Cybersecurity

Phishing evoluto: come riconoscere le nuove tecniche del 2026

L'era degli errori grammaticali è finita. I nuovi attacchi usano AI, vocali, video e timing perfetto.

Navarro Sistemi 10 April 2026 5 min di lettura 0 visualizzazioni

Il phishing è cambiato radicalmente. Le campagne automatizzate con testi tradotti malamente sono ormai residuali. Quello che vediamo oggi nei nostri clienti è qualcosa di molto più sofisticato e difficile da riconoscere anche per utenti formati.

Spear phishing su misura

Gli attaccanti studiano l'azienda per giorni o settimane. Leggono il sito, LinkedIn, organigramma, notizie aziendali. Quando colpiscono, l'email è perfetta: cita progetti reali, persone reali, tempi reali. Un dipendente del settore amministrazione che riceve una richiesta di bonifico apparentemente dal proprio CEO, con riferimenti coerenti, ha pochissime difese se non c'è una procedura di doppia verifica.

Phishing vocale (vishing)

L'intelligenza artificiale clona una voce a partire da pochi secondi di audio. Una telefonata "del titolare" che chiede al contabile di sbloccare un pagamento urgente, con la voce giusta e i toni giusti, è uno scenario reale, non più ipotetico.

Quishing (QR phishing)

I QR code malevoli aggirano molti filtri di sicurezza. L'utente li scansiona dal cellulare, fuori dal perimetro aziendale, e finisce su una falsa pagina di login Microsoft 365 o di banca aziendale.

Browser-in-the-browser

Tecnica sofisticata: la pagina malevola disegna una finta finestra di login del provider (Google, Microsoft) all'interno della pagina stessa. Anche utenti esperti possono essere ingannati perché tutto sembra autentico.

Cinque regole pratiche aggiornate

  1. Mai inserire credenziali seguendo un link ricevuto via email o messaggio, anche se sembra perfetto. Apri il sito digitando l'indirizzo a mano o usa il preferito.
  2. Doppia verifica per i pagamenti: qualunque richiesta di bonifico o cambio IBAN va confermata con telefonata diretta a un numero noto, non a quello indicato nell'email.
  3. MFA ovunque: anche se l'attaccante ottiene la password, senza il secondo fattore non entra. Meglio app di autenticazione (Microsoft Authenticator, Google Authenticator) rispetto agli SMS.
  4. Diffida dell'urgenza: la maggior parte degli attacchi spinge sulla fretta. "Va fatto entro fine giornata" è quasi sempre un campanello d'allarme.
  5. QR code aziendali da fonti note: non scansionare codici trovati in luoghi pubblici o ricevuti da contatti non verificati.

Conclusione

Il fattore umano è il punto più vulnerabile e il più difficile da proteggere. Una formazione moderna, breve e ripetuta nel tempo è oggi più importante di qualunque software. Possiamo organizzare sessioni formative interne mirate alla tua realtà.

#phishing #vishing #social engineering #sicurezza email #formazione
Servizi
Fibra
Gestione
Supporto
Contatti