comprova
← Risorse
phishingsocial engineeringMFAawarenessNIS2

Attacchi alle persone e difese essenziali

Phishing, social engineering, autenticazione multifattore. Le minacce che bersagliano le persone e i controlli base per fermarle in azienda.

Claudio Bertani

I sistemi informatici moderni sono difficili da attaccare frontalmente. Firewall, antivirus, sistemi di rilevamento delle intrusioni alzano la barriera tecnica a un livello che richiede investimenti significativi per essere superata. Resta però un punto debole che nessuna tecnologia elimina del tutto: le persone. Questo articolo raccoglie tre temi che vanno letti insieme — phishing, social engineering e autenticazione a più fattori — perché coprono la superficie d'attacco più sfruttata oggi e il primo controllo tecnico in grado di neutralizzarla. È pensato per CEO, DG e responsabili IT di PMI che devono allineare la propria organizzazione agli obblighi NIS2, ma vale anche fuori da quel perimetro.

Come riconoscere il phishing

Il phishing è ancora la causa più comune di incidenti informatici nelle aziende. Secondo il Verizon Data Breach Investigations Report (DBIR), il fattore umano — spesso indotto da email fraudolente — è coinvolto nella grande maggioranza delle violazioni dei dati. Un dipendente formato, però, riconosce le tecniche più usate prima di cliccare.

Cos'è il phishing

Il phishing è un attacco in cui un criminale si spaccia per un'entità affidabile (banca, fornitore, collega, ufficio del CEO) per indurti a compiere un'azione pericolosa:

  • Cliccare un link che porta a una pagina falsa
  • Aprire un allegato infetto
  • Fornire credenziali, dati bancari o informazioni riservate

I 5 segnali di allarme principali

1. L'urgenza artificiale

"Il tuo account verrà sospeso entro 24 ore se non verifichi ora" "Pagamento urgente richiesto dal CEO — confidenziale"

L'urgenza serve a far agire senza pensare. Prendersi sempre 30 secondi per valutare prima di cliccare qualsiasi cosa.

2. Il dominio quasi-giusto

L'email arriva da fatture@microsoft-supporto.it invece di @microsoft.com. Guardare sempre il dominio completo del mittente, non solo il nome visualizzato.

Esempi comuni di spoofing di dominio:

  • paypa1.com (il numero 1 al posto della L)
  • unicredit-sicurezza.it (dominio diverso da quello ufficiale)
  • banca@intesa-sanpaolo-alert.com

3. Link che non portano dove sembrano

Prima di cliccare, passare il mouse sopra il link per vedere l'URL reale nella barra di stato del browser. Spesso il testo mostra un link credibile, ma la destinazione è tutt'altra.

Segnali di allarme:

  • URL con indirizzi IP numerici invece di un nome di dominio
  • Redirect attraverso accorciatori di link su contenuti non attesi
  • Form su pagine HTTP (non HTTPS) che richiedono dati sensibili

4. Allegati non attesi

Non aprire mai un allegato non atteso, anche se arriva da un mittente conosciuto. Se un collega invia un file non richiesto, contattarlo telefonicamente per confermare.

Formati tipicamente usati negli attacchi:

  • .docx e .xlsx con macro abilitate
  • .pdf con link incorporati a pagine false
  • .zip o .iso contenenti eseguibili

5. Tono o stile inconsueto

I phishing di massa hanno spesso errori grammaticali o uno stile impersonale. I phishing mirati (spear phishing) possono essere perfetti — ma la domanda da porsi è: questo messaggio è nel tono normale di questo mittente? Era attesa una richiesta di questo tipo?

Lo spear phishing: l'attacco personalizzato

Lo spear phishing è la variante più pericolosa: il criminale studia le sue vittime (LinkedIn, sito aziendale, notizie pubbliche) e invia messaggi altamente credibili con nomi reali, contesti plausibili e richieste verosimili.

Un esempio tipico: arriva un'email apparentemente dal CFO che chiede un bonifico urgente. Il nome è corretto, l'indirizzo email assomiglia a quello reale. Ma è falso.

Come ridurre il rischio:

  • Verificare sempre le richieste di pagamento o dati sensibili tramite un canale separato (telefono, messaggistica aziendale)
  • Adottare procedure interne per i bonifici (doppia autorizzazione per importi sopra soglia)
  • Segnalare immediatamente al responsabile IT qualsiasi richiesta insolita

Social engineering — l'attacco alle persone

Il social engineering è l'arte di manipolare le persone per indurle a compiere azioni che facilitano un attacco informatico. Non sfrutta vulnerabilità del software — sfrutta vulnerabilità della psicologia umana: fiducia, paura, autorità, urgenza, disponibilità ad aiutare. Il phishing visto nella sezione precedente è una delle sue varianti, ma non l'unica.

Le altre tecniche oltre al phishing via email

Vishing (voice phishing): telefonate in cui il criminale si spaccia per il supporto IT, la banca, l'INPS o un'autorità. Chiede credenziali, codici OTP, o induce a compiere azioni remote (come concedere accesso al PC).

Smishing (SMS phishing): messaggi SMS che simulano comunicazioni di banche, corrieri o servizi pubblici, con link a pagine false.

Pretexting: il criminale costruisce uno scenario credibile (il "pretext") per giustificare la richiesta. Esempi:

  • "Sono dell'IT, stiamo facendo una verifica dei backup. Ho bisogno delle sue credenziali per accedere al server."
  • "Sono un revisore inviato dalla sede centrale, mi serve accedere al gestionale per un controllo urgente."
  • "Sono un nuovo fornitore, mi hanno detto che lei può autorizzare l'accesso temporaneo alla rete Wi-Fi."

Nessuna di queste richieste è legittima. Ma suonano plausibili, soprattutto se fatte con sicurezza e nel momento giusto.

Baiting: si lascia un oggetto fisico o digitale che la vittima raccoglie volontariamente. L'esempio classico è la chiavetta USB lasciata nel parcheggio dell'azienda: la curiosità spinge chi la trova a inserirla nel PC per vedere cosa contiene. Il malware si attiva automaticamente. L'equivalente digitale è un link a un "documento condiviso" o a un "premio" che richiede di inserire le credenziali per accedere.

Tailgating (o piggybacking): accesso fisico non autorizzato ai locali aziendali sfruttando la cortesia altrui. Una persona con le braccia cariche di scatole si avvicina a una porta con accesso controllato: chi è dentro apre, per educazione. L'attaccante è entrato.

Quid pro quo: il criminale offre qualcosa in cambio di informazioni. "Ti aiuto a risolvere il problema del PC, nel frattempo puoi dirmi la tua password temporanea che usiamo per i reset?"

Le leve psicologiche sfruttate

Conoscere la tecnica non basta: bisogna capire perché funziona. I social engineer sfruttano principi psicologici documentati:

  • Autorità: le persone tendono a obbedire a chi percepiscono come in posizione di autorità (il CEO, l'IT, la banca).
  • Urgenza: il senso di urgenza riduce il tempo per pensare e verificare.
  • Paura: "Il tuo account è stato violato" genera reazioni impulsive.
  • Reciprocità: se qualcuno ci aiuta, ci si sente in obbligo di ricambiare.
  • Simpatia: è più difficile rifiutare richieste da persone che ci piacciono o che ci sembrano simili a noi.

Social engineering e NIS2

La formazione contro il social engineering rientra negli obblighi formativi dell'Art. 21.g (igiene informatica e formazione) e nell'Art. 20 per il management, che è spesso il bersaglio privilegiato degli attacchi più sofisticati. Il CEO, in particolare, è un obiettivo di valore per lo spear phishing e per il BEC (Business Email Compromise).

In sede di audit non basta dire "abbiamo formato il personale": serve la prova che la formazione su phishing e social engineering è avvenuta, per chi, in quale data, con quale esito. Comprova archivia ogni sessione formativa come evidenza datata nell'Evidence Vault, accessibile in un click insieme alle altre prove dell'Art. 21.

MFA come primo controllo da attivare

L'autenticazione a più fattori (MFA, o 2FA nella sua forma a due fattori) è citata esplicitamente nell'Art. 21, punto (j) della Direttiva NIS2. È uno dei pochi controlli tecnici menzionati per nome nella direttiva.

Il motivo è semplice: la MFA è il controllo singolo con il miglior rapporto tra costo di implementazione e riduzione del rischio. Protegge gli account anche quando le credenziali sono già compromesse — esattamente lo scenario in cui ci si trova dopo un phishing riuscito.

Cos'è l'autenticazione a più fattori

L'autenticazione tradizionale richiede una sola cosa: qualcosa che si sa (la password). La MFA aggiunge almeno un secondo fattore, scelto tra categorie diverse:

  • Qualcosa che si ha: un telefono (app authenticator), un token fisico, una smartcard
  • Qualcosa che si è: impronta digitale, riconoscimento del volto (biometria)

La combinazione di due fattori di categorie diverse rende enormemente più difficile un accesso non autorizzato: anche se un criminale ottiene la password (attraverso phishing, data breach di un altro servizio, o indovinandola), non può accedere all'account senza il secondo fattore.

Cosa dice la NIS2 sulla MFA

L'Art. 21, punto (j) richiede:

"uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti all'interno del soggetto, se del caso"

La locuzione "se del caso" lascia margine di valutazione, ma le linee guida ENISA e la prassi degli auditor convergono su un'indicazione chiara: la MFA deve essere implementata per tutti gli accessi a sistemi critici, e in particolare per gli accessi privilegiati (amministratori di sistema, accesso ai dati sensibili) e gli accessi remoti.

Dove attivare la MFA per prima cosa

Partendo da zero, l'ordine di priorità è:

  1. Accessi remoti (VPN, desktop remoto) — sono il vettore più sfruttato negli attacchi. Un accesso RDP senza MFA è una porta aperta.
  2. Email aziendale — è il bersaglio principale del phishing e il punto di accesso a molti altri servizi. Se la casella del CEO è compromessa, l'attaccante può resettare le password di tutto il resto.
  3. Applicativi gestionali e cloud (ERP, CRM, cloud storage) — dati aziendali critici. Una violazione qui può avere impatto operativo immediato.
  4. Account privilegiati (amministratori IT, accesso ai server) — alta priorità: chi ha accesso admin può fare danni enormi se l'account è compromesso.
  5. Tutti gli altri account interni — man mano che la maturità cresce, estendere la MFA a tutti gli utenti.

Quali metodi MFA usare

App authenticator (TOTP) — come Microsoft Authenticator, Google Authenticator, Authy. Genera un codice numerico che cambia ogni 30 secondi. È il metodo più diffuso e bilanciato tra sicurezza e usabilità. Non richiede connettività per generare il codice.

Notifica push — l'app sul telefono mostra una notifica da approvare. Più comodo del codice TOTP, ma richiede connettività e può essere vulnerabile ad attacchi "MFA fatigue" (l'utente stanco di ricevere notifiche clicca "approva" per errore).

Token fisico (hardware key) — dispositivi come YubiKey. Il livello di sicurezza più alto, difficile da phishare. Costo maggiore e gestione più complessa. Consigliato per gli account più privilegiati.

SMS — tecnicamente MFA, ma meno sicuro degli altri metodi per via del SIM swapping. Da usare solo se le alternative non sono praticabili.

Raccomandazione PMI. App authenticator (TOTP) come default per tutti gli utenti; token hardware tipo YubiKey per gli account admin e per chi ha accesso ai sistemi più sensibili. SMS solo come fallback temporaneo se l'utente non può installare l'app sul proprio dispositivo.

MFA e NIS2: non basta attivare, bisogna documentare

Come ogni controllo NIS2, l'attivazione della MFA deve essere:

  • documentata nella policy di gestione degli accessi;
  • tracciabile, sistema per sistema, utente per utente;
  • verificata periodicamente, perché un account privilegiato senza MFA è un gap da correggere subito.

In sede di audit la domanda dell'ispettore non è "avete la MFA?", ma "su quali sistemi, da quando, per chi, e come lo dimostrate?". Avere la risposta pronta — con un inventario degli accessi e l'evidenza della policy approvata — è la differenza tra un controllo passato e una raccomandazione formale.

Cosa insegnare ai dipendenti

I controlli tecnici reggono solo se le persone sanno come comportarsi. Tre comportamenti vanno trasmessi e ripetuti finché non diventano automatici.

Verificare sempre l'identità prima di eseguire una richiesta insolita, anche se il richiedente sembra legittimo. Una telefonata di conferma su un numero già conosciuto è sufficiente. Nessuno ha bisogno della password di un altro per fornirgli supporto — mai, nemmeno l'IT interno. Le richieste urgenti e fuori dall'ordinario non sono motivi per agire più in fretta, sono segnali di allarme.

Sapere cosa fare con un'email sospetta: non cliccare nulla (nemmeno "unsubscribe" o "rifiuta"), non rispondere (rispondendo si conferma che l'indirizzo è attivo), segnalare al responsabile IT o sicurezza, eliminare o spostare in spam. Se si è già cliccato su un link o inserito credenziali: avvisare immediatamente l'IT, cambiare le password interessate, documentare l'incidente con orario e dettagli.

Adottare una cultura della segnalazione senza imbarazzo. Segnalare un tentativo aiuta l'organizzazione a capire se è in corso un attacco mirato, anche se la persona non ci è "cascata". Chi segnala va ringraziato, non interrogato. Una mail di phishing arrivata a un dipendente è probabilmente arrivata a dieci colleghi.

Sul piano organizzativo, tre presidi non negoziabili: procedure chiare per le operazioni sensibili (bonifici, accessi, modifiche di sistema) con doppia autorizzazione per importi sopra soglia; policy di verifica dell'identità per le richieste fuori dall'ordinario; formazione periodica con esempi concreti, non slide generiche.

La consapevolezza decade velocemente. Un dipendente che non vede materiale di formazione da sei mesi è molto più vulnerabile di uno che l'ha rivisto il mese scorso. Non è questione di intelligenza: è questione di avere i pattern di riconoscimento freschi in mente. Per questo le simulazioni periodiche di phishing — fatte con tatto, senza esporre chi sbaglia — sono uno strumento efficace: misurano dove sta il rischio reale e tengono allenata la soglia di attenzione.

In sede di audit ACN serve la prova che la formazione su phishing, social engineering e gestione delle credenziali è avvenuta, per chi, in quale data, con quale esito. Comprova tiene traccia di ogni sessione formativa con timestamp ed esito e archivia il completamento di ciascun dipendente come evidenza datata nell'Audit Pack — pronto da esibire all'ACN insieme alle altre prove dell'Art. 21.