritto da Ross McKerchar

A goldfish wearing a shark's fin that protrudes past the surface of the water
Security OperationsfeaturedPhishingsimulationsSophos X-OpsTraining

Sulla carta, sembra tutto molto semplice: ci si prepara al vero attacco simulandolo. Dopo tutto, lo stesso principio si applica a innumerevoli discipline — dallo sport al mondo militare, dai trasporti alla gestione delle crisi, e così via. E, naturalmente, a vari aspetti della cybersecurity, come le esercitazioni di red teaming, purple teaming, i contest Capture-The-Flag (CTF) e le simulazioni da tavolo (tabletop exercises). Ma il phishing è diverso?

La risposta: no, almeno in teoria. Tutto dipende dall’esecuzione, e abbiamo osservato diversi errori comuni commessi dalle organizzazioni durante l’attuazione dei programmi di formazione sul phishing. Quattro dei più frequenti, secondo la nostra esperienza, sono:

  1. Trasformare le simulazioni di phishing in un esercizio puramente burocratico, senza porre molta attenzione alla progettazione delle campagne, alla qualità delle esche o alla frequenza delle simulazioni — il che porta a campagne che somigliano poco agli attacchi reali, stancando gli utenti.
  2. Falsare i risultati con simulazioni “ingiuste”, superando i limiti etici e generando stress e incertezza nei dipendenti con tattiche intimidatorie. Ad esempio: inviare email da un dominio aziendale legittimo, usare pretesti legati a difficoltà economiche o alla sicurezza del lavoro, o basare le email su informazioni personali raccolte dai social media. Sebbene riconosciamo che i cybercriminali utilizzino realmente queste tecniche, un’azienda che le adotta internamente rischia backlash, perdita di fiducia ed erosione della cultura aziendale — danni che superano di gran lunga i benefici.
  3. Punire gli utenti che “falliscono” i test di phishing, imponendo formazione obbligatoria noiosa, esponendoli pubblicamente o adottando misure disciplinari. Ciò può renderli risentiti e meno propensi a collaborare con future iniziative di sicurezza.
  4. Concentrarsi sui fallimenti anziché sui successi — un punto cruciale che analizzeremo più avanti, perché è alla base del modo in cui Sophos gestisce internamente le simulazioni di phishing.

Amico o nemico?

Queste e altre questioni sono state sollevate più volte nei dibattiti sull’efficacia della formazione sul phishing.

I sostenitori della formazione sul phishing ne lodano la presunta efficacia, soprattutto se combinata con la formazione sulla consapevolezza, nell’aumentare i tassi di ritenzione dell’apprendimento e il ritorno sull’investimento. Alcuni sostengono che il phishing simulato aiuti ad allenare l’istinto degli utenti, costringendoli a chiedersi se le e-mail possano essere dannose; altri sottolineano la riduzione del rischio, l’efficacia in termini di costi (rispetto al costo di una violazione effettiva) e lo sviluppo di una cultura che mette al primo posto la sicurezza.

D’altra parte, oltre alle insidie menzionate in precedenza, i detrattori sostengono che le simulazioni di phishing potrebbero non ridurre affatto il rischio, o solo in misura minima.

Due recenti studi – uno condotto nel 2021 e l’altro nel 2025 – che hanno coinvolto migliaia di partecipanti suggeriscono che le simulazioni di phishing hanno solo un effetto minimo sulla probabilità di cadere nella trappola del phishing. Lo studio del 2025 conclude inoltre che la formazione annuale sulla consapevolezza non incide in modo significativo sulla vulnerabilità e che i dipendenti che falliscono le simulazioni di phishing tendono a non interagire con i materiali formativi dopo il test. Entrambi gli studi indicano anche che, contrariamente a quanto si potrebbe intuire, la formazione potrebbe effettivamente rendere gli utenti più vulnerabili ai tentativi di phishing, forse a causa della stanchezza o dell’eccessiva sicurezza (ovvero, supponendo che la loro organizzazione abbia investito nella sicurezza informatica, gli utenti potrebbero diventare meno vigili).

È opportuno sottolineare che lo studio del 2025 presenta alcune limitazioni: come osservato da Ross Lazerowitz di Mirage Security, esso si concentra esclusivamente sui tassi di clic, coinvolge partecipanti provenienti da un’unica organizzazione di un solo settore e non tiene conto della struttura e della qualità della formazione.

Ciononostante, sembra chiaro che, se progettate e realizzate in modo errato, le simulazioni di phishing potrebbero, nella migliore delle ipotesi, non avere alcun effetto, nel qual caso sarebbero uno spreco di tempo, energie e denaro. Nella peggiore delle ipotesi, potrebbero persino essere controproducenti, per quanto ben intenzionate.

Qual è quindi la soluzione? Le simulazioni di phishing, come molte altre cose nella sicurezza informatica, sono un problema difficile da risolvere?

È ovvio che non possiamo ignorare il problema, perché il phishing è solitamente il punto di ingresso più diffuso per gli attacchi informatici: gli aggressori sanno che funziona, è economico e facile (e diventerà ancora più economico e facile con l’IA generativa) e spesso è il modo più semplice per loro di ottenere un punto d’appoggio. La vostra organizzazione farebbe meglio a investire in controlli aggiuntivi o migliori per le e-mail, oppure in più pacchetti di e-learning e formazione di sensibilizzazione? Il phake phishing è inutile?

La nostra filosofia sul phishing

Noi di Sophos non la pensiamo così. Dal 2019 conduciamo simulazioni interne di phishing basate su scenari che rivediamo ogni anno e tenendo conto dei cambiamenti e delle tendenze che abbiamo osservato nel panorama delle minacce. Non ci illudiamo che queste simulazioni da sole possano eliminare il rischio di un attacco riuscito (vedi qui per un esempio).

Tuttavia, riteniamo che le esercitazioni di phishing siano utili, ed ecco perché: non misuriamo il fallimento, ma il successo.

Contare i clic non basta

I tassi di clic (la percentuale di destinatari che hanno cliccato su un link di phishing falso) non sono particolarmente informativi o utili, perché sappiamo, grazie a moltissimi incidenti e a decenni di esperienza, che basta un solo utente che clicchi su un link, inserisca alcune credenziali o esegua uno script per consentire l’accesso a un aggressore.

Sì, le organizzazioni devono ancora rafforzare continuamente la loro resilienza agli errori umani, ma misurare in base ai fallimenti fa considerare gli utenti come un problema, non come una risorsa. Inoltre, fornisce un falso senso di sicurezza. È molto improbabile che si riesca mai a raggiungere un tasso di clic dello 0%, o anche solo qualcosa che si avvicini a tale valore, e sicuramente non sarà possibile mantenerlo nel tempo. Quindi, passare da un tasso di clic del 30% al 20%, ad esempio, o addirittura al 10%, può sembrare impressionante e fare una piccola differenza, ma in realtà non significa molto. Soprattutto, non aiuta a prepararsi per un attacco reale.

Invece, il parametro chiave di Sophos è il numero di utenti che segnalano le e-mail di phishing. Abbiamo volutamente semplificato questa operazione per gli utenti, inserendo nel nostro client di posta elettronica un pulsante di segnalazione semplice, grande e ben visibile che inoltra automaticamente l’e-mail in questione ai nostri team di sicurezza. (Promemoria per gli utenti di Sophos Email: questa funzione è disponibile anche per voi. Gli utenti possono anche utilizzare il componente aggiuntivo di Outlook per inviare e-mail sospette a SophosLabs per l’analisi). In questo modo si evita di gravare sugli utenti l’onere di inoltrare personalmente le e-mail, di acquisire screenshot o di scaricare il messaggio e inviarlo come allegato al team di sicurezza insieme a una premessa.

Segnalazione di un problema

Uno dei motivi per cui diamo maggiore importanza alle segnalazioni rispetto ai clic è che, in un attacco reale, il numero di utenti che hanno cliccato su un link è in gran parte irrilevante, almeno nella fase iniziale di un incidente. È qualcosa che non si può sapere finché qualcuno non segnala l’e-mail o finché non si individua un’attività sospetta altrove e si indaga, ma a quel punto, ovviamente, l’autore dell’attacco è già entrato nel sistema.

Al contrario, le segnalazioni sono una fonte altamente personalizzata di informazioni utili sulle minacce. Le e-mail di phishing sono molto raramente personalizzate e mirate a un singolo individuo. Anche se sono uniche, l’infrastruttura che le sostiene (C2, hosting, ecc.) in genere non lo è.

Quindi, quando un utente segnala un’e-mail sospetta, un team di sicurezza può immediatamente classificarla e seguire un processo prestabilito, idealmente automatizzato, che prevede l’esplosione degli allegati, la ricerca di IOC, la ricerca di visite a siti di raccolta di credenziali, la ricerca di minacce in tutta la proprietà, il blocco di domini dannosi e il recupero delle e-mail inviate ad altri utenti.

Misuriamo anche la velocità di segnalazione, perché anche questo è fondamentale. Un attacco di phishing è una corsa contro il tempo. Se un aggressore convince un utente a inserire le credenziali, scaricare un file o eseguire uno script, può rapidamente ottenere un punto d’appoggio nell’ambiente. Più velocemente un utente segnala un’e-mail di phishing, più tempo ha il team di sicurezza per espellere un aggressore e meno tempo ha l’aggressore per insediarsi.

Cambiare le abitudini

Ovviamente non vogliamo che gli utenti clicchino sui link contenuti nelle e-mail di phishing, ma non vogliamo nemmeno che cancellino semplicemente l’e-mail, la spostino nella cartella della posta indesiderata/spam o la ignorino completamente, perché questo comporta un rallentamento dei nostri progressi. Non possiamo rispondere a una minaccia se non ne siamo a conoscenza.

I tassi di segnalazione cambiano quindi la dinamica tradizionale quando si tratta di simulazioni di phishing. Anziché congratularci con le persone per qualcosa che non hanno fatto (ad esempio, cliccare sul link, interagire con l’e-mail) o, peggio ancora, punirle per aver cliccato su un link, ci congratuliamo con loro per qualcosa che hanno fatto. Si tratta di fornire un incentivo ad agire in modo positivo, piuttosto che negativo o neutro, e di responsabilizzare gli utenti affinché diventino una linea di difesa cruciale, invece di trattarli come “l’anello più debole”.

Pertanto, le simulazioni di phishing non mirano più a ingannare gli utenti e indurli a cliccare sui link, ma piuttosto a insegnare loro a ricordarsi di premere il pulsante Segnala. Il nostro approccio è il seguente: non stiamo cercando di ingannare il nostro personale. Stiamo giocando, per aiutarlo a rinfrescare la memoria e rafforzare la mentalità di segnalazione.

Naturalmente, alcuni utenti inevitabilmente cliccano sui link nelle simulazioni di phishing. Quando lo fanno, non vengono rimproverati da Sophos. Ricevono invece un’e-mail che li informa di ciò che è successo, ricorda loro la procedura per segnalare le e-mail sospette e li indirizza verso risorse formative interne sul phishing. Gli utenti che segnalano un tentativo di phishing simulato ricevono un’e-mail identica, solo con un oggetto diverso, per mantenere un atteggiamento positivo e rafforzare la segnalazione tempestiva e proattiva.

Phishing a prova di errore

Abbiamo raccolto alcuni suggerimenti che le organizzazioni dovrebbero tenere in considerazione quando pianificano simulazioni di phishing:

  • Trovare il giusto ritmo. Una volta alla settimana è troppo, una volta all’anno non è abbastanza. Potrebbe essere necessario sperimentare diversi intervalli per trovare il giusto equilibrio tra la stanchezza degli utenti e la mancanza di fidelizzazione. Richiedere feedback agli utenti e ai team di sicurezza e confrontare le metriche delle diverse campagne di simulazione può essere d’aiuto.
  • I contesti devono essere realistici, ma non irragionevoli. Sappiamo tutti che, nel mondo reale, gli aggressori spesso non hanno alcun tipo di freno etico e non esitano a ricorrere a esche crudeli e manipolatorie. Ma noi non siamo aggressori. I contesti dovrebbero incorporare tattiche comuni di ingegneria sociale (appelli all’urgenza, incentivi, ecc.) senza il rischio di alienare il personale e perdere la sua fiducia. Basare le trappole su difficoltà o sicurezza del posto di lavoro, ad esempio, può indurre gli utenti a disimpegnarsi dalla cultura aziendale e dalle iniziative di sicurezza: un risultato negativo, dato che gli utenti sono una risorsa così importante.
  • L’obiettivo è rafforzare i comportamenti positivi, non mettere in difficoltà le persone. Creare una campagna che inganni un numero record di utenti non è una vittoria. Gli obiettivi sono consentire agli utenti di diventare una linea di difesa fondamentale e ricordare loro cosa fare quando individuano qualcosa di sospetto. Una formazione ben progettata sulla consapevolezza del phishing, insieme a simulazioni, può aiutare gli utenti a sapere a cosa prestare attenzione.
  • Dare priorità alle segnalazioni (e alla velocità di segnalazione) rispetto ai clic. Misurate e incentivate il successo piuttosto che il fallimento. Come sopra indicato, l’obiettivo è quello di indurre gli utenti a reagire segnalando gli episodi, perché in caso di attacco reale ciò fornisce informazioni utili sulle minacce e offre la migliore possibilità di intercettare tempestivamente il responsabile della minaccia. Contare i clic (e punire gli utenti che cliccano) può essere controproducente, anche se fatto con buone intenzioni, perché considera gli utenti come un punto debole, può demotivarli e fornisce poche informazioni utili.
  • Guardate oltre il clic. Naturalmente, potreste comunque registrare i clic, ma ricordatevi di registrare anche ciò che accade dopo, perché la questione è più complessa. Come afferma Ross Lazerowitz, anche altri comportamenti sono altrettanto critici. Qualcuno ha cliccato e poi ha segnalato qualcosa di strano? Forse non ha cliccato, ma in seguito ha visitato il sito web in un browser per curiosità? Se il link nell’e-mail portava a un sito simulato per la raccolta di credenziali, queste sono state inserite? (Aneddoticamente, alcuni pentester hanno segnalato che altri utenti inseriscono deliberatamente credenziali false, a volte sotto forma di messaggi offensivi rivolti all’aggressore. In senso stretto, questi potrebbero essere considerati “fallimenti”, anche se tali utenti hanno chiaramente riconosciuto il tentativo di phishing, ma sarebbe bastata una leggera spinta comportamentale per indurli a segnalare l’e-mail nel modo corretto).
  • Non fare nulla non aiuta nessuno. Si potrebbe pensare che il fatto che gli utenti non interagiscano con un’e-mail di phishing sia un buon risultato, perché significa che non hanno cliccato. Ma questo non sarà d’aiuto in caso di un attacco reale, perché non si verrà a conoscenza della minaccia fino a quando qualcuno non cliccherà e si otterrà successivamente un’indicazione di attività sospette in qualche altra parte della propria proprietà. A quel punto, si sta cercando di recuperare terreno mentre l’aggressore ha già preso piede; l’opportunità di essere un passo avanti è già sfumata.
  • Integrate le simulazioni con nuove forme di apprendimento. In Sophos cerchiamo di essere trasparenti nel discutere gli attacchi di phishing che ci prendono di mira. Un recente articolo e un’analisi pubblica delle cause alla radice (RCA) hanno trattato uno di questi casi, ma prima di comunicarlo pubblicamente abbiamo organizzato un webinar interno, aperto a tutta l’azienda, in cui il nostro team di sicurezza ha discusso l’incidente, le cause che lo hanno provocato e le misure che abbiamo adottato in risposta. Questo webinar ha riscosso un ampio e positivo coinvolgimento e un grande interesse da parte degli utenti desiderosi di capire come ha funzionato l’attacco e come siamo riusciti a fermarlo, rivelandosi un ottimo complemento alle nostre simulazioni di phishing e alla nostra regolare formazione di sensibilizzazione. Contribuisce inoltre a rimuovere parte dell’atteggiamento di diffidenza nei confronti del phishing. Nessuno vuole cadere vittima di un’e-mail di phishing, simulata o meno, ma accettare che ciò accada e imparare dalle conseguenze senza attribuire colpe è un esercizio prezioso.
  • Non solo per gli utenti finali. Le simulazioni di phishing possono essere utili di per sé, ma offrono anche ai team di sicurezza l’opportunità di affinare le loro procedure di risposta. Fin dalla prima segnalazione andata a buon fine, è possibile simulare ciò che si farebbe se l’e-mail di phishing fosse reale: aprire gli allegati, individuare e bloccare l’infrastruttura, classificare e bloccare gli IOC, recuperare le e-mail dalle caselle di posta degli altri utenti e così via. Può anche essere una buona occasione per testare l’automazione di questi passaggi.
  • Coinvolgere tutti (entro limiti ragionevoli). Le simulazioni di phishing dovrebbero idealmente coinvolgere tutti i team, i reparti e i livelli gerarchici, oppure un campione casuale di utenti dell’organizzazione. Ciò contribuisce a fornire un quadro rappresentativo.
  • Costruite sistemi tolleranti agli errori umani. Più che un obiettivo, si tratta di una strategia, ma è importante riconoscere che qualsiasi controllo di sicurezza che dipenda dal comportamento umano è intrinsecamente debole. In qualsiasi ambiente moderno e frenetico, inevitabilmente trascorriamo molto tempo nella nostra modalità di pensiero “Sistema 1”. La progettazione dei controlli dovrebbe accettarlo, non combatterlo. Abbiamo fatto molta strada in questo senso: i download drive-by 0-day 0-click sono estremamente rari. Esiste un’autenticazione a più fattori (MFA) resistente al phishing che, probabilmente, è sul punto di essere adottata su larga scala. Il tempo dedicato alla gestione delle valutazioni di phishing è quello che potrebbe essere impiegato per rafforzare controlli tecnici più robusti e affidabili.

Conclusioni

Il phishing non sta scomparendo. Anzi, l’intelligenza artificiale generativa potrebbe renderlo ancora più pericoloso, perché gli hacker possono usarla per superare i tradizionali segnali rivelatori: errori di ortografia, di grammatica e di formattazione. Quindi è sempre più importante usare tutti gli strumenti a nostra disposizione per difenderci.

Naturalmente, l’IA è disponibile anche per i difensori, ma riconosciamo anche che gli esseri umani sono una delle nostre risorse più potenti quando si tratta di difesa. Le persone colgono gli indizi e il contesto, sia consciamente che inconsciamente, e spesso riescono a percepire quando qualcosa non va in un’e-mail.

Se progettate, eseguite, utilizzate e misurate nel modo giusto, le simulazioni regolari di phishing possono aiutare a sviluppare ulteriormente queste capacità, fornirvi una pipeline di intelligence pronta all’uso in caso di attacco e migliorare la vostra cultura della sicurezza, il che aumenta le possibilità di contrastare il prossimo tentativo reale.

L'autore

Ross McKerchar

Ross McKerchar

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Leggi articoli simili

Blog Image - Year in Review 2025

Sophos Insights

Year in Review

security news

Year in Review 2025: The major headlines and moments from Sophos this year

gennaio 16, 2026

blog - tamperedchef - featured image

Threat Research

TamperedChef

EvilAI

infostealer

Sophos X-Ops

TamperedChef serves bad ads with infostealers as the main course

January 16, 2026

Blog - ClickFix - Hero

Threat Research

clickfix

featured

GOLD FEATHER

human verification

infostealer

qilin

Ransomware

StealC

I am not a robot: ClickFix used to deploy StealC and Qilin

gennaio 15, 2026