Scopri la nostra guida sulla direttiva NIS2: Cosa significa per la tua azienda. Maggiori informazioni.

Contatti
Languages
A man with dark hair wearing a light-colored blazer, is smiling as he looks at his laptop. Graphics overlay the image: on the left, there's a green shield with a clicking hand cursor icon, and on the right, there's an illustration of a phishing email.

Human Risk Management, Phishing Simulations

Con quale frequenza dovrebbero essere effettuate le simulazioni di phishing?

7 Febbraio 2025 · 10 min di lettura
Torna al blog

Nell’era digitale odierna, in cui la tecnologia è parte integrante della nostra vita quotidiana, la minaccia degli attacchi informatici è sempre più presente. Tra queste minacce, gli attacchi di phishing sono tra i più comuni. Secondo il nostro Human Risk Review 2023, l’80% degli esperti di sicurezza considera il phishing un rischio significativo per la propria organizzazione, con oltre 500 milioni di attacchi di phishing segnalati solo nel 2022.

Per contrastare questo pericolo in continua evoluzione, molte organizzazioni sono andate oltre le misure di sicurezza tradizionali adottando simulazioni di phishing. Ma queste simulazioni non sono semplici “test”: sono iniziative educative continuative. Ecco come funzionano: i dipendenti ricevono e-mail simulate progettate per imitare autentici attacchi informatici, ma completamente innocue. L’obiettivo finale? Affinare le capacità dei dipendenti nell’identificare ed evitare potenziali trappole di phishing. 

In passato, alcune organizzazioni utilizzavano queste simulazioni solo per individuare i “rischi di sicurezza” tra i dipendenti o riproponevano lo stesso scenario. Queste tattiche non solo generano frustrazione, ma sono anche fondamentalmente controproducenti. L’obiettivo reale dovrebbe essere l’empowerment dei dipendenti. Attraverso le simulazioni di phishing, il personale non si limita ad acquisire conoscenze, ma sviluppa l’abitudine essenziale di identificare e rispondere in modo proattivo alle minacce informatiche man mano che si presentano.

Quindi, se ti stai chiedendo non “se”, ma “quanto spesso” eseguire simulazioni di phishing, stai già ponendo la domanda giusta. Il tempismo è un fattore cruciale e, in questo articolo, esploreremo due aspetti chiave: se le simulazioni debbano essere uno sforzo continuativo o limitato a un determinato periodo e con quale frequenza dovrebbero essere condotte – settimanale, bisettimanale, mensile o altro.

A laptop displaying an open browser window with various interface elements such as buttons and sliders. To the left of the laptop, there's an abstract element resembling a control or settings card. To the right, a green shield icon with a clicking hand cursor shows a phishing report button.

Perché le simulazioni di phishing dovrebbero essere una pratica continuativa?

Le simulazioni di phishing sono diventate una pietra angolare nei protocolli di sicurezza informatica delle principali organizzazioni a livello globale, riflettendo l’evoluzione costante del panorama delle minacce informatiche. Tuttavia, alcuni sono divisi sul fatto che queste simulazioni debbano essere un’iniziativa continua e in evoluzione o semplicemente uno strumento pedagogico da utilizzare durante fasi di formazione specifiche.

Anno dopo anno, in SoSafe abbiamo constatato quanto siano fondamentali le simulazioni di phishing continue per migliorare la nostra strategia di sicurezza informatica. E non lo diciamo solo noi: anche le scienze comportamentali lo confermano. Ecco alcuni motivi per cui:

Miglioramento continuo delle competenzent

Le simulazioni di phishing offrono un metodo utile per consentire ai dipendenti di migliorare le proprie competenze nell’identificazione e nella gestione dei tentativi di phishing. Grazie alla pratica regolare, queste simulazioni aiutano a mantenere alta la consapevolezza, supportando il riconoscimento delle tattiche utilizzate dai criminali informatici. Col passare del tempo, i dipendenti diventano sempre più abili nell’evitare le minacce reali grazie a questi esercizi.

Affrontare le tendenze emergenti

La professionalizzazione del crimine informatico ha dato origine a gruppi criminali altamente organizzati che utilizzano tecnologie all’avanguardia come l’intelligenza artificiale. Questi avversari sono instancabili nella ricerca di vulnerabilità. Ricerche recenti del team di ingegneria sociale di SoSafe mostrano che gli strumenti di intelligenza artificiale generativa possono comporre e-mail di phishing almeno il 40% più velocemente, e il 78% delle persone ha aperto e-mail di phishing scritte dall’IA. Una formazione regolare garantisce che i dipendenti siano preparati non solo a riconoscere i tentativi di phishing tradizionali, ma anche a identificare e sventare attacchi sofisticati che coinvolgono l’IA e altre tendenze informatiche emergenti.

Inserimento di nuovi dipendenti

Se le simulazioni di phishing fossero eventi isolati o dimenticate per mesi, i nuovi dipendenti perderebbero importanti occasioni di apprendimento. Le simulazioni di phishing continuative garantiscono che i nuovi assunti siano rapidamente allineati ai protocolli di sicurezza informatica dell’organizzazione e dotati delle conoscenze essenziali per riconoscere e gestire le minacce di phishing. Coinvolgerli in questi esercizi aiuta a mantenere un livello uniforme di consapevolezza sulla sicurezza in tutta l’azienda, riducendo il rischio di eventuali falle di sicurezza derivanti dal turnover del personale.

Combattere la curva dell’oblio

Secondo gli studi dello scienziato Hermann Ebbinghaus, le informazioni vengono dimenticate a un ritmo esponenziale se non vengono ripassate o rinforzate, creando la famosa Curva dell’Oblio. Le simulazioni di phishing regolari aiutano le organizzazioni a contrastare questo effetto, offrendo ai dipendenti un’esposizione costante ad attacchi di phishing simulati, rafforzando la memorizzazione attraverso la ripetizione e consentendo loro di esercitarsi e affinare le proprie competenze.

Coltivare una cultura della sicurezza informatica

Quando condotte regolarmente, le simulazioni di phishing trasmettono il messaggio che la sicurezza informatica è una priorità assoluta. I dipendenti diventano più attenti alle proprie attività online e più propensi a segnalare e-mail o incidenti sospetti. Nel tempo, questo cambiamento culturale diventa una difesa formidabile contro gli attacchi di phishing, poiché i dipendenti contribuiscono attivamente alla sicurezza complessiva dell’organizzazione.

Testare la risposta agli incidenti

Le simulazioni regolari consentono ai team di sicurezza di identificare le debolezze nei loro piani di risposta agli incidenti e di apportare le migliorie necessarie. Questo approccio proattivo garantisce che l’organizzazione sia meglio preparata a mitigare i danni e a rispondere in modo efficace quando si verifica un vero attacco di phishing. 

Offrendo un’esposizione costante, ripetizione, affinamento delle competenze e una consapevolezza a lungo termine, le simulazioni di phishing aiutano i dipendenti a mantenere e applicare efficacemente le loro conoscenze sulle minacce di phishing. Questo approccio proattivo rafforza le difese di sicurezza informatica dell’organizzazione e garantisce che i dipendenti rimangano vigili contro gli attacchi di phishing nel lungo periodo. Tuttavia, la domanda sulla frequenza ideale continua a rimanere aperta. 

Qual è l’intervallo consigliato per le campagne di phishing?

L’intervallo consigliato per le campagne di phishing varia in base alla dimensione dell’organizzazione, al settore, al livello di maturità della sicurezza informatica e all’evoluzione del panorama delle minacce. Una linea guida generale è quella di condurre regolarmente campagne di phishing, bilanciando l’efficacia della formazione con il benessere dei dipendenti. 

Per questo motivo, i professionisti della sicurezza hanno espresso alcune preoccupazioni. Una delle sfide è trovare l’equilibrio tra creare simulazioni di phishing realistiche e non sovraccaricare i dipendenti. Simulazioni troppo convincenti o troppo frequenti possono causare stress e ridurre la produttività, mentre simulazioni troppo blande o rare possono lasciare i dipendenti impreparati alle vere minacce di phishing. Anche superare la resistenza al cambiamento è importante, poiché alcuni dipendenti possono percepire le simulazioni come intrusive o inutili, ostacolando la collaborazione e l’engagement. Poiché la privacy dei dati e la conformità sono fondamentali, i professionisti della sicurezza devono effettuare controlli regolari senza compromettere il flusso di lavoro e la soddisfazione dei dipendenti, assicurando al contempo la conformità normativa.  

Il giusto equilibrio, secondo noi, è rappresentato da un’e-mail di simulazione phishing al mese, supportata anche da fonti come il Cyber Resilience Centre. Questa cadenza mensile evita di sommergere gli utenti con simulazioni eccessive, che potrebbero portare a frustrazione o disinteresse, mentre favorisce lo sviluppo di un’abitudine che diventa automatica.

Anche se può essere allettante condurre simulazioni di phishing molto frequenti, i nostri dati mostrano che inviare più di tre e-mail simulate al mese può ridurre l’engagement e l’efficacia. Pertanto, i migliori risultati di apprendimento si ottengono con una frequenza moderata di una a tre e-mail simulate al mese. Questo approccio consente ai dipendenti di affinare le proprie competenze e aumentare la consapevolezza senza sentirsi sopraffatti, garantendo che le difese dell’organizzazione contro le minacce reali di phishing rimangano solide e in costante miglioramento.

Sfruttare al massimo le simulazioni di phishing

Man mano che le organizzazioni riconoscono il ruolo fondamentale dei propri dipendenti nel rafforzare le difese informatiche, l’importanza di strategie efficaci di formazione e simulazione di phishing diventa evidente. In questo contesto, il nostro report Best Practices for Phishing Simulations offre un insieme di pratiche consigliate che si sono rivelate essenziali per proteggere le organizzazioni dai pericoli degli attacchi di phishing.

Di seguito alcune delle principali raccomandazioni sulle simulazioni di phishing incluse in questo report:

  • Invece di sorprendere, informare: La comunicazione prima, durante e dopo la simulazione è fondamentale per qualsiasi simulazione di phishing orientata all’apprendimento. Questo coinvolge l’IT, l’Help Desk, il management esecutivo e, se applicabile, il Consiglio dei Lavoratori e il dipartimento delle Risorse Umane. Annunciare in anticipo la simulazione di phishing è cruciale per un’esperienza formativa efficace. Quando i dipendenti comprendono che la simulazione contribuisce a rafforzare la cultura della sicurezza e a proteggere l’organizzazione dagli attacchi, risultano più coinvolti nei contenuti e più aperti ad apprendere da essa.
  • Invece di testare, formare: La pratica di attribuire colpe può ridurre la disponibilità dei dipendenti ad apprendere e la loro motivazione a partecipare. Condurre simulazioni in forma anonima, senza raccogliere e analizzare dati comportamentali individuali, è un approccio più efficace e sostenibile. È fondamentale chiarire nell’annuncio della simulazione che non si tratta di un test, in modo che gli utenti non si sentano controllati, ma piuttosto incoraggiati a completare la simulazione di phishing al proprio ritmo e al meglio delle proprie capacità.
  • Invece di obsoleto, basato sulla realtà: I tentativi di phishing simulati devono rispecchiare accuratamente i tipi di e-mail di phishing che i dipendenti potrebbero incontrare. Utilizza simulazioni aggiornate che rappresentino in modo realistico le situazioni di phishing che i dipendenti possono trovarsi ad affrontare.
  • Invece di intimidatorio, educativo: Arricchisci la simulazione di phishing con contenuti educativi correlati, come moduli di e-learning che offrano indicazioni sulle pratiche sicure quotidiane e spiegazioni dettagliate dopo il clic su un’e-mail di phishing simulata. Se cliccare su un’e-mail di phishing simulata non comporta conseguenze o non porta a risorse educative, i destinatari potrebbero non essere sicuri se si tratti di una simulazione o di un attacco reale. Di conseguenza, il supporto IT potrebbe ricevere un numero maggiore di richieste, compromettendo l’impatto educativo desiderato.

Implementare queste best practice non è solo una misura di sicurezza, ma un investimento nella resilienza della tua organizzazione contro le minacce di phishing e un impegno a sviluppare una forza lavoro consapevole della sicurezza informatica.

Cosa fare tra una campagna di phishing e l’altra

Nei periodi tra una campagna di phishing e l’altra, le organizzazioni hanno un’opportunità unica per rafforzare le proprie difese informatiche e promuovere una cultura di maggiore consapevolezza tra i dipendenti. Questi intervalli non sono pause inattive, ma momenti preziosi per valutare, formare e responsabilizzare. Ecco alcune attività che puoi svolgere tra le campagne di phishing per massimizzarne l’efficacia: 

  • Ottieni informazioni: Analizzando i report generati dalle simulazioni di phishing, puoi ottenere una visione più chiara dello stato attuale della sicurezza nella tua organizzazione. Ad esempio, se il reparto marketing registra il tasso di clic più alto su un determinato tipo di e-mail di phishing, puoi personalizzare la formazione per aiutarli a individuare e contrastare quella specifica minaccia. È come personalizzare il tuo piano di difesa in base alle vulnerabilità osservate e selezionare moduli formativi per rafforzare la resilienza del tuo team.
  • Azione mirata: Sebbene la formazione di base debba coprire tecniche standard di prevenzione, come la verifica della fonte delle e-mail e l’analisi attenta dei messaggi, è altrettanto importante affrontare le vulnerabilità specifiche dei dipendenti. Questo richiede campagne mirate che affrontino le debolezze identificate. Le simulazioni di phishing ricorrenti dovrebbero integrare regolarmente le sessioni di formazione per garantire progressi concreti, mantenendo tutti attenti e aggiornati.
  • Consapevolezza continua: Mantenere il team informato sulle più recenti tattiche, tecniche e procedure di phishing è fondamentale. Sfruttare integrazioni con MS Teams, come Sofie Rapid Awareness, semplifica questo processo, garantendo che il personale riceva tempestivamente notizie e aggiornamenti importanti all’interno dell’azienda.
  • Condividi esperienze: Crea forum interni in cui i dipendenti possano condividere liberamente le loro esperienze personali e le loro osservazioni sui tentativi di phishing. Promuovi una cultura in cui la segnalazione di e-mail sospette o incidenti sia incoraggiata e valorizzata. In un ambiente del genere, i dipendenti si sentono a proprio agio nel sollevare dubbi sulla sicurezza senza timore di ripercussioni, contribuendo a rafforzare la resilienza informatica dell’organizzazione. 

Le azioni intraprese tra le simulazioni di phishing influenzano in modo significativo la preparazione di un’organizzazione nell’affrontare le minacce informatiche. Questo è il momento in cui le organizzazioni possono perfezionare le proprie difese, trarre insegnamenti dalle esperienze passate e garantire che il personale rimanga informato, coinvolto e capace di respingere efficacemente gli attacchi di phishing.

Come SoSafe può supportarti nelle tue campagne di phishing

Nel nostro impegno a restare all’avanguardia nella sicurezza informatica, allineiamo i nostri contenuti alle più recenti tendenze nel phishing. Integrando continuamente le ultime conoscenze e tattiche utilizzate dagli attori malevoli, le simulazioni di phishing di SoSafe offrono un livello di rilevanza e preparazione in tempo reale, consentendo alle organizzazioni di contrastare efficacemente le minacce in evoluzione. Queste simulazioni promuovono abitudini sicure attraverso l’apprendimento implicito e incidentale e includono walkthrough contestuali, creati da specialisti dell’apprendimento, che forniscono esperienze personalizzate su diversi canali per migliorare le competenze di autodifesa digitale. Infatti, secondo il nostro Human Risk Review 2023, la combinazione di e-learning gamificato, simulazioni di phishing e strumenti di reportistica contestuali aumenta i tassi di segnalazione di phishing fino all’80%, riducendo al minimo le minacce per l’ambiente digitale della tua organizzazione.

Il tuo interesse nell’approfondire le nostre simulazioni di phishing o la nostra piattaforma olistica di sensibilizzazione alla sicurezza informatica rappresenta un passo verso una postura digitale più solida. Richiedi una demo e uno dei nostri esperti di sicurezza ti guiderà, mostrando come la nostra piattaforma possa supportare il tuo team nel mitigare continuamente le minacce informatiche e migliorare la sicurezza complessiva della tua organizzazione.

Potrebbe interessarti anche:

SoSafe nominato Strong Performer in The Forrester Wave™: Soluzioni di Gestione del Rischio Umano, Q3 2024 Scopri di più Clock 8 min di lettura

Human Risk Management

SoSafe nominato Strong Performer in The Forrester Wave™: Soluzioni di Gestione del Rischio Umano, Q3 2024 

"Le organizzazioni che devono bilanciare privacy e innovazione dovrebbero rivolgersi a SoSafe" – afferma il report inaugurale Forrester Wave™: Human Risk Management Solutions, Q3 2024.Siamo orgogliosi di annunciare che SoSafe è stato riconosciuto come Strong Performer nella gestione del rischio umano, con una valutazione che copre tre categorie: offerta attuale, strategia e presenza sul mercato. Leggi l'articolo per saperne di più!

Come condurre con successo una campagna di phishing simulato in 6 passi Scopri di più Clock 15 min di lettura

Human Risk Management, Phishing Simulations

Come condurre con successo una campagna di phishing simulato in 6 passi 

Vuoi rendere il tuo team immune al phishing? Le simulazioni di phishing possono essere la soluzione migliore, ma devono essere in sintonia con i tuoi dipendenti. Leggi il nostro articolo in sei passi per scoprire come affinare la pertinenza, la frequenza e il contenuto delle tue email simulate e trasformare il tuo team in campioni del rilevamento del phishing.

Il cambiamento di cui avevamo bisogno è arrivato: perché abbiamo bisogno di un approccio comportamentale alla gestione del rischio umano nella sicurezza informaticaScopri di più Clock 8 min di lettura

Human Risk Management

Il cambiamento di cui avevamo bisogno è arrivato: perché abbiamo bisogno di un approccio comportamentale alla gestione del rischio umano nella sicurezza informatica

Sei sicuro che la tua organizzazione sia in grado di resistere al panorama in continua evoluzione delle minacce informatiche? Scopri perché le misure di sicurezza tradizionali non sono più sufficienti e perché un approccio comportamentale alla gestione del rischio umano è l'unico modo per proteggere davvero le organizzazioni. Non perdere l’opportunità di adottare un cambiamento che rende i comportamenti sicuri un'abitudine naturale. Leggi di più e rimani un passo avanti.

Vuoi rimanere un passo avanti nel gioco della cybersicurezza?

Iscriviti alla nostra newsletter per ricevere gli ultimi articoli, eventi e risorse sulla cybersicurezza. Niente spam, solo contenuti che contano davvero.

Newsletter visual

Richiedi una demo

Scopri come la nostra piattaforma può aiutarti a potenziare il tuo team per prevenire continuamente le minacce informatiche e mantenere la tua organizzazione sicura. Pianifica una demo e uno dei nostri esperti ti contatterà presto.

Conformità e sicurezza

ISO 27001

ISO 27001

TISAX

TISAX

GDPR

GDPR

Riconoscimento del settore

G2 Europe Leader Winter 2025 G2 Leader Winter 2025 The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions

Provate i nostri prodotti in prima persona

Utilizzate il nostro ambiente di prova online per vedere come la nostra piattaforma può aiutarvi a potenziare il vostro team per scongiurare continuamente le minacce informatiche e mantenere sicura la vostra organizzazione.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025 The Forrester Wave™ Strong Performer 2024: Human Risk Management Solutions
Prodotti

Micro learning personalizzato

Crea abitudini più sicure attraverso esperienze di apprendimento personalizzate, gamificate e basate su storie.

Simulazioni intelligenti di phishing

Migliora le competenze di segnalazione delle minacce dei tuoi dipendenti e accelera il rilevamento delle minacce.

Monitoraggio del rischio e cambiamento comportamentale

Comprendi lo stato della tua cultura della sicurezza con una dashboard completa sul rischio umano.

Copilot di sicurezza umana sempre attivo

Trasforma il tuo personale in una linea di difesa proattiva con il nostro chatbot conversazionale basato sull'intelligenza artificiale, Sofie.

Human Risk Management Proattivo

Monitora, misura e mitiga continuamente il rischio umano in tempo reale con la piattaforma Human Risk OS.

Scopri le nostre soluzioni
con i nostri tour dei prodotti

Human Risk OS Avvia il tour virtuale
Soluzioni

Diventa conforme alla sicurezza

Security compliance

Automatizza e accelera il tempo per la conformità

Costruisci una cultura della sicurezza

Security culture

Integra i comportamenti sicuri nel DNA della tua organizzazione

Risorse

Leggere

Guide Glossario Blog

Partecipa

Tutte le eventi Human Firewall Conference

Test e Giochi

Phishing Game

Risorsa in evidenza

Human Risk
Review 2024

La sopravvivenza delle nostre organizzazioni dipende dal rafforzamento radicale delle nostre difese umane. Leggi il nostro rapporto per scoprire come.

Leggi di più
Human Risk Review 2024
Società

Diventa un eroe informatico

Cerchi una missione significativa? Unisciti a noi nel nostro viaggio per rendere il mondo un posto più sicuro.

Unisciti a noi nel nostro viaggio per rendere il mondo un posto più sicuro.

Candidati ora
Partner
Contatti Login
Languages