Sicurezza Posta Elettronica

Phishing aziendale: come riconoscere le email truffa che colpiscono le PMI italiane

Phishing aziendale: come riconoscere le email truffa che colpiscono le PMI italiane

A settembre scorso un mio cliente del settore metalmeccanico mi ha chiamato alle 8 di mattina. Il responsabile amministrativo aveva pagato una fattura da 14.000 euro il giorno prima. Fattura perfetta: logo del fornitore, numero progressivo coerente, IBAN. Solo che l'IBAN non era del fornitore. Era di un conto in Lituania. La fattura era falsa. L'email che la conteneva era arrivata da un indirizzo che differiva per una lettera dal dominio reale del fornitore: una "l" minuscola al posto di una "i" maiuscola nel nome del dominio.

Quattordici mila euro persi. Non recuperabili. Il bonifico era gia stato processato e il conto di destinazione svuotato nel giro di tre ore.

Questa storia la racconto perche non e un'eccezione. E la normalita. Il phishing aziendale colpisce le PMI italiane ogni giorno, e nella mia esperienza di consulente IT, il problema non e che mancano gli strumenti di difesa. Il problema e che la maggior parte delle aziende non sa riconoscere un attacco quando lo riceve.

Perche le PMI sono il bersaglio preferito del phishing

La logica e semplice: le grandi aziende hanno reparti IT dedicati, filtri antispam enterprise, formazione obbligatoria per i dipendenti, e budget di sicurezza a sei cifre. Le PMI italiane hanno un consulente esterno che passa una volta al mese -- se va bene -- e dipendenti che nessuno ha mai formato a riconoscere un'email truffa.

Per un attaccante, la scelta e ovvia. Perche attaccare un'azienda con 500 dipendenti e un SOC (Security Operations Center) quando puoi attaccare 50 PMI da 20 dipendenti ciascuna e trovare quasi zero resistenza?

I numeri confermano quello che vedo sul campo. Secondo i dati della Polizia Postale italiana, le frodi informatiche alle imprese sono in crescita costante, con le PMI che rappresentano la fetta piu colpita. Il Rapporto Clusit 2025 mette il malware al primo posto (38%), poi DDoS e vulnerabilita. Il phishing e social engineering pesa l'11% -- quarto vettore, non primo. Ma il numero inganna, perche il phishing e il piu insidioso: non attacca i sistemi, attacca le persone. E le persone non si patchano con un aggiornamento.

E c'e un fattore che aggrava la situazione nelle PMI italiane specificamente: la cultura della fiducia. In un'azienda di 20 persone ci si conosce tutti. Se arriva un'email che sembra dal titolare, nessuno la mette in discussione. Se arriva una fattura dal fornitore abituale, si paga. Non c'e la mentalita di verificare, perche "ci conosciamo, non serve". E esattamente questa fiducia che i criminali sfruttano.

I tre tipi di phishing che vedo ogni mese nelle aziende

Quando si parla di phishing, la maggior parte delle persone pensa alle email del "principe nigeriano". Quelle esistono ancora, ma non sono il problema. Il problema sono tre tipi di attacco molto piu sofisticati.

1. Phishing generico: il volume fa il lavoro

L'attaccante manda la stessa email a migliaia di indirizzi. "Il tuo account Microsoft e stato bloccato", "La tua fattura Enel e in scadenza", "Il tuo pacco Amazon e in attesa". Non sa nulla dell'azienda, non sa nulla di te. Gioca sulla statistica: se mandi 10.000 email, qualcuno ci casca.

Questo tipo di phishing lo vedo ogni settimana nelle caselle dei miei clienti. La maggior parte viene filtrata dall'antispam, ma qualcuna passa sempre. E ne basta una.

2. Spear phishing: l'attacco mirato

Qui il livello sale. L'attaccante studia l'azienda. Sa come si chiama il titolare, sa chi e il responsabile amministrativo, sa il nome dei fornitori principali. Queste informazioni non sono segrete: stanno sul sito dell'azienda, su LinkedIn, sulle visure camerali, a volte persino sui social personali dei dipendenti.

L'email e personalizzata. Chiama il destinatario per nome, cita un progetto reale, fa riferimento a un evento concreto. Non sembra una mail di massa -- sembra una mail legittima. Ed e per questo che funziona.

3. Business Email Compromise (BEC): la truffa che fa piu danni

Il BEC e il re del phishing aziendale. L'attaccante compromette una casella email reale -- del fornitore, del cliente, o di qualcuno nell'azienda stessa -- e la usa per inviare comunicazioni fraudolente dall'interno. Oppure crea un dominio quasi identico a quello reale (la tecnica si chiama typosquatting) e manda email che sembrano autentiche.

E il tipo di attacco che ha colpito il mio cliente con la fattura da 14.000 euro. E quello che fa i danni economici piu gravi, perche spesso coinvolge pagamenti reali. Secondo i dati FBI (Internet Crime Complaint Center, report 2024), il BEC genera quasi 3 miliardi di dollari di perdite all'anno -- secondo solo all'investment fraud. Non e il primo, ma e il secondo. E a differenza dell'investment fraud, il BEC colpisce le aziende nel loro lavoro quotidiano: pagamenti, fatture, ordini.

Tre attacchi reali ai miei clienti (e come sono andati a finire)

Questi sono casi reali. Ho cambiato i nomi e i dettagli identificativi, ma le dinamiche sono esattamente come sono avvenute.

La fattura falsa del fornitore

Il caso lo ho raccontato all'inizio. Un'azienda metalmeccanica, 35 dipendenti, riceve una fattura via email dal fornitore abituale di materie prime. La fattura e identica a quelle ricevute negli ultimi due anni: stesso layout, stesso logo, stessa numerazione progressiva. L'unica differenza: l'IBAN di pagamento. L'email arrivava da un dominio con una lettera diversa -- talmente simile che nessuno se ne e accorto.

Come e finita: 14.000 euro persi. Abbiamo ricostruito la dinamica e scoperto che il fornitore era stato compromesso settimane prima. L'attaccante aveva avuto accesso alla casella email dell'amministrazione del fornitore, aveva studiato il formato delle fatture, e aveva inviato la fattura falsa dal dominio contraffatto nel giorno esatto in cui quella vera era attesa. Premeditato.

Il CEO fraud del venerdi pomeriggio

Un'azienda di servizi, 18 dipendenti. Il venerdi alle 16:30 -- quando tutti hanno la testa al weekend -- la responsabile amministrativa riceve un'email dal titolare. "Devo chiudere un'operazione riservata, serve un bonifico urgente di 8.000 euro. Non ne parlare con nessuno, e una questione delicata. Ti mando i dettagli tra poco." Seguiva un secondo messaggio con le coordinate bancarie.

L'email non era del titolare. L'indirizzo mittente era una webmail che usava nome e cognome del titolare come display name. La responsabile non ha controllato l'indirizzo reale -- ha visto il nome, ha letto "urgente" e "riservato", e ha eseguito.

Come e finita: questa volta siamo stati fortunati. La responsabile ha avuto un dubbio e ha chiamato il titolare al telefono prima di fare il bonifico. Il titolare era in macchina, non aveva mandato nessuna email. Il bonifico non e partito. Ma se quel dubbio non fosse venuto, 8.000 euro sarebbero spariti.

La compromissione della catena del fornitore

Un'azienda di impiantistica, 25 dipendenti. Il loro fornitore di componenti elettrici -- un'azienda con cui lavorano da anni -- aveva subito un attacco e non lo sapeva. L'attaccante aveva accesso alla casella email del commerciale del fornitore da settimane. Leggeva tutte le conversazioni, studiava i pattern di acquisto, aspettava il momento giusto.

Il momento e arrivato quando il mio cliente ha ordinato un lotto di componenti da 22.000 euro. L'attaccante ha intercettato la conferma d'ordine del fornitore, l'ha modificata inserendo coordinate bancarie diverse, e l'ha reinoltrata al mio cliente dalla casella reale del fornitore. Nessun dominio contraffatto. Nessun segnale visibile. L'email arrivava dall'indirizzo vero del fornitore.

Come e finita: 22.000 euro pagati all'attaccante. Il fornitore ha scoperto la compromissione solo quando il mio cliente ha chiamato per chiedere perche il pagamento non risultava. A quel punto i soldi erano spariti da dieci giorni.

Come riconoscere un'email di phishing: 7 segnali concreti

Non tutti gli attacchi sono sofisticati come i tre esempi sopra. La maggior parte del phishing che arriva alle PMI ha segnali riconoscibili -- se sai dove guardare.

  1. L'indirizzo del mittente non corrisponde al dominio. Il display name dice "Agenzia delle Entrate", ma l'indirizzo reale e qualcosa come agenziaentrate2024@gmail.com. Regola: controlla sempre l'indirizzo completo, non il nome visualizzato. In Outlook: clicca sul nome del mittente. In Gmail: clicca sulla freccia accanto a "a me".
  2. Il dominio e simile ma non identico. microsoftt.com, aruba-italia.com, intesasanpaulo.com. La tecnica del typosquatting funziona perche il cervello legge la parola intera, non le singole lettere. Regola: se l'email chiede un'azione (pagamento, login, download), verifica il dominio lettera per lettera.
  3. Urgenza e pressione. "Il tuo account verra bloccato entro 24 ore", "Azione immediata richiesta", "Pagamento in scadenza oggi". L'urgenza serve a farti agire prima di pensare. Nessuna comunicazione legittima ti chiede di fare qualcosa in minuti. Se e davvero urgente, ti chiamano.
  4. Link che non puntano dove dicono. Il testo dice "Accedi al tuo account Microsoft" ma l'URL punta a un dominio diverso. Regola: passa il mouse sopra il link senza cliccare e guarda l'URL nella barra in basso del browser o del client email. Se l'URL non corrisponde al sito dichiarato, non cliccare.
  5. Allegati inattesi. Una fattura che non aspettavi. Un documento "da firmare urgentemente". Un file ZIP con "i dettagli dell'ordine". I formati piu pericolosi: .exe, .scr, .zip, .js, .vbs. Ma anche file Office (.docx, .xlsx) con macro possono essere pericolosi. Regola: se non aspettavi un allegato, non aprirlo. Chiama il mittente e chiedi conferma.
  6. Errori grammaticali e di formattazione. Questo segnale sta diventando meno affidabile perche i criminali usano strumenti di AI per scrivere email perfette. Ma molti attacchi di phishing generico hanno ancora errori evidenti: "Gentile Utente", testo misto italiano e inglese, formattazione incoerente. Non e il segnale piu affidabile, ma e un campanello d'allarme.
  7. Richiesta di credenziali o dati sensibili via email. Nessuna banca, nessun provider, nessuna agenzia governativa chiede password, codici di accesso o dati della carta di credito via email. Mai. Se un'email lo fa, e phishing. Senza eccezioni.

Cosa fare quando ricevi un'email sospetta: il protocollo

Avere un protocollo scritto fa la differenza. Non perche i dipendenti non sappiano ragionare, ma perche nel momento in cui ricevi un'email convincente che ti chiede di agire subito, il ragionamento e la prima cosa che salta. Il protocollo e la rete di sicurezza.

Questo e il protocollo che implemento con i miei clienti. E semplice, funziona, e sta su un foglio A4 da appendere accanto al monitor.

  1. Non cliccare su nessun link e non aprire nessun allegato. Se hai un dubbio, fermati. Il costo di aspettare cinque minuti e zero. Il costo di cliccare sul link sbagliato puo essere migliaia di euro.
  2. Verifica il mittente su un canale diverso. Se l'email sembra del fornitore, chiama il fornitore al numero che hai in rubrica -- non al numero scritto nell'email. Se sembra del titolare, chiama il titolare. Se sembra della banca, chiama la banca al numero sul sito ufficiale.
  3. Segnala l'email al responsabile IT o al consulente. Non cancellarla. Non inoltrarla ai colleghi ("guarda che roba"). Segnalala al referente IT, che la analizzi e decida come procedere.
  4. Se hai cliccato su un link o aperto un allegato: disconnettiti dalla rete. Stacca il cavo di rete o disattiva il Wi-Fi. Avvisa immediatamente il responsabile IT. Non spegnere il PC -- potrebbe servire per l'analisi. Non provare a "sistemare da solo".

Ho un cliente che ha stampato questo protocollo in formato poster e lo ha appeso in ogni ufficio. Sembra eccessivo? Da quando lo ha fatto -- 14 mesi fa -- hanno avuto zero incidenti di phishing riusciti. Prima ne avevano due o tre all'anno. Il protocollo funziona.

Strumenti di protezione tecnica: SPF, DKIM, DMARC e antispam

Oltre al fattore umano, ci sono strumenti tecnici che riducono drasticamente il phishing in arrivo. Ne parlo brevemente qui perche nella collana e previsto un articolo dedicato alla configurazione di SPF, DKIM e DMARC. Ma i concetti base li devi conoscere adesso.

SPF (Sender Policy Framework) dice al mondo quali server sono autorizzati a mandare email dal tuo dominio. Se qualcuno manda un'email fingendo di essere te da un server non autorizzato, il destinatario puo identificarla come sospetta. SPF protegge gli altri da email false che usano il tuo dominio.

DKIM (DomainKeys Identified Mail) aggiunge una firma digitale alle tue email in uscita. Il destinatario puo verificare che l'email non sia stata modificata durante il transito. Protegge sia te che i tuoi destinatari dalla manipolazione.

DMARC (Domain-based Message Authentication, Reporting and Conformance) unisce SPF e DKIM e aggiunge una politica: cosa deve fare il server destinatario se una email non supera i controlli? Accettarla comunque, metterla in quarantena, o rifiutarla? Con una policy DMARC a "reject", le email false che usano il tuo dominio vengono bloccate prima di arrivare al destinatario.

Il punto critico: questi strumenti proteggono il tuo dominio dall'essere usato per mandare phishing ad altri. Ma non ti proteggono dal ricevere phishing da domini che non li hanno configurati -- e la maggior parte dei domini non li ha configurati correttamente. Per quello serve un buon antispam.

Sia Google Workspace che Microsoft 365 includono filtri antispam e anti-phishing avanzati. Google usa machine learning per analizzare miliardi di email al giorno e bloccare quelle sospette. Microsoft ha Defender for Office 365 con protezione anti-phishing dedicata nei piani Business Premium. Entrambi sono significativamente superiori all'antispam di un hosting condiviso -- e questo e uno dei motivi per cui consiglio sempre di migrare a una piattaforma professionale.

Il fattore umano: perche la tecnologia da sola non basta

Puoi avere il miglior antispam del mondo, SPF, DKIM e DMARC configurati alla perfezione, firewall di ultima generazione. Se un dipendente riceve un'email convincente che chiede di pagare una fattura e la paga senza verificare, tutta quella tecnologia non serve a niente.

L'attacco con la fattura falsa da 14.000 euro che ho raccontato all'inizio? L'email non e stata bloccata dall'antispam perche non conteneva malware, non conteneva link sospetti, non aveva nessuna delle caratteristiche che l'antispam cerca. Era un'email normalissima con un PDF in allegato. Il contenuto era la truffa -- e l'antispam non legge le fatture per verificare se l'IBAN e quello giusto.

Per questo la formazione dei dipendenti non e un optional. E la prima linea di difesa. Non sto parlando di corsi di due giorni con slide da 200 pagine. Sto parlando di sessioni pratiche di un'ora, due volte all'anno, dove mostri esempi reali di phishing e fai esercitazioni.

Quello che faccio con i miei clienti:

  • Sessione iniziale di 90 minuti con tutti i dipendenti: cos'e il phishing, come riconoscerlo, il protocollo da seguire.
  • Test periodici: mando email di phishing simulate e vedo chi ci casca. Non per punire nessuno -- per capire dove serve piu formazione.
  • Aggiornamento semestrale di 30 minuti: nuovi tipi di attacco, casi recenti, rinforzo del protocollo.

Il costo? Minimo. Il risultato? Ogni mio cliente che fa formazione regolare ha ridotto gli incidenti di phishing riusciti a zero o quasi zero. Quelli che non la fanno continuano ad avere problemi. Non e una coincidenza.

Checklist anti-phishing per la tua azienda

Chiudo con la checklist che uso come punto di partenza con ogni nuovo cliente. Non e una soluzione definitiva -- ogni azienda ha le sue specificita -- ma copre le basi.

Protezione tecnica:

  • SPF, DKIM e DMARC configurati sul dominio aziendale
  • Antispam professionale attivo (Google Workspace o Microsoft 365, non l'antispam dell'hosting)
  • Autenticazione a due fattori (2FA) attiva su tutte le caselle email aziendali
  • Password policy: minimo 12 caratteri, cambio non obbligatorio (le policy di cambio forzato producono password peggiori, non migliori)
  • Aggiornamenti automatici attivi su tutti i sistemi operativi e i browser

Protezione organizzativa:

  • Protocollo scritto per la gestione delle email sospette, distribuito a tutti i dipendenti
  • Regola di verifica per i pagamenti: nessun pagamento su coordinate bancarie ricevute via email senza verifica telefonica
  • Responsabile designato per la segnalazione delle email sospette (e un backup -- come per gli alias aziendali, ogni funzione ha bisogno di un nome e un cognome dietro)
  • Procedura di offboarding: quando un dipendente esce, le sue credenziali vengono disattivate immediatamente, non "quando ci ricordiamo"

Formazione:

  • Sessione iniziale per tutti i dipendenti (90 minuti)
  • Test di phishing simulato almeno due volte all'anno
  • Aggiornamento semestrale (30 minuti)
  • Nuovi assunti: formazione anti-phishing entro la prima settimana

Monitoraggio:

  • Controllo periodico dei record SPF, DKIM e DMARC (almeno trimestrale)
  • Review dei log antispam per identificare pattern di attacco
  • Verifica che il dominio aziendale non sia finito in blacklist (mxtoolbox.com)

Il phishing non si ferma con un singolo strumento. Si ferma con un sistema: tecnologia giusta, persone formate, processi chiari. Le PMI che hanno tutte e tre le cose non sono immuni -- nessuno lo e -- ma sono ordini di grandezza piu difficili da colpire rispetto a quelle che non hanno niente.

Se vuoi capire quali vulnerabilita ha la tua infrastruttura email e come chiuderle, qui spiego le 5 vulnerabilita che trovo in quasi ogni azienda che analizzo. E il punto di partenza per capire dove sei e cosa serve fare.