Immagina di ricevere un’email dal tuo commercialista. Oggetto: “Fattura urgente da saldare entro oggi”. Il mittente sembra quello giusto, il tono è quello di sempre, c’è anche il logo dello studio in calce. Clicchi sull’allegato PDF e… niente, sembra non aprirsi. In realtà, in quei due secondi, un malware ha già iniziato a lavorare. Oppure, scenario ancora peggiore: il “commercialista” ti chiede di bonificare 15.000 euro su un IBAN diverso dal solito perché “hanno cambiato banca”. Tu lo fai. Il giorno dopo scopri che quell’email non l’ha mai mandata lui.
Benvenuto nel mondo del phishing e del Business Email Compromise (BEC). Non sono cose che capitano solo alle multinazionali: secondo il rapporto Clusit 2025, le PMI italiane sono tra i bersagli preferiti dei cybercriminali, proprio perché spesso sottovalutano la sicurezza della posta elettronica. Vediamo come proteggersi davvero.
Phishing, spear phishing e BEC: facciamo chiarezza
Il termine “phishing” è ormai entrato nel linguaggio comune, ma spesso viene usato in modo generico per indicare cose molto diverse tra loro. Vale la pena distinguere.
Il phishing classico è l’attacco di massa: milioni di email identiche spedite a caso, con un link a un sito fasullo che imita la banca, le Poste, Amazon o l’Agenzia delle Entrate. L’obiettivo è rubare credenziali. È l’equivalente digitale della pesca a strascico: si butta la rete larga e si vede cosa si prende.
Lo spear phishing è un’altra storia. Qui l’attaccante studia la vittima: sa come si chiama, dove lavora, chi sono i suoi colleghi e fornitori. L’email è confezionata su misura e risulta estremamente credibile. Magari arriva da un indirizzo che differisce da quello vero per una sola lettera — “mario.rossi@studiobianchi.it” diventa “mario.rossi@studiobbianchi.it”. Chi se ne accorge, in mezzo a cinquanta email da leggere prima di pranzo?
Il Business Email Compromise è la forma più sofisticata e costosa. L’attaccante riesce a compromettere davvero la casella email di un dirigente o di un fornitore, oppure ne crea una identica, e la usa per richiedere bonifici, modifiche di coordinate bancarie o invio di dati riservati. Le perdite medie per singolo incidente BEC, secondo l’FBI, superano i 120.000 dollari. In Italia ci sono aziende che hanno perso centinaia di migliaia di euro con un singolo bonifico fraudolento.
Perché i filtri antispam non bastano più
Molte aziende si sentono protette perché hanno un filtro antispam. Il problema è che gli attacchi moderni sono progettati specificamente per aggirare questi filtri. Un’email di spear phishing non contiene link sospetti, non ha allegati infetti, non arriva da server blacklistati. È un messaggio di testo pulito, scritto in italiano corretto, che chiede semplicemente di fare qualcosa — e quel qualcosa è la trappola.
I filtri tradizionali basati su firme e blacklist intercettano forse il 95% dello spam generico, ma contro lo spear phishing e il BEC sono sostanzialmente inutili. Servono strumenti più intelligenti e, soprattutto, serve formare le persone.
SPF, DKIM e DMARC: il triumvirato della posta sicura
Prima di parlare di soluzioni avanzate, assicuriamoci che le basi siano a posto. Esistono tre protocolli fondamentali che ogni dominio aziendale dovrebbe avere configurati, eppure un numero impressionante di aziende italiane ne ignora l’esistenza.
SPF (Sender Policy Framework)
È un record DNS che dice al mondo: “Le email del dominio miodominio.it possono partire solo da questi server”. Se qualcuno prova a spedire email a nome tuo da un server non autorizzato, il destinatario sa che è un falso. Configurarlo richiede cinque minuti e zero costi.
DKIM (DomainKeys Identified Mail)
Aggiunge una firma crittografica a ogni email in uscita. Il server del destinatario verifica la firma e sa che il messaggio non è stato alterato durante il transito. È come un sigillo di ceralacca digitale: se qualcuno modifica anche una sola virgola, la firma non corrisponde più.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
È il pezzo che tiene insieme tutto. DMARC dice ai server di destinazione cosa fare quando ricevono un’email che fallisce i controlli SPF e DKIM: lasciarla passare con un avviso (policy “none”), metterla in quarantena (policy “quarantine”) o rifiutarla direttamente (policy “reject”). In più, genera report che ti permettono di monitorare chi sta cercando di spedire email a nome del tuo dominio.
La combinazione di questi tre protocolli non rende impossibile il phishing, ma riduce enormemente la possibilità che qualcuno impersoni il tuo dominio. Ed è gratuita: basta sapere come configurare i record DNS.
Soluzioni avanzate: oltre i protocolli base
SPF, DKIM e DMARC proteggono il tuo dominio, ma non ti proteggono da email fraudolente che arrivano da altri domini. Per quello servono soluzioni più sofisticate:
- Email Security Gateway — soluzioni come Barracuda, Mimecast o Proofpoint analizzano ogni email in ingresso con intelligenza artificiale, sandboxing degli allegati e analisi dei link in tempo reale. Intercettano minacce che i filtri tradizionali nemmeno vedono.
- Protezione anti-impersonation — algoritmi che rilevano quando un’email sembra provenire da un dirigente o un fornitore noto ma in realtà arriva da un indirizzo leggermente diverso. Funzionano confrontando il display name, il dominio e lo storico delle comunicazioni.
- Autenticazione multifattore (MFA) — anche se un attaccante ruba le credenziali email di un dipendente tramite phishing, con l’MFA attiva non può accedere alla casella senza il secondo fattore. È la singola misura più efficace contro il furto di account.
- Microsoft Defender for Office 365 — per chi usa Microsoft 365, è la soluzione naturale. Include Safe Links (riscrittura e verifica dei link in tempo reale), Safe Attachments (sandboxing degli allegati) e policy anti-phishing configurabili per dominio e utente.
Il fattore umano: formazione e consapevolezza
Tutte le soluzioni tecnologiche del mondo non servono a niente se il dipendente clicca comunque su quel link o esegue comunque quel bonifico. Il fattore umano resta il punto debole numero uno, e l’unica difesa è la formazione continua.
Non parliamo di un corso una tantum fatto tre anni fa in cui metà dei partecipanti dormiva. Parliamo di programmi strutturati che includano:
- Simulazioni di phishing periodiche — email finte ma realistiche inviate ai dipendenti per testare la loro capacità di riconoscerle. Chi ci casca riceve formazione immediata e mirata, non una ramanzina. L’obiettivo è creare un riflesso condizionato, non un clima di paura.
- Procedure di verifica per bonifici e pagamenti — qualsiasi richiesta di pagamento ricevuta via email deve essere verificata telefonicamente, usando un numero già noto e non quello indicato nell’email stessa. Sembra ovvio, ma il 90% degli attacchi BEC funziona proprio perché questa verifica non viene fatta.
- Cultura del “segnala senza vergogna” — i dipendenti devono sentirsi liberi di segnalare email sospette senza temere conseguenze. Meglio cento falsi allarmi che un singolo attacco andato a buon fine.
Checklist pratica: cosa fare da domani mattina
Se dopo aver letto questo articolo ti stai chiedendo “ok, ma da dove comincio?”, ecco una lista di priorità:
- Verifica che il tuo dominio abbia record SPF, DKIM e DMARC configurati correttamente. Puoi usare tool gratuiti come MXToolbox o DMARC Analyzer per un check rapido.
- Attiva l’autenticazione multifattore su tutte le caselle email aziendali. Tutte, nessuna esclusa.
- Implementa una policy scritta per la verifica telefonica dei bonifici superiori a una certa soglia.
- Valuta un gateway di sicurezza email se gestisci dati sensibili o se la tua azienda è un bersaglio appetibile (studi legali, commercialisti, aziende con transazioni frequenti).
- Pianifica un programma di awareness con simulazioni di phishing almeno trimestrali.
Non sottovalutare la posta elettronica
L’email è ancora lo strumento di comunicazione numero uno in azienda, e proprio per questo è il vettore di attacco preferito dai criminali informatici. Proteggerla non è un lusso, è una necessità. E non servono budget stratosferici: con le configurazioni giuste e un po’ di formazione, si può alzare enormemente il livello di sicurezza.
In Auxilia Sistemi aiutiamo le aziende a mettere in sicurezza la posta elettronica, dalla configurazione di SPF, DKIM e DMARC fino all’implementazione di soluzioni avanzate di email security e programmi di formazione anti-phishing. Se vuoi capire quanto è vulnerabile la tua azienda, contattaci: facciamo un assessment gratuito della tua situazione attuale. Chiamaci al 06 2170 1593 o visita la pagina contatti per fissare un appuntamento.
