supersqualo
Privacy & Sicurezza

Phishing potenziato dall’IA: come riconoscerlo nel 2026

Le email di phishing con errori grammaticali sono un ricordo. ChatGPT scrive in italiano impeccabile, fa ricerca su LinkedIn e personalizza il messaggio. Come riconoscere il phishing IA nel 2026.

Di Super Squalo·5 min lettura
Nota. Una premessa: l'IA cambia veloce. Tengo aggiornate le guide quando posso, ma se leggi questo articolo dopo qualche mese alcune informazioni potrebbero essere già state superate. Per chiarimenti, scrivimi.

Fino al 2022 il phishing si riconosceva a occhio: egregio cliente la sua banca prega di cliccare, italiano da traduttore automatico, mittente [email protected]. Nel 2026 quella era è finita. Microsoft Threat Intelligence nel report 2024 segnala che il 67% delle campagne di phishing osservate usa LLM per generare il testo. SlashNext rileva un aumento del 1265% di email phishing IA-generate nei 12 mesi successivi al rilascio di ChatGPT. La buona notizia: ci sono comunque segnali. La cattiva: sono più sottili.

Come funziona l’attacco

  • OSINT automatizzato: l’attaccante dà al modello il tuo profilo LinkedIn, il sito aziendale, le ultime notizie. Il modello costruisce email contestuali: cita il tuo capo, il progetto in corso, la conferenza dove sei stato.
  • Generazione multilingue perfetta: italiano, dialetto aziendale, gergo tecnico. Niente più segnali grammaticali.
  • A/B testing su scala: gli attaccanti generano 50 varianti, le mandano a 10.000 target ciascuna, ottimizzano per click rate. Marketing automation, ma per fregarti.
  • Multicanale orchestrato: email + SMS + chiamata di follow-up con voice clone. Si chiama vishing o BEC 3.0.

Casi reali

  • WormGPT, FraudGPT (2023): LLM commerciali venduti su forum criminali, addestrati su email di phishing. Nessun guardrail.
  • Microsoft Storm-2372 (2025): campagna documentata che usa LLM per generare email di reset password indistinguibili da quelle Microsoft.
  • Italia, Polizia Postale (2024-2025): ondata di mail finto INPS e finto Agenzia delle Entrate scritte in italiano perfetto, con allegati Excel con macro. Tassi di click triplicati rispetto al 2022.
  • Hong Kong 2024 (Arup): il caso da 25M cita esplicitamente l’email iniziale come prima fase del kill chain.

Difesa tecnica

  • SPF, DKIM, DMARC in modalità p=reject. L’Italia è uno dei paesi con minore adozione DMARC reject in Europa. Vergogna.
  • Anti-phishing IA: Microsoft Defender for Office 365, Proofpoint, Mimecast, Abnormal Security. Usano LLM per riconoscere LLM. La parità in armi conta.
  • URL rewriting e sandbox: ogni link cliccato passa da analisi dinamica.
  • Banner esterni: marca chiaramente le mail da fuori l’organizzazione. Banale, riduce gli incidenti.
  • Passkey FIDO2: niente password = niente phishing di password. Migrazione lenta in Italia, deve accelerare.

Difesa organizzativa

Il training anti-phishing deve evolvere.

  • Phishing simulato moderno: KnowBe4, Hoxhunt, ma con template IA-generati, non gli stessi del 2018.
  • Reporting facile: bottone «segnala phishing» in Outlook/Gmail, premiato non punito.
  • Procedure di pagamento a prova di sociale: nessuna mail giustifica un cambio di IBAN, mai. Doppia verifica via canale autenticato.
  • Threat intelligence sharing: aderisci a CERT-AGID, FS-ISAC se sei finanziario. Vedere le campagne in tempo reale aiuta.
  • NIS2: per gli enti soggetti, gestione incidenti documentata e tempi di notifica stringenti. Includere phishing IA come scenario.

Cosa NON fare

  • Non insegnare ai dipendenti a cercare errori grammaticali. Non ce ne sono più.
  • Non basarti sul mittente: spoofing display-name e domini look-alike (microsoft-support.it vs microsoft.com) sono triviali.
  • Non considerare WhatsApp business o LinkedIn InMail canali sicuri. Sono i nuovi vettori preferiti.
  • Non punire chi clicca: punisci chi non segnala. Cultura prima di tutto.

I segnali che restano nel 2026: urgenza ingiustificata, deviazione dal processo normale, autorità invocata, canali inusuali. Sono gli stessi del 1990, perché il phishing è ingegneria sociale, non grammatica. L’IA toglie il segnale debole (errori), il segnale forte (psicologia) resta. Allena i dipendenti su quello.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza