Il corso di formazione sulla sicurezza l'hai fatto. Tutti hanno firmato il modulo. Poi arriva una mail finta con un falso aggiornamento del fornitore e metà dei tuoi dipendenti clicca. Succede ogni giorno. Lo vediamo nei clienti che arrivano da noi dopo un attacco reale. La differenza tra un corso passivo e un test attivo la fa proprio la simulazione: mettere le persone di fronte a un tentativo di phishing controllato, in un ambiente sicuro, per capire dove sono i buchi.
Noi, di Meteora Web, partiamo sempre dalla stessa domanda: quanto costa un attacco riuscito rispetto a un test di simulazione? La risposta è quasi sempre imbarazzante. In questa guida ti mostriamo esattamente cosa sono gli strumenti di phishing simulation, come sceglierli per la tua PMI e come usarli subito — senza complessi sistemi IT, solo buon senso e un po' di setup.
Perché simulare un phishing è più efficace di un corso teorico?
Un corso insegna la teoria. Una simulazione insegna il riflesso. Quando un dipendente riceve una mail che sembra autentica — con il logo della banca, un tono urgente, un link che porta a una pagina identica a quella vera — il cervello reagisce in modo diverso rispetto a leggere una slide. La simulazione sfrutta la psicologia dell'errore: lo fa in un ambiente controllato, dove il danno è solo una statistica.
Sponsored Protocol
Ecco cosa abbiamo visto in anni di test sui nostri clienti:
- Tasso di clic medio al primo test: dal 25% al 40% anche in aziende con formazione annuale.
- Dopo due simulazioni con feedback: calo al 5-10% in tre mesi.
- Le segnalazioni (report to IT) lievitano solo quando i dipendenti sanno che esiste un meccanismo di test.
Il corso teorico è necessario, ma senza simulazione è come studiare guida su un manuale senza mai salire in macchina.
L'errore comune da evitare
Non partite con una simulazione punitiva. Se un dipendente clicca, non va sgridato. Va formato. Lo strumento di phishing simulation deve essere visto come un alleato della sicurezza, non come una trappola per licenziare. Noi consigliamo sempre di comunicare il test in anticipo: "tra due settimane faremo una simulazione, non preoccupatevi se cliccate, serve a migliorare". Il tasso di errore cala comunque, perché la consapevolezza resta alta.
Come scegliere lo strumento di phishing simulation giusto per la tua PMI?
Non tutti gli strumenti di phishing simulation sono uguali. Sui mercati trovi soluzioni enterprise da migliaia di euro l'anno e alternative open-source che fanno lo stesso lavoro per zero canoni. La scelta dipende da tre fattori: budget, competenze tecniche e numero di dipendenti.
Criteri di valutazione
- Facilità di setup: hai un IT interno o devi arrangiarti? Strumenti come GoPhish richiedono un server e configurazione SMTP. Altri come KnowBe4 sono SaaS e gestiscono tutto.
- Template disponibili: meglio se include scenari realistici per settore (banca, fornitore, finto HR).
- Reportistica: deve mostrare chi ha cliccato, chi ha inserito credenziali, chi ha segnalato. Altrimenti non sai dove intervenire.
- Costo: per una PMI sotto i 50 dipendenti, una soluzione open-source + un po' di tempo tecnico è spesso la scelta più efficiente. Sopra i 100, un SaaS con corsi integrati può valere l'investimento.
- GDPR e privacy: le simulazioni raccolgono dati comportamentali. Assicurati che lo strumento sia conforme al regolamento. Noi trattiamo questo aspetto anche nella nostra guide sul registro fornitori NIS2 (leggi l'articolo).
Quali strumenti di phishing simulation esistono e quanto costano?
Vediamo tre categorie: open-source, SaaS economici, enterprise.
Sponsored Protocol
GoPhish — open source, potente, zero spese
GoPhish è lo strumento di phishing simulation più diffuso tra i tecnici. Lo usiamo anche noi in Meteora Web per test rapidi. Si installa su un server Linux (o Windows) con un database SQLite o MySQL. Offre un'interfaccia web per creare campagne, template, landing page. Supporta SMTP integrato o relay esterno.
Vantaggi: gratuito, estensibile, dati in casa. Svantaggi: richiede un minimo di competenze per configurare SPF, DKIM e DMARC altrimenti le mail finiscono in spam. Ma è un'ottima occasione per imparare.
Sponsored Protocol
Esempio di comando per avviarlo (dopo aver installato GoPhish):
# Avvia GoPhish sulla porta 3333
./gophish &
L'interfaccia web sarà su http://tuo-server:3333. Da lì crei la tua prima campagna.
KnowBe4 — SaaS completo, a pagamento
KnowBe4 è il leader mondiale. Include migliaia di template, corsi integrati, report dettagliati. Prezzi: da circa 20 euro annui per utente (piano base). Per 50 utenti sono circa 1000 euro l'anno. Include anche formazione su vishing e social engineering. Noi lo consigliamo a clienti con più di 100 dipendenti che non vogliono gestire infrastruttura.
PhishingBox, PhishER (SaaS)
Alternative valide: PhishingBox (buono per GDPR), PhishER (di KnowBe4 ma per gestire segnalazioni). I prezzi variano da 10 a 50 euro utente/anno. Per PMI sotto 20 persone, l'open-source rimane la scelta più razionale dal punto di vista economico.
Come condurre un test di phishing simulation passo dopo passo?
Partiamo con GoPhish, perché è gratuito e ti dà controllo totale. Ecco i passi essenziali.
1. Preparazione tecnica
- Server: una VPS Linux da 5 euro/mese (es. DigitalOcean, Netcup).
- Dominio secondario: usa un dominio che non hai in produzione (es. simulazione.tuaazienda.it). Configura record SPF e DKIM per evitare spam.
- SMTP: se il server ha porta 25, puoi usare il relay integrato. Altrimenti usa un servizio come Mailgun (gratuito fino a 1000 mail/mese).
2. Creazione del template
Scegli un template realistico. Un classico: "Aggiornamento account Google Workspace" con link a una landing page finta che chiede email e password. Attenzione: non raccogliere password reali senza autorizzazione. La landing page deve solo registrare il tentativo (clic o inserimento), non memorizzare credenziali.
Sponsored Protocol
<!-- Esempio di landing page finta (usa solo per test interni) -->
<form method="post" action="http://tuo-server/capture">
<input type="email" name="email" placeholder="Email">
<input type="password" name="password" placeholder="Password">
<button type="submit">Accedi</button>
</form>
GoPhish gestisce l'acquisizione automaticamente se usi la sua funzionalità di landing page.
3. Lancio della campagna
- Importa lista di indirizzi email dei dipendenti (da un CSV).
- Imposta data e ora: meglio un martedì mattina, quando la guardia è bassa.
- Attiva la campagna. GoPhish invierà le mail e registrerà clic e invii.
4. Analisi dei risultati
Dopo 48-72 ore, esporta il report. Cerca:
- Clic totale: percentuale su inviate.
- Dati inseriti: quanti hanno lasciato credenziali (se la pagina lo permette).
- Segnalazioni: hai previsto un bottone "Segnala phishing"? Se sì, quanti lo hanno usato?
Non diffondere i nomi. Usa i dati per formare i reparti più a rischio.
Sponsored Protocol
Quali metriche monitorare dopo un test di phishing?
Il vero valore non è il singolo test, ma il trend. Tieni traccia di queste metriche:
- Tasso di clic (click rate): obiettivo scendere sotto il 5%.
- Tasso di segnalazione (report rate): obiettivo salire sopra il 50%.
- Tempo medio al clic: se cala, significa che i dipendenti esitano di più.
- Riuscita del test: le mail sono arrivate in inbox o spam? Se finiscono in spam, il test è inutile.
Cosa fare adesso
Non aspettare il prossimo attacco. Metti in pratica subito:
- Scarica GoPhish dalla repository ufficiale e installalo su un test server.
- Crea la tua prima campagna con un template semplice (es. "Documento condiviso su Google Drive").
- Comunica il test al team: trasparenza riduce l'ansia e aumenta la collaborazione.
- Analizza il report e pianifica una sessione di formazione mirata sui reparti più colpiti.
- Ripeti ogni 3 mesi e confronta i trend. La sicurezza informatica non è un progetto, è un processo.
Se vuoi approfondire il contesto più ampio del social engineering, leggi la nostra guida pillar sul social engineering.