{"id":41900,"date":"2026-06-10T07:24:52","date_gmt":"2026-06-10T05:24:52","guid":{"rendered":"https:\/\/smartfense.com\/?p=41900"},"modified":"2026-06-10T07:24:58","modified_gmt":"2026-06-10T05:24:58","slug":"simulazione-phishing-campagna-cambia-comportamento","status":"publish","type":"post","link":"https:\/\/smartfense.com\/it\/blog\/simulazione-phishing-campagna-cambia-comportamento\/","title":{"rendered":"Simulazione di phishing: progettare una campagna che cambia il comportamento"},"content":{"rendered":"

Quasi tutte le organizzazioni che avviano un programma di Cybersecurity awareness partono allo stesso modo: inviare una simulazione di phishing, contare quante persone hanno cliccato e salvare il numero. Un mese dopo ripetono l\u2019esercizio, confrontano le due percentuali e dichiarano che il programma \u201cfunziona\u201d o che \u201cle persone non imparano\u201d. Nella maggior parte dei casi non \u00e8 n\u00e9 l\u2019una n\u00e9 l\u2019altra cosa. Ci\u00f2 che di solito non va non sono le persone, ma il design della campagna.<\/p>\n

Il Verizon DBIR 2026<\/a> mostra che il phishing ha smesso di concentrarsi sull\u2019email: gli attaccanti si sono spostati sul mobile, dove i tassi di click su messaggi di testo e chiamate sono pi\u00f9 alti. Il fattore umano resta al centro, solo che ora \u00e8 distribuito su pi\u00f9 canali. Allenare quella risposta \u00e8 esattamente ci\u00f2 a cui serve una simulazione, ma solo se \u00e8 pensata per cambiare la condotta e non per produrre una percentuale. Vediamo cosa separa una campagna che sposta l\u2019ago della bilancia da una che genera solo un report.<\/p>\n

Che cos\u2019\u00e8 una simulazione di phishing?<\/h2>\n

Una simulazione di phishing<\/strong> \u00e8 un invio controllato che riproduce un attacco di ingegneria sociale (via email, SMS, codice QR o voce) con l\u2019obiettivo di misurare e allenare la risposta delle persone a quell\u2019attacco, senza esporle a un rischio reale. Funziona come una prova, non come una trappola per \u201ccogliere in fallo\u201d chi sbaglia, e il suo valore sta in ci\u00f2 che si impara dopo, non nel risultato del primo tentativo.<\/p>\n

Da quella definizione discende il criterio che ordina tutto il resto. Una buona campagna \u00e8 quella che produce un cambiamento di comportamento misurabile e duraturo<\/strong>, non quella che abbassa il tasso di click una volta. Se una decisione di design non contribuisce a quel cambiamento, \u00e8 superflua.<\/p>\n

Perch\u00e9 il tasso di click non basta per progettare la campagna?<\/h2>\n

Il tasso di click \u00e8 facile da misurare ed \u00e8 per questo che domina i report. Il problema \u00e8 che dice molto poco. Un\u2019organizzazione pu\u00f2 abbassare la sua percentuale di click semplicemente ripetendo lo stesso template finch\u00e9 tutti lo riconoscono, senza che nessuno abbia imparato a individuare un attacco nuovo.<\/p>\n

Ci\u00f2 che conviene osservare \u00e8 un\u2019altra cosa: quante persone segnalano<\/strong> l\u2019email sospetta, in quanto tempo arriva la prima segnalazione e come evolve lo stesso gruppo nel corso dei mesi. C\u2019\u00e8 un\u2019analisi pi\u00f9 estesa su cosa dovrebbe misurare davvero un programma di Cybersecurity awareness<\/a>, ma l\u2019idea centrale \u00e8 semplice: la simulazione si progetta all\u2019indietro, partendo dalla condotta che si vuole vedere, non dal numero che si vuole abbassare.<\/p>\n

Quanto deve assomigliare lo scenario a un attacco reale?<\/h2>\n

Una simulazione allena solo se assomiglia a qualcosa che potrebbe arrivare domani. Se le persone vedono sempre un template generico con il logo di una banca che non usano, imparano a riconoscere quel template e nient\u2019altro. Quando lo scenario non assomiglia a ci\u00f2 che l\u2019organizzazione riceve davvero, ci\u00f2 che si impara resta nella simulazione e non arriva mai all\u2019email reale. Per questo il realismo \u00e8 la prima decisione di design di una campagna.<\/p>\n

Progettare il realismo implica tre decisioni concrete:<\/p>\n