⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
IT EN BG CS DA DE EL ES ET FI FR GA HR HU LT LV MT NL PL PT RO SK SL SV
Compliance ISO 27001 NIS2 DORA

Come costruire un programma di resilienza al phishing che funzioni davvero

Igor Petreski
14 min read
#ISO 27001:2022 #Gestione del rischio #Risposta agli incidenti #Protezione dei dati #Conformità

I controlli tecnici possono essere solidi, ma le persone restano il bersaglio principale degli attacchi di phishing. Questa guida fornisce un percorso strutturato, allineato a ISO 27001, per costruire un programma di resilienza al phishing che trasformi il team da potenziale vulnerabilità nella più forte linea di difesa dell’organizzazione, riducendo l’errore umano e soddisfacendo i requisiti normativi di framework come NIS2 e DORA.

Che cosa è in gioco

Le difese tecniche, come i filtri e-mail e la protezione degli endpoint, sono essenziali, ma non infallibili. Gli attaccanti sanno che il modo più semplice per entrare in una rete protetta passa spesso da una persona. Un solo clic su un link malevolo può aggirare tecnologie di sicurezza dal valore di milioni di sterline. Gli account utente sono tra i punti di ingresso più presi di mira negli attacchi informatici, e una campagna di phishing riuscita può portare al furto di credenziali, a un’infezione malware e ad accessi non autorizzati. Le conseguenze non sono solo tecniche: hanno un impatto diretto sul business. Un account compromesso può causare bonifici fraudolenti, esposizione di dati sensibili dei clienti e una significativa indisponibilità operativa mentre i sistemi vengono bonificati e ripristinati.

Anche il contesto normativo è stringente. Framework e regolamenti come GDPR, NIS2 e DORA richiedono esplicitamente alle organizzazioni di applicare misure di sicurezza che includano formazione e sensibilizzazione continuative del personale. L’articolo 21 della Direttiva NIS2, ad esempio, richiede ai soggetti essenziali e importanti di erogare formazione in materia di cibersicurezza e di promuovere pratiche basilari di igiene informatica. Analogamente, l’articolo 13 di DORA richiede alle entità finanziarie di istituire programmi formativi completi. L’incapacità di dimostrare un programma solido di sensibilizzazione può comportare sanzioni gravi, danno reputazionale e perdita di fiducia da parte dei clienti. Il rischio non è astratto: è una minaccia diretta alla stabilità finanziaria e alla posizione giuridica dell’organizzazione. L’errore umano è una fonte primaria di rischio e le autorità di vigilanza si aspettano che venga trattato con la stessa serietà di qualsiasi vulnerabilità tecnica.

Considera un’azienda di logistica di medie dimensioni. Un dipendente dell’area finanza riceve un’e-mail convincente, apparentemente inviata da un fornitore noto, che richiede un pagamento urgente verso un nuovo conto bancario. La firma e-mail sembra corretta e il tono è familiare. Sotto pressione per elaborare rapidamente le fatture, il dipendente effettua il bonifico senza una verifica verbale. Alcuni giorni dopo, il vero fornitore chiama per sollecitare il pagamento scaduto. L’azienda ha perso £50,000 e la successiva indagine causa interruzioni significative. Questo incidente era del tutto prevenibile con un solido programma di resilienza al phishing, in grado di formare il personale a riconoscere i segnali di allarme e a verificare le richieste anomale tramite un canale di comunicazione separato.

Come si presenta un buon risultato

Un programma efficace di resilienza al phishing porta l’organizzazione da una postura reattiva a una postura proattiva. Favorisce una cultura orientata alla sicurezza, in cui i dipendenti non sono semplici destinatari passivi della formazione, ma partecipanti attivi alla difesa aziendale. Questo stato è definito da miglioramenti misurabili nei comportamenti e da una riduzione tangibile del rischio connesso al fattore umano. Risponde direttamente ai requisiti di ISO/IEC 27001:2022, in particolare alla clausola 7.3 sulla consapevolezza e al controllo A.6.3 dell’Allegato A su consapevolezza, istruzione e formazione in materia di sicurezza delle informazioni. Un buon risultato è una forza lavoro che comprende le proprie responsabilità di sicurezza e possiede le competenze necessarie per assolverle.

In questo stato ideale, i dipendenti sono in grado di identificare e segnalare con sicurezza le e-mail sospette, invece di ignorarle o, peggio, cliccarle. Il processo di segnalazione è semplice, noto e integrato nel flusso di lavoro quotidiano. Quando viene eseguita una campagna di phishing simulata, il tasso di clic è basso e diminuisce in modo costante, mentre il tasso di segnalazione è elevato e in aumento. Questi dati forniscono evidenze chiare ad auditor, direzione e autorità di vigilanza sul fatto che il programma è efficace. Soprattutto, dimostrano che le persone sono diventate un firewall umano, capace di rilevare minacce che i sistemi automatizzati potrebbero non intercettare. Questa cultura della vigilanza è una componente fondamentale dell’igiene informatica, un principio centrale nelle normative moderne come NIS2.

Immagina una PMI di sviluppo software in cui uno sviluppatore riceve un’e-mail sofisticata di spear phishing. L’e-mail sembra provenire da un project manager e contiene un link a un documento descritto come “modifiche urgenti alle specifiche di progetto”. Lo sviluppatore, formato a valutare con scetticismo le richieste urgenti inattese, nota che l’indirizzo e-mail del mittente è lievemente errato. Invece di cliccare, utilizza il pulsante dedicato “segnala phishing” nel client di posta elettronica. Il team di sicurezza riceve immediatamente l’allerta, analizza la minaccia e blocca il dominio malevolo in tutta l’organizzazione, prevenendo una potenziale violazione. Questo è un buon risultato: un dipendente formato e consapevole che agisce come sensore critico nell’apparato di sicurezza.

Percorso pratico

Costruire un programma duraturo di resilienza al phishing è un processo sistematico, non un’iniziativa una tantum. Richiede un approccio strutturato che combini valutazione, formazione e rinforzo continuo. Suddividendo l’attuazione in fasi gestibili, puoi creare slancio e dimostrare valore rapidamente. Questo percorso assicura che il programma non sia un mero esercizio formale di conformità, ma un reale miglioramento del livello di sicurezza. La nostra guida di attuazione, il Zenith Blueprint, fornisce il quadro di riferimento complessivo per integrare questo tipo di iniziativa di sensibilizzazione nel tuo Sistema di gestione per la sicurezza delle informazioni (SGSI).1

Fase 1: basi e valutazione della baseline

Prima di costruire resilienza, è necessario comprendere il punto di partenza. La prima fase consiste nello stabilire una baseline del livello attuale di consapevolezza del team e nell’identificare le competenze specifiche richieste per i diversi ruoli. Questo richiede più che presumere che tutti abbiano bisogno della stessa formazione generica. Il team finanza affronta minacce diverse rispetto agli sviluppatori software. Una valutazione approfondita consente di adattare il programma per ottenere il massimo impatto, assicurando che i contenuti siano rilevanti e coinvolgenti per il pubblico destinatario. Ciò è allineato alla clausola 7.2 di ISO 27001, che richiede alle organizzazioni di assicurare che le persone siano competenti sulla base di istruzione e formazione adeguate.

  • Identificare le competenze richieste: mappare le conoscenze di sicurezza specifiche necessarie per i diversi ruoli. Ad esempio, il personale dell’area finanza deve comprendere come gestire in sicurezza i dati personali, mentre gli amministratori IT devono avere una conoscenza approfondita della configurazione sicura.
  • Valutare la consapevolezza attuale: condurre una simulazione iniziale di phishing non annunciata per stabilire un tasso di clic di baseline. Questo fornisce una metrica concreta rispetto alla quale misurare i miglioramenti futuri.
  • Definire gli obiettivi del programma: stabilire obiettivi chiari e misurabili. Ad esempio, “ridurre del 50% il tasso di clic nelle simulazioni di phishing entro sei mesi” oppure “aumentare al 75% il tasso di segnalazione del phishing entro un anno”.
  • Selezionare gli strumenti: scegliere una piattaforma per erogare la formazione ed eseguire le simulazioni. Assicurarsi che possa fornire analisi dettagliate sulle prestazioni degli utenti e sulle segnalazioni.

Fase 2: sviluppo dei contenuti e formazione iniziale

Con una baseline chiara e obiettivi definiti, il passo successivo è sviluppare ed erogare i contenuti formativi principali. In questa fase si iniziano a colmare le lacune di conoscenza identificate nella fase 1. L’elemento chiave è rendere la formazione pratica, pertinente e continuativa. Una singola sessione formativa annuale non è sufficiente. I programmi efficaci integrano la consapevolezza della sicurezza nell’intero ciclo di vita del dipendente, a partire dal primo giorno. L’obiettivo è dotare ogni persona della capacità di identificare ed evitare minacce comuni come phishing e malware.

  • Sviluppare moduli di formazione basati sui ruoli: creare contenuti specifici per i reparti ad alto rischio. I team finanza devono ricevere formazione sulla compromissione della posta elettronica aziendale e sulle frodi in fattura, mentre gli sviluppatori devono essere formati sulle pratiche di programmazione sicura.
  • Avviare la formazione di base: distribuire un modulo obbligatorio di formazione e sensibilizzazione alla sicurezza per tutti i dipendenti. Il modulo deve coprire le basi del phishing, l’igiene delle password, l’ingegneria sociale e le modalità di segnalazione di un incidente di sicurezza.
  • Integrare la formazione nell’onboarding: assicurare che tutti i nuovi assunti completino la formazione e sensibilizzazione alla sicurezza come parte del processo di onboarding. Questo definisce aspettative chiare fin dal primo giorno. Utilizzare questa occasione per ottenere la presa d’atto delle politiche principali.

Fase 3: simulazione, segnalazione e feedback

La formazione da sola non basta: i comportamenti devono essere testati e rafforzati. Questa fase si concentra sull’esecuzione di simulazioni di phishing regolari e controllate, per offrire ai dipendenti un ambiente sicuro in cui esercitare le proprie competenze. Altrettanto importante è definire un processo senza attriti per segnalare i messaggi sospetti. Quando un dipendente segnala una potenziale minaccia, fornisce intelligence sulle minacce preziosa e in tempo reale. La risposta a queste segnalazioni è fondamentale per costruire fiducia e incoraggiare le segnalazioni future. In questa fase è essenziale disporre di un piano di risposta agli incidenti chiaro e pratico.

  • Pianificare simulazioni periodiche di phishing: passare dal test di baseline a una cadenza regolare di simulazioni, ad esempio mensile o trimestrale. Variare difficoltà e temi dei modelli per mantenere alta la vigilanza dei dipendenti.
  • Stabilire un meccanismo semplice di segnalazione: implementare un pulsante “segnala phishing” nel client di posta elettronica. Questo consente agli utenti di segnalare e-mail sospette con un solo clic, eliminando attriti o incertezze su cosa fare.
  • Fornire feedback immediato: quando un utente clicca su un link di simulazione, fornire un feedback immediato e non punitivo, spiegando i segnali di allarme non rilevati. Se un utente segnala una simulazione, inviare un “grazie” automatico per rafforzare il comportamento positivo.
  • Analizzare e condividere i risultati: tracciare metriche come tassi di clic, tassi di segnalazione e tempo di segnalazione. Condividere risultati anonimizzati e di alto livello con la direzione e con il team più ampio per dimostrare i progressi e mantenere il coinvolgimento.

Politiche che rendono il programma stabile

Un programma efficace di resilienza al phishing non può esistere nel vuoto. Deve essere sostenuto da un quadro di politiche chiaro e applicabile, che formalizzi le aspettative, definisca le responsabilità e integri la consapevolezza della sicurezza nel tessuto dell’organizzazione. Le politiche traducono gli obiettivi strategici in regole operative che guidano i comportamenti dei dipendenti e forniscono una base per l’accountability. Senza questa base documentata, gli sforzi formativi possono apparire facoltativi e il loro impatto tende a svanire nel tempo. Il documento centrale è la Politica di sensibilizzazione e formazione sulla sicurezza delle informazioni.2 Questa politica stabilisce il mandato per l’intero programma, dall’onboarding alla formazione continuativa.

Questa politica principale non deve rimanere isolata. Deve essere collegata ad altri documenti critici di governance, in modo da creare una cultura di sicurezza coerente. Ad esempio, la Politica di uso accettabile3 definisce le regole di base per l’utilizzo delle tecnologie aziendali da parte dei dipendenti, ed è quindi il punto naturale in cui richiamare la loro responsabilità di mantenere vigilanza contro il phishing. Quando si verifica un evento di sicurezza, la Politica di risposta agli incidenti4 deve definire chiaramente i passi che un dipendente deve seguire per segnalarlo, assicurando che le informazioni raccolte da un tentativo di phishing segnalato siano gestite rapidamente ed efficacemente. Insieme, queste politiche creano un sistema di controlli interconnessi che rafforzano i comportamenti sicuri.

Ad esempio, durante una riunione trimestrale di riesame del SGSI, il CISO presenta gli ultimi risultati delle simulazioni di phishing. I dati mostrano un lieve aumento dei clic sui modelli di frode in fattura. Il team decide di aggiornare la Politica di sensibilizzazione e formazione sulla sicurezza delle informazioni per rendere obbligatoria una formazione specifica e mirata per il dipartimento finanza prima del trimestre successivo. La decisione viene documentata e la politica aggiornata viene comunicata a tutto il personale interessato, assicurando che il programma si adatti ai rischi emergenti in modo strutturato e verificabile in audit.

Checklist

Per assicurare che il programma sia completo ed efficace, è utile suddividere il lavoro in fasi distinte: costruire le basi, gestire il programma nel quotidiano e verificarne l’impatto. Queste checklist forniscono una guida pratica per ciascuna fase, aiutandoti a rimanere in linea e ad assicurare il rispetto delle aspettative di auditor e autorità di vigilanza. Un programma ben documentato è molto più facile da difendere durante un audit.

Costruire: realizzare un programma di resilienza al phishing

Una base solida è fondamentale per il successo nel lungo periodo. Questa fase iniziale comprende la pianificazione strategica, l’acquisizione delle risorse e la progettazione dei componenti principali del programma. Affrettare questa fase porta spesso a una formazione generica e inefficace, che non coinvolge i dipendenti e non affronta il profilo di rischio specifico dell’organizzazione. Investire il tempo necessario per costruirlo correttamente produce benefici in termini di miglioramento del livello di sicurezza e di maggiore resilienza della forza lavoro.

  • Definire obiettivi chiari e indicatori chiave di prestazione (KPI) per il programma.
  • Ottenere il supporto della direzione e un budget adeguato per strumenti e risorse.
  • Condurre una simulazione di phishing di baseline per misurare la vulnerabilità iniziale.
  • Identificare i gruppi di utenti ad alto rischio e le minacce specifiche che affrontano.
  • Sviluppare o acquisire contenuti formativi di base e specifici per ruolo.
  • Integrare la formazione e sensibilizzazione alla sicurezza nel processo di onboarding dei nuovi assunti.
  • Stabilire un processo semplice, con un solo clic, per consentire agli utenti di segnalare e-mail sospette.

Gestire: mantenere lo slancio del programma

Una volta avviato, un programma di resilienza al phishing richiede un impegno continuo per rimanere efficace. Questa fase operativa consiste nel mantenere una cadenza regolare di attività che mantengano la sicurezza al centro dell’attenzione di tutti i dipendenti. Include l’esecuzione di simulazioni, la comunicazione dei risultati e l’adattamento del programma sulla base dei dati di prestazione e dell’evoluzione del panorama delle minacce. È in questa fase che un progetto una tantum diventa un processo aziendale sostenibile.

  • Pianificare ed eseguire simulazioni periodiche di phishing con modelli e livelli di difficoltà variabili.
  • Fornire feedback immediato e formativo agli utenti che cliccano sui link di simulazione.
  • Confermare e ringraziare gli utenti che segnalano correttamente e-mail di phishing simulate e reali.
  • Pubblicare report periodici e anonimizzati sulle prestazioni del programma per le parti interessate.
  • Erogare contenuti continuativi di sensibilizzazione tramite newsletter, suggerimenti o comunicazioni interne.
  • Aggiornare annualmente i moduli formativi o quando emergono nuove minacce significative.

Verificare: sottoporre ad audit l’efficacia del programma

La verifica consiste nel dimostrare che il programma funziona. Questo richiede la raccolta e la presentazione di evidenze ad auditor, autorità di vigilanza e alta direzione. Un programma efficace è basato sui dati e deve consentire di dimostrare un ritorno sull’investimento chiaro attraverso la riduzione del rischio. Gli auditor cercheranno evidenze oggettive, non semplici dichiarazioni. L’utilizzo di una libreria strutturata di obiettivi di controllo come gli Zenith Controls può aiutare ad assicurare che le evidenze siano allineate a standard come ISO 27001.5

  • Mantenere registrazioni dettagliate di tutte le attività formative, inclusi piani e registri di formazione o di partecipazione.
  • Conservare copie di tutti i materiali formativi e dei modelli di simulazione di phishing utilizzati.
  • Tracciare e documentare nel tempo i tassi di clic e i tassi di segnalazione delle simulazioni di phishing.
  • Raccogliere evidenze dei riesami post-incidente in cui il phishing è stato identificato nell’analisi delle cause radice.
  • Condurre valutazioni periodiche, come interviste o quiz, per misurare il mantenimento delle conoscenze.
  • Essere pronti a mostrare agli auditor in che modo il programma ha ridotto in modo misurabile il rischio connesso al fattore umano.

Errori comuni

Anche con le migliori intenzioni, i programmi di resilienza al phishing possono non produrre risultati. Evitare questi errori comuni è importante quanto seguire le migliori pratiche. Conoscere queste trappole aiuta a progettare un programma coinvolgente, efficace e sostenibile.

  • Trattare la formazione come un evento una tantum. La consapevolezza della sicurezza non è un’attività “una volta e basta”. Richiede rinforzo continuo. Una sessione formativa annuale viene dimenticata rapidamente e contribuisce poco a costruire una cultura di sicurezza duratura.
  • Creare una cultura della colpa. Punire gli utenti che non superano le simulazioni di phishing è controproducente. Scoraggia le segnalazioni e genera paura, spingendo i problemi di sicurezza a rimanere nascosti. L’obiettivo è la formazione, non la disciplina.
  • Usare simulazioni non realistiche o generiche. Se i modelli di phishing sono palesemente falsi o irrilevanti rispetto al contesto aziendale, i dipendenti impareranno presto a riconoscere le simulazioni, ma non gli attacchi reali.
  • Ignorare il vertice aziendale. Gli attaccanti prendono spesso di mira i dirigenti apicali con attacchi di spear phishing altamente personalizzati. Dirigenti e assistenti devono essere inclusi nella formazione e nelle simulazioni.
  • Rendere difficile la segnalazione. Se un dipendente deve cercare istruzioni su come segnalare un’e-mail sospetta, sarà meno propenso a farlo. Un pulsante di segnalazione semplice, con un solo clic, è indispensabile.
  • Non agire sugli incidenti segnalati. Quando gli utenti segnalano e-mail di phishing reali, forniscono intelligence sulle minacce critica. Se il team di sicurezza non conferma o non interviene su queste segnalazioni, gli utenti smetteranno di farlo.

Prossimi passi

Costruire un firewall umano resiliente è una parte essenziale di qualsiasi strategia moderna di sicurezza. Implementando un programma strutturato e continuativo di sensibilizzazione al phishing, puoi ridurre in modo significativo il rischio di violazione e dimostrare la conformità alle normative principali.

Riferimenti

  1. Clarysec. (2025). Zenith ISMS Implementation Blueprint↩︎

  2. Clarysec. (2025). P8S Information Security Awareness and Training Policy↩︎

  3. Clarysec. (2025). P3S Acceptable Use Policy↩︎

  4. Clarysec. (2025). P30S Incident Response Policy↩︎

  5. Clarysec. (2025). Zenith Controls Library for ISO 27001:2022↩︎

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles