Phishing con intelligenza artificiale: le email false che nessuno riconosce più
Nel 2025 il phishing ha rappresentato il 47% di tutti gli incidenti informatici in Italia. Oggi le email truffa sono generate dall'AI: perfette, contestualizzate, quasi impossibili da riconoscere. Cosa è cambiato — e come difendersi.
Arriva un'email dal tuo fornitore storico. Il tono è quello giusto, ci sono i riferimenti ai lavori in corso, nessun errore di italiano. Ti chiede di aggiornare le coordinate bancarie per il prossimo pagamento, con una certa urgenza perché "il conto corrente è in fase di migrazione".
Tutto sembra normale. Il tuo responsabile amministrativo autorizza il bonifico.
Tre giorni dopo scopri che il fornitore non ha mai mandato quell'email.
Questo scenario si ripete ogni settimana nelle aziende italiane. Non è fantascienza, non riguarda solo le grandi imprese: nel 2025 il phishing ha rappresentato il 47% di tutti gli incidenti informatici in Italia, ed è in forte crescita. La domanda che molti titolari si fanno — "come faccio a riconoscerla, se sembra identica a una vera?" — è esattamente quella giusta. E la risposta, purtroppo, non è semplice.
Cos'è cambiato: il phishing non è più quello di una volta
Fino a pochi anni fa, un'email di phishing si riconosceva abbastanza facilmente: italiano stentato, link strani, mittente palesemente inventato, grafica approssimativa. Oggi quelle email le cestina anche il filtro antispam di base.
Il problema è che il phishing è radicalmente cambiato, grazie all'intelligenza artificiale generativa.
| Phishing tradizionale | Phishing con AI | |
|---|---|---|
| Linguaggio | Errori grammaticali, tono generico | Italiano perfetto, tono contestualizzato |
| Mittente | Indirizzi ovviamente falsi | Domini quasi identici agli originali |
| Contenuto | Generico, uguale per migliaia di destinatari | Personalizzato sul destinatario specifico |
| Grafica | Approssimativa | Identica ai siti/brand imitati |
| Rilevamento | Filtri standard lo bloccano | I sistemi tradizionali rilevano solo il 23% di queste email |
L'AI consente ai criminali di generare messaggi su misura in pochi secondi, scalando un'operazione che prima richiedeva settimane di lavoro manuale.
Lo spear phishing: quando ti studiano prima di colpirti
La variante più pericolosa si chiama spear phishing — e il nome non è casuale. Non è un attacco a pioggia, ma una lancia precisa, puntata su un bersaglio specifico.
Ecco come funziona nella pratica:
- Raccolta informazioni: l'AI analizza il sito web dell'azienda, i profili LinkedIn dei dipendenti, le comunicazioni pubbliche, i fornitori citati sui social o nelle news.
- Costruzione del profilo: identifica chi ha potere di firma, chi gestisce i pagamenti, chi risponde alle email fuori orario.
- Generazione del messaggio: produce un'email contestualizzata — con nomi reali, riferimenti a progetti in corso, linguaggio coerente con il settore.
- Invio e attesa: il messaggio arriva nel momento giusto, magari venerdì pomeriggio quando il responsabile è di fretta.
Il risultato è un'email che sembra scritta da qualcuno che conosce davvero l'azienda. Perché, in un certo senso, lo è — solo che quell'"intelligenza" lavora per i criminali.
Le grandi aziende investono in sicurezza. Le PMI, spesso, no — o non abbastanza. Per i cybercriminali questo le rende bersagli ideali: numerose, con dati e denaro reali, ma con difese più fragili. Non è un caso che quasi una PMI italiana su quattro abbia già subito almeno un attacco informatico negli ultimi tre anni.
Il paradosso è che molti titolari sono convinti di non essere "abbastanza interessanti" per un attacco mirato. Ma con l'AI, anche colpire un'azienda da 15 dipendenti è diventato economicamente conveniente per chi attacca.
Come riconoscere un'email di phishing oggi: 5 regole pratiche
Le difese tecniche sono fondamentali — ne parliamo tra poco — ma la prima linea di difesa rimane sempre il buon senso. Ecco cosa applicare e insegnare ai propri collaboratori.
1. Controlla il dominio del mittente, carattere per carattere
Non guardare il nome visualizzato ("Mario Rossi - Fornitori Srl"), ma l'indirizzo email completo. I criminali usano domini quasi identici agli originali:
fatture@fornitore.it ← originale
fatture@forn1tore.it ← truffa (la "i" è diventata "1")
fatture@fornitore-italia.it ← truffa (dominio aggiuntivo)
Basta un secondo di attenzione in più.
2. Riconosci l'urgenza artificiale
"Pagamento entro oggi pena sospensione del servizio", "Azione immediata richiesta", "Rispondere entro 2 ore". L'urgenza è la leva psicologica principale. Una richiesta legittima di un fornitore, di una banca, di un partner raramente ha quella pressione. Quando senti urgenza, rallenta.
3. Non cliccare il link: digita tu l'indirizzo
Se un'email ti invita su un sito (per aggiornare dati, confermare un ordine, scaricare un documento), non cliccare il link nel testo. Apri il browser e digita tu l'indirizzo che già conosci. Semplice, ma efficace.
4. Conferma sempre su un altro canale
Ti arriva una richiesta insolita — coordinate bancarie nuove, un accesso urgente, un documento da firmare? Prima di fare qualsiasi cosa, chiama il mittente al numero che già hai in rubrica (non quello eventualmente indicato nell'email stessa). Trenta secondi al telefono possono valere migliaia di euro.
5. Attiva la verifica in due passaggi su tutti gli account
L'autenticazione a due fattori (2FA) è la rete di sicurezza che vale anche se le credenziali vengono rubate. Se un dipendente cade in un phishing e inserisce la sua password su un sito falso, il 2FA impedisce comunque l'accesso ai sistemi aziendali. È uno dei controlli più semplici da attivare e tra i più efficaci in assoluto.
Le difese tecniche: cosa fanno le aziende che si proteggono davvero
Le cinque regole sopra sono il minimo indispensabile. Ma contro il phishing AI-driven servono anche strumenti tecnologici adeguati. Ecco su cosa si basano le aziende che gestiscono il rischio in modo strutturato.
Filtri email avanzati con analisi AI
I filtri antispam tradizionali non bastano più — come abbiamo visto, riconoscono solo una piccola parte delle email fraudolente generate con AI. I sistemi moderni utilizzano a loro volta l'intelligenza artificiale per analizzare non solo il contenuto del messaggio, ma il comportamento del mittente, la reputazione del dominio, i pattern storici di comunicazione.
Microsoft 365 include al suo interno strumenti di protezione avanzata della posta come Microsoft Defender for Office 365, con funzionalità di anti-phishing, safe links e safe attachments che lavorano in tempo reale su ogni messaggio ricevuto.
Per molte PMI che già usano la suite Microsoft, si tratta di attivare e configurare correttamente quello che è già incluso nella licenza. Come partner certificati Microsoft, possiamo verificare la configurazione attuale e attivare i livelli di protezione più adeguati al vostro profilo di rischio.
Autenticazione a due fattori su tutti gli accessi aziendali
Non solo la posta, ma tutti gli account: gestionali, cloud, VPN, pannelli di controllo. La 2FA deve essere una policy aziendale, non una scelta lasciata al singolo dipendente.
Formazione del personale (e simulazioni di attacco reali)
Il fattore umano rimane l'anello più vulnerabile. Un percorso di security awareness — anche di poche ore all'anno — riduce drasticamente il tasso di successo degli attacchi di phishing. Ancora più efficaci sono le simulazioni controllate: email di phishing false inviate ai dipendenti per misurare chi clicca, con formazione immediata per chi "cade". Non è punizione, è allenamento.
Monitoraggio continuo degli accessi e degli alert
Sapere in tempo reale se qualcuno sta accedendo ai sistemi aziendali da una posizione anomala, in un orario insolito, o da un dispositivo non riconosciuto — e ricevere un alert immediato — può fare la differenza tra bloccare un attacco in corso e scoprirlo settimane dopo.
Il tempo medio in Italia tra il momento in cui un sistema viene compromesso e quello in cui l'azienda se ne accorge è di quasi 287 giorni. Quasi dieci mesi durante i quali un attaccante può osservare, raccogliere dati, prepararsi — e colpire nel momento più conveniente.
Non sempre l'obiettivo è un bonifico immediato. A volte è l'accesso ai contratti con i clienti, ai preventivi, alle comunicazioni interne. Informazioni che valgono molto, anche rivendute.
Da dove iniziare: il check-up della tua configurazione email
Se non sei sicuro di come sia configurata attualmente la posta della tua azienda — quali filtri sono attivi, se la 2FA è abilitata ovunque, se i tuoi domini sono protetti da spoofing — il primo passo è una verifica.
Offriamo un check-up gratuito della configurazione email e degli accessi aziendali. In circa 30 minuti siamo in grado di dirti dove sei esposto, cosa è già a posto e cosa invece va sistemato — senza impegno, senza tecnicismi, con indicazioni concrete.
Richiedi il check-up gratuito della tua configurazione email →
Compila il form dalla nostra pagina di assistenza: ti rispondiamo entro 24 ore lavorative con un'analisi personalizzata per la tua realtà aziendale.
📋 Vai alla pagina di assistenza | 📧 [Clicca per visualizzare]
La sicurezza informatica non è una spesa: è quello che impedisce che una singola email costi più di quanto avresti mai immaginato.