Redazione MailSniper
Autore
Hai appena investito migliaia di euro in un corso di sicurezza informatica per i tuoi dipendenti. Tutti hanno completato i moduli, superato il quiz finale, ricevuto il certificato. Ti senti al sicuro.
Poi, tre settimane dopo, la responsabile amministrativa clicca su un link in un'email che sembra arrivare dal commercialista. E il ransomware entra in azienda.
Non e' un caso isolato. E' la norma. La formazione anti-phishing e' necessaria, ma da sola non basta. E affidarsi solo al fattore umano per proteggere la posta elettronica e' come mettere un lucchetto sulla porta e lasciare le finestre spalancate.
In questo articolo ti spiego perche' — con numeri alla mano — e cosa serve davvero per proteggere la tua azienda.
Partiamo dai dati. Secondo il report Verizon DBIR 2025, il 68% delle violazioni aziendali coinvolge un errore umano. L'email resta il vettore di attacco numero uno, con il phishing responsabile del 36% di tutti i data breach.
Fin qui, sembra che la formazione sia la risposta logica. Ma ecco il dato che cambia tutto: anche nelle aziende con programmi di awareness maturi — quelle che fanno simulazioni mensili da almeno un anno — il tasso di click su email di phishing non scende mai sotto il 4%.
Quattro persone su cento. Sembra poco? Fai un calcolo veloce. Se la tua azienda ha 200 dipendenti e riceve un attacco di phishing mirato, 8 persone cliccheranno. Ti basta una sola per compromettere l'intera rete.
E c'e' di piu'. Uno studio di SANS Institute ha misurato il cosiddetto decadimento della formazione: dopo 6 mesi dall'ultimo corso, il tasso di click risale del 50%. Dopo un anno senza rinforzo, torna quasi ai livelli pre-formazione. La memoria umana non e' un firewall. Ha bisogno di aggiornamenti continui, esattamente come il software.
Non sto dicendo che la formazione sia inutile. Sto dicendo che ha limiti strutturali che nessun corso — per quanto ben fatto — puo' superare.
Conosci quella sensazione quando il terzo modulo e-learning della settimana si apre sullo schermo? Esatto: i tuoi dipendenti la conoscono benissimo.
La training fatigue e' un fenomeno documentato. Dopo i primi 2-3 cicli di formazione, l'attenzione cala drasticamente. I dipendenti completano i moduli in automatico, rispondono ai quiz a memoria, e tornano alle loro abitudini. Il cervello umano e' programmato per risparmiare energia cognitiva. Se ogni giorno arrivano 80 email e il training dice "controlla tutto con attenzione", la realta' e' che nessuno lo fara' su tutte e 80.
Questo e' il problema piu' grande. E peggiorera'.
Fino a 2-3 anni fa, le email di phishing avevano errori evidenti: grammatica sbagliata, loghi sgranati, richieste assurde. Un dipendente formato poteva riconoscerle. Oggi no.
Con l'intelligenza artificiale generativa, i criminali creano email perfette. Niente errori grammaticali. Loghi identici. Tono di voce coerente con il presunto mittente. Contenuti personalizzati che fanno riferimento a progetti reali, fatture reali, colleghi reali — informazioni raccolte da LinkedIn, dal sito aziendale, da precedenti violazioni.
Un esempio concreto: un attacco di social engineering recente ha usato un'email generata da AI che replicava lo stile di scrittura di un CEO italiano, incluse le sue espressioni tipiche estratte da post LinkedIn. Nessun dipendente avrebbe potuto distinguerla da un'email autentica. Nessuno.
Quando l'attacco e' indistinguibile dalla realta', la formazione non puo' essere l'unica difesa.
La formazione avviene in un ambiente controllato. Sei seduto, tranquillo, sai che stai facendo un esercizio. Nella vita reale, le email di phishing arrivano alle 8:47 di un lunedi' mattina, mentre hai tre riunioni, il capo che ti chiede un report urgente, e il telefono che squilla.
Il contesto emotivo cambia tutto. La fretta, lo stress, la stanchezza abbassano le difese cognitive. Un'email con oggetto "URGENTE: fattura scaduta — azione legale imminente" attiva la risposta di panico. E quando sei in panico, non pensi alla formazione. Clicchi.
Ogni nuova assunzione e' una finestra di vulnerabilita'. Il nuovo collega non ha fatto la formazione dell'anno scorso. Magari la fara' tra un mese, quando l'HR organizza il prossimo ciclo. Nel frattempo, e' esposto.
In aziende con turnover medio-alto (servizi, commercio, tech), questo crea un buco permanente nella copertura formativa. C'e' sempre qualcuno che non e' aggiornato.
Negli anni '90, James Reason creo' il modello Swiss Cheese per spiegare gli incidenti nei sistemi complessi. L'idea e' semplice ma potente: ogni livello di difesa ha dei buchi, come le fette di un formaggio svizzero. Nessun livello e' perfetto. Ma se sovrapponi piu' fette, i buchi non si allineano. E la minaccia non passa.
Applicato alla sicurezza email, funziona cosi':
Se la formazione e' il tuo unico livello, stai chiedendo ai tuoi dipendenti di bloccare il 100% delle minacce con un tasso di successo del 96% nei migliori dei casi. Quel 4% passera'. E' solo questione di tempo.
Se invece la formazione e' il quarto livello dopo un gateway, l'autenticazione DNS e il sandboxing, i tuoi dipendenti devono gestire solo l'1% residuo. E su quel piccolo numero, il 96% di successo diventa piu' che sufficiente.
Il mix vincente non e' "o tecnologia o formazione". E' entrambe, nel giusto ordine.
Ecco come strutturare una difesa efficace.
Pensa a un trapezista. Puo' essere bravissimo, allenatissimo, con anni di esperienza. Ma sotto c'e' sempre la rete. Non perche' sia incapace. Perche' anche i migliori sbagliano.
Un gateway email professionale fa esattamente questo per i tuoi dipendenti. Analizza ogni email in arrivo con 14+ livelli di controllo — reputazione IP, analisi contenuto, sandboxing allegati, verifica URL in tempo reale, protezione anti-BEC con AI — e blocca le minacce prima che arrivino nella inbox.
Il risultato? I tuoi dipendenti non vedono mai il 99% delle email pericolose. Non devono decidere se cliccare o no, perche' l'email non arriva proprio. La decisione umana viene richiesta solo per quel margine residuo di casi ambigui.
Quando la tecnologia ha fatto il suo lavoro, la formazione copre l'ultimo miglio. Ma deve essere fatta bene.
Dimentica i corsi teorici da 4 ore in aula. Ecco cosa funziona davvero:
Vuoi capire a che punto e' la consapevolezza del tuo team? Prova il nostro quiz sulla sicurezza email. In 5 minuti hai un quadro chiaro.
MailSniper si posiziona come gateway cloud davanti alla tua casella di posta — che sia Office 365, Google Workspace o un server on-premise. Ogni email viene analizzata da 14+ motori prima di essere consegnata.
Ecco cosa succede a un'email di phishing che prova a passare:
Il risultato: il tuo team riceve solo email pulite. E per quel margine residuo, la formazione fa il resto.
Qualcuno potrebbe pensare: "I miei dipendenti sono attenti, la formazione basta." Ti faccio una domanda: se domani mattina un'email perfetta — generata da AI, senza errori, personalizzata — arriva al tuo responsabile finanziario con la richiesta di cambiare l'IBAN di un fornitore, sei sicuro al 100% che non ci caschera'?
Il costo medio di un attacco BEC andato a segno in Italia e' di 43.000 euro. Per le aziende piu' grandi, si sale a cifre a sei zeri. Il costo di un anno di protezione MailSniper per 50 caselle? Meno di 1.000 euro.
La formazione costa circa 50-100 euro per dipendente all'anno. Un gateway professionale costa 1-2 euro per casella al mese. Insieme, costano una frazione di un singolo attacco riuscito.
Se oggi ti affidi solo alla formazione, non sei protetto. Sei un po' meno vulnerabile di chi non fa nulla, ma sei comunque esposto.
Ecco i passi concreti:
La formazione allena l'occhio. La tecnologia blocca le minacce. Insieme, sono quasi imbattibili. Da sole, hanno buchi. Non lasciare che un buco diventi una breccia.
Prova MailSniper gratis per 30 giorni — la rete di sicurezza che i tuoi dipendenti (e il tuo business) meritano.
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUna nuova campagna di attacco sfrutta OAuth per rubare token di accesso a Microsoft 365, bypassando completamente l'autenticazione a più fattori. Ecco l'analisi tecnica completa con indicatori MITRE ATT&CK e mitigazioni prioritarie.
LeggiTA446 (SEABORGIUM/ColdRiver) sta sfruttando DarkSword per prendere di mira iPhone aziendali via phishing email. Ecco cosa fare lato server di posta e MDM per non ritrovarti a fare incident response il venerdì sera.
LeggiPer anni 'ho un iPhone' è sembrata una risposta sufficiente a qualsiasi preoccupazione sulla sicurezza. Poi è arrivato DarkSword — e quella certezza ha cominciato a scricchiolare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.