Team MailSniper
Autore
6,2 milioni. È il numero di clienti dell'operatore telefonico olandese Odido rimasti esposti dopo una violazione che ha aggirato l'autenticazione a due fattori e sfruttato Salesforce come vettore d'attacco. Non un bug di sistema. Non un ransomware (virus che blocca i file). Un essere umano che ha convinto un altro essere umano a fare la cosa sbagliata.
Questo è il social engineering: la tecnica che rende inutile qualsiasi investimento in firewall, antivirus e password complesse se il fattore umano non è protetto. Per il management di una PMI italiana, la lezione è scomoda ma chiara: il vostro perimetro di sicurezza è largo quanto il giudizio del dipendente più distratto. E quel giudizio si forma, quasi sempre, davanti a un'email.
So what? Ogni organizzazione che non ha un filtro email attivo e una politica di verifica delle identità digitali è esposta a un rischio paragonabile a lasciare la porta dell'ufficio aperta la notte. Il costo di prevenzione è misurabile in centesimi al giorno per casella. Il costo dell'incidente, in anni di lavoro.
Odido è uno dei principali operatori telefonici dei Paesi Bassi. Un attore malevolo ha ottenuto accesso al sistema CRM aziendale — Salesforce — attraverso un'operazione di social engineering: ha impersonato un tecnico autorizzato, ha convinto un dipendente a fornire le credenziali o ad autorizzare un accesso, e ha bypassato la MFA (autenticazione a più fattori, cioè il codice che arriva sul telefono per confermare l'identità).
Risultato: 6,2 milioni di record esposti. Nomi, indirizzi, dati di contatto. Potenzialmente anche informazioni commerciali sensibili.
La tentazione è di pensare: "Noi siamo piccoli, non siamo un target." È esattamente il contrario.
I report di settore — Verizon DBIR, Clusit — mostrano in modo coerente che le PMI rappresentano la maggior parte dei target negli attacchi di social engineering. Motivo semplice: meno risorse dedicate alla sicurezza, processi di verifica dell'identità più informali, maggiore fiducia interpersonale nei confronti di chi si presenta come "fornitore" o "supporto IT".
Il vettore principale di questi attacchi? L'email. Nella stragrande maggioranza dei casi documentati, la catena di attacco inizia con un messaggio di posta elettronica.
| Rischio | Probabilità media PMI | Costo medio incidente |
|---|---|---|
| Furto in ufficio | Bassa | €5.000 – €20.000 |
| Incendio parziale | Molto bassa | €10.000 – €50.000 |
| Causa legale da cliente | Bassa-media | €15.000 – €80.000 |
| Compromissione email/credenziali | Alta | €25.000 – €300.000+ |
Il rischio cyber, e in particolare quello legato alla posta elettronica, ha oggi una probabilità di occorrenza superiore a quasi tutti i rischi tradizionali che le aziende assicurano da decenni. Eppure spesso non è coperto, né presidiato.
Immaginate una PMI manifatturiera con 80 dipendenti. L'ufficio acquisti riceve un'email dall'indirizzo del fornitore storico di componenti. Il testo è professionale, il logo è quello giusto, la firma è identica. L'email chiede di aggiornare l'IBAN per i pagamenti futuri — "nuovo conto aziendale per ottimizzazione fiscale."
Settimana 1: L'email arriva, supera il filtro base del provider (Gmail o Microsoft 365 standard), finisce nella posta in arrivo. Il responsabile acquisti la legge, riconosce il fornitore, aggiorna l'IBAN nel gestionale.
Settimane 2-4: Vengono effettuati tre bonifici per un totale di €87.000. Il fornitore reale chiama chiedendo il pagamento. L'azienda scopre la truffa.
Mesi 2-6: Avvocati, denuncia alla Polizia Postale, tentativi di recupero fondi (raramente efficaci oltre il 20% dell'importo). Notifica al Garante Privacy se erano coinvolti dati personali — obbligo GDPR entro 72 ore dalla scoperta. Revisione interna dei processi. Tensioni con il fornitore.
Costo totale stimato:
| Voce | Importo |
|---|---|
| Fondi persi (recupero parziale) | €70.000 |
| Consulenza legale | €8.000 |
| Consulenza cybersecurity post-incidente | €6.000 |
| Ore interne perse (revisioni, audit) | €12.000 |
| Danno reputazionale con fornitore | Non quantificabile |
| Totale | ~€96.000+ |
Settimana 1: L'email viene analizzata in tempo reale. Il sistema rileva che il dominio mittente è stato registrato sei giorni prima (il fornitore reale esiste da dodici anni), che l'IP di invio non corrisponde all'infrastruttura storica del fornitore, e che il contenuto contiene pattern tipici delle truffe BEC (Business Email Compromise — frode via email aziendale). L'email viene bloccata o messa in quarantena con segnalazione.
Il responsabile acquisti non vede il messaggio. Oppure lo vede con un avviso chiaro: "Messaggio sospetto — verificare telefonicamente prima di agire." Chiama il fornitore. Nessun bonifico effettuato.
Costo totale:
| Voce | Importo |
|---|---|
| Protezione email (80 caselle × €1,20/mese) | €96/mese — €1.152/anno |
| Tempo per gestire l'avviso | 15 minuti |
| Totale | €1.152/anno |
Differenza: €96.000 vs €1.152. Rapporto 83:1.
Questo non è un calcolo teorico. È la matematica dell'assicurazione applicata al rischio cyber. Nessun CFO comprerebbe un immobile da cinque milioni di euro senza polizza incendio da duemila all'anno. La logica è identica.
Nell'incidente Odido, l'operatore ha dovuto notificare 6,2 milioni di persone. In Europa, la notifica agli interessati in caso di data breach (violazione dei dati personali) non è facoltativa: è un obbligo GDPR con scadenze precise e sanzioni fino al 4% del fatturato annuo globale in caso di inadempienza.
Per una PMI italiana con 50-200 dipendenti, i costi diretti di un incidente email includono:
Più difficili da quantificare, ma spesso più pesanti nel lungo termine:
I servizi di protezione email professionale — con analisi AI semantica, sandboxing degli allegati (apertura sicura in ambiente isolato), URL analysis real-time — hanno oggi costi accessibili anche per le PMI. Per approfondire le funzionalità disponibili, la pagina come funziona offre un quadro completo delle tecnologie in campo.
Mettendo in relazione i costi:
| Dimensione azienda | Costo protezione/anno | Soglia di pareggio |
|---|---|---|
| 30 caselle | ~€540 | Supera con 1 ora di fermo operativo |
| 80 caselle | ~€1.152 | Supera con meno di 1 giorno di fermo |
| 150 caselle | ~€1.782 | Supera con un singolo bonifico errato |
La protezione si ripaga con un singolo incidente sventato. Non con dieci. Con uno.
Questo non è un elenco tecnico per l'IT. È un piano decisionale per il management.
Chi decide: CEO o CFO, con delega all'IT manager o al consulente esterno.
Cosa fare: Chiedere una risposta scritta a queste quattro domande:
Se non avete risposte certe alle prime tre, avete un'esposizione al rischio non presidiata. Non è un giudizio: è una fotografia.
Budget: Zero. È un'analisi interna.
Chi decide: CEO con approvazione del CFO.
Cosa fare: Valutare soluzioni di protezione email con un periodo di prova. I criteri di valutazione non devono essere tecnici — devono essere business:
Le opzioni disponibili, con relativo calcolatore del costo in base al numero di caselle, sono confrontabili nella pagina servizi e prezzi.
Budget stimato: Da €0,99 a €1,50 per casella al mese. Per 80 caselle: tra €80 e €120 al mese — meno del costo di un pranzo aziendale mensile.
Chi decide: CEO o HR Manager.
Cosa fare: Introdurre tre regole semplici, non negoziali, per le operazioni ad alto rischio:
Budget: Minimo. Il protocollo si definisce in mezza giornata di lavoro. Per le domande operative più frequenti su questi processi, la sezione FAQ raccoglie le risposte più utili per le PMI italiane.
Il caso Odido non è una storia di tecnologia fallita. È una storia di processo umano non presidiato. Gli attaccanti non hanno bucato un server — hanno telefonato (o scritto) alla persona giusta nel momento giusto. Questo tipo di attacco non si ferma con un antivirus. Si ferma con un filtro email che analizza il comportamento del mittente prima che il messaggio arrivi al dipendente, e con un protocollo interno che rende sistematica la verifica delle richieste critiche. Proteggere la posta elettronica — come propone MailSniper a partire da €0,99 per casella al mese — è la prima linea di difesa. La seconda è un management che decide di trattare il rischio cyber con la stessa serietà con cui tratta un contratto d'affitto o una polizza RC. Non perché sia obbligatorio. Perché è razionale.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl GDPR impone obblighi specifici sulla sicurezza delle comunicazioni email. Ecco cosa devono sapere le aziende italiane per essere conformi e protette.
LeggiRimborsi falsi, cartelle esattoriali urgenti, PEC compromesse: le truffe via email che sfruttano il nome dell'Agenzia delle Entrate sono sempre piu' sofisticate. Ecco i 5 tipi piu' comuni nel 2026, i 7 segnali per riconoscerle e cosa fare per proteggerti.
LeggiScegliere la protezione email aziendale giusta nel 2026 non e' banale: troppe opzioni, troppo marketing, poca chiarezza. Questa guida ti aiuta a valutare con criterio, evitare errori comuni e trovare la soluzione adatta alla tua azienda.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.