Phishing simulation: come valutare davvero una piattaforma di cybersecurity awareness

Banco de pruebas industrial con dos cañas de pescar metálicas iluminadas por luz roja, evaluadas con instrumentos de medición sobre fondo oscuro tecnológico

Phishing simulation: come valutare davvero una piattaforma di cybersecurity awareness

Ogni strumento di simulazione di phishing sul mercato si presenta come “la migliore”. I siti dei vendor promettono template iper-realistici, dashboard intuitive, integrazione con qualsiasi sistema e risultati garantiti. La realtà, però, è molto meno patinata.

Chiunque abbia gestito davvero un programma di Cybersecurity Awareness per qualche anno sa che il problema non è inviare email finte. Il problema è capire se le persone stanno davvero imparando a riconoscere un attacco reale.

Secondo il Verizon DBIR 2025, irca il 60% delle violazioni confermate coinvolge un’azione umana, e l’email continua a essere il vettore iniziale più frequente all’interno di quel sottoinsieme.
Se stai valutando una piattaforma il cui obiettivo è ridurre quel rischio, conviene andare oltre la homepage e capire quali criteri contano davvero.

Cosa rende efficace uno strumento di simulazione phishing?

Una simulazione phishing è un invio controllato che riproduce un attacco di ingegneria sociale via email (o SMS, QR, voce) per misurare e formare la risposta degli utenti senza esporre l’organizzazione a un rischio reale. Il prodotto che operativizza queste campagne è lo strumento di simulazione phishing.

Da questa definizione il criterio guida è piuttosto diretto. Una buona piattaforma è quella che ti permette di misurare e migliorare il comportamento degli utenti di fronte al phishing reale, non quella che produce la dashboard più appariscente. Ogni funzionalità che valuti dovrebbe passare per questa domanda. Se una feature non sposta il comportamento reale, è decorazione.

I template assomigliano agli attacchi che la tua organizzazione riceve davvero?

Il primo criterio è il più ovvio e il più sottovalutato. Una simulazione forma solo se lo scenario assomiglia a qualcosa che potrebbe arrivare domani. Se i dipendenti vedono un template pixelato con il logo di una banca americana, imparano a riconoscere template pixelati con loghi di banche americane. Nient’altro.

Per valutare questo criterio, conviene guardare tre cose:

  • Volume e freschezza del catalogo: ci sono nuovi template ogni mese o sono gli stessi di due anni fa? Gli attaccanti aggiornano le proprie esche seguendo i trend (IA, cripto, pacchi, rimborsi fiscali) e la piattaforma dovrebbe tenere il passo.
  • Localizzazione reale: un template “in italiano” che imita una notifica dell’Agenzia delle Entrate non funziona per un’azienda spagnola, e uno spagnolo non funziona per un’azienda italiana. Chiedi quanti template esistono per Paese, non per lingua.
  • Capacità di personalizzazione: puoi adattare un template alla tua organizzazione in cinque minuti o devi esportare l’HTML, modificarlo e reimportarlo? Le simulazioni che sembrano un’email interna tipica della tua azienda sono quelle che funzionano davvero.

La piattaforma copre i vettori di attacco moderni?

Cinque anni fa, simulare phishing significava inviare email. Oggi quello è un sottoinsieme. Gli attaccanti combinano canali e la piattaforma dovrebbe poter simulare quella combinazione.

Come minimo, una piattaforma attuale dovrebbe permetterti di simulare:

  • Email: con allegati, link, form e spoofing del mittente.
  • Smishing (SMS): perché i flussi di autenticazione vivono sul telefono.
  • Quishing (QR): sempre più frequente nelle campagne mirate, in particolare verso finance e logistica.
  • Vishing (voce): o almeno campagne miste in cui un’email prepara una telefonata successiva.

Se uno strumento simula solo email, sta formando i tuoi utenti su metà del problema. Le simulazioni via SMS e QR fanno ormai parte della baseline di qualunque programma di Cybersecurity awareness nel 2026, non un’aggiunta opzionale.

Le simulazioni arrivano davvero in inbox?

Questo criterio sembra tecnico, ma definisce se il tuo programma sarà sostenibile o un mal di testa operativo permanente.

Molti strumenti funzionano solo se l’IT aggiunge eccezioni (whitelist) sul gateway di posta, sul livello antiphishing e sul client finale. Questo ha due conseguenze scomode. Primo, ogni nuova simulazione diventa un ticket per l’IT. Secondo, gli utenti ricevono email di fatto pre-marcate come sicure dall’infrastruttura, il che abbassa artificialmente la risposta e riduce il valore formativo dell’esercizio.

Le piattaforme più mature riescono a consegnare le simulazioni nella casella dell’utente senza alterare le difese dell’organizzazione, integrandosi con Microsoft 365 o Google Workspace via API. Se l’unica strada è il whitelist, pagherai quel costo per tutta la vita del programma. Vale la pena approfondire il punto prima di firmare, perché evitare il whitelist è la differenza tra una simulazione realmente formativa e un esercizio di corridoio.

L’altro tema che si infila qui sono i falsi positivi. Sandbox, scanner e bot di sicurezza che interagiscono con i link prima degli utenti. Se lo strumento non li rileva e li filtra, le metriche si riempiono di rumore e le decisioni si prendono su dati contaminati.

Le metriche misurano il rischio reale o solo i click?

Se tutto ciò che la piattaforma sa dirti è “tasso di click”, stai comprando un contatore, non una piattaforma di Cybersecurity awareness.

Una piattaforma seria dovrebbe darti, come minimo:

  • Tasso di segnalazione: quanti utenti hanno identificato il phishing e lo hanno segnalato. È la metrica più sottovalutata e la più preziosa, perché misura una cultura attiva, non passiva.
  • Tempo alla prima segnalazione: un’organizzazione in cui la prima segnalazione arriva in due minuti ha una finestra di difesa reale; un’altra in cui arriva il giorno dopo no.
  • Segmentazione per gruppo, funzione e recidività: il rischio non è omogeneo. Devi sapere dove concentrare lo sforzo.
  • Evoluzione longitudinale: come cambia il comportamento dello stesso utente nei mesi, non solo la media dell’ultima campagna.

C’è un’intera analisi su perché il solo tasso di click non basta per misurare un programma di Cybersecurity awareness che conviene leggere prima di scegliere uno strumento, proprio perché definisce quanto deve essere profondo l’insieme di metriche.

Cosa succede dopo il click?

Questo è il criterio che separa uno strumento di simulazione da una piattaforma di Cybersecurity awareness. Se un utente clicca su una simulazione, cosa vede?

Nel caso peggiore, una landing generica che dice “sei caduto nella trappola” e l’invio della prossima formazione programmata chissà quando. Nel caso migliore, un learning moment immediato che fornisce contesto sugli indizi che avrebbe dovuto cogliere, contenuti brevi per consolidare l’apprendimento e tracciabilità per il team di sicurezza.

Gli strumenti che trattano il click come un dato morto sprecano il momento di massima attenzione dell’utente. Quelli che lo trattano come un innesco di formazione generano un cambiamento sostenibile, perché l’apprendimento si fissa quando l’errore è ancora fresco. Se la piattaforma non integra in modo nativo la simulazione con la formazione successiva, finirai per incollare con il nastro due prodotti diversi e perderai il momento critico.

Come si pone SMARTFENSE rispetto a questi criteri?

SMARTFENSE è una piattaforma di Cybersecurity awareness presente in oltre 30 Paesi tra LATAM e Spagna, e i cinque criteri precedenti sono esattamente quelli che strutturano il suo strumento di simulazione di attacchi phishing. Il catalogo di template è localizzato per Paese e si aggiorna sulle campagne reali osservate nella regione, copre i quattro vettori (email, smishing, quishing e vishing) e si integra via API con Microsoft 365 e Google Workspace per consegnare le simulazioni nella casella dell’utente senza richiedere whitelist. L’insieme di metriche include tasso di segnalazione, tempo alla prima segnalazione e vista longitudinale per utente. E quando un utente clicca, il learning moment lancia contenuti basati sul rinforzo positivo nel momento esatto in cui la persona sta prestando attenzione.

Il confronto onesto mette da parte i superlativi e si concentra sui criteri: quali si applicano al tuo contesto e come ciascuno strumento li soddisfa. Il resto si valida in un pilota reale.

Come scegliere il miglior strumento di simulazione phishing nella pratica?

Prima di prenotare una sola demo, struttura l’esercizio. Definisci i cinque o dieci template che assomigliano di più agli attacchi reali che la tua organizzazione ha ricevuto, identifica i vettori che devi davvero coprire (non solo email), verifica con l’IT se tollererai il whitelist o no, e prepara l’elenco di metriche che metterai nel report esecutivo. Con questa cornice in mano, le demo smettono di essere una sfilata di screenshot e diventano una conversazione utile. Il miglior strumento di simulazione phishing è sempre quello che soddisfa meglio quei criteri nel tuo contesto, non quello con l’homepage più curata.

Quando sei pronto per quella conversazione, una demo di SMARTFENSE è un buon punto di partenza per confrontare.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento