Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

soluzioni

Phishing: come l’ingegneria sociale (potenziata dall’AI) sposta l’attacco sull’identità

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Indirizzo copiato

L’ingegneria sociale continua a essere il grimaldello più affidabile per iniziare un’intrusione e l’avvento dell’AI non ha fatto altro che rendere più veloce, credibile e scalabile un attacco del genere. Ecco soluzioni e consigli per andare “oltre il phishing” e allinearsi alla NIS2 rispettando le indicazioni ACN

Pubblicato il 12 set 2025
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

Phishing e accessibilità all'AI (intelligenza artificiale) per i cyber criminali

Nel 2025 l’ingegneria sociale resta il grimaldello più affidabile per iniziare un’intrusione. L’email non è più l’unico fronte: crescono gli attacchi “ad alta interazione” che puntano su help desk, reset MFA e impersonificazione in tempo reale, affiancati da campagne su larga scala che sfruttano malvertising, SEO poisoning e nuove tecniche come ClickFix.

L’AI non inventa il problema: lo rende più veloce, credibile e scalabile.

Difendere davvero significa spostare il baricentro dalla casella di posta alla gestione dell’identità e dei processi umani, hardening dei percorsi di recupero credenziali, verifica out-of-band, ITDR/UEBA, privilegi JIT e policy di accesso condizionale, coerentemente con l’impostazione NIS2 e le recenti linee guida ACN.

Sicurezza dell’e-mail: dal framework ACN all’attuazione concreta

Perché non è (più) solo phishing

Secondo l’ultimo Global Incident Response Report 2025 – Social Engineering Edition di Unit 42 (Palo Alto Networks), tra maggio 2024 e maggio 2025 il 36% dei casi di risposta a incidenti è iniziato con una tattica di ingegneria sociale.

All’interno di questo perimetro, il phishing resta il canale principale, ma rappresenta “solo” il 65% dei casi, segno di una diversificazione dei vettori: dal pretexting telefonico alle manipolazioni del supporto IT fino ai falsi prompt del browser.

Ancora più rilevante: quando l’intrusione parte da ingegneria sociale, la probabilità di esposizione dati risulta sensibilmente più alta rispetto alla media degli incidenti osservati.

Due modelli 2025 che aggirano i controlli

Il primo è high-touch: l’attaccante impersona personale interno, colpisce i service desk, forza reset di password o MFA e ottiene escalation rapide senza nemmeno distribuire malware.

Nel report sono documentate escalation a privilegi di dominio nell’ordine di pochi minuti, a riprova che il punto debole non è tecnologico ma di fiducia operativa nei processi di supporto.

La stessa dinamica è al centro di avvisi congiunti delle agenzie di sicurezza su gruppi come Scattered Spider, noti per la pressione sugli help desk e l’uso di social pretexting per aggirare MFA e procedure d’identità.

Il secondo è a scala: campagne che sfruttano malvertising e SEO poisoning per intercettare l’utente nel browser e spingerlo a “compromettersi da solo”. Qui rientra ClickFix, tecnica in cui la vittima, convinta di “sistemare” un problema, esegue in realtà un’azione malevola (ad esempio un comando) che apre la strada all’infezione o al furto di sessione.

La tattica è ampiamente descritta da analisi tecniche e alert settoriali, e oggi è parte del repertorio di più attori.

Il ruolo dell’AI: velocità, realismo, automazione

La GenAI amplifica entrambe le traiettorie. Nelle campagne high-touch aumenta il realismo dei callback con clonazione vocale e pretesti cuciti sugli interlocutori; nelle campagne a scala velocizza la produzione di contenuti e pagine di atterraggio, adattando copy e lure al contesto.

L’effetto combinato è un ciclo di attacco più rapido, più credibile e più difficile da distinguere dal traffico legittimo, soprattutto quando l’abuso si concentra su workflow identitari e procedure di account recovery.

Cosa chiede NIS2 (e come l’ACN aiuta a “mettere a terra”)

Per gli operatori essenziali e importanti, la traiettoria europea è chiara: misure “adeguate e proporzionate” che non si fermano alla tecnologia, ma abbracciano processi, persone e gestione dell’identità.

Le “Linee guida NIS – Specifiche di base – Guida alla lettura” pubblicate da ACN offrono un riferimento pratico per interpretare e applicare le misure degli allegati tecnici alla Determina 164179/2025, con un linguaggio operativo utile a connettere controlli, responsabilità e verifiche.

In questo quadro, rafforzare i flussi di recupero credenziali, formalizzare la verifica out-of-band e addestrare i front-line team (HR, help desk) su pretexting e impersonificazione non è solo “best practice”: è governance del rischio coerente con gli obblighi normativi.

Determinazioni dell’ACN: requisiti e chiarimenti per i soggetti in perimetro NIS 2

Cosa funziona davvero (lezioni dal campo)

La prima leva è bloccare gli abusi nei percorsi di recupero: chi può chiedere un reset? con quali prove? attraverso quali canali verificati? L’assenza di regole chiare porta a sblocchi “d’urgenza” che diventano scorciatoie per l’attaccante.

La seconda è portare i segnali d’identità nel SOC: correlare IdP, endpoint e SaaS con ITDR/UEBA per far emergere abusi di sessione e comportamenti anomali post-login.

Terzo, ridurre la fiducia implicita nei workflow: privilegi just-in-time e conditional access aggressivo su device, geografia e rischio, così da degradare l’impatto anche quando il primo inganno riesce.

Infine, chiudere i canali di scala nel browser con filtro DNS/URL, hardening e controllo dei brand asset per limitare malvertising e SEO poisoning.

Queste misure, riportate e raccomandate anche da Unit 42 nelle conclusioni del report, sono efficaci perché colpiscono i tre abilitatori sistemici delle intrusioni: permessi eccessivi, visibilità comportamentale insufficiente, fiducia non verificata nei processi umani.

Roadmap operativa: i primi 30 giorni

Nelle prime settimane conviene agire in tre blocchi.

  1. Processi: mettere nero su bianco il percorso di reset MFA/password, imporre la verifica out-of-band con recapiti certificati e introdurre controlli a campione sui ticket.
  2. Rilevazione: abilitare feed e regole ITDR/UEBA per intercettare login anomali e uso sospetto di sessioni subito dopo i reset; collegare al SOC i segnali dell’IdP e dei principali SaaS.
  3. Prevenzione a scala: irrigidire conditional access, abilitare protezioni DNS/URL e stabilire criteri minimi per pagine e domini legati al brand, così da ridurre l’efficacia di malvertising e SEO poisoning.

In parallelo, una pillola di formazione mirata per help desk e HR—centrata su impersonificazione, callback e red flag su richieste “urgentissime” dà, risultati immediati e misurabili.

Metriche che contano

Per capire se la difesa sta migliorando, osserviamo:

  1. quota di reset effettivamente verificati out-of-band;
  2. tempo medio di rilevazione (MTTD) di anomalie post-reset;
  3. percentuale di ticket di sblocco respinti per pretexting;
  4. riduzione delle sessioni ad alto rischio bloccate da conditional access;
  5. frequenza e outcome dei table-top su scenari di help-desk spoofing.

Sono indicatori semplici, direttamente legati ai punti di fallimento tipici che vediamo negli incidenti di quest’anno.

La via più concreta per allinearsi alla NIS2

L’ingegneria sociale prospera dove i processi identitari si appoggiano su fiducia implicita. L’AI non fa che accelerare il fenomeno.

Se vogliamo davvero “andare oltre il phishing”, dobbiamo governare la fiducia: codificare i percorsi critici, portare l’identità nel SOC, ridurre i privilegi impliciti e chiudere i canali di inganno a scala.

È la via più concreta per allinearsi alla NIS2, rispettare le indicazioni ACN e, soprattutto, ridurre l’esposizione reale di dati e continuità operativa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Aggiornamenti Android

  • sicurezza mobile

    Aggiornamenti Android gennaio 2025, corrette 38 vulnerabilità: aggiorniamo i dispositivi

    07 Gen 2025

    di Paolo Tarsitano

    Condividi
  • Contratti di lavoro e privacy

  • privacy

    I contratti di lavoro devono essere disapplicati se violano il GDPR: la sentenza CGUE

    21 Gen 2025

    di Chiara Ponti

    Condividi
  • La nuova architettura della governance digitale secondo l’ACN: chi guida l’organizzazione risponde in prima persona

  • L'evento

    Governance aziendale: così la determina NIS2 di ACN ridisegna la responsabilità cyber dei vertici

    16 Apr 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Ransomware in Russia e Malesia: allarme rosso per la sicurezza delle auto

  • vulnerabilità

    PerfektBlue, 4 falle nel Bluetooth di Mercedes, Volkswagen, Skoda: come proteggersi

    17 Lug 2025

    di Mirella Castigli

    Condividi