Dal phishing tradizionale alle nuove tecniche
Per anni il phishing è stato sinonimo di email mal scritte e promesse palesemente false. Oggi la realtà è un'altra: gli attacchi sono raffinati, mirati e spesso difficili da distinguere da comunicazioni legittime.
Le varianti che incontriamo più spesso sono:
- Smishing: messaggi SMS che imitano banche, corrieri o enti.
- Vishing: telefonate fraudolente, talvolta con manipolazioni vocali.
- QRishing: QR code che rimandano a siti malevoli, diffusi su volantini, menu o poster.
- Deepfake phishing: audio e video generati con intelligenza artificiale per imitare persone reali.
Il risultato è che la trappola non è più un errore di battitura: è una replica credibile del mondo reale.
La logica dell'attacco: social engineering e raccolta dati
Dietro ogni attacco c'è un lavoro di preparazione. L'attaccante raccoglie informazioni pubbliche (OSINT) dai social, da LinkedIn, dal sito aziendale. Con quei dati confeziona un messaggio su misura.
Le leve psicologiche usate sono semplici e efficaci: urgenza, paura e fiducia. Un ordine dall'alto, una scadenza imminente, il timore di perdere accessi o opportunità. Tutto questo aumenta la probabilità che la vittima segua le istruzioni.
Tecnica e psicologia si combinano: non serve un hacker super esperto. Basta sapere sfruttare le informazioni giuste.
Indicatori di compromissione
Anche gli attacchi più sofisticati lasciano segnali. Ecco cosa guardare:
- mittenti con domini simili ma non identici all'originale;
- link accorciati o mascherati che puntano a siti non sicuri;
- richieste anomale, in particolare per transazioni o trasferimenti;
- messaggi che spingono all'azione immediata;
- nei deepfake: lievi distorsioni audio, pause innaturali o incoerenze visive.
Regola pratica: verifica sempre 'fuori banda'. Se ricevi una richiesta via email o telefono, confermala con un'altra chiamata o messaggio verso il contatto ufficiale.
Misure difensive a livello individuale
Per chi usa servizi online ogni giorno, alcune semplici scelte riducono molto il rischio:
- usare un password manager per evitare il riuso delle credenziali;
- attivare l'autenticazione a più fattori (MFA) ove possibile;
- mantenere sistema operativo e app aggiornati;
- non aprire link o QR code senza verificarne la fonte;
- limitare le informazioni pubbliche che possono alimentare l'OSINT.
Sono azioni pratiche, immediatamente applicabili. Non chiedono investimenti complicati, solo disciplina.
Misure difensive a livello aziendale
Le aziende devono pensare in termini di processi e ridondanza. Le misure più efficaci includono:
- programmi di formazione regolari per tutto il personale;
- simulazioni di phishing per valutare la resilienza interna;
- procedure di doppia conferma per pagamenti e richieste sensibili;
- approccio Zero Trust: non assumere fiducia implicita in nessun utente o device;
- sistemi di monitoraggio per individuare comportamenti anomali.
In pratica, la protezione è tanto culturale quanto tecnologica: la procedura conta quanto l'antivirus.
Quadro normativo e responsabilità
Dal punto di vista penale e della protezione dei dati, il phishing ha conseguenze chiare e rilevanti.
Sul piano penale, molte condotte rientrano nell'art. 640-ter c.p. (truffa informatica). In alcuni casi può trovare applicazione anche l'art. 640 c.p. (truffa comune), a seconda delle modalità del fatto.
Sul piano della protezione dei dati, il Regolamento (UE) 2016/679 (GDPR) impone obblighi stringenti: l'art. 33 GDPR richiede la notifica all'autorità di controllo 'senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della violazione'. L'art. 34 GDPR, invece, disciplina la comunicazione agli interessati quando la violazione comporta un rischio elevato per i diritti e le libertà delle persone.
Le sanzioni amministrative previste dall'art. 83 GDPR possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda del maggiore importo.
Per un'azienda la mancata gestione corretta di un data breach non è solo un problema tecnico: è una esposizione legale e finanziaria significativa.
A cura degli studenti di Giurisprudenza e Ingegneria Informatica
