Al centro dell’odierno panorama delle minacce c’è un paradosso: mentre difese come firewall e autenticazioni avanzate si rafforzano, l’attacco più efficace continua a colpire l’unico elemento davvero permeabile, la persona. L’ingegneria sociale sfrutta leve psicologiche universali — fiducia, urgenza, paura, ma anche fastidio ed entusiasmo — per indurre azioni o rivelazioni che aggirano i controlli senza forzarli: non è un bug nel codice, è una pressione mirata sul giudizio.
Questa strategia, resa oggi più credibile e scalabile dall’AI generativa e dai deepfake vocali, ricuce storie verosimili su email, chat e voce, costruendo identità coerenti e copioni relazionali che cercano soprattutto una cosa: ottenere una risposta per aprire la porta al resto.
Secondo il Rapporto Clusit 2025, il numero complessivo di eventi avversi in ambito IT nel 2024 è cresciuto del +27% rispetto al 2023. Tra le metodologie di attacco spiccano phishing e ingegneria sociale, aumentati del +33% su base annua e attestati intorno all’8% del totale degli episodi censiti. Il dato segnala l’efficacia di queste tecniche e la loro capacità di adattarsi e diffondersi su scala internazionale.
Nel 2024 l’Italia rientra tra i Paesi maggiormente colpiti, con incidenti in aumento del +15% rispetto al 2023. Particolarmente rilevante è l’andamento di phishing e ingegneria sociale, cresciuti del +35% in un solo anno. La tendenza mette in luce una vulnerabilità strutturale: amministrazioni pubbliche, imprese e cittadini restano esposti a minacce che sfruttano leve cognitive e comportamentali, più che mere debolezze tecnologiche.
Per capire perché funzionano, occorre uscire dall’idea che la vittima “caschi” per ingenuità: gli aggressori non puntano solo sull’errore, ma su scorciatoie cognitive che tutti usano per decidere in fretta sotto pressione, come l’appello all’autorità percepita, alla scarsità e all’urgenza, che spingono a obbedire prima di riflettere. Schemi come il Business Email Compromise e le varianti TOAD (Telephone‑Oriented Attack Delivery) mischiano email volutamente poco tecniche con l’invito a chiamare un numero “di supporto”, spostando la conversazione su voce o SMS, contesti dove filtri e sandbox vedono poco e il tono convincente conta moltissimo. L’AI aggiunge una marcia: voci sintetiche simili a quelle di colleghi, traduzioni immediate e uno “stile aziendale” imitato con precisione riducono la distanza emotiva e abbassano le difese.
La casistica è ampia, ma il filo rosso è costante: email di preventivo o task urgenti, richieste di aggiornare coordinate bancarie “perché la fattura è ferma”, QR code su locandine o badge che puntano a pagine di raccolta credenziali, fino a pretesti telefonici dove un finto tecnico guida passo passo alla “verifica” che disattiva, di fatto, i controlli. Le tecniche d’ingaggio sono sempre più coreografate: prima l’esca, poi il contatto umano, quindi la richiesta delicata in un momento studiato di fretta o di confusione, quando il desiderio di aiutare o di chiudere una pratica pesa più dei dubbi.
Gli impatti, nelle organizzazioni, non si misurano solo nel furto di dati o nell’interruzione di un servizio, ma nella perdita di fiducia e nella fatica di riprendere il controllo di processi e reputazione, con costi che colpiscono soprattutto le PMI, meno attrezzate a gestire incidenti prolungati e sanzioni. È qui che si vede il limite delle difese esclusivamente tecniche: se l’avversario sposta il terreno sul rapporto umano, la risposta deve includere anche processi e abitudini di pensiero, oltre agli strumenti.
Occorre quindi, ricostruire un ritmo di lavoro che renda la fretta meno determinante nelle decisioni a rischio, con verifiche esterne e procedure “a quattro occhi” per pagamenti e cambi IBAN, così da impedire che un’e-mail brillante basti a muovere denaro. Le campagne di simulazione e l’educazione a prendersi una pausa per riflettere hanno dimostrato di ridurre gli errori, perché allenano a riconoscere non solo i segnali tecnici ma le dinamiche psicologiche dell’inganno, spostando l’attenzione dalla curiosità del link alla coerenza del contesto.
La cultura organizzativa fa il resto: canali interni, semplici e sicuri, dove chiunque può segnalare dubbi, anomalie o sospetti (anche non ancora illeciti) e procedure operative di risposta chiare trasformano il dubbio del singolo in un allarme utile per tutti.
Sul piano tecnico, restano centrali strumenti come l’autenticazione a più fattori, la segmentazione della rete e il monitoraggio dei comportamenti anomali. Altrettanto importante risulta proteggere i dati sensibili anche quando finiscono nei log o negli strumenti di analisi: le norme PCI DSS 4.0, ad esempio, richiedono che il numero della carta di pagamento sia sempre mascherato a schermo e reso illeggibile se archiviato, anche nei log, attraverso tecniche di cifratura o sostituzione con codici sicuri.
Resta una considerazione finale che deriva dall’osservazione dei casi migliori: le organizzazioni che subiscono meno danni dagli attacchi di ingegneria sociale non sono quelle senza incidenti, ma quelle che coltivano un ecosistema difensivo a strati, dove tecnologia, processi e pratiche cognitive sicure si rinforzano a vicenda. È un lavoro paziente, fatto di piccole attenzioni messe prima dei gesti pericolosi, di abitudini come la verifica su canali indipendenti e di un linguaggio comune per nominare il rischio quando si presenta; perché, finché l’avversario punterà sulle persone, la risposta più solida sarà allenare le persone a riconoscere il trucco e a prendersi il tempo di fermarsi un istante prima di dire sì.