Spear phishing: come proteggere la tua impresa nel 2026

Lo spear phishing prende di mira CEO, CFO, contabili. Mediamente 12.000 € di perdita per attacco. Strategie di difesa concrete.

Dernière mise à jour : 10 aprile 2026
← Torna al blog
PMI 🕑 9 min 📅 10 aprile 2026 ✍️ Il team Fiabli Pro
Lo spear phishing ("phishing mirato") e l'opposto del phishing di massa. Invece di inviare 1 milione di mail generiche, l'aggressore prende di mira UNA persona — il vostro CEO, il vostro contabile, il vostro IT — con un'email iper-personalizzata. Il risultato: tasso di successo del 30% vs 0,1% per il phishing di massa. Costo medio: 12.000 € per attacco riuscito (fonte: Gendarmerie Nazionale, 2025). Ecco come difendersi.

Come funziona lo spear phishing?

3 fasi:

  1. Reconnaissance: l'aggressore ti spiona via LinkedIn, sito web aziendale, registro imprese. Identifica nomi, ruoli, gerarchia.
  2. Pretesting: scrive un'email iper-credibile che imita un fornitore reale, un capo, un cliente. Es: "Salve Marco, in seguito alla nostra chiamata di ieri sul progetto Alpha, ecco il preventivo...".
  3. Attacco: la mail richiede un'azione (bonifico, condivisione di credenziali, click su un finto contratto). L'urgenza e la coerenza con un contesto reale eliminano i sospetti.

I 3 obiettivi privilegiati

1. Il CEO/dirigente: aggressore impersona un fornitore o un partner. Chiede un bonifico urgente per un "contratto" o un "acquisto". Variante "Frode al CEO": l'aggressore usa il nome del CEO per chiedere a un dipendente un bonifico urgente.

2. Il responsabile contabile/finanziario: cambio fraudolento di IBAN. L'aggressore impersona un fornitore reale e annuncia un cambio di banca. Il prossimo bonifico parte sull'account dell'aggressore. Costo medio: 47.000 €.

3. L'IT/admin sistemi: attacco a credenziali. Un "collega di un'altra filiale" chiede l'accesso a un sistema. Una volta ottenuto, l'aggressore installa ransomware o ruba dati.

Strategia di difesa 1: procedure umane

Lo spear phishing supera spesso le difese tecniche perche l'email e tecnicamente legittima (dominio reale o quasi, SPF/DKIM ok). Quindi la prima difesa e umana:

  • Doppia validazione fuori canale: ogni bonifico > 1.000 € richiede una conferma a voce telefonica (numero noto, non quello in firma)
  • Mai cambiare IBAN su semplice email: ogni cambio richiede una procedura formale (firma, certificato di RIB)
  • Code parola tra dirigenti: in caso di richiesta urgente di bonifico, una parola chiave concordata in anticipo permette di confermare l'identita

Strategia di difesa 2: difese tecniche

Diversi strati tecnici per ridurre la superficie d'attacco:

  1. SPF/DKIM/DMARC strict sul tuo dominio (vedi il nostro articolo dedicato)
  2. External email warning: aggiungere automaticamente un banner "⚠ Email esterna" su tutti i mail di fuori l'azienda (Microsoft 365, Google Workspace lo fanno nativamente)
  3. 2FA obbligatorio su tutti gli account email + sistemi sensibili
  4. Detection IA: Fiabli rileva anche pattern di spear phishing (ricerca di urgenza incoerente, domini look-alike, ecc.)

Strategia 3: formazione & test regolari

L'umano e l'anello debole. Misure raccomandate:

  • Formazione anti-phishing all'arrivo di ogni dipendente (1h)
  • Sessioni di richiamo annuali (30 min, focus su nuovi schemi)
  • Campagne di test phishing trimestrali (Fiabli offre questa funzione su piano PME — invio di phishing simulato + dashboard di chi clicca)
  • Cultura no-blame: chi clicca segnala senza paura. Punire = nascondere = piu compromessi non rilevati.

Il piano d'azione minimo

Per le PMI senza budget cybersicurezza dedicato, ecco un piano realistico di 5 giorni:

  1. Giorno 1: configurare SPF/DKIM/DMARC sul dominio
  2. Giorno 2: attivare 2FA su tutti gli account M365/Google Workspace
  3. Giorno 3: scrivere e diffondere la procedura "validazione bonifici > 1k €"
  4. Giorno 4: connettere le caselle critiche (CEO, CFO, contabilita) a Fiabli + modalita quarantena
  5. Giorno 5: formazione collettiva 30 min con esempi reali

Costo totale: < 200 €/mese per una PMI da 20 persone. ROI immediato dal primo attacco evitato. Iniziare con Fiabli Pro.

Pronto a proteggere la tua casella?

Crea un account Fiabli gratuitamente. 50 analisi/mese senza carta di credito.

Inizia gratuitamente

Articoli simili

Guida 🕑 6 min

Come riconoscere un'email di phishing in 30 secondi

La guida pratica per identificare i tentativi di phishing prima che sia troppo tardi. 7 segnali infallibili che chiunque puo verificare.
Attualita 🕑 8 min

Le 5 truffe via email piu diffuse del 2026

Falso rimborso fiscale, finto pacco, falso Amazon, sextortion, frode del CEO: le truffe che fanno piu vittime quest'anno.
Tecnico 🕑 10 min

SPF, DKIM, DMARC: i 3 pilastri della sicurezza email spiegati

Comprendi finalmente i 3 protocolli di autenticazione email. Cosa sono, come funzionano, come configurarli per il tuo dominio.