Tecnologia

Phishing e LLM: nuove truffe, vecchie falle

undefined

In sintesi

  • Gli attacchi di phishing con AI sono cresciuti del 135% nel 2024, con email sempre più difficili da distinguere da comunicazioni legittime
  • I Large Language Model permettono ai criminali di creare campagne personalizzate in massa, superando le barriere linguistiche e culturali
  • Le policy di sicurezza tradizionali non bastano più: serve ripensare formazione e processi interni entro il 2025
  • Il fattore umano resta l’anello debole, ma con indicatori di rischio completamente diversi da quelli che conosciamo

La mail del CEO che chiede un bonifico urgente. Il messaggio del fornitore con la fattura da pagare subito. La notifica della banca per un accesso sospetto. Fino a ieri, bastava un occhio attento per riconoscere gli errori grammaticali, le formule strane, quei dettagli che tradivano il tentativo di truffa. Oggi, con il phishing con AI, quelle email sono indistinguibili da quelle vere. E il problema non è tecnologico: è umano.

Le aziende italiane stanno scoprendo sulla propria pelle che i sistemi di protezione su cui hanno investito negli ultimi anni non bastano più. Non quando un criminale può generare migliaia di email perfette in italiano, personalizzate per ogni destinatario, con riferimenti precisi a progetti reali dell’azienda. Il 2025 sarà l’anno della resa dei conti: chi non adegua le proprie difese rischia perdite milionarie.

Social engineering potenziato: quando l’AI studia la tua azienda

Il social engineering non è più quello di una volta. Se prima un attaccante doveva studiare manualmente l’organigramma aziendale, oggi un LLM può analizzare in pochi minuti LinkedIn, il sito aziendale, le news di settore e costruire un profilo dettagliato di ogni dipendente. Nome del responsabile acquisti, progetti in corso, fornitori abituali, persino il tono delle comunicazioni interne.

Un’azienda manifatturiera di Brescia ha scoperto questo nuovo livello di sofisticazione quando il CFO ha ricevuto una richiesta di pagamento dal CEO, in trasferta in Germania. Il messaggio citava il progetto di espansione discusso nel CdA della settimana prima, usava il gergo aziendale corretto, persino la firma email era identica. Solo un dettaglio ha salvato l’azienda da un bonifico di 800.000 euro: il CEO non era in Germania.

I criminali usano il phishing con AI per creare quello che gli esperti chiamano “deep context attacks”: attacchi che dimostrano una conoscenza profonda del contesto aziendale. Non più email generiche che parlano di “gentile cliente”, ma messaggi che citano il nome del progetto interno, il codice fornitore corretto, la scadenza reale di un pagamento.

Sicurezza email: perché i filtri tradizionali non funzionano più

I sistemi di sicurezza email che le aziende hanno implementato negli ultimi anni si basano su pattern recognition: identificano schemi ricorrenti nelle truffe, errori grammaticali, domini sospetti. Ma quando un LLM genera il testo, questi indicatori spariscono. Le email sono grammaticalmente perfette, il tono è professionale, i domini possono essere compromessi o molto simili a quelli legittimi.

Secondo il rapporto Clusit 2024, il 67% degli attacchi di phishing con AI ha superato i filtri antispam aziendali. Un dato che dovrebbe far riflettere ogni responsabile IT: due email su tre generate con intelligenza artificiale arrivano nelle caselle dei dipendenti. E una volta lì, il fattore umano diventa determinante.

Le aziende stanno scoprendo che investire solo in tecnologia non basta. Un sistema di sicurezza email efficace nel 2025 deve integrare analisi comportamentale, verifica multi-fattore per operazioni critiche, e soprattutto formazione continua del personale. Ma non la solita formazione con slide PowerPoint: simulazioni realistiche, red teaming che testa le difese aziendali, sessioni pratiche dove i dipendenti imparano a riconoscere i nuovi pattern di attacco.

Gli indicatori che cambiano nel 2025: cosa cercare davvero

Dimenticatevi gli errori di ortografia e le traduzioni approssimative. Gli indicatori del phishing con AI sono più sottili e richiedono un’attenzione diversa. Il timing delle richieste, per esempio: un LLM può generare email perfette, ma spesso i criminali le inviano in orari insoliti o con urgenze non giustificate dal contesto.

La coerenza procedurale è un altro elemento chiave. Anche se l’email sembra perfetta, viola le procedure aziendali standard? Il fornitore sta chiedendo di cambiare IBAN via email quando la policy prevede una verifica telefonica? Il collega chiede di bypassare un processo di approvazione che esiste da anni?

Un indicatore emergente è quello che gli esperti chiamano “emotional pressure gradient”: la progressione dell’urgenza emotiva nel messaggio. I LLM tendono a costruire la pressione psicologica in modo più lineare rispetto a una comunicazione umana reale, che ha picchi e pause naturali. È sottile, ma chi è formato può riconoscerlo.

Il fattore umano resta centrale: formazione e policy per il social engineering

Il paradosso del phishing con AI è che mentre la tecnologia diventa più sofisticata, la soluzione resta profondamente umana. Non si tratta solo di formare i dipendenti a riconoscere le truffe, ma di creare una cultura aziendale dove verificare è normale, non offensivo.

Molte aziende stanno implementando quello che viene chiamato “zero trust communication”: ogni richiesta sensibile richiede una verifica attraverso un canale alternativo. Ricevi una richiesta di bonifico via email? Chiama per conferma. Ti chiedono credenziali o dati sensibili? Verifica l’identità del richiedente attraverso un sistema interno.

Il social engineering moderno sfrutta la pressione sociale e gerarchica. Un dipendente junior difficilmente metterà in dubbio un’email che sembra provenire dal CEO. Per questo serve una policy chiara: la verifica non è mancanza di fiducia, è procedura standard. E deve valere per tutti, dal CEO all’ultimo assunto.

Le statistiche del CERT nazionale mostrano che le aziende con programmi di awareness strutturati riducono del 70% il success rate degli attacchi di phishing. Ma “strutturato” è la parola chiave: non basta un corso annuale. Serve formazione continua, simulazioni mensili, aggiornamenti sui nuovi pattern di attacco.

Cosa fare subito: priorità per il 2025

Il tempo delle mezze misure è finito. Le aziende che non adeguano le proprie difese al phishing con AI rischiano di diventare statistiche nel prossimo report sulla cybersecurity. Ma da dove iniziare?

Prima priorità: mappare i processi critici e implementare verifiche multi-canale per ogni operazione sensibile. Bonifici, cambio credenziali, accesso a dati riservati: ogni azione critica deve avere un doppio controllo che non può essere bypassato via email.

Seconda priorità: investire in formazione pratica. Non slide teoriche, ma simulazioni reali con attacchi generati da AI. I dipendenti devono sperimentare sulla propria pelle quanto sono credibili questi attacchi. Solo così svilupperanno l’istinto necessario per riconoscerli.

Terza priorità: rivedere le policy di sicurezza email integrando l’analisi comportamentale. I filtri basati su contenuto non bastano più. Servono sistemi che analizzano pattern di comunicazione, orari, destinatari, creando una baseline di normalità per identificare anomalie.

Il phishing con AI non è una minaccia futura: è già qui. Le aziende che lo sottovalutano pagheranno un prezzo alto, in termini economici e reputazionali. Ma quelle che si preparano ora, che investono in persone e processi oltre che in tecnologia, possono trasformare questa sfida in un vantaggio competitivo. Perché in un mercato dove tutti sono vulnerabili, chi sa difendersi meglio ha già vinto metà della partita.

FAQ

Come riconoscere un’email di phishing generata con AI se non ci sono più errori grammaticali?
Concentratevi su anomalie procedurali: richieste che violano i processi standard aziendali, urgenze non giustificate, cambi improvvisi nelle modalità operative abituali. Verificate sempre attraverso un canale alternativo.

Quanto costa implementare un sistema di difesa efficace contro il phishing con AI?
Il costo varia in base alle dimensioni aziendali, ma considerate che il costo medio di un attacco riuscito supera i 100.000 euro. Un programma di formazione e aggiornamento delle policy può partire da 10.000 euro annui per una PMI.

I filtri antispam tradizionali sono completamente inutili contro il social engineering potenziato da AI?
Non sono inutili ma insufficienti. Bloccano ancora il phishing di massa di bassa qualità, ma devono essere integrati con sistemi di analisi comportamentale e verifiche procedurali per essere efficaci contro attacchi sofisticati.

Quali sono i settori più a rischio per attacchi di phishing con AI?
Manifatturiero, servizi finanziari e sanità sono i più colpiti. Ma ogni azienda che gestisce pagamenti o dati sensibili è un bersaglio potenziale, indipendentemente dal settore.

La sicurezza email può essere garantita solo con soluzioni tecnologiche avanzate?
No, anzi. La tecnologia è solo una parte della soluzione. Senza formazione del personale e policy chiare, anche i sistemi più avanzati possono essere aggirati attraverso il social engineering.

Quanto tempo serve per formare adeguatamente il personale contro questi nuovi attacchi?
Un programma base richiede almeno 3 mesi con sessioni settimanali. Ma la formazione deve essere continua: i criminali evolvono costantemente le loro tecniche.

È possibile assicurarsi contro i danni da phishing con AI?
Sì, esistono polizze cyber specifiche. Ma attenzione: molte richiedono l’implementazione di misure di sicurezza specifiche e formazione documentata del personale per essere valide.

Come verificare se la propria azienda è già nel mirino di attacchi di social engineering?
Monitorate le menzioni online della vostra azienda, controllate se informazioni interne appaiono in data breach pubblici, implementate honeypot interni per rilevare tentativi di raccolta informazioni.

Prompt injection: l’attacco che molti manager ignorano
PR e CI/CD: il collo di bottiglia dopo l’AI

Indice dei contenuti

Indice dei contenuti