{"id":1603,"date":"2021-11-12T14:18:00","date_gmt":"2021-11-12T13:18:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/phishing-awareness-training-pmi-2021\/"},"modified":"2021-11-12T14:18:00","modified_gmt":"2021-11-12T13:18:00","slug":"phishing-awareness-training-pmi-2021","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/phishing-awareness-training-pmi-2021\/","title":{"rendered":"Phishing 2021: awareness training per PMI italiane"},"content":{"rendered":"

Nel Verizon Data Breach Investigations Report 2021<\/strong>, il 36% dei data breach<\/strong> analizzati globalmente coinvolge una componente di phishing: una mail, un SMS o un finto portale che convince un dipendente a digitare credenziali, scaricare un allegato o autorizzare un bonifico. Il dato non si limita al perimetro tecnico \u2014 racconta un cambio di postura del cybercrime, che ha smesso di combattere i firewall e ha iniziato a colpire le persone.<\/p>\n

L’FBI IC3 Internet Crime Report 2021<\/strong> certifica per il Business Email Compromise (BEC)<\/strong> perdite stimate in oltre 1,8 miliardi di dollari<\/strong> a livello mondiale, con il BEC che resta la categoria di crimine informatico pi\u00f9 costosa nonostante un numero di segnalazioni inferiore al ransomware. In Italia CERT-AGID<\/strong> pubblica settimanalmente i propri report e CSIRT Italia<\/strong> dirama avvisi tematici: nel 2021 le campagne di phishing che hanno colpito utenti italiani sono cresciute in volume e in qualit\u00e0 linguistica, segno che gli attaccanti hanno smesso di tradurre con strumenti automatici e hanno iniziato a localizzare i pretesti.<\/p>\n

Le PMI italiane<\/strong> da 30 a 500 utenti sono il bersaglio ideale: hanno budget IT contenuti, raramente dispongono di un CISO interno, gestiscono fornitori, banche, agenzia delle entrate ogni giorno via email. Questa guida \u00e8 scritta per HR, IT manager e CISO<\/strong> che devono mettere in piedi \u2014 o consolidare \u2014 un programma di awareness training<\/strong> efficace, misurabile e sostenibile, senza inseguire la moda del momento.<\/p>\n

\n

TL;DR<\/p>\n

    \n
  • Il 36%<\/strong> dei data breach 2021 coinvolge phishing (Verizon DBIR 2021); il BEC<\/strong> da solo costa 1,8 miliardi di dollari<\/strong> all’anno (FBI IC3 2021).<\/li>\n
  • La difesa efficace combina tecnologia<\/strong> (SPF, DKIM, DMARC, gateway email avanzati) e persone<\/strong> (training continuo, simulazioni mensili, cultura del report).<\/li>\n
  • I tool leader 2021 per awareness sono KnowBe4<\/strong>, Cofense<\/strong>, Proofpoint Security Awareness<\/strong>, Hoxhunt<\/strong>, CybeReady<\/strong>, AwareGO<\/strong>.<\/li>\n
  • Le metriche che contano sono click rate<\/strong>, report rate<\/strong>, time-to-report<\/strong>: il training one-shot non sposta nessuna di queste.<\/li>\n
  • Una PMI italiana pu\u00f2 portare il click rate dal 28% al 4%<\/strong> in 6 mesi<\/strong> con un programma strutturato \u2014 caso reale descritto nell’articolo.<\/li>\n<\/ul>\n<\/div>\n

    Cosa \u00e8 phishing: tipologie e tassonomia 2021<\/h2>\n

    Il phishing \u00e8 la pratica di indurre una vittima a compiere un’azione (cliccare, scaricare, autorizzare, pagare) sfruttando un messaggio che imita un’identit\u00e0 fidata. L’Anti-Phishing Working Group (APWG)<\/strong> nel suo report Q3 2021<\/strong> ha registrato oltre 260.000 attacchi al mese, picco storico fino a quel momento. Le sottocategorie da conoscere sono sei:<\/p>\n

      \n
    • Mass phishing<\/strong>: campagne di volume indirizzate a liste enormi (milioni di indirizzi), pretesto generico (corriere, banca, fisco). ROI basso ma volumi enormi.<\/li>\n
    • Spear phishing<\/strong>: messaggio personalizzato per una persona specifica, costruito sulla base di OSINT (LinkedIn, sito aziendale, social). Tipicamente colpisce il management o le funzioni amministrative.<\/li>\n
    • Whaling<\/strong>: spear phishing diretto a C-level (CEO, CFO, DG). Spesso usa un dominio look-alike e un pretesto urgente di bonifico estero.<\/li>\n
    • Smishing<\/strong>: phishing via SMS. Nel 2021 esplode in Italia con campagne legate a finti corrieri (SDA, BRT, Poste) e finte notifiche INPS.<\/li>\n
    • Vishing<\/strong>: phishing telefonico. L’attaccante chiama spacciandosi per la banca o per Microsoft Support, spesso preceduto da una mail che prepara il terreno.<\/li>\n
    • Business Email Compromise (BEC)<\/strong>: la FBI<\/strong> lo definisce come compromissione di una casella reale (o spoofing di una identica) per intercettare flussi finanziari. \u00c8 la categoria pi\u00f9 costosa, perch\u00e9 non richiede malware n\u00e9 allegati.<\/li>\n<\/ul>\n

      Una variante del BEC insidiosa \u00e8 il vendor email compromise<\/strong>: l’attaccante compromette la casella di un fornitore, intercetta una fattura legittima, modifica l’IBAN nel PDF e la rispedisce dal mittente vero. Nessun controllo SPF\/DKIM la blocca.<\/p>\n

      \"Inbox<\/p>\n

      Statistiche Italia 2021: cosa dicono CERT-AGID e CSIRT<\/h2>\n

      CERT-AGID<\/strong>, il Computer Emergency Response Team della pubblica amministrazione italiana, pubblica ogni settimana un riepilogo delle campagne malevole rilevate sul territorio nazionale. Nel corso del 2021<\/strong> i temi pi\u00f9 ricorrenti sono stati: finte fatture, finti corrieri, finti reset password Microsoft 365, finte comunicazioni Agenzia delle Entrate, finti rimborsi INPS, finte raccomandate Poste Italiane.<\/p>\n

      CSIRT Italia<\/strong>, attivato a giugno 2019 all’interno del DIS (oggi confluito in ACN, Agenzia per la Cybersicurezza Nazionale, istituita ad agosto 2021), nel corso del 2021 ha emesso diverse decine di bollettini su campagne phishing rilevanti per il tessuto produttivo, incluse campagne mirate al settore bancario, sanitario, industriale e della pubblica amministrazione locale.<\/p>\n

      Il Rapporto Clusit 2021<\/strong> segnala per il 2020 e i primi mesi 2021 un incremento a tre cifre delle campagne phishing in lingua italiana, con qualit\u00e0 linguistica crescente. Il fenomeno coincide con la pandemia COVID-19 e il passaggio allo smart working<\/strong>, che ha esposto migliaia di lavoratori a strumenti collaborativi e workflow remoti per cui non erano formati.<\/p>\n

      Anatomia di una mail phishing 2021<\/h2>\n

      Una mail phishing efficace, per un’azienda italiana nel 2021, \u00e8 costruita su quattro ingredienti chiave:<\/p>\n

        \n
      • Spoofing del mittente<\/strong>: l’attaccante falsifica l’header From:<\/code> oppure registra un dominio look-alike (es. banca-intesa-it.com<\/code> al posto di intesasanpaolo.com<\/code>, oppure m1crosoft.com<\/code> con un uno al posto della i).<\/li>\n
      • Urgenza<\/strong>: il testo costringe a un’azione rapida \u2014 “il tuo account verr\u00e0 bloccato in 24 ore”, “la fattura \u00e8 scaduta”, “conferma i dati o perderai l’ordine”. L’urgenza disattiva il pensiero critico.<\/li>\n
      • Payload<\/strong>: un link<\/strong> a un finto portale di credential harvesting, oppure un allegato<\/strong> (Word con macro, Excel, ZIP, ISO, HTML smuggling). Nel 2021 si afferma l’uso di file .iso<\/code> e .img<\/code> per bypassare Mark-of-the-Web.<\/li>\n
      • Credential harvesting<\/strong>: il finto portale replica visivamente Microsoft 365, Google Workspace, l’home banking o un portale interno; le credenziali digitate vengono inoltrate in tempo reale a un server controllato dall’attaccante (kit “evilginx2” e simili, diffusi nel 2020-2021).<\/li>\n<\/ul>\n

        I segnali da riconoscere: dominio mittente<\/strong> (hover sul nome), URL target<\/strong> di ogni link (hover senza cliccare), discrepanze nella firma<\/strong>, richiesta di credenziali via mail<\/strong> (sempre sospetta), allegati inattesi<\/strong>, reset password<\/strong> non sollecitati.<\/p>\n

        Esempi reali Italia 2021<\/h2>\n

        Vediamo cinque pretesti che hanno colpito ripetutamente le caselle italiane nel 2021, segnalati nei report settimanali CERT-AGID:<\/p>\n

          \n
        • Poste Italiane fake<\/strong>: “Pacco in giacenza, paga 1,99 \u20ac di spese di spedizione”. Il link porta a un finto checkout che intercetta carta di credito + CVV + dati 3DS.<\/li>\n
        • INPS fake<\/strong>: “Rimborso disponibile, accedi con SPID”. Il finto portale chiede credenziali SPID + numero di telefono per intercettare l’OTP.<\/li>\n
        • Agenzia delle Entrate fake<\/strong>: “Cartella esattoriale n. XYZ, scarica il documento”. L’allegato \u00e8 un Excel con macro che scarica il trojan Ursnif o Emotet (Emotet smantellato a gennaio 2021, ma sostituito da TrickBot, IcedID, Qakbot).<\/li>\n
        • Banca Intesa fake<\/strong>: “Anomalia nel tuo conto, verifica i dati”. Il portale clonato chiede credenziali home banking e poi un OTP “di verifica” che viene rilanciato in tempo reale per autorizzare un bonifico fraudolento.<\/li>\n
        • Microsoft 365 fake login<\/strong>: “La tua casella ha raggiunto il limite, conferma per evitare la sospensione”. Il finto portale Microsoft cattura credenziali aziendali, che vengono poi usate per BEC interno (la cosiddetta “compromissione laterale”).<\/li>\n<\/ul>\n

          Nota su Microsoft 365<\/strong>: il 2021 \u00e8 l’anno in cui esplodono gli attacchi che bypassano l’MFA con token theft<\/strong> e phishing kit Adversary-in-the-Middle. L’MFA via SMS o app push, senza Conditional Access o FIDO2, non \u00e8 pi\u00f9 sufficiente da sola.<\/p>\n

          Difesa tecnica: SPF, DKIM, DMARC e gateway email<\/h2>\n

          La prima linea di difesa \u00e8 il livello DNS + gateway. Tre record DNS sono lo standard minimo del 2021 per ogni dominio aziendale:<\/p>\n

            \n
          • SPF (Sender Policy Framework)<\/strong>: dichiara quali server sono autorizzati a inviare mail per conto del dominio. Pubblicato come record TXT.<\/li>\n
          • DKIM (DomainKeys Identified Mail)<\/strong>: firma crittografica dei messaggi in uscita, verificabile dal ricevente tramite chiave pubblica DNS.<\/li>\n
          • DMARC (Domain-based Message Authentication, Reporting and Conformance)<\/strong>: policy che dice ai server riceventi cosa fare se SPF o DKIM falliscono (none, quarantine, reject) e dove inviare i report aggregati.<\/li>\n<\/ul>\n

            Nel 2021 si affermano anche due standard complementari: MTA-STS<\/strong> (Mail Transfer Agent Strict Transport Security), che impone TLS tra server SMTP, e BIMI<\/strong> (Brand Indicators for Message Identification), che mostra il logo del brand nella inbox del destinatario quando la mail \u00e8 autenticata con DMARC reject \u2014 in fase di early adoption nel 2021, supportato da Gmail e Yahoo, in arrivo su Apple Mail.<\/p>\n

            Sopra il livello DNS si attesta il secure email gateway<\/strong>. I principali vendor del 2021 sono:<\/p>\n

              \n
            • Microsoft Defender for Office 365<\/strong> (rebrand 2020 di Office 365 ATP), integrato in E5 o acquistabile come add-on. Include Safe Links, Safe Attachments, Attack Simulator.<\/li>\n
            • Proofpoint<\/strong>: leader storico del Magic Quadrant Gartner per Secure Email Gateways.<\/li>\n
            • Mimecast<\/strong>: forte su archiviazione + sicurezza, popolare nelle PMI europee.<\/li>\n
            • Symantec Email Security.cloud<\/strong> (oggi Broadcom dopo l’acquisizione 2019).<\/li>\n
            • Trend Micro Email Security<\/strong>.<\/li>\n
            • Barracuda Email Protection<\/strong>, FortiMail<\/strong> (Fortinet), Cisco Cloud Email Security<\/strong>.<\/li>\n<\/ul>\n

              Un gateway moderno fa sandboxing degli allegati, riscrittura dei link (time-of-click protection), analisi del linguaggio con NLP per rilevare BEC, e integra threat intelligence in tempo reale.<\/p>\n

              \"Concept<\/p>\n

              Difesa umana: awareness training continuo, non one-shot<\/h2>\n

              Nessun gateway intercetta il 100% dei messaggi malevoli. Il “last line of defense” resta la persona davanti allo schermo. La parola chiave del 2021 \u00e8 continuous awareness<\/strong>: un programma fatto di micro-lezioni mensili, simulazioni periodiche, feedback immediato sull’errore e canale di segnalazione frictionless.<\/p>\n

              Il modello che funziona nelle PMI italiane si basa su quattro pilastri:<\/p>\n

                \n
              • Onboarding sicurezza<\/strong> nei primi 7 giorni di assunzione: 30-45 minuti di training in piattaforma + quiz finale.<\/li>\n
              • Pillole mensili<\/strong> di 3-5 minuti: un nuovo pretesto, un nuovo tipo di attacco, un esempio reale. Erogate via piattaforma o via Microsoft Teams.<\/li>\n
              • Simulazioni di phishing<\/strong> mensili o bisettimanali, con template realistici tarati sul contesto italiano (Poste, INPS, Agenzia Entrate, fornitore tipico).<\/li>\n
              • Pulsante di segnalazione<\/strong> integrato in Outlook o Gmail: un clic per inoltrare al SOC interno o esterno l’email sospetta. La segnalazione deve essere pi\u00f9 facile<\/em> della classificazione individuale.<\/li>\n<\/ul>\n

                Un punto culturale spesso sottovalutato: il no-blame<\/strong>. Un dipendente che ha cliccato deve sentirsi al sicuro nel dichiararlo subito, non punito. La punizione genera silenzio, e il silenzio sui click \u00e8 ci\u00f2 che permette al breach di scalare. Il training awareness funziona solo dentro una cultura in cui l’errore segnalato \u00e8 valore, non colpa.<\/p>\n

                Tool phishing simulation 2021: panoramica vendor<\/h2>\n

                Il mercato 2021 \u00e8 gi\u00e0 maturo, con piattaforme dedicate che combinano simulazioni + LMS + reportistica. I principali player sono:<\/p>\n

                  \n
                • KnowBe4<\/strong>: leader assoluto del segmento. Quotata al NASDAQ ad aprile 2021. Catalogo enorme di template (oltre 1.000), integrazione con Microsoft 365, Active Directory, AzureAD, modulo PhishER per il triage automatico delle email segnalate. Pricing a utente\/anno.<\/li>\n
                • Cofense<\/strong>: ex PhishMe<\/strong>, rebrandata Cofense nel 2018. Forte su threat intelligence (Cofense Intelligence) e su pulsante di reporting (Cofense Reporter). Storicamente pi\u00f9 orientata a enterprise.<\/li>\n
                • Proofpoint Security Awareness Training<\/strong>: nasce dall’acquisizione di Wombat Security<\/strong> (2018). Forte vantaggio competitivo: integrazione nativa con il gateway Proofpoint per chi \u00e8 gi\u00e0 cliente.<\/li>\n
                • Hoxhunt<\/strong>: lanciata in Finlandia nel 2020<\/strong>, approccio gamificato e training in-the-moment (formazione immediata quando l’utente cade nella simulazione). Approccio diverso dalla LMS classica, orientato all’engagement.<\/li>\n
                • CybeReady<\/strong>: piattaforma israeliana, autonomous training (riduzione dell’effort lato amministratore). Forte localizzazione multilingua, incluso italiano.<\/li>\n
                • AwareGO<\/strong>: vendor islandese, libreria di video micro-learning di alta qualit\u00e0, da 60-90 secondi, gi\u00e0 localizzati in molte lingue.<\/li>\n
                • Infosec Institute (oggi Infosec IQ)<\/strong>, Mediapro<\/strong>, Terranova Security<\/strong>: alternative consolidate.<\/li>\n<\/ul>\n

                  La scelta del vendor dipende da quattro variabili: integrazione<\/strong> (M365, Google Workspace, AD), qualit\u00e0 libreria italiana<\/strong>, pricing per utente\/anno<\/strong>, gestione richiesta<\/strong> internamente. Una PMI da 100 utenti con IT manager part-time avr\u00e0 pi\u00f9 beneficio da una piattaforma “set and forget” tipo Hoxhunt o CybeReady che da KnowBe4 a configurazione manuale.<\/p>\n

                  Metriche awareness: click rate, report rate, time-to-report<\/h2>\n

                  Il programma awareness si misura. Le tre metriche che ogni HR o CISO deve tenere a cruscotto sono:<\/p>\n

                    \n
                  • Click rate<\/strong>: percentuale di utenti che cliccano sul link nella simulazione. Baseline tipica delle PMI italiane non formate: 25-35%<\/strong>. Obiettivo dopo 12 mesi di programma maturo: sotto il 5%<\/strong>.<\/li>\n
                  • Report rate<\/strong>: percentuale di utenti che segnalano la simulazione come sospetta. Baseline tipica: 1-3%<\/strong>. Obiettivo: oltre il 30%<\/strong>. Questo \u00e8 il KPI che conta di pi\u00f9: una popolazione che segnala \u00e8 una popolazione che difende l’azienda anche su minacce reali non simulate.<\/li>\n
                  • Time-to-report (TTR)<\/strong>: tempo mediano fra arrivo della mail e segnalazione. Baseline: minuti, ore o mai. Obiettivo: sotto i 10 minuti<\/strong> per le mail in orario lavorativo. Pi\u00f9 basso \u00e8 il TTR, prima il SOC isola la minaccia su tutta la popolazione.<\/li>\n<\/ul>\n

                    Metriche secondarie utili: credential submission rate<\/strong> (chi clicca e<\/em> digita le credenziali sul finto portale), attachment open rate<\/strong>, repeat clicker rate<\/strong> (utenti che cliccano in pi\u00f9 simulazioni consecutive, target per training rinforzato).<\/p>\n

                    Importante: il click rate da solo \u00e8 un KPI fuorviante<\/strong>. Una popolazione pu\u00f2 avere click rate basso semplicemente perch\u00e9 non legge la mail durante la simulazione. Va incrociato con report rate ed engagement sulla piattaforma.<\/p>\n

                    Norme: GDPR Art. 32 e Direttiva NIS<\/h2>\n

                    Sul piano normativo, due riferimenti governano l’awareness training in Italia nel 2021:<\/p>\n