BellosatoTech Cybersecurity
Contattaci
Torna al Blog

Phishing 2026: Le Nuove Tecniche che Ingannano Anche i Professionisti (e Come Riconoscerle)

Team Sicurezza BellosatoTech

Phishing 2026: Le Nuove Tecniche che Ingannano Anche i Professionisti

Pensa all’ultima email di phishing che hai riconosciuto. Probabilmente aveva qualcosa di evidentemente sbagliato: un mittente con un dominio strano, una grammatica approssimativa, una richiesta assurda formulata in modo goffo. L’hai cestinata senza pensarci.

Quello era il phishing di ieri. Quello di oggi è diverso — molto più difficile da riconoscere, molto più personalizzato e sostenuto da strumenti di intelligenza artificiale che rendono obsolete molte delle regole che abbiamo imparato per difenderci.

In questa guida facciamo un quadro onesto e aggiornato di come funziona il phishing nel 2026, quali sono le tecniche più usate e, soprattutto, cosa si può fare concretamente — sapendo che la tecnologia da sola non basta.

Indice

  1. Cos’è il phishing e perché funziona ancora
  2. Spear phishing: quando l’attacco è su misura per te
  3. Smishing e vishing: oltre le email
  4. Il phishing AI-generated: indistinguibile dall’originale
  5. QR code phishing: il vettore che molti sottovalutano
  6. I segnali che ancora funzionano per riconoscerlo
  7. Come proteggersi: persone, processi e tecnologia
  8. FAQ

1. Cos’è il Phishing e Perché Funziona Ancora

Il phishing è una tecnica di inganno: qualcuno finge di essere una persona o un’organizzazione di fiducia per convincerti a fare qualcosa che non faresti se sapessi con chi stai davvero parlando. Inserire le credenziali su un sito falso. Trasferire denaro. Aprire un allegato che installa malware. Fornire informazioni riservate.

Non è una vulnerabilità tecnica — è una vulnerabilità umana. E le vulnerabilità umane non si aggiornano come i software.

I dati sono chiari: il phishing resta la causa numero uno delle violazioni di dati aziendali a livello globale, anno dopo anno. Non perché le persone siano stupide o disattente — ma perché gli attacchi si sono evoluti in modo specifico per sfruttare i meccanismi cognitivi che guidano le nostre decisioni quotidiane: la fiducia verso fonti apparentemente autorevoli, la tendenza ad agire rapidamente sotto pressione, il bias verso la normalità che ci fa interpretare le cose come “probabilmente va tutto bene”.

2. Spear Phishing: Quando l’Attacco È su Misura per Te

Il phishing tradizionale è una rete gettata su milioni di persone: un’email identica per tutti, nella speranza che qualcuno abbocchi. Lo spear phishing è diverso — è una fiocina diretta a una persona specifica.

Chi conduce uno spear phishing dedica tempo a raccogliere informazioni sulla vittima: nome e cognome, ruolo aziendale, nome dei colleghi, progetti in corso, clienti, fornitori. Poi costruisce un messaggio che usa queste informazioni per sembrare assolutamente legittimo.

Un esempio realistico: Francesca, responsabile amministrativa di un’azienda manifatturiera, riceve un’email apparentemente dal suo responsabile. L’email usa il suo nome, cita il progetto che stanno seguendo insieme, menziona un fornitore reale con cui lavorano, e chiede di anticipare un pagamento perché “ci sono problemi con il bonifico programmato”. La richiesta è urgente, e il tono è familiare.

Tutte le informazioni usate sono disponibili pubblicamente: LinkedIn, il sito dell’azienda, comunicati stampa, post sui social. Non serve hackerare nulla — basta raccogliere e mettere insieme.

Oggi questo processo di raccolta viene automatizzato dall’AI in pochi secondi, rendendo possibile condurre spear phishing su centinaia di bersagli contemporaneamente con lo stesso livello di personalizzazione che prima richiedeva ore di lavoro manuale per singolo bersaglio.

3. Smishing e Vishing: Oltre le Email

Il phishing non si limita alle email. Due varianti stanno crescendo significativamente:

Smishing (phishing via SMS): i messaggi di testo hanno tassi di apertura molto più alti delle email — intorno al 98% contro il 20-30% delle email. E la maggior parte delle persone è meno diffidente verso gli SMS di quanto lo sia verso le email, soprattutto perché ha sviluppato filtri mentali per le email sospette ma non altrettanto per i messaggi.

Un SMS apparentemente da un corriere che dice che il tuo pacco è bloccato e devi inserire i tuoi dati per liberarlo. Un messaggio dalla tua banca che segnala un’attività sospetta e ti chiede di verificare l’accesso. Un avviso di un servizio di streaming con un link per aggiornare i dati di pagamento. Questi messaggi ricevono click molto più spesso di quanto ci si aspetterebbe.

Vishing (voice phishing): telefonate in cui qualcuno finge di essere un operatore bancario, un funzionario dell’Agenzia delle Entrate, un tecnico del supporto Microsoft. Potenziato con la clonazione vocale AI, il vishing ha raggiunto un livello in cui la voce di chi chiama può sembrare quella di un collega, di un familiare o di un dirigente aziendale che la vittima conosce bene.

4. Il Phishing AI-Generated: Indistinguibile dall’Originale

Questa è la trasformazione più significativa degli ultimi due anni, e vale la pena dedicarle attenzione specifica.

I modelli di linguaggio AI generano testi fluenti, grammaticalmente perfetti, contestualmente appropriati in qualsiasi lingua. Questo ha eliminato uno dei segnali più affidabili per riconoscere il phishing: la qualità del linguaggio.

Ma l’AI fa di più. Può:

  • Imitare lo stile di scrittura di una persona specifica, analizzando le sue email o i suoi post pubblici. Un messaggio che imita il modo di scrivere del CEO, con le sue frasi tipiche, i suoi saluti abituali e il suo ritmo narrativo, è molto più convincente di uno generico.

  • Adattare il contenuto in tempo reale in una conversazione: i chatbot phishing possono sostenere una conversazione credibile per diversi messaggi, rispondendo in modo contestuale alle domande della vittima prima di arrivare alla richiesta critica.

  • Creare siti falsi di alta qualità — copie identiche di siti bancari, di e-commerce o di servizi cloud che funzionano perfettamente, con certificati SSL validi (il famoso lucchetto verde, che non significa più “il sito è affidabile” — significa solo che la connessione è cifrata).

5. QR Code Phishing: Il Vettore che Molti Sottovalutano

C’è un vettore di attacco che negli ultimi anni è cresciuto enormemente proprio perché molte delle difese tecniche tradizionali non lo coprono: il quishing, ovvero il phishing tramite QR code.

Un QR code in un’email, in un documento, su un volantino o su un poster può puntare a qualsiasi URL — e la maggior parte delle persone non può vedere l’URL di destinazione prima di scansionarlo. I filtri anti-phishing che analizzano i link nelle email non vedono nulla di sospetto in un QR code.

Il meccanismo è semplice: si scansiona il QR code con il telefono, si viene portati su un sito di phishing che chiede le credenziali, e il dispositivo mobile — tipicamente meno protetto del computer aziendale — diventa il punto di ingresso.

Questo vettore è particolarmente efficace in contesti aziendali dove i QR code vengono usati per procedure interne, accesso a riunioni, documenti condivisi. Un’email interna che invita a scansionare un QR code per accedere a “un documento aggiornato” o “la nuova versione del contratto” è un vettore credibile e poco sorvegliato.

6. I Segnali che Ancora Funzionano per Riconoscerlo

Nonostante l’evoluzione delle tecniche, alcuni segnali restano validi anche nel 2026:

Urgenza artificiale — Il phishing quasi sempre crea pressione temporale: “devi agire entro 24 ore”, “il tuo account sarà bloccato”, “trasferimento urgente, non posso essere raggiunto telefonicamente”. L’urgenza serve a bypassare il pensiero critico. Una regola pratica: più un messaggio ti spinge ad agire in fretta, più vale la pena fermarsi e verificare.

Richieste che bypassano i processi normali — Un CEO che chiede un trasferimento urgente saltando l’ufficio acquisti. Un messaggio che chiede di non parlare della cosa con altri. Una procedura “eccezionale” che richiede di agire fuori dai canali abituali. Questi sono segnali che qualcosa non va, indipendentemente da quanto sembri legittima la fonte.

Dominio leggermente diverso dall’originale — Anche con testi impeccabili, gli attaccanti devono usare un dominio diverso dall’originale. bellosato.tech è reale. bellosato-tech.com, bellosatotech.net, bel1osato.tech sono potenziali trappole. Pochi pixel di differenza — una lettera cambiata, un trattino aggiunto — che in una lettura veloce passano inosservati.

Richieste di credenziali fuori contesto — Nessun servizio legittimo ti chiede di inserire le credenziali cliccando su un link in un’email. Se ricevi un messaggio che ti porta a una pagina di login, vai direttamente al sito digitando l’indirizzo nel browser invece di cliccare il link.

7. Come Proteggersi: Persone, Processi e Tecnologia

La difesa efficace contro il phishing non si costruisce su un unico livello. Richiede un approccio integrato su tre dimensioni.

Le persone — la difesa più importante e più trascurata

La tecnologia può filtrare una parte degli attacchi, ma chi attacca sa come aggirarla. La persona che riceve il messaggio è l’ultima linea di difesa — e deve essere attrezzata per questo ruolo.

Formare le persone non significa fare un corso una volta all’anno. Significa costruire abitudini: l’abitudine di verificare telefonicamente prima di eseguire qualsiasi richiesta insolita ricevuta via email, l’abitudine di controllare il dominio del mittente per esteso, l’abitudine di non aprire allegati non attesi senza prima confermare la legittimità della richiesta.

I processi — le regole che non dipendono dalla tecnologia

Alcune regole procedurali riducono drammaticamente il rischio, indipendentemente da quanto siano sofisticati gli attacchi:

  • Qualsiasi trasferimento bancario sopra una soglia definita richiede una conferma telefonica con il richiedente, su un numero noto — non quello fornito nell’email
  • Le credenziali non vengono mai condivise via email o messaggi, mai
  • Le richieste urgenti e insolite vengono trattate come segnale di allerta, non come motivo per agire in fretta

La tecnologia — necessaria ma non sufficiente

L’autenticazione a due fattori (2FA) è la misura tecnica con il miglior rapporto costo/beneficio contro il phishing. Anche se un attaccante ottiene le credenziali, senza il secondo fattore non può accedere. Su tutti gli account che gestiscono dati sensibili — email aziendale, gestione del sito, servizi cloud, home banking — il 2FA non dovrebbe essere opzionale.

I filtri anti-phishing avanzati a livello di email server, le soluzioni di DNS filtering che bloccano i domini di phishing noti, e i sistemi di monitoraggio degli accessi completano il quadro — ma vengono dopo le persone e i processi, non al posto di essi.

FAQ

Perché le email di phishing superano i filtri spam?

I filtri spam riconoscono pattern noti: mittenti blacklistati, link a domini noti come malevoli, contenuti con caratteristiche tipiche dello spam. Gli attacchi di spear phishing usano domini registrati recentemente (non ancora in blacklist), contenuto personalizzato (senza pattern tipici dello spam), e a volte account email legittimi compromessi. Un’email che arriva da un account Gmail reale di un fornitore compromesso non viene filtrata come spam — perché tecnicamente non lo è.

Il 2FA protegge davvero dal phishing?

Il 2FA standard (codice via SMS o app authenticator) protegge da attacchi in cui l’attaccante ottiene le credenziali ma non ha accesso fisico al dispositivo. Esistono però tecniche di phishing avanzate (attacchi man-in-the-middle in tempo reale) in grado di aggirare anche il 2FA tradizionale. Le chiavi di sicurezza hardware (come YubiKey) offrono una protezione superiore. Per la maggior parte dei contesti aziendali, il 2FA via app authenticator è comunque un miglioramento significativo rispetto a nessun secondo fattore.

Non necessariamente. Alcune pagine di phishing tentano di sfruttare vulnerabilità del browser per eseguire codice al semplice caricamento della pagina, senza richiedere alcuna azione da parte dell’utente. Se hai aperto un link sospetto, è prudente: aggiornare immediatamente il browser e il sistema operativo se non sono all’ultima versione, fare una scansione con un antimalware aggiornato, e monitorare i tuoi account nei giorni successivi per attività anomale.

Come faccio a verificare se un’email è autentica senza cliccare nulla?

Passa il mouse (senza cliccare) sul mittente per vedere l’indirizzo completo, non solo il nome visualizzato. Controlla l’header completo dell’email per vedere i server attraverso cui è passata. Se hai dubbi, non rispondere all’email — contatta direttamente l’organizzazione mittente usando i contatti che conosci già (sito ufficiale, numero di telefono ufficiale). Non usare mai i contatti forniti nell’email sospetta.

La mia azienda è piccola, siamo davvero un bersaglio del phishing?

Il phishing di massa non sceglie i bersagli: raggiunge chiunque abbia un indirizzo email. Lo spear phishing mira tipicamente ad aziende con risorse finanziarie o dati di valore — ma “valore” non è sinonimo di “grande”: un piccolo studio professionale, un e-commerce, uno studio medico o legale gestisce dati che valgono molto sul mercato nero. E spesso le piccole aziende sono bersagli più facili perché hanno meno protezioni formali.

Vuoi capire quanto è preparato il tuo team a riconoscere un attacco di phishing sofisticato? Conduciamo sessioni di formazione pratiche e simulazioni di attacco controllate per misurare e migliorare la consapevolezza della sicurezza. Contattaci

phishing 2026 phishing ai come riconoscere phishing spear phishing smishing vishing difendersi phishing phishing aziendale