---
url: 'https://www.corbado.com/it/blog/phishing-as-a-service'
title: 'Spiegazione del Phishing-as-a-Service: IA, deepfake e difesa'
description: 'Scopri come gli attacchi Phishing-as-a-Service aggirano l''MFA con proxy e deepfake e come proteggersi.'
lang: 'it'
author: 'Alex'
date: '2026-05-27T10:41:34.249Z'
lastModified: '2026-05-27T11:21:16.248Z'
keywords: 'PhaaS, Phishing-as-a-Service, Tycoon 2FA, fornitori di phishing, phishing IA, phishing basato su agenti, gestione del rischio umano, attacchi phishing IA, phishing adversary-in-the-middle, attacchi informatici IA basati su agenti, vibe scamming, phishing '
category: 'Authentication'
---

# Spiegazione del Phishing-as-a-Service: IA, deepfake e difesa

## Key Facts

- **Tycoon 2FA** domina l'89% del mercato del PhaaS a circa 120 dollari USA ogni 10 giorni, utilizzando
  l'offuscamento con il cifrario di Cesare e caratteri Unicode Hangul Filler per eludere i filtri di sicurezza e-mail
  che prendono di mira Microsoft 365 e Gmail.
- Gli attacchi **Adversary-in-the-Middle (AiTM)** aggirano l'MFA intercettando i cookie di sessione in
  tempo reale tramite un reverse proxy, garantendo l'accesso completo all'account senza riprodurre
  le credenziali o i token.
- Lo **spear phishing generato dall'IA** ha superato una soglia critica all'inizio del 2025: i dati
  di Hoxhunt mostrano che l'IA è passata da essere il 31% meno efficace rispetto all'élite degli ingegneri sociali umani nel 2023, al 24%
  più efficace a marzo 2025.
- Il costo medio delle violazioni dovute al phishing ha raggiunto i **4,88 milioni di dollari USA** nel 2024, un
  aumento di quasi il 10%. Le violazioni nel settore sanitario hanno registrato una media di 9,77 milioni di dollari USA, la più alta in assoluto.

## 1. Introduzione: Phishing-as-a-Service

Il phishing si sta allontanando dagli invii massicci di e-mail ad alto volume per orientarsi
verso attacchi più mirati che possono comunque essere eseguiti su larga scala. I kit di
phishing pronti all'uso consentono ora ad attaccanti relativamente inesperti di
raggiungere un livello di efficacia che in passato era associato principalmente alle minacce
persistenti avanzate (APT) e ai gruppi sostenuti da governi.

L'impatto di questo problema sta peggiorando: lo studio
[2024 IBM/Ponemon Cost of a Data Breach](https://cdn.table.media/assets/wp-content/uploads/2024/07/30132828/Cost-of-a-Data-Breach-Report-2024.pdf)
riporta che il costo medio annuo degli incidenti di phishing è aumentato
di quasi il 10%, raggiungendo i 4,88 milioni di dollari USA, uno dei salti più significativi dalla pandemia. Allo
stesso tempo, la tecnologia deepfake sta aprendo nuove strade per le frodi: Right Hand
Cybersecurity segnala un aumento su base annua del 680% nelle attività di media sintetici, che consentono
attacchi in grado di aggirare i protocolli di verifica tradizionali. Oltre 3,4 miliardi di e-mail
di phishing circolano quotidianamente (circa l'1,2% del traffico globale di e-mail) e
[Google ne blocca circa 100 milioni al giorno](https://telecom.economictimes.indiatimes.com/news/gmail-blocks-more-than-100-million-phishing-attempts-google-play-scans-100-apps-for-malware-everyday-says-google/83363781).
L'Anti-Phishing Working Group ha registrato 1.003.924 attacchi solo nel primo trimestre del 2025, il livello
più alto dalla fine del 2023. Il phishing rimane uno dei principali fattori di danni nel mondo reale,
[contribuendo al 36% delle violazioni dei dati negli Stati Uniti](https://www.verizon.com/business/resources/reports/dbir/)
e giocando un ruolo in oltre l'80% degli attacchi informatici. I costi medi delle violazioni si attestano a 4,88 milioni di dollari USA,
[le perdite dovute alla compromissione delle e-mail aziendali (BEC) raggiungono i 2,7 miliardi di dollari all'anno](https://newsroom.ibm.com/2024-07-30-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs)
e il ransomware (spesso avviato tramite phishing) appare nel 44%
delle violazioni.

In questo articolo, analizzeremo gli aspetti più importanti di come il phishing
è cambiato negli ultimi anni con nuovi approcci come il Phishing-as-a-Service e l'uso dell'
IA. In particolare, affronteremo le seguenti domande:

1. Che cos'è il Phishing-as-a-Service (PhaaS)?

2. Che ruolo gioca l'intelligenza artificiale nei moderni
   attacchi di phishing?

3. Come possono le organizzazioni difendersi dal phishing moderno (controlli tecnici, gestione
   del rischio umano, governance e policy)?

## 2. Che cos'è il Phishing-as-a-Service (PhaaS)?

Il crimine informatico non è più un'esclusiva degli hacker esperti. L'ascesa del Phishing-as-a-Service
(PhaaS) ha reso le competenze tecniche molto meno necessarie per lanciare attacchi efficaci. Imitando
i modelli di business delle aziende di software legittime e offrendo abbonamenti,
assistenza clienti e aggiornamenti regolari, gli sviluppatori criminali hanno reso il phishing accessibile
a quasi chiunque.

### 2.1 Mercificazione dell'accesso agli strumenti di phishing

Il mercato del PhaaS è maturato in un ecosistema a livelli. Al livello base, gli attaccanti
principianti ("script kiddie") possono noleggiare l'accesso a infrastrutture complesse per tariffe ridotte, mentre
gli operatori avanzati possono acquistare livelli "enterprise" che offrono hosting dedicato e funzionalità
di elusione personalizzate.

Questa struttura economica ha portato a un massiccio picco di attività.
[Solo nei primi due mesi del 2025 sono stati rilevati oltre un milione di attacchi basati su PhaaS, segnalando una solida e crescente base di utenti per questi servizi criminali.](https://blog.barracuda.com/2025/03/19/threat-spotlight-phishing-as-a-service-fast-evolving-threat)
Il [marketplace](https://www.corbado.com/passkeys-for-e-commerce) per questi kit è ospitato principalmente su
Telegram, che funge da pannello di controllo crittografato e ad alta disponibilità per vendite e
supporto.

**Analisi delle piattaforme PhaaS più popolari (2025)**

| **Piattaforma** | **Quota di mercato (Stimata)** | **Modello di prezzo**          | **Principale differenziatore tecnico**                                 | **Obiettivi primari**                   |
| --------------- | ------------------------------ | ------------------------------ | ---------------------------------------------------------------------- | --------------------------------------- |
| **Tycoon 2FA**  | 89%                            | \~120 USD / 10 giorni          | Offuscamento con cifrario di Cesare; Esfiltrazione via WebSocket       | Microsoft 365, Gmail                    |
| **EvilProxy**   | 8%                             | 400 - 600 USD / mese           | Verifica degli utenti; Nodi proxy ad alta reputazione                  | C-Suite, Amministratori IT, Sviluppatori|
| **Sneaky 2FA**  | 3%                             | 150 USD / mese (Base)          | "Centro di controllo" per manipolazione manuale della sessione         | VPN aziendali, Office 365               |
| **Greatness**   | &lt; 1%                        | Variabile                      | Focus su esche basate su allegati (HTML/PDF)                           | Dipartimenti finanziari delle PMI       |

Il grafico seguente illustra l'assoluto predominio del mercato da parte di Tycoon 2FA rispetto
ad altri attori dell'ecosistema:

### 2.2 Tycoon 2FA: Analisi dettagliata del kit di phishing

Tycoon 2FA è una sofisticata piattaforma di Phishing-as-a-Service
(PhaaS) progettata per aggirare l'autenticazione a due fattori (2FA) e l'autenticazione a più fattori (MFA). Prende
di mira principalmente gli
account Microsoft 365 e Gmail utilizzando
una tecnica "Adversary-in-the-Middle" (AiTM). All'inizio del 2025, Tycoon
2FA è diventato il principale attore del mercato, rappresentando
quasi 9 incidenti di phishing su 10. Il suo successo è guidato dalla capacità di rimanere
invisibile ai moderni filtri di sicurezza. In un importante aggiornamento del 2025, gli sviluppatori hanno sostituito le vecchie
tattiche con una crittografia avanzata per nascondere il proprio codice dannoso.

In particolare, ora utilizzano un "cifrario di Cesare" per rimescolare il codice e inserire caratteri
invisibili "Hangul Filler" (Unicode 3164). Questi caratteri sono nascosti all'utente ma
servono a confondere gli scanner automatizzati che cercano le "firme" digitali delle minacce
note. Per distribuire questi kit, Tycoon utilizza una strategia "Living off the Land", ospitando
le proprie trappole su servizi affidabili e ad alta reputazione come Amazon S3, Canva e Dropbox.

Poiché i gateway di posta elettronica sicura (SEG) sono programmati per fidarsi di questi domini famosi, le
e-mail di phishing spesso bypassano completamente i filtri. Infine, per assicurarsi di non essere
osservati dai bot di sicurezza, gli aggressori indirizzano gli utenti attraverso una complessa catena di reindirizzamenti
e CAPTCHA di Cloudflare prima che
vedano mai la falsa pagina di accesso.

### 2.3 I meccanismi di Adversary-in-the-Middle (AiTM)

La caratteristica distintiva dei moderni kit PhaaS è l'attacco Adversary-in-the-Middle (AiTM).
Questa tecnica rende obsoleta la tradizionale raccolta delle credenziali intercettando la sessione
di autenticazione in tempo reale, bypassando così l'autenticazione a più fattori (MFA).

L'architettura di un attacco AiTM differisce fondamentalmente da un sito clone.

1. **Iniziazione del proxy:** Quando una vittima accede all'URL di phishing, il server PhaaS (che agisce
   come reverse proxy) avvia una connessione all'Identity Provider (IdP) legittimo,
   come login.microsoftonline.com.

2. **Mirroring del traffico:** Il proxy recupera i contenuti di accesso legittimi e li inoltra
   alla vittima. La vittima vede la vera pagina di accesso di Microsoft, sebbene renderizzata su un
   dominio dannoso.

3. **Relay in tempo reale:** Man mano che la vittima inserisce le proprie credenziali, il proxy le acquisisce
   e le inoltra all'IdP.

4. **Intercettazione dell'MFA:** Quando l'IdP richiede il secondo fattore (ad esempio, un codice SMS o un prompt di
   Authenticator), il proxy specchia questa richiesta alla
   vittima.

5. **Furto di sessione:** La vittima fornisce il token MFA. Il proxy lo inoltra all'IdP.
   L'IdP convalida la sessione ed emette un cookie di sessione (ad esempio, ESTSAUTH o
   ESTSAUTH_PERSISTENT).

6. **La violazione:** Fondamentalmente, il proxy *intercetta* questo cookie di sessione. Non lo restituisce
   alla vittima (o ne passa una copia conservando l'originale). L'attaccante ora
   possiede un cookie di sessione valido e autenticato che gli consente di accedere all'account
   della vittima da qualsiasi dispositivo, aggirando la necessità di una password o di un token MFA, fino alla scadenza del
   token.

![AiTM-diagram.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Ai_TM_diagram_78f4be4ced.png)

Kit come Sneaky 2FA hanno ulteriormente perfezionato questo approccio offrendo pannelli
amministrativi che consentono agli aggressori di intervenire manualmente nella sessione,
gestendo di fatto l'attacco in tempo reale.

### 2.4 Infrastruttura dei fornitori di Phishing-as-a-Service

Smantellare l'infrastruttura PhaaS è molto difficile a causa della sua natura decentralizzata. Mentre i pannelli di
"amministrazione" centrali potrebbero essere ospitati su server in giurisdizioni con leggi informatiche blande, i
nodi "periferici" (le effettive pagine di phishing) hanno una vita breve. Tycoon 2FA, per esempio,
utilizza un Domain Generation Algorithm (DGA) per creare migliaia di domini usa e getta.
Cloudflare Turnstile blocca anche gli scanner di sicurezza e fa
sembrare ufficiali i siti di phishing. Poiché le persone sono abituate a vedere questi controlli sui siti
reali, sono più propense a fidarsi della pagina.

Le pagine di Tycoon 2FA vengono spesso distribuite tramite "Quishing" (Phishing tramite codice QR). Il
codice QR contiene l'URL dannoso, tenendo di fatto
la minaccia lontana dagli scanner di sicurezza della posta elettronica che non possono analizzare i dati dell'immagine. Questo
vettore ha visto un aumento del 25% su base annua, prendendo di mira specificamente i dispositivi mobili che
spesso non dispongono dei controlli di protezione degli endpoint delle workstation aziendali.

## 3. Il phishing al tempo dell'intelligenza artificiale

Se il PhaaS ha fornito l'infrastruttura per lo sfruttamento di massa, l'intelligenza artificiale ha
fornito l'intelligenza e i contenuti. L'integrazione della GenAI nel
ciclo di vita della criminalità informatica ha risolto le due maggiori sfide per gli aggressori: scalabilità e
credibilità. I giorni in cui la "scarsa grammatica" e i "saluti generici" fungevano da indicatori
affidabili di phishing sono finiti.

### 3.1 "Vibe Scamming" e la strumentalizzazione degli strumenti no-code

Uno sviluppo significativo nel 2025 è l'emergere del "vibe scamming". Questa tendenza
sfrutta l'ideale del "vibe coding", in cui gli utenti creano software utilizzando
prompt in linguaggio naturale, per generare risorse dannose.

Piattaforme legittime come Lovable, progettate per democratizzare la creazione di software, sono diventate
motori per la criminalità informatica. Guardio Labs ha condotto un benchmark della resistenza degli agenti IA agli
abusi, scoprendo che mentre modelli consolidati come ChatGPT ottenevano un punteggio relativamente alto (8/10) nel
rifiutare le richieste dannose, piattaforme più recenti come Lovable ottenevano punteggi allarmantemente bassi (1,8/10).
Gli aggressori possono semplicemente chiedere a questi strumenti, ad es., *"Crea un portale di accesso che sembri quello di una
grande banca, utilizzi i colori ufficiali blu e rosso e abbia campi per i numeri di previdenza sociale"*, e l'IA genera codice di phishing perfetto e
completamente funzionante.

Questa capacità consente agli aggressori di aggirare l'"affaticamento da template" dei vecchi kit PhaaS.
Invece di utilizzare un template standard di Microsoft che i difensori hanno identificato, un vibe
scammer può generare una pagina di accesso unica e adattata per ogni singola campagna, o persino per
ogni singola vittima. Proofpoint ha osservato decine di migliaia di URL generati da Lovable che
distribuivano Tycoon e altri malware all'inizio del 2025, confermando che
non si tratta di una minaccia teorica, ma di un vettore attivo e massiccio.

### 3.2 L'IA basata su agenti spinge lo spionaggio autonomo

Oltre a generare contenuti, l'IA viene ora utilizzata anche per eseguire attacchi. Questo passaggio dall'
IA generativa all'"IA basata su agenti" rappresenta un momento chiave per l'ingegneria sociale:

Si è verificato un incidente alla fine del 2024 che ha coinvolto un gruppo sostenuto dallo stato cinese. Questo
avversario ha utilizzato l'agente "Claude Code" di Anthropic (destinato allo sviluppo di software
automatizzato) per condurre una campagna
di spionaggio informatico su larga scala. Aggirando i suoi limiti etici, gli aggressori sono stati in grado di
incaricare l'IA di obiettivi di alto livello. L'agente IA ha eseguito autonomamente
ricognizioni, scritto codice exploit personalizzato per colpire specifiche
vulnerabilità, raccolto credenziali e si è spostato all'interno
delle reti.

Questa moltiplicazione delle forze consente a un piccolo team di operatori di colpire centinaia di
organizzazioni contemporaneamente con la profondità e la persistenza di un vero e proprio team red team umano dedicato.

Gli esperimenti condotti da Hoxhunt tra il 2023 e il 2025 rivelano la rapida evoluzione delle capacità dell'
IA. Come mostrato nella sequenza temporale seguente, gli agenti IA hanno superato la soglia di efficacia umana all'inizio
del 2025, passando dall'essere il 31% meno efficaci al 24% più efficaci rispetto agli
ingegneri sociali d'élite.

Inoltre, gli studi indicano che le campagne di spear phishing
supportate dall'IA possono raggiungere percentuali di clic superiori al 50%, rispetto alle percentuali molto più basse delle
campagne generiche. Anche la riduzione dei costi è altrettanto notevole. Le campagne guidate dall'IA costano
circa 1/30 rispetto alle campagne manuali, fornendo al contempo risultati superiori.

### 3.3 Caso di studio: i deepfake nella "Rapina ad Arup"

Uno degli impatti più diretti dell'IA sulla sicurezza è l'aumento dei deepfake, audio e video generati
al computer altamente realistici. Questi strumenti sono progettati per ingannare i nostri
sensi, rendendo difficile per le persone fidarsi dei propri occhi e orecchie quando cercano di
verificare l'identità di una persona.
[Il furto nel 2024 di 25 milioni di dollari presso la società di ingegneria Arup funge da caso di studio definitivo per questa nuova era di frodi](https://www.weforum.org/stories/2025/02/deepfake-ai-cybercrime-arup/).

**L'incidente di Arup (Perdita di 25 milioni di dollari)**

- **La preparazione:** un dipendente dell'ufficio di Hong Kong di Arup ha ricevuto un'e-mail che fingeva di essere
  da parte del Chief Financial Officer (CFO) con sede nel Regno Unito, che richiedeva una transazione finanziaria
  riservata. Il dipendente, sospettoso della richiesta, si è fermato. Questa è la procedura
  corretta in un modello di consapevolezza della sicurezza standard.

- **L'aggiramento:** Per alleviare le preoccupazioni del dipendente, gli aggressori hanno avviato una
  videochiamata in conferenza.

- **L'inganno:** Il dipendente ha partecipato alla chiamata trovando non solo il CFO, ma anche molti
  altri colleghi noti. Tutti loro erano deepfake, avatar generati dall'IA guidati dalla clonazione vocale in
  tempo reale e dalla tecnologia di rievocazione facciale. La conferma visiva e uditiva
  fornita dal "CFO" e la riprova sociale degli altri "colleghi"
  hanno sopraffatto completamente le difese del dipendente.

- **Il risultato:** Convinto di agire su ordini legittimi, il dipendente ha autorizzato
  15 bonifici bancari per un totale di 200 milioni di dollari di Hong Kong (25,6 milioni di dollari USA) verso
  conti fraudolenti.

La tecnologia deepfake è stata mercificata. I [marketplace](https://www.corbado.com/passkeys-for-e-commerce) sul dark web ora offrono "Deepfake-as-a-Service" per soli
50 USD per il video e 30 USD per la clonazione vocale. La tecnologia è avanzata per supportare l'interazione
in tempo reale a bassa latenza, rendendo fattibili le chiamate di phishing in diretta. Gli attacchi di
phishing tramite deepfake sono aumentati del 1.633% solo nel primo trimestre del 2025.

## 4. Quishing (Phishing tramite codice QR)

Pur essendo spesso messo in ombra dall'IA, il "Quishing" (Phishing tramite codice QR) è cresciuto in parallelo,
sfruttando le lacune nella sicurezza dei dispositivi mobili. Gli attacchi che utilizzano codici QR dannosi sono aumentati del 25%
su base annua.

Le meccaniche del Quishing sono progettate per aggirare le difese aziendali. Come illustrato nel
flusso di processo di seguito, l'attacco sfrutta una "lacuna di sicurezza" in cui l'utente scansiona un codice QR incorporato
con il proprio dispositivo personale, ignorando il
Secure Email Gateway (SEG) e le protezioni degli endpoint aziendali prima di eseguire l'attacco
nel browser mobile.

Gli aggressori utilizzano sempre più spesso l'IA per generare codici QR "artistici" che si fondono con
i materiali di marketing, riducendo ulteriormente il sospetto degli utenti.

## 5. Analisi delle minacce nel settore e nelle regioni

L'impatto di queste minacce non è uniforme. Settori diversi affrontano varianti distinte di
PhaaS e attacchi basati sull'IA in base al valore dei propri asset e al ritmo operativo.

### 5.1 Phishing-as-a-Service nelle banche e nella finanza

Il settore finanziario rimane il più preso di mira, rappresentando
il volume più elevato di attacchi di phishing.

- **Portali di VibeScamming:** Gli aggressori utilizzano strumenti come Lovable per creare cloni effimeri
  e ad alta fedeltà dei portali di accesso alle banche regionali. Questi siti sono spesso attivi per meno
  di 24 ore, rendendo inefficaci le rimozioni.

- **Frode nella verifica con deepfake:** Una tendenza crescente coinvolge gli aggressori che utilizzano la clonazione
  vocale per superare la verifica di sicurezza del [telephone banking](https://www.corbado.com/passkeys-for-banking).
  Impersonando il titolare dell'account, autorizzano bonifici o reimpostano le password. Gli anziani
  hanno visto un aumento del 40% degli attacchi di vishing, evidenziando la
  natura predatoria di queste campagne.

### 5.2 Phishing-as-a-Service nel settore sanitario

Per il [settore sanitario](https://www.corbado.com/passkeys-for-healthcare), il phishing è principalmente un vettore di accesso iniziale
per il ransomware.

- **Impatto sui costi:** Il costo medio di una violazione nel [settore sanitario](https://www.corbado.com/passkeys-for-healthcare)
  è di 9,77 milioni di dollari USA, il più alto di qualsiasi settore.

- **Esche operative:** Gli aggressori prendono di mira il personale ospedaliero con esche relative alla "Pianificazione dei turni", all'"Amministrazione del portale pazienti" o agli "Aggiornamenti sulle buste paga". L'urgenza degli ambienti
  clinici rende il personale altamente vulnerabile a queste esche operative.

- **Catena di approvvigionamento:** Gli attacchi spesso provengono da account di fornitori compromessi (ad esempio,
  fornitori di dispositivi medici), sfruttando la relazione di fiducia per non destare sospetti.

### 5.3 Phishing-as-a-Service nella vendita al dettaglio e nella produzione

Le organizzazioni manifatturiere hanno registrato il maggior numero di incidenti
ransomware nel 2024, sfidando la tendenza globale al ribasso.

- **Tecnologie legacy:** La produzione si affida spesso alla tecnologia operativa (OT) legacy e a
  sistemi Windows più vecchi, rendendoli vulnerabili agli exploit noti
  una volta ottenuto l'accesso iniziale tramite phishing.

- **Brandjacking (furto d'identità del marchio):** I rivenditori affrontano il "Brandjacking", in cui gli aggressori utilizzano l'IA per
  generare false recensioni di prodotti, fatture fraudolente e notifiche di spedizione false
  (ad esempio, "Il tuo pacco è in ritardo") per truffare i consumatori.

- **L'impennata in APAC:**
  [La regione Asia-Pacifico ha registrato un aumento del 13% degli attacchi nel 2024, guidato in gran parte da attacchi agli hub manifatturieri cruciali per la catena di approvvigionamento globale](https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/2025-threat-intelligence-index).

## 6. Difesa strategica e resilienza contro il PhaaS

Le difese degli ultimi dieci anni (rilevamento basato sulle firme, blacklist e formazione di base
degli utenti) stanno fallendo contro gli attacchi guidati dall'IA e basati su proxy. È necessario passare a una
Difesa incentrata sull'identità (Identity-Centric Defense) e all'Analisi comportamentale.

### 6.1 Controlli tecnici contro il Phishing-as-a-Service

Per affrontare i problemi del phishing è necessario gestire contemporaneamente alcuni vettori.

#### 1. MFA resistente al phishing

- **Difesa:** Gli amministratori devono applicare **Criteri di accesso condizionale (Conditional Access Policies)** che blocchino
  i metodi di autenticazione legacy. Se il browser di un utente
  tenta di declassare (downgrade) a un flusso tramite password/SMS, l'accesso deve essere bloccato.

- **Crittografia più elevata:** Le passkey FIDO offrono la massima protezione poiché legano fisicamente
  la credenziale al dispositivo, rendendo quasi impossibili gli attacchi di replay remoti.

#### 2. IA visiva e comportamentale:

- **Computer vision:** Gli strumenti di sicurezza devono analizzare l'aspetto *renderizzato* di una pagina web.
  Anche se il codice è offuscato con cifrari di Cesare, la pagina renderizzata *sembra* un
  accesso Microsoft. I modelli di computer vision possono identificare questa somiglianza visiva e bloccare
  il sito.

- **Baseline comportamentali:** Piattaforme come Check Point e Proofpoint si stanno muovendo verso
  baseline comportamentali. Analizzano l'*intento* e il *contesto* delle e-mail (ad esempio, "È
  normale che il CFO chieda un bonifico bancario alle 23:00 di domenica?"). Le anomalie attivano
  avvisi indipendentemente dalla reputazione del mittente.

### 6.2 Gestione del rischio umano (HRM)

- **Simulazioni con deepfake:** La formazione sulla consapevolezza della sicurezza deve ora includere l'esposizione all'audio
  e ai video deepfake. I dipendenti devono sperimentare la qualità di questi falsi in un ambiente
  sicuro per comprendere la minaccia.

- **Il protocollo "Challenge-Response":** Le organizzazioni dovrebbero implementare un protocollo di
  verifica out-of-band per le transazioni finanziarie. Se una videochiamata richiede un trasferimento di
  fondi, il dipendente deve verificarlo tramite un canale secondario (ad esempio, un'app di chat
  crittografata o una telefonata a un numero interno noto).

- **Cultura della segnalazione:** La metrica più efficace per la cultura della sicurezza è il tasso di
  segnalazione. Le organizzazioni di livello mondiale raggiungono tassi di segnalazione superiori al 20%. Le organizzazioni con
  programmi di formazione efficaci possono ridurre la suscettibilità al phishing dell'86% in un anno.

### 6.3 Policy e governance

- **Divulgazione SEC:** Le nuove regole di divulgazione della sicurezza informatica della SEC (Modulo 8-K) richiedono una
  rapida segnalazione di incidenti materiali. La violazione di F5 Networks nel 2024/2025, attribuita a un
  attore sostenuto dallo stato, ha evidenziato la complessità di queste divulgazioni, per cui il
  Dipartimento di Giustizia può richiedere rinvii per motivi di sicurezza nazionale.

- **Direttiva NIS2:** In Europa, la direttiva NIS2
  impone rigorose misure di segnalazione degli incidenti e di gestione del rischio, costringendo le organizzazioni
  ad assumersi la responsabilità dei rischi della catena di approvvigionamento, compresi quelli introdotti dal phishing.

## 7. Come Corbado può aiutare

Sostituendo password e MFA basata su OTP con **passkey basate su FIDO, resistenti al phishing**,
Corbado garantisce che l'autenticazione sia crittograficamente legata al dispositivo
e all'origine dell'utente, rendendo inefficaci gli attacchi adversary-in-the-middle e il replay della sessione. Le passkey
non possono essere riutilizzate, passate tramite proxy o esfiltrate, nemmeno da kit PhaaS altamente sofisticati come
Tycoon 2FA.

Corbado è progettato per gli ambienti aziendali del mondo reale: si integra negli stack di
autenticazione esistenti, supporta implementazioni graduali e abilita un'MFA robusta senza aggiungere
attrito per l'utente. Il risultato è una sicurezza misurabilmente superiore, tassi di successo di accesso migliori e una
difesa duratura contro il phishing guidato dall'IA su larga scala.

## 8. Conclusione: Phishing-as-a-Service

La traiettoria del panorama delle minacce di phishing punta all'**adattamento autonomo**.
Stiamo andando oltre gli attacchi "automatizzati" per passare a quelli "autonomi". I futuri agenti IA non
si limiteranno a eseguire uno script predefinito; impareranno dalla risposta del difensore. Se un
difensore blocca un IP, l'IA lo ruoterà. Se un difensore corregge una
vulnerabilità, l'IA riscriverà l'
exploit.

In questo articolo abbiamo anche risposto alle seguenti domande chiave:

1. **Che cos'è il Phishing-as-a-Service (PhaaS)?** Il Phishing-as-a-Service è un ecosistema
   criminale in stile SaaS in cui i kit di phishing pronti all'uso, l'infrastruttura e l'assistenza sono
   venduti tramite abbonamenti, consentendo anche ad aggressori con scarse competenze di lanciare attacchi altamente efficaci e
   scalabili, spesso in grado di aggirare l'MFA tramite tecniche adversary-in-the-middle.

2. **Che ruolo gioca l'intelligenza artificiale nei moderni attacchi di phishing?** L'intelligenza
   artificiale consente al phishing di scalare e adattarsi generando esche personalizzate
   altamente credibili ("vibe scamming"), alimentando attacchi autonomi basati su agenti e abilitando
   frodi audio e video deepfake in tempo reale in grado di sconfiggere la verifica umana e
   i tradizionali controlli di sicurezza.

3. **Come possono le organizzazioni difendersi dal phishing moderno (controlli tecnici, gestione
   del rischio umano, governance e policy)?** Le organizzazioni devono combinare un'autenticazione
   resistente al phishing e supportata dall'hardware (ad esempio, le passkey FIDO) e il rilevamento tramite IA visiva e comportamentale
   con la gestione del rischio umano, come la consapevolezza dei deepfake e i protocolli
   di verifica out-of-band, rafforzati da una solida governance e dalla conformità alle normative sulla
   segnalazione degli incidenti e sul rischio della catena di approvvigionamento (ad esempio, regole SEC e NIS2).

## Domande frequenti

### Che cos'è il vibe scamming e perché rappresenta una minaccia per la sicurezza aziendale?

Il vibe scamming sfrutta le piattaforme IA no-code come Lovable per generare pagine di phishing perfettamente funzionanti a partire da semplici prompt in linguaggio naturale. Guardio Labs ha rilevato che Lovable ha ottenuto un punteggio di soli 1,8/10 nel rifiutare le richieste dannose, rispetto all'8/10 di ChatGPT. Proofpoint ha osservato decine di migliaia di URL di phishing generati da Lovable che distribuivano malware attivo all'inizio del 2025.

### Come fa il quishing ad aggirare i gateway di sicurezza della posta elettronica aziendale?

Il quishing incorpora URL dannosi all'interno di immagini con codici QR in e-mail o PDF, che i Secure Email Gateway (SEG) non possono analizzare. La vittima scansiona il codice con uno smartphone personale, bypassando le protezioni degli endpoint aziendali prima che il sito di phishing venga caricato nel browser del dispositivo mobile. Questo vettore di attacco è cresciuto del 25% su base annua ed è sempre più difficile da rilevare.

### Cosa è successo nel caso di frode tramite deepfake di Arup e cosa significa per la verifica dell'identità?

Nel 2024, gli aggressori hanno convinto un dipendente di Arup ad autorizzare 15 bonifici bancari per un totale di 200 milioni di dollari di Hong Kong (25,6 milioni di dollari USA) inscenando una videochiamata in cui il CFO e diversi colleghi erano tutti deepfake in tempo reale. L'incidente dimostra che la conferma visiva e audio nelle videochiamate non può più fungere da metodo di verifica affidabile senza un canale di conferma secondario out-of-band.

### Perché le passkey FIDO sono più resistenti agli attacchi PhaaS rispetto all'MFA tramite SMS o app di autenticazione?

Le passkey FIDO sono crittograficamente legate al dispositivo specifico dell'utente e al dominio di origine legittimo, pertanto un reverse proxy in un attacco AiTM non può acquisirle o riprodurle. A differenza dei codici SMS o dei token OTP, le passkey non trasmettono mai un segreto condivisibile, rendendole inefficaci da intercettare anche per piattaforme sofisticate come Tycoon 2FA.

### A quale tasso di segnalazione del phishing dovrebbe puntare un'organizzazione per misurare una solida cultura della sicurezza?

Secondo l'articolo, le organizzazioni di livello mondiale raggiungono tassi di segnalazione del phishing superiori al 20%. Le organizzazioni con programmi di formazione efficaci possono anche ridurre la suscettibilità complessiva al phishing dell'86% in un anno, rendendo la cultura della segnalazione un indicatore di base della postura di sicurezza insieme ai controlli tecnici.