Redazione
Nel 2025, il phishing e le tecniche di ingegneria sociale (social engineering) si sono confermati tra le minacce più diffuse in Italia, e spesso vengono combinate con malware per aumentare l’efficacia. Secondo i dati più recenti presenti nel Rapporto Clusit 2026, sono cresciuti del 66% rispetto al 2024. Non si tratta più di e-mail scritte in modo scorretto e facilmente riconoscibili. Le campagne malevoli si sono evolute: sfruttano l’intelligenza artificiale, imitano perfettamente il linguaggio istituzionale e si adattano al contesto culturale delle vittime, rendendo sempre più difficile distinguere il vero dal falso.
Quando la fiducia diventa una vulnerabilità
Oggi come oggi, gran parte degli attacchi di phishing passa ancora dalla posta elettronica. Proprio per questo, è consigliabile usare servizi mail capaci di garantire elevati livelli di sicurezza e protezione della privacy. Questo rappresenta un primo passo fondamentale, ma sfortunatamente non basta perché il phishing non attacca il sistema: attacca la nostra percezione. Si insinua nei gesti quotidiani, nelle abitudini automatiche e nella fretta con cui apriamo un messaggio e clicchiamo senza riflettere. Ed è proprio qui che si gioca una partita cruciale: quella della fiducia. Quest’ultima diventa una vulnerabilità che viene sfruttata dagli hacker che scelgono di inviare messaggi di posta elettronica estremamente simili e fedeli a quelli inviati da banche e altre istituzioni.
Le leve psicologiche: paura, urgenza e autorità
Oltre a quanto detto, l’ingegneria sociale è, per definizione, l’arte di ottenere informazioni attraverso l’inganno, sfruttando proprio i comportamenti umani. Le tecniche più comuni oggi fanno leva su meccanismi emotivi profondi:
- Urgenza: “Il tuo account verrà bloccato entro 24 ore”.
- Paura: “Attività sospetta rilevata”.
- Autorità: messaggi che imitano banche, enti pubblici o aziende note.
- Senso di colpa o responsabilità: richieste che spingono ad agire “per risolvere un problema”.
Questi stimoli attivano risposte automatiche nel cervello, riducendo la nostra capacità di analisi critica. Recenti studi sulla psicologia applicata alla cybersecurity dimostrano che l’urgenza e la paura aumentano il carico cognitivo e favoriscono le decisioni impulsive, rendendo più probabile la riuscita dell’attacco.
Un inganno sempre più sofisticato
Nel panorama attuale, il phishing non è più un attacco generico, ma è personalizzato, mirato e costruito su misura. Non a caso, nel 2025 è stato registrato un aumento significativo del cosiddetto spear phishing, in cui i messaggi vengono adattati alle caratteristiche della vittima, utilizzando le informazioni raccolte online o sui social. L’intelligenza artificiale ha ulteriormente amplificato questo fenomeno, eliminando gli errori grammaticali e rendendo i messaggi quasi indistinguibili da quelli reali.
In altre parole, il phishing funziona perché non appare come un attacco, ma convince perché sembra vero. È un’architettura invisibile, costruita su dettagli familiari – come un logo, un tono formale, una richiesta plausibile e non solo – e per questo risulta difficile da smascherare.
Pertanto, la sicurezza informatica non può limitarsi alla tecnologia. Deve includere altresì la comprensione di noi stessi, delle nostre reazioni e delle nostre abitudini digitali. Fermarci un attimo a riflettere e a verificare con attenzione la veridicità di una mail – invece che lasciarci guidare solo dalle emozioni – è il passo decisivo per fare in modo che le nostre fragilità emotive non diventino i punti di forza dei cybercriminali.