Il phishing è il vettore di attacco numero uno in Italia: l'87% degli incidenti ransomware inizia con un'email aperta male. Testare i dipendenti prima che lo facciano i truffatori è il modo più efficace per proteggere l'azienda.
È una campagna autorizzata e controllata in cui invio ai dipendenti email di phishing verosimili (ma totalmente innocue). Chi clicca sul link viene portato su una pagina che spiega il test, insegna a riconoscere i segnali, raccoglie il dato. Il risultato: un report dettagliato di quanto è vulnerabile il tuo team e dove va rafforzato.
Le statistiche CLUSIT 2025 sono chiare: il phishing è il vettore numero 1 per gli attacchi alle aziende italiane, e il 32% dei dipendenti italiani clicca almeno una volta l'anno su un'email di phishing realistica. In assenza di training, 1 dipendente su 3 lascerà passare un attaccante. Ma dopo 2-3 cicli di simulazione + training, il tasso scende sotto il 5%.
Inoltre, una phishing simulation è richiesta o raccomandata da:
Niente email generiche. Studio il contesto della tua azienda (settore, fornitori tipici, eventi in corso, stagionalità) e costruisco scenari credibili: finta fattura da fornitore, finta comunicazione INPS, finto aggiornamento Microsoft 365, finta richiesta del titolare. Più realistica = più educativa.
Uso piattaforme professionali (GoPhish, Sophos Phish Threat, o soluzione custom) per inviare email con tracciamento sicuro. Monitoro: quanti aprono l'email, quanti cliccano il link, quanti inseriscono credenziali sulla pagina trappola.
Chi clicca non viene "fregato" davvero. Arriva su una pagina FiliuTech che spiega chiaramente: "Questo era un test, ecco come riconoscerlo la prossima volta". Non è punitiva, è formativa.
Consegno un report con: tasso di apertura, tasso di click, tasso di "submit credenziali", analisi per reparto/dipendente (se autorizzato), benchmark con settore, raccomandazioni di training.
Videocall con te e management per commentare i risultati e pianificare il training mirato.
"Prima simulazione: 6 dipendenti su 9 hanno cliccato il link e 3 hanno inserito la password del gestionale sulla pagina trappola. Era uno scenario da 'aggiornamento obbligatorio SPID'. Dopo il workshop di 2 ore e una seconda simulazione a 2 mesi: 1 solo click. Il training ha funzionato. Avrebbe fatto la differenza tra un disastro e un non-evento, se fosse stato un attacco reale."
— Case study reale, hotel medio-piccolo, Lazio, 2025 (anonimizzato).
I dipendenti si arrabbiano? Se impostato bene: no. La comunicazione è chiave: il management sa che è un test, i dipendenti sanno che ogni tanto fanno training, la landing page è costruttiva non punitiva. Se c'è paura di "essere spiati", si fa campagna anonima aggregata (nessuno sa chi ha cliccato).
È legale? Sì. Se l'azienda è datore di lavoro e il test ha finalità di formazione/sicurezza, è una prassi standard. Va però comunicato in anticipo il fatto che vengono fatti test di sicurezza (senza dire quando), tipicamente nell'integrativo privacy o nel regolamento aziendale.
Serve GDPR DPIA? Per campagne anonime aggregate no. Per campagne con analisi individuale (reportistica personale), va fatta una DPIA leggera e va integrata la informativa GDPR dipendenti. Ti aiuto io se serve.
Prima chiamata di scoperta gratuita (30 minuti). Ti spiego il servizio nel dettaglio, valuto la fattibilità e ti mando un preventivo personalizzato entro 3 giorni.