0% letto · 0 / 15 min

Simulazione · Nessun danno reale

Hai cliccato.
Ora respira.

Questa era una simulazione di phishing organizzata dalla tua azienda con NextPhish. Le credenziali che hai inserito non sono state salvate: erano un test per misurare la consapevolezza del team contro le truffe online.

Se fosse stato un attacco vero, in questo momento un criminale avrebbe il tuo account in mano: email, file, accessi aziendali, potenzialmente conti bancari. Niente panico — questo corso di 15 minuti ti renderà molto più difficile da ingannare la prossima volta.

91%degli attacchi informatici parte da un’email di phishing

3.4 mlddi email di phishing inviate ogni giorno nel mondo

€ 17.700danno medio per dipendente vittima in Italia (Clusit 2024)

Programma del corso · ~15 minuti · quiz a ogni capitolo

Cos’è il phishing3 min · definizione e tipi + quiz

8 segnali rossi6 min · come riconoscerli + quiz

Casi reali2 min · cosa rischi davvero + quiz

Difese pratiche2 min · MFA, password + quiz

Certificato1 min · genera attestato

📚 Come funziona: ogni modulo termina con un mini-quiz. Devi rispondere correttamente per sbloccare il modulo successivo. Alla fine ricevi il certificato.

Modulo 1 · 3 minuti

Cos’è il phishing

Il phishing (dall’inglese “fishing”, pescare) è la più diffusa tecnica di attacco informatico al mondo. L’aggressore “lancia un’esca” — quasi sempre un’email — sperando che la vittima abbocchi: clicchi un link, scarichi un allegato, inserisca password e codici. Non serve essere un hacker esperto: bastano un’email ben confezionata e un momento di distrazione del destinatario.

L’obiettivo non è “rompere” il sistema attaccando le mura: è convincere te a farlo entrare dalla porta principale, da solo, consegnandogli le chiavi. Per questo si parla di ingegneria sociale: la tecnologia c’entra meno della psicologia.

Perché funziona così bene

Gli attacchi sfruttano meccanismi cognitivi automatici, gli stessi che ti fanno frenare di colpo se senti un clacson: non hai tempo di ragionare, agisci. I criminali lo sanno e progettano email che attivano queste leve:

Urgenza — “Il tuo account verrà chiuso entro 24 ore”
Autorità — “Banca d’Italia · Verifica urgente”
Paura — “Accesso sospetto dal Sudan, conferma immediatamente”
Curiosità — “Pacchetto in giacenza n. 41-9920-AB”
Avidità — “Hai vinto un buono Amazon da €500”
Fiducia — “Da: il tuo capo · OGGETTO: Sono in riunione, fai un bonifico veloce”

Punto chiave. Un’email che mette pressione per farti agire subito, senza pensare, va trattata con sospetto a prescindere dal contenuto. Più ti senti spinto a cliccare in fretta, più è probabile che sia una trappola.

I tipi di attacco più comuni

Non tutto il phishing arriva nella tua casella di posta. Conoscere le varianti aiuta a riconoscerle:

Phishing di massa — La stessa email, identica, mandata a milioni di indirizzi. Funziona per percentuale: anche solo lo 0,1% di chi abbocca su un milione di email significa 1.000 vittime.
Spear phishing — Mirato su una persona specifica. L’attaccante ha studiato il tuo LinkedIn, conosce il tuo capo, sa qual è il tuo gestionale. L’email è cucita su misura ed è molto più difficile distinguerla da una vera.
Whaling — “Caccia alla balena”: spear phishing rivolto a CEO, CFO, manager con potere di firma. Spesso simula richieste di bonifico urgenti.
BEC (Business Email Compromise) — L’attaccante prima compromette davvero la casella di un dipendente, poi usa quel vero indirizzo per ingannare colleghi e fornitori. Estremamente efficace perché il mittente è autentico.
Smishing — Phishing via SMS o WhatsApp. “Il pacco è in giacenza, paga €2,50 di sdoganamento” — ti porta su un sito che ruba la carta di credito.
Vishing — Phishing telefonico. “Sono il tecnico Microsoft, c’è un virus sul suo PC, mi installi questo programma…”
QR phishing (“quishing”) — QR code in un’email o appiccicati su parchimetri/locandine, che portano a siti fasulli.

La logica è sempre la stessa: far inserire credenziali, scaricare malware o autorizzare un pagamento. Cambia solo il canale.

📝

Verifica Modulo 1

2 domande · rispondi correttamente per sbloccare il Modulo 2

1Cos’è il phishing?

Un virus informatico che si autoinstalla dal nulla. Una tecnica di ingegneria sociale dove l’attaccante “convince” la vittima a fare qualcosa di dannoso (cliccare, scaricare, pagare). Una vulnerabilità tecnica nei server email. Un tipo di firewall.

2Quale tra queste varianti è il “BEC” (Business Email Compromise)?

Una truffa via SMS che chiede di pagare lo sdoganamento di un pacco. Una truffa telefonica fatta dal “tecnico Microsoft”. Quando l’attaccante compromette davvero la casella di un dipendente e usa quel vero indirizzo per ingannare colleghi e fornitori. Un attacco a banche d’investimento.

Modulo 2 · 6 minuti

Gli 8 segnali rossi

Quasi nessuna email di phishing è perfetta. Ci sono quasi sempre delle crepe, piccoli dettagli che tradiscono la truffa — se sai dove guardare. Quelli che seguono sono gli 8 segnali da memorizzare. Riconoscerne anche uno solo dovrebbe far scattare il dubbio.

Mittente che “sembra” giusto ma non lo è

Verifica sempre il dominio

Il primo controllo è sempre l’indirizzo del mittente, non il nome visualizzato. Il nome è solo un’etichetta che chiunque può cambiare. Il dominio (quello dopo la chiocciola) è invece l’unico vero riferimento.

Da: Microsoft Sicurezza <security@micros0ft-account.com>
A: te@azienda.it

Sospetta attività sul tuo account

Abbiamo rilevato un accesso da una nuova posizione. Conferma la tua identità entro 24 ore…

Trovi lo zero al posto della “o” in “micros0ft”? È un classico. Altre varianti tipiche:

✗ Sospetti

micros0ft.com
arnazon-it.com
poste-italianeservizi.eu
nextsrI.com (I maiuscola al posto di l)
support@account-verifica.com

✓ Legittimi

microsoft.com
amazon.it
poste.it
nextsrl.com
support@nextsrl.com

Regola. Se hai dubbi sul dominio, copialo nella barra degli indirizzi del browser SENZA cliccare nulla. Se il sito non corrisponde all’azienda che dovrebbe esserci, è phishing.

Senso di urgenza esagerato

Ti vogliono far agire d’istinto

Le email vere delle banche, di Poste, di Amazon non ti dicono mai “agisci entro 2 ore o ti chiudiamo l’account”. Le aziende serie ti danno tempo e canali multipli per gestire la cosa. Quando vedi frasi come:

“Conferma entro 24 ore o il tuo account verrà sospeso”
“Hai 30 minuti per validare il tuo IBAN”
“Ultimo avviso: pacco in restituzione domani”

…è quasi sicuramente phishing. L’urgenza è un’arma psicologica: serve a impedirti di riflettere, controllare, chiedere a un collega.

Errori di lingua, traduzioni strane, formattazione goffa

Spesso ma non sempre presenti

Tantissime email di phishing sono tradotte da altre lingue con servizi automatici. Risultato: piccoli errori, costruzioni innaturali, accenti sbagliati. Esempi tipici:

“Gentile Cliente Pregiato” (calco dall’inglese “Valued Customer”)
“Cliccare il bottone sotto per confermare la sua identitá” (accento sbagliato)
“Il vostro pacco è stato bloccato per problema di dogana €2,50“
Loghi pixelati, allineamenti storti, font che cambiano nel mezzo dell’email

Attenzione: questa regola sta diventando meno affidabile. Con l’intelligenza artificiale generativa, gli attaccanti scrivono ormai email in italiano impeccabile. La grammatica perfetta NON è più una garanzia di legittimità. Però le email scritte male sono ancora quasi certamente phishing.

Link che non vanno dove sembrano andare

Passa il mouse senza cliccare!

Il testo di un link e la sua destinazione reale sono due cose diverse. L’attaccante scrive “Vai al tuo account” ma il link punta a un sito truffa. Per scoprirlo basta passare il mouse sopra il link senza cliccare (su mobile: tieni premuto un secondo): in basso a sinistra del browser, o in un tooltip, comparirà l’URL reale.

Da: Banca Sicura <noreply@bancasicura.it>

Aggiornamento credenziali

Per continuare ad usare il tuo conto, accedi e verifica i dati: https://www.bancasicura.it/login → destinazione reale: bit.ly/3xK29Q

Il link visibile dice “bancasicura.it” ma il link reale è un accorciatore bit.ly: rosso assoluto. Le aziende serie non usano quasi mai shortener per i loro flussi di sicurezza.

✗ Link sospetti

bit.ly/3xK29Q
tinyurl.com/abc123
amazon-account.security-it.com
http://192.168.x.x/login
https://login-microsoft.azure-cdn.tk

✓ Link OK

https://login.microsoftonline.com
https://www.amazon.it
https://www.poste.it
Sito digitato a mano nel browser

Allegati inattesi (specie .zip, .iso, .exe, .scr, .docm)

Mai aprire al volo

Se non aspettavi un allegato, non aprirlo. Anche se viene da un mittente che conosci: la sua casella potrebbe essere stata violata. Le estensioni più pericolose sono quelle che possono eseguire codice:

.exe, .scr, .bat, .com, .cmd — eseguibili Windows
.iso, .img, .vhd — immagini disco che bypassano molti antivirus
.zip, .rar, .7z protetti da password (la password nell’email!) — l’antivirus non può scansionarli
.docm, .xlsm, .pptm — Office con macro abilitate
.html e .htm — pagine che caricano contenuti remoti truffaldini
.js, .vbs, .ps1 — script che girano direttamente

Anche un innocuo fattura.pdf può nascondere un file fattura.pdf.exe se Windows nasconde le estensioni note. Vedere l’icona PDF NON significa che sia un PDF.

Richiesta di password, codici OTP, dati bancari via email

Nessuno lo fa davvero

Questa è la regola d’oro più semplice e potente:

Nessuna banca, nessuna istituzione, nessun reparto IT serio ti chiederà MAI password, PIN, codici OTP, numero completo di carta di credito o CVV via email, SMS o telefono. Se te li chiedono, è una truffa al 100%. Punto.

Le varianti sono creative ma sempre riconoscibili:

“Per la verifica antifrode, ci confermi l’OTP appena ricevuto via SMS” — chi lo chiede È il truffatore, sta usando l’OTP per entrare nel tuo conto in tempo reale
“Inserisca PIN dispositivo e password“
“Forwardaci l’SMS con il codice di verifica per chiudere la pratica“

Saluti generici e firma inconsistente

“Caro Cliente” è bandiera rossa

Le aziende dove sei davvero registrato sanno come ti chiami. Una email che inizia con “Caro Utente”, “Gentile Cliente”, “Dear customer” e poi parla del tuo conto specifico è quasi certamente phishing di massa: il truffatore non ha la tua anagrafica reale.

Stessa cosa per la firma: una vera email di Poste Italiane è firmata “Poste Italiane S.p.A. — Sede legale viale Europa…” con disclaimer legali. Una phishing si chiude con un generico “Il team di Poste” o, peggio, niente firma.

Contesto incoerente

Aspettavi davvero questa email?

L’arma definitiva è il buon senso contestuale:

Hai un conto in quella banca? Se no, ignora e cestina.
Stai aspettando quel pacco? Se no, l’SMS di giacenza è falso.
Hai ordinato quel prodotto? Se no, la fattura allegata non è tua.
Il tuo capo davvero ti scriverebbe per chiederti un bonifico veloce alle 19:00 senza nessuna conversazione prima? Probabilmente no.
L’IT aziendale davvero ti manderebbe un link per “rinnovare la password” il sabato mattina? Quasi certamente no.

Test in 5 secondi. Prima di cliccare, fermati e chiediti: “Mi aspettavo questa email? Ha senso che me la stiano mandando proprio oggi, su questo argomento, da questa persona?” Se la risposta non è un sì sicuro, sospetta.

📝

Verifica Modulo 2

3 domande · rispondi correttamente per sbloccare il Modulo 3

1Ricevi un’email da “Microsoft Sicurezza <security@micros0ft-account.com>” che chiede di confermare la password entro un’ora. Cosa fai?

Clicco subito sul link e inserisco la password, prima che mi blocchino l’account. Cestino l’email: il dominio “micros0ft-account.com” non è di Microsoft e Microsoft non chiede mai password via email. Inoltro a un collega per capire se è genuina. Rispondo all’email chiedendo conferma.

2Per vedere DOVE punta davvero un link in un’email, prima di cliccare devi:

Cliccarci sopra, tanto se è truffaldino il browser ti avvisa. Passare il mouse sopra (o tenere premuto su mobile) e leggere l’URL reale che compare in basso o nel tooltip. Selezionare il testo del link. Cliccarci col tasto destro e scegliere “Esegui”.

3Quale di queste estensioni di file allegate è più rischiosa?

foto.jpg relazione.pdf dati.txt fattura.zip contenente fattura.exe protetto da password (la password è nell’email)

Modulo 3 · 2 minuti

Cosa rischi davvero

“Vabbè, hanno la mia password di un sito qualunque, che male fa?” — domanda comprensibile, risposta scomoda: tanto. Le conseguenze di un singolo click sbagliato vanno ben oltre quel sito.

82%delle violazioni dati nasce da errore umano

277 ggtempo medio per scoprire una compromissione

€ 4,8 mlncosto medio per un data breach aziendale (IBM 2024)

60%delle PMI vittime di ransomware chiude entro 6 mesi

Le conseguenze più frequenti

Furto di credenziali e identity reuse. Se usi la stessa password su più siti — fortemente sconsigliato — il criminale la prova ovunque: email, banche, social, gestionali aziendali.
Ransomware. Il malware criptato che entra spesso da un allegato innocuo blocca tutti i file aziendali e chiede un riscatto in Bitcoin. Anche pagando, nel 35% dei casi i dati non vengono ripristinati.
Frode bancaria diretta. Con accesso al tuo home-banking via SCA aggirato (vedi segnale 6), il truffatore svuota i conti o autorizza bonifici verso conti esteri.
Compromissione di tutta l’azienda. Una volta dentro la tua casella email aziendale, l’attaccante può:

leggere conversazioni con clienti e fornitori per impersonarli (fattura modificata con IBAN cambiato — è la truffa BEC, in Italia si moltiplica del 38% l’anno)
resettare password di altri servizi che usano la tua mail come recovery
installare regole di forward nascoste per spiare il traffico futuro
chiedere bonifici “urgenti” ai colleghi del finance

Conseguenze legali e reputazionali. Se la violazione coinvolge dati personali (clienti, dipendenti), la normativa GDPR impone notifica al Garante entro 72 ore e può scattare una sanzione fino al 4% del fatturato.

Una password rubata non resta nelle mani di chi te l’ha rubata. Finisce su forum della darkweb e dentro dataset venduti per pochi euro. Tra 6 mesi un altro criminale, completamente diverso, la userà per provare ad accedere ovunque. Per questo cambiare immediatamente la password compromessa è fondamentale.

Caso reale · Il dipendente, il bonifico, i €220.000

Un caso documentato da Polizia Postale italiana nel 2023, semplificato per il corso. L’impiegata amministrativa di una PMI veneta riceve giovedì pomeriggio un’email apparentemente dal CEO — indirizzo identico, intestazione perfetta, persino la firma standard dell’azienda. Il messaggio le chiede un bonifico urgente di €220.000 a un nuovo fornitore per “chiudere un’operazione di acquisizione strategica” e raccomanda massima riservatezza, “anche col CFO, fino a domani”. L’orario è strategico: il CEO è davvero in volo verso una fiera estera (informazione pubblica su LinkedIn).

L’impiegata procede col bonifico tramite home-banking aziendale, autorizzato con OTP. Trenta secondi di esitazione iniziale, poi la fiducia nel “capo” prevale sulla cautela. Il giorno dopo il CEO atterra e chiede candidamente “che bonifico?”. I €220.000 sono già passati da tre conti in Stati diversi e arrivati a Hong Kong: irrecuperabili.

L’attaccante non aveva “rubato” la casella del CEO: aveva configurato un dominio quasi identico (un trattino nascosto nel nome) e una grafica clonata. Il mittente sembrava giusto perché il client email mostra solo il nome visualizzato — non l’indirizzo completo, se non lo apri esplicitamente. Tutti i segnali rossi erano presenti: urgenza, segretezza, mittente leggermente diverso, richiesta atipica via email. Una sola telefonata al CEO avrebbe sventato la truffa. Trenta secondi.

📝

Verifica Modulo 3

2 domande · rispondi correttamente per sbloccare il Modulo 4

1Il tuo capo ti scrive un’email alle 18:50 chiedendoti di “fare un bonifico urgente al fornitore”. L’indirizzo del mittente sembra corretto. Cosa fai?

Lo chiamo al cellulare o vado di persona a confermare prima di procedere — anche se l’indirizzo sembra giusto, la casella potrebbe essere stata violata (BEC). Procedo subito col bonifico, il mittente è il suo. Rispondo all’email per chiedere i dati di conferma. Ignoro l’email perché probabilmente è uno scherzo.

2Una password rubata da un sito qualsiasi:

Resta nelle mani di chi l’ha rubata e di nessun altro. Finisce in dataset venduti sul dark web e viene riprovata da altri criminali su tutti i siti dove potresti averla riusata. Diventa inutile dopo 30 giorni. Viene cancellata automaticamente.

Modulo 4 · 2 minuti

Le 5 difese pratiche

Riconoscere il phishing è la prima linea. Ma anche i più attenti sbagliano: per questo serve un secondo strato di protezione tecnica. Queste sono le 5 misure che dimezzano statisticamente il rischio di cadere vittima di un attacco serio.

1. Attiva l’autenticazione a due fattori (MFA) ovunque

Se attivi un secondo fattore — un’app come Google Authenticator, Microsoft Authenticator, Authy o una chiave fisica come YubiKey — anche se ti rubano la password, l’attaccante non entra. Microsoft afferma che l’MFA blocca il 99,2% degli account take-over.

Priorità da proteggere subito: email principale, banca online, gestionali aziendali, account social con tanti follower.

2. Usa un password manager

Una password unica per ogni sito, lunga 16+ caratteri, fatta di parole casuali — è impossibile da ricordare a memoria. È esattamente il motivo per cui esistono strumenti come Bitwarden, 1Password, Dashlane, KeePass: tu ricordi una sola “master password” forte, lui ricorda tutte le altre.

Bonus: il password manager non compila i campi su un sito sbagliato. Se sei su arnazon-it.com e la password non si auto-compila, è un segnale che il sito non è quello vero.

3. Mantieni aggiornati sistema, browser e applicazioni

Buona parte degli attacchi sfrutta vulnerabilità note per cui il vendor ha già rilasciato la patch — solo che l’utente non l’ha installata. “Ricordami più tardi” è una delle frasi più costose dell’informatica. Attiva gli aggiornamenti automatici di Windows/macOS, del browser e dell’antivirus.

4. Diffida sempre della verifica via altro canale

Se ricevi un’email “sospetta” da una persona o ente che conosci, verifica via un canale diverso: chiama al numero che hai sempre usato (non quello scritto nell’email!), apri il sito ufficiale digitando l’URL a mano, manda un WhatsApp a un numero che già avevi.

Il tuo capo ti chiede via email un bonifico urgente da €15.000? Alzati e vai a chiederglielo di persona, o chiamalo al cellulare. 30 secondi che possono salvarti decine di migliaia di euro.

5. Segnala

Se ricevi un’email sospetta, segnalala al reparto IT o al referente sicurezza della tua azienda. Anche se sospetti soltanto. La tua segnalazione permette di:

bloccare il mittente per tutta l’organizzazione prima che colpisca un collega meno attento
cancellare l’email da tutte le caselle aziendali
aggiornare i filtri anti-phishing

E se hai cliccato per sbaglio o inserito una password? Stessa cosa: segnala subito, non per nasconderti ma per agire. Cambiare la password compromessa e l’eventuale secondo fattore nel giro di pochi minuti riduce drasticamente i danni. Aspettare un giorno per imbarazzo può trasformare un piccolo incidente in un disastro.

Cultura della sicurezza ≠ paranoia. Non si tratta di vivere nel sospetto, ma di automatizzare 3-4 controlli rapidi prima di cliccare. Diventa abitudine in meno di un mese.

Domande frequenti

Ho cliccato sul link ma non ho inserito nulla. Cosa rischio?

Nella maggior parte dei casi: niente di drammatico. Il solo click può però far partire il download silenzioso di un malware, soprattutto se il browser è obsoleto o se l’antivirus è disattivato. Per sicurezza: verifica che non siano stati scaricati file, esegui una scansione antivirus aggiornata, riavvia il browser. Se il sito ti ha chiesto di “consentire le notifiche”, revoca il permesso subito.

L’email di phishing è arrivata dalla casella di un collega reale. È davvero lui?

Molto probabilmente no: la sua casella è stata compromessa e l’attaccante la sta usando come trampolino (la chiamiamo email vendor compromise). Il collega non sa che la sua casella manda email truffaldine al resto dell’azienda. Non rispondere all’email — chiama il collega su un canale diverso per avvisarlo, così che cambi password e MFA. Segnala anche all’IT.

Posso essere sicuro al 100% che un’email sia legittima?

No, mai al 100%. Anche le firme digitali e i protocolli SPF/DKIM/DMARC riducono il rischio ma non lo azzerano. Per le richieste rilevanti (denaro, dati sensibili, modifica IBAN fornitori), la verifica via canale separato è obbligatoria, sempre. Una telefonata di 30 secondi vale 30.000 euro.

Quanto è sicuro il browser nel proteggere dal phishing?

I browser moderni (Chrome, Firefox, Edge, Safari) integrano liste di siti malevoli noti — Google Safe Browsing, Microsoft SmartScreen — e ti avvisano prima del download di un eseguibile sospetto. Funzionano bene per le campagne di massa già note. Ma contro una campagna nuova, mirata, o un sito ospitato su un dominio appena registrato, possono volerci ore o giorni prima che il filtro lo conosca. Non puoi delegare la tua sicurezza solo al browser.

Cos’è SPF / DKIM / DMARC?

Sono tre standard tecnici che permettono al dominio di un’azienda di “firmare” digitalmente le sue email, in modo che il server di posta destinatario possa rifiutare i messaggi che fingono di venire da quel dominio. Se la tua azienda li ha configurati correttamente, molto del phishing che impersona vostri colleghi viene bloccato prima ancora che arrivi in inbox. Chiedi all’IT se sono attivi al massimo livello (p=reject in DMARC).

Come funziona il “phishing con AI”?

L’AI generativa (tipo ChatGPT) viene già usata dai cybercriminali per: scrivere email in italiano perfetto adattate al target, generare audio deepfake che imita la voce del CEO per truffe telefoniche, clonare il volto in videochiamata per BEC avanzati. La conseguenza pratica: non puoi più fidarti della “qualità linguistica” e neppure di una voce familiare al telefono se l’argomento è denaro. Verifica sempre via canale separato e, per cifre importanti, anche con domanda di sicurezza (“In che ristorante siamo andati venerdì scorso?”).

📝

Verifica Modulo 4

3 domande · rispondi correttamente per accedere al certificato

1Cosa significa MFA (autenticazione a più fattori)?

Una password lunga almeno 16 caratteri. Un antivirus a pagamento. Un meccanismo che oltre alla password richiede un secondo elemento (codice da app, SMS, chiave fisica) per entrare. Un servizio che ti notifica via mail i nuovi accessi.

2Hai inserito per errore la tua password aziendale su una pagina che sospetti sia falsa. Cosa fai SUBITO?

Non dico niente, magari non era davvero phishing. Aspetto qualche giorno per vedere se ci sono attività sospette. Cambio immediatamente la password da un dispositivo che so essere sicuro, attivo o controllo l’MFA, e segnalo all’IT aziendale. Spengo il PC.

3Quale di queste affermazioni è VERA?

Se l’email è scritta in italiano corretto, è sicuramente legittima. Con l’AI generativa anche le email di phishing sono ormai grammaticalmente perfette: la qualità linguistica non è più una garanzia. Le email da indirizzi @gmail.com sono sicuramente phishing. Solo le grandi aziende sono bersaglio di phishing, le PMI no.

Modulo 5 · Certificato

Hai completato il corso

Complimenti, hai superato tutti e quattro i mini-quiz e portato a termine la formazione sul phishing. Riepilogo di quello che hai imparato:

Modulo 1. Il phishing è ingegneria sociale: l’attaccante usa la tua psicologia, non la tecnologia, per farti consegnare le chiavi.
Modulo 2. Gli 8 segnali rossi (dominio, urgenza, lingua, link, allegati, richieste di password, saluti generici, contesto incoerente) vanno controllati prima di cliccare.
Modulo 3. Una sola email sbagliata può costare centinaia di migliaia di euro: il caso BEC documentato lo dimostra.
Modulo 4. Le 5 difese pratiche (MFA, password manager, aggiornamenti, verifica via canale separato, segnalazione) dimezzano il rischio.

Il risultato è stato registrato automaticamente nella dashboard del referente sicurezza. Genera ora il certificato di completamento.

Certificato
Superato

Certificato di completamento

Cybersecurity Awareness · NextPhish

Si certifica che

Clicca qui per inserire il tuo nome

ha completato con successo il corso “Riconoscere il phishing” erogato dalla piattaforma NextPhish, con una preparazione adeguata per identificare le email truffaldine, comprendere le 8 bandiere rosse del phishing e applicare le buone pratiche di sicurezza informatica nell’attività quotidiana.

PUNTEGGIO—

DATA—

CODICE—

Suggerimento: nella finestra di stampa scegli “Salva come PDF” come destinazione per ottenere un file scaricabile.

NextPhish · Cybersecurity Awareness Training

Questo corso è parte della piattaforma di phishing simulation NextPhish e viene erogato automaticamente agli utenti che cadono nelle simulazioni interne. Hai dubbi o sospetti su un’email reale? Segnala al referente sicurezza della tua organizzazione o scrivi a support@nextsrl.com.

Formazione Cybersecurity — NextPhish

Hai cliccato.Ora respira.