Il phishing (o hameçonnage) è una tecnica di frode online che consiste nell'inviare email, SMS o messaggi che imitano comunicazioni legittime (banca, amministrazione, datore di lavoro) per ingannare la vittima e sottrarle informazioni riservate — password, dati bancari, credenziali professionali. Il phishing è il vettore di attacco più utilizzato: il 91% degli attacchi informatici inizia con un'email fraudolenta (Proofpoint 2024).

Lo spear phishing è una variante mirata del phishing classico: invece di inviare milioni di email generiche, gli aggressori personalizzano l'attacco usando informazioni reali sulla vittima (nome del responsabile, progetto in corso, nome di un fornitore). Questo targeting rende l'email molto più credibile. Lo spear phishing rappresenta il 66% delle violazioni di dati confermate (Verizon DBIR 2024). Con l'IA, gli aggressori possono ora generare queste email personalizzate su larga scala — il costo di un attacco mirato è notevolmente diminuito.

In una PMI, tutti i collaboratori devono essere formati, almeno sulle basi della cybersecurity. Ogni profilo è coinvolto: l'amministrazione che gestisce documenti sensibili, il commerciale che comunica via email con l'esterno o il tecnico che accede agli strumenti di gestione. La formazione deve essere adattata al ruolo e ai rischi associati a ciascuna posizione.

Inoltre, i team tecnici, i referenti per la sicurezza (quando presenti) e la direzione devono seguire una formazione più approfondita per comprendere le problematiche, guidare le decisioni e reagire efficacemente in caso di incidente. In una PMI, dove le risorse sono limitate, formare in modo intelligente e progressivo è spesso più realistico che puntare all'esaustività.

La formazione teorica da sola non è sufficiente: gli studi dimostrano che i collaboratori dimenticano il 70% del contenuto di una formazione nella settimana successiva (Ebbinghaus, confermato in numerosi studi sull'e-learning). L'approccio più efficace combina simulazione e formazione correttiva: inviare vere campagne di phishing simulato (tramite PhishTrainer), identificare i collaboratori che cliccano, quindi reindirizzarli automaticamente verso una formazione mirata (Bexxo Academy). Questo metodo riduce il tasso di clic del 60-70% in sei mesi (Proofpoint 2024). Le simulazioni regolari (4-6 all'anno) mantengono il livello di vigilanza nel tempo.

Il simulatore di phishing è integrato in Bexxo Academy e funziona in sinergia con PhishTrainer, il nostro software dedicato. Campagne di email fraudolente simulate vengono inviate ai collaboratori — senza pericolo reale. I clic e le azioni vengono registrati, e ogni collaboratore che ha cliccato riceve immediatamente una formazione correttiva. I manager accedono a report dettagliati per servizio o team per indirizzare le azioni di formazione. Le email di phishing generate dall'IA hanno un tasso di clic 4 volte superiore alle email manuali (APWG / Keepnet 2025).

In pochi clic, si configura una campagna: selezione dei destinatari, scelta di un modello di email fraudolenta (falso accesso Microsoft, consegna di pacco, richiesta HR…), definizione del timing. Le email vengono inviate ai collaboratori. Ogni azione viene registrata: apertura, clic su un link, inserimento di dati. I collaboratori che hanno interagito ricevono immediatamente un messaggio educativo. Un dashboard dettagliato presenta i risultati per team, reparto o divisione.

L'IA generativa ha radicalmente cambiato la minaccia phishing dal 2023. Tre sviluppi principali:

• Email perfettamente redatte — finiti gli errori di ortografia che permettevano di rilevare un phishing. I LLM generano email in italiano impeccabile, adattate al tono dell'azienda presa di mira. Le email generate dall'IA hanno un tasso di clic 4 volte superiore alle email manuali (APWG / Keepnet 2025).
• Personalizzazione su larga scala — l'IA può analizzare il profilo LinkedIn, i post pubblici e il sito web di un bersaglio per creare uno spear phishing ultra-realistico in pochi secondi. Quello che richiedeva ore a un aggressore umano ora richiede pochi secondi.
• Deepfake vocali e video — chiamate vishing che imitano la voce di un dirigente o intere videoconferenze con avatar deepfake sono già state utilizzate per scatenare bonifici fraudolenti (casi documentati nel 2024 a Hong Kong: 25 milioni di USD persi).

La conseguenza diretta: la vigilanza umana da sola non è più sufficiente. La simulazione regolare (PhishTrainer) e la formazione continua (Bexxo Academy) sono indispensabili per mantenere un livello di difesa adeguato alla minaccia attuale.

L'efficacia di una formazione cybersicurezza si misura concretamente con indicatori comportamentali:

• Tasso di clic su phishing simulato — prima/dopo la formazione. Un buon programma riduce questo tasso di oltre il 70% in 6 mesi.
• Tasso di segnalazione — numero di collaboratori che segnalano attivamente un tentativo di phishing sospetto.
• Punteggio di completamento Academy — percentuale di moduli completati e risultati ai quiz.
• Evoluzione nel tempo — dashboard PhishTrainer con cronologia su 12 mesi.

Queste metriche sono disponibili nella dashboard Bexxo ed esportabili per i rapporti di conformità nLPD.

Due opzioni: accesso diretto alla piattaforma online (academy.bexxo.ch) con creazione di account per i vostri collaboratori e dashboard di monitoraggio; oppure formazione su misura in presenza nei nostri locali a Ins (BE) o direttamente nella vostra azienda. Contattateci tramite il modulo di questa pagina per un colloquio gratuito senza impegno — definiamo insieme il programma adatto alla vostra dimensione e ai vostri obiettivi.

PhishTrainer genera report dettagliati dopo ogni campagna: tasso di apertura, tasso di clic, tasso di inserimento dati — per team, reparto e collaboratore. Moltiplicando le campagne su 6-12 mesi, si osserva la progressione: le aziende che simulano regolarmente riducono il loro tasso di clic medio del 60-70% (Proofpoint 2024). Questi report documentano l'evoluzione della maturità cybersecurity dell'organizzazione e possono essere presentati durante audit interni o controlli IFPDT.

I principali segnali di allarme sono: un indirizzo del mittente leggermente diverso dall'originale (es. support@rnazonl.com invece di @amazon.com), un senso di urgenza o minaccia che spinge ad agire in fretta, una richiesta di password o dati bancari, un URL del link che non corrisponde al sito previsto (verificare prima di cliccare), errori di ortografia o impaginazione. Attenzione: le email generate dall'IA sono ora perfettamente redatte — la grammatica da sola non basta più per rilevarle.

Bexxo Academy (academy.bexxo.ch) è la piattaforma di formazione cybersecurity di Bexxo, dedicata alle PMI svizzere, ai loro dipendenti e al grande pubblico. Offre moduli interattivi, simulatori di phishing, quiz, video e giochi pedagogici, accessibili 24h/24 da qualsiasi dispositivo. Si completa con sessioni in presenza nei locali Bexxo a Ins (BE), fino a 20 persone.

PhishTrainer è un software svizzero di simulazione di phishing sviluppato da Bexxo. Invia vere campagne di email fraudolente simulate ai collaboratori di un'azienda — senza rischi reali — per testare la loro vigilanza, identificare i profili vulnerabili e misurare l'efficacia delle formazioni. I dati rimangono ospitati in Svizzera, conformemente alla nLPD. PhishTrainer funziona in sinergia con Bexxo Academy, la piattaforma e-learning di Bexxo.

La formazione cybersicurezza in azienda è un programma strutturato che insegna ai collaboratori a riconoscere ed evitare le minacce informatiche quotidiane: phishing, ingegneria sociale, password deboli, comportamenti a rischio. A differenza delle soluzioni puramente tecniche, si rivolge alla principale vulnerabilità delle organizzazioni: l'essere umano. Da Bexxo, la formazione combina simulazione reale tramite PhishTrainer (campagne di finte e-mail di phishing) e apprendimento interattivo tramite Bexxo Academy (moduli, quiz, video). Il 68% delle violazioni di dati implica l'errore umano (Verizon DBIR 2024).

Agire immediatamente: (1) scollegarsi dalla rete aziendale (Wi-Fi, cavo); (2) segnalare l'incidente al reparto IT o al responsabile della sicurezza senza attendere — per telefono, non via email; (3) cambiare la password da un altro dispositivo sicuro; (4) non eliminare l'email sospetta, serve per l'analisi forense; (5) attivare l'MFA se non è ancora stato fatto. Prima si agisce, più i danni possono essere limitati.