Il panorama della sicurezza informatica aziendale nel 2026 ha subito una trasformazione radicale, anche rispetto a tempi recenti in cui le minacce online si erano già diffuse per esempio sui social media. Le minacce digitali non si limitano più a email sgrammaticate o link sospetti: oggi le imprese italiane devono fronteggiare un ecosistema di attacchi sofisticati, alimentati dall’intelligenza artificiale generativa e da agenti AI autonomi capaci di operare con precisione chirurgica. Secondo il Global State of Scams Report, le perdite globali dovute alle frodi online hanno superato 1 trilione di dollari. Per imprenditori e dirigenti, proteggere l’azienda significa oggi difendere non solo i conti correnti, ma anche l’identità biometrica, la reputazione e la fiducia degli stakeholder.
L’Italia ha già adottato strategie mirate sulla cybersicurezza, ma vogliamo fare un piccolo aggiornamento sulle situazioni più frequenti o recenti di truffe online a danno di persone e aziende.
Agenti AI Autonomi: l’automazione del crimine informatico
La novità più dirompente del 2026 è l’adozione massiccia di agenti di intelligenza artificiale autonomi da parte dei gruppi criminali. Non si tratta di semplici chatbot, ma di sistemi complessi in grado di pianificare, prendere decisioni e operare in modo indipendente con un intervento umano minimo.
Un caso documentato ha visto un agente AI completare l’80-90% di una campagna di spionaggio industriale in totale autonomia. Questi sistemi sono in grado di:
- Effettuare ricognizioni sulle infrastrutture digitali aziendali
- Scrivere codici di exploit personalizzati per superare le difese
- Identificare database ad alto valore e creare backdoor per accessi futuri
- Generare migliaia di richieste di attacco al secondo, una velocità impossibile per qualsiasi hacker umano
Deepfake nel contesto aziendaler: la CEO Fraud e il furto di identità
Nel 2025, le truffe basate su deepfake hanno sottratto oltre 1,1 miliardi di dollari a livello globale, con un incremento del 300% rispetto all’anno precedente. Nel 2026, questa tecnologia viene impiegata per attacchi mirati alle strutture aziendali.
La truffa del finto colloquio
I criminali creano processi di selezione fraudolenti su piattaforme professionali per attirare talenti e consulenti. Durante il colloquio online, l’obiettivo non è valutare le competenze della vittima, ma registrarne voce, volto e micro-espressioni. I dati biometrici così acquisiti vengono utilizzati per generare deepfake audio e video capaci di superare i sistemi di riconoscimento facciale e vocale adottati dagli istituti bancari.
Impersonificazione di ruoli di responsabilità in azienda
I deepfake vengono impiegati per simulare interventi di amministratori delegati o figure pubbliche, inducendo i dipendenti a compiere azioni urgenti come autorizzare bonifici. Ormai vedere e sentire non è più garanzia di autenticità: la voce di un dirigente o di un responsabile di funzione può essere replicata con estrema precisione nel corso di una videochiamata.
Smishing Industriale: i principali vettori di attacco mobile
Lo smartphone è diventato il principale vettore di attacco verso il personale aziendale attraverso lo smishing, ovvero il phishing veicolato tramite SMS. Nel 2026, questi messaggi sono redatti con linguaggio impeccabile grazie all’AI, eliminando i tradizionali segnali di allarme come gli errori ortografici.
Le categorie di attacco più diffuse includono:
- Logistica e consegne: messaggi che imitano Poste Italiane o corrieri, segnalando problemi di indirizzo o tasse di sdoganamento per pacchi mai ordinati
- Finanza e banking: finti avvisi di attività anomala o conto bloccato che reindirizzano a cloni di siti bancari
- Servizi pubblici e sanità: comunicazioni apparentemente provenienti dall’Agenzia delle Entrate per rimborsi IRPEF o dall’ASL per referti e ticket sanitari
- Gestione dell’identità digitale: falsi avvisi di sospensione dello SPID o dell’app IO, con richiesta urgente di aggiornamento dei documenti
- Utenze aziendali: messaggi relativi a bollette non pagate con minaccia di distacco imminente, progettati per indurre un’azione impulsiva
Ingegneria Sociale e Pig Butchering 2.0
Le truffe relazionali note come Pig Butchering (una truffa in cui un falso contatto costruisce la fiducia nel tempo, per poi indirizzare verso una piattaforma di investimento truccata). Gli scambi possono essere industrializzati grazie a messaggi automatizzati che mantengono la relazione e sollecitano la vittima.)si sono evolute grazie all’impiego di chatbot AI in grado di intrattenere conversazioni prolungate con le vittime su piattaforme come WhatsApp o Telegram. Il meccanismo si articola in tre fasi:
- Costruzione della fiducia: l’AI analizza i profili social della vittima per instaurare un legame di amicizia o sentimentale credibile
- L’aggancio: dopo aver consolidato il rapporto, l’interlocutore propone investimenti in criptovalute su piattaforme fraudolente
- La trappola: la piattaforma mostra guadagni fittizi per incentivare versamenti crescenti, fino alla sparizione totale del capitale; la perdita media per vittima può superare i 100.000 euro nei casi più gravi
Quishing e Spoofing Multicanale: le nuove tattiche ibride
I criminali del 2026 adottano strategie che fondono il mondo fisico e quello digitale in modo sempre più sofisticato e difficile da identificare.
Quishing
Il quishing consiste nell’invio di lettere cartacee o volantini che imitano enti pubblici, contenenti codici QR che reindirizzano a siti specchio progettati per sottrarre dati sensibili.
Attacchi multicanale
Un’azione criminale può avere inizio con una email, proseguire con un SMS di conferma e concludersi con una telefonata che simula il numero verde della banca tramite spoofing. Questo coordinamento multicanale rende l’inganno credibile anche per utenti esperti.
Come proteggere l’azienda: checklist per la sicurezza informatica
Nonostante la sofisticazione degli attacchi, il punto debole dei criminali rimane la necessità che un essere umano compia l’azione finale. Le imprese possono adottare misure concrete su tre livelli.
Protocolli operativi e buone pratiche digitali
- Verifica fuori canale: non fidarsi mai di una comunicazione in entrata, anche se apparentemente proveniente da un canale ufficiale; contattare sempre l’ente tramite i recapiti ufficiali
- Gestione dell’urgenza: istituire una regola aziendale per cui qualsiasi richiesta con scadenza immediata deve essere trattata come sospetta e verificata da un secondo responsabile
- Protezione biometrica: durante colloqui o videochiamate con soggetti non verificati, coprire la webcam fino alla conferma dell’identità dell’interlocutore tramite canali alternativi
Misure tecniche indispensabili
- Installare soluzioni di mobile security su tutti i dispositivi aziendali, dotate di filtri anti-phishing e rilevatori di URL malevoli
- Mantenere sistemi operativi e applicazioni costantemente aggiornati per neutralizzare le vulnerabilità sfruttate dai malware bancari
- Implementare l’autenticazione a più fattori (MFA) su tutti gli account aziendali, evitando di condividere codici OTP anche con presunti operatori di supporto
Formazione e risposta agli incidenti
- Includere nei programmi formativi simulazioni di smishing basate su messaggi fraudolenti reali, relativi a pacchi, multe o comunicazioni del management
- Definire una procedura chiara: in caso di click su link sospetti o condivisione involontaria di dati, il dipendente deve segnalare immediatamente al reparto IT e, se necessario, bloccare i conti senza indugio
- Segnalare ogni tentativo di frode alla Polizia Postale tramite il Commissariato di PS online.
