Quasi tutte le organizzazioni che avviano un programma di Cybersecurity awareness partono allo stesso modo: inviare una simulazione di phishing, contare quante persone hanno cliccato e salvare il numero. Un mese dopo ripetono l’esercizio, confrontano le due percentuali e dichiarano che il programma “funziona” o che “le persone non imparano”. Nella maggior parte dei casi non è né l’una né l’altra cosa. Ciò che di solito non va non sono le persone, ma il design della campagna.
Il Verizon DBIR 2026 mostra che il phishing ha smesso di concentrarsi sull’email: gli attaccanti si sono spostati sul mobile, dove i tassi di click su messaggi di testo e chiamate sono più alti. Il fattore umano resta al centro, solo che ora è distribuito su più canali. Allenare quella risposta è esattamente ciò a cui serve una simulazione, ma solo se è pensata per cambiare la condotta e non per produrre una percentuale. Vediamo cosa separa una campagna che sposta l’ago della bilancia da una che genera solo un report.
Che cos’è una simulazione di phishing?
Una simulazione di phishing è un invio controllato che riproduce un attacco di ingegneria sociale (via email, SMS, codice QR o voce) con l’obiettivo di misurare e allenare la risposta delle persone a quell’attacco, senza esporle a un rischio reale. Funziona come una prova, non come una trappola per “cogliere in fallo” chi sbaglia, e il suo valore sta in ciò che si impara dopo, non nel risultato del primo tentativo.
Da quella definizione discende il criterio che ordina tutto il resto. Una buona campagna è quella che produce un cambiamento di comportamento misurabile e duraturo, non quella che abbassa il tasso di click una volta. Se una decisione di design non contribuisce a quel cambiamento, è superflua.
Perché il tasso di click non basta per progettare la campagna?
Il tasso di click è facile da misurare ed è per questo che domina i report. Il problema è che dice molto poco. Un’organizzazione può abbassare la sua percentuale di click semplicemente ripetendo lo stesso template finché tutti lo riconoscono, senza che nessuno abbia imparato a individuare un attacco nuovo.
Ciò che conviene osservare è un’altra cosa: quante persone segnalano l’email sospetta, in quanto tempo arriva la prima segnalazione e come evolve lo stesso gruppo nel corso dei mesi. C’è un’analisi più estesa su cosa dovrebbe misurare davvero un programma di Cybersecurity awareness, ma l’idea centrale è semplice: la simulazione si progetta all’indietro, partendo dalla condotta che si vuole vedere, non dal numero che si vuole abbassare.
Quanto deve assomigliare lo scenario a un attacco reale?
Una simulazione allena solo se assomiglia a qualcosa che potrebbe arrivare domani. Se le persone vedono sempre un template generico con il logo di una banca che non usano, imparano a riconoscere quel template e nient’altro. Quando lo scenario non assomiglia a ciò che l’organizzazione riceve davvero, ciò che si impara resta nella simulazione e non arriva mai all’email reale. Per questo il realismo è la prima decisione di design di una campagna.
Progettare il realismo implica tre decisioni concrete:
- Localizzazione per contesto, non per lingua. Un avviso di un’agenzia fiscale argentina non allena un’azienda spagnola, anche se entrambi sono in spagnolo. L’esca deve appartenere all’ambiente reale di chi la riceve.
- Vettori attuali. Oggi gli attacchi combinano i canali: email, SMS (smishing), codici QR (quishing) e voce (vishing). Una campagna che simula solo email allena per metà del problema.
- Difficoltà progressiva. Iniziare con esche evidenti e alzare il livello man mano che il gruppo matura. Partire con l’email più sofisticata possibile genera solo frustrazione e rafforza l’idea che “è impossibile accorgersene”.
C’è un dettaglio operativo che condiziona tutto quanto sopra: se le simulazioni hanno bisogno che l’IT aggiunga eccezioni nel filtro di posta, i messaggi arrivano “marcati come sicuri” e la risposta si distorce. Vale la pena capire perché consegnare la simulazione senza chiedere whitelist cambia la qualità del dato, e come i falsi positivi di sandbox e scanner possono contaminare le metriche se lo strumento non li filtra.
Ogni quanto conviene inviare simulazioni?
La frequenza è il punto in cui più programmi deragliano, per eccesso o per difetto. Una sola campagna all’anno è un esame a sorpresa: misura, ma non insegna. Una campagna a settimana satura, e la saturazione produce l’effetto contrario a quello cercato, perché le persone smettono di prestare attenzione a ciò che diventa routine.
L’equilibrio ragionevole per la maggior parte delle organizzazioni è una cadenza regolare e distanziata, sostenuta nel tempo, calibrata sul livello di maturità di ciascun gruppo. Lo sviluppiamo in dettaglio in quanto durano le campagne di phishing, ma il principio è che l’apprendimento vive nella ripetizione distanziata, non nell’evento unico né nel bombardamento.
Cosa succede nel momento del click?
È qui che si decide se una campagna insegna o si limita a dare un voto. Quando una persona clicca su una simulazione, è nell’istante di massima attenzione: sa che è successo qualcosa e vuole capire cosa. Sprecare quel momento con una schermata che dice “hai sbagliato” significa buttare via la migliore opportunità di apprendimento di tutto il programma.
Una campagna progettata per cambiare la condotta lancia in quell’istante un learning moment: contenuto breve, immediato e senza tono punitivo che mostra quali indizi c’erano nell’email e come riconoscerli la prossima volta. Funziona perché l’apprendimento si fissa quando l’errore è fresco, non settimane dopo in una formazione programmata. È la stessa logica di come i nudge e i learning moment modellano il comportamento: intervenire nel momento giusto, con la dose giusta.
Come si sostiene una cultura senza colpa?
Nessuna campagna cambia il comportamento se le persone la vivono come una caccia. Se cadere in una simulazione si traduce in esposizione pubblica o in una sanzione, le persone imparano a nascondere l’errore invece di segnalarlo, e un incidente nascosto è molto più costoso di uno segnalato in tempo. L’obiettivo è costruire un riflesso di segnalazione, e quel riflesso cresce solo in un ambiente dove segnalare (anche dopo aver cliccato) è facile, sicuro e viene riconosciuto. Meno attrito ha il gesto, meglio è: un pulsante di segnalazione integrato nella casella stessa trasforma l’avviso in un solo click e restituisce feedback immediato alla persona.
Per questo la metrica più preziosa di una campagna matura non è quante persone cadono, ma quante persone segnalano e quanto velocemente. Un’organizzazione dove la prima segnalazione arriva in due minuti ha una finestra di difesa reale; una dove nessuno segnala ha un rischio silenzioso.
Come lo risolve SMARTFENSE?
SMARTFENSE è una piattaforma di Cybersecurity awareness presente in oltre 30 Paesi tra LATAM e Spagna, e il suo strumento di simulazione di attacchi phishing è costruito su questi principi. Il catalogo di template è localizzato per Paese e si aggiorna sulle campagne reali osservate nella regione; copre i quattro vettori (email, smishing, quishing e vishing); si integra via API con Microsoft 365 e Google Workspace per consegnare le simulazioni nella casella senza richiedere whitelist; e, nel momento del click, lancia un learning moment che rinforza l’apprendimento quando l’attenzione è alta. Le metriche non si fermano al tasso di click: includono tasso di segnalazione, tempo alla prima segnalazione ed evoluzione longitudinale per utente, alimentate da un pulsante di segnalazione che registra ogni avviso nei log di audit e rafforza l’abitudine con feedback immediato.
Una simulazione di phishing ben progettata non è quella che pesca più persone. È quella che fa sì che, la prossima volta, davanti a un’email reale, una persona si fermi un secondo prima di cliccare. Quel secondo è tutto il programma. Se vuoi vedere come si progetta una campagna così dall’inizio alla fine, una demo di SMARTFENSE è un buon punto di partenza.
Lascia un commento