NextGest.

NextPhish

NextPhish

Phishing simulation & awareness — campagne, tracking, training

Schermate

Anteprima dell’interfaccia. Clicca su un’immagine per ingrandirla.

Dashboard Campagne
Dashboard Campagne
Inserimento Destinatari
Inserimento Destinatari
Tipi di Campagne
Tipi di Campagne
Report finale PDF
Report finale PDF
Corso + Certificato finale
Corso + Certificato finale

Come funziona NextPhish

Misura concretamente la vulnerabilità del tuo team con simulazioni phishing controllate. Educhi, non sanzioni. Documenti per la conformità NIS2.

NextPhish è una piattaforma completa di Phishing Simulation & Awareness Training, pensata per PMI, studi e MSP che hanno bisogno di rispondere ai requisiti di formazione sulla cybersecurity (NIS2, GDPR art. 32) e vogliono trasformare un obbligo normativo in un investimento concreto sulla sicurezza del proprio personale.

🛡️

A chi è destinato

PMI con obblighi di formazione NIS2 · Studi professionali che vogliono ridurre il rischio social engineering · IT manager interni · MSP / Studi IT che rivendono servizi di awareness ai propri clienti · Aziende che gestiscono dati sensibili e devono dimostrare formazione tracciabile.

1Template email phishing pronti

4 template già scritti e graficamente identici ad email che il tuo team riceve davvero: il realismo è la chiave dell’awareness.

  • Microsoft 365 — Scadenza password (il classico)
  • Google Drive — Condivisione documento
  • IT Security Team — Attività sospetta sull’account
  • DocuSign — Documento da firmare
  • Personalizzazione completa: mittente, oggetto, contenuto, dominio

2Landing page replicate

Le pagine “fake login” su cui atterrano i target sono copie fedeli dei login reali Microsoft 365 e Google: HTML, CSS, loghi identici.

  • Realismo massimo per misurare la vulnerabilità reale
  • Le credenziali digitate NON vengono salvate, mai (solo flag “creds inserted”)
  • Pixel di tracking 1×1 per le aperture email
  • Token unico per ogni target → tracking individuale

3Corso strutturato in 4 capitoli + quiz

Chi cade nella simulazione riceve via email un invito a completare un corso di formazione di circa 15 minuti, suddiviso in 4 capitoli tematici con mini-quiz progressivo: niente lezione passiva, l’utente deve dimostrare di aver capito ogni capitolo prima di accedere al successivo.

  • Capitolo 1 · Cos’è il phishing — definizione, BEC, varianti SMS e voice
  • Capitolo 2 · Gli 8 segnali rossi — dominio, urgenza, allegati pericolosi, link nascosti
  • Capitolo 3 · Casi reali — caso BEC documentato da Polizia Postale (€220.000 persi)
  • Capitolo 4 · Le 5 difese pratiche — MFA, password manager, segnalazione
  • Mini-quiz alla fine di ogni capitolo: serve il 100% per sbloccare il successivo
  • Personalizzato col nome del target; pagina contenuto modificabile dall’admin dalla dashboard

4Tracking completo per ogni campagna

Per ogni email inviata, NextPhish traccia il livello di engagement del target attraverso 3 metriche essenziali.

  • Aperture: tracciate via pixel 1×1 nel corpo email
  • Click: ogni link ha un token unico; il click prima del redirect
  • Credenziali: flag attivato all’invio del form di login fake
  • Dashboard con KPI in tempo reale: tasso apertura, tasso click, tasso credential harvest
  • Lista dettagliata per ogni target: quando ha aperto, cliccato, inserito

5Wizard creazione campagna

Crei una campagna in 5 step guidati senza dover toccare configurazioni tecniche.

  • Step 1: Nome campagna, mittente, oggetto
  • Step 2: Scelta template email tra i 4 predefiniti
  • Step 3: Scelta landing page (Microsoft 365 o Google)
  • Step 4: Lista target (paste, manuale, o import da file XML)
  • Step 5: Riepilogo e invio (o salva come bozza per dopo)
  • Modifica bozze e ri-invio anche dopo l’invio iniziale

6Export per audit conformità

Tutti i dati di campagna sono esportabili in PDF pronti per essere allegati alla documentazione di audit NIS2/GDPR.

  • PDF report per ogni campagna: target, stato (aperto/cliccato/creds inseriti, training superato), timestamp
  • Dashboard riassuntiva delle campagne nel tempo
  • Storico illimitato (multi-tenant: ogni studio mantiene le proprie campagne)
  • Progress bar grafica per ogni metrica

7Certificato di completamento stampabile

Una volta superati tutti i quiz, l’utente vede un certificato personalizzato con il proprio nome, punteggio, data e un codice univoco — stampabile direttamente in PDF dal browser, da archiviare nella documentazione di formazione del personale.

  • Nome del dipendente, punteggio finale (es. 10/10), data, codice NPH-2026-XXXXXX
  • Stampa in PDF con un click: solo il certificato finisce sul foglio, nessun chrome di pagina
  • Esito tracciato automaticamente nella dashboard del referente sicurezza (passed/failed)
  • Re-invia il corso ai target che non hanno superato il quiz
  • Nessuna PII inviata a terze parti: tutto on-premise sul tuo WordPress

Perché sceglierlo

Risposta concreta a NIS2. La direttiva impone formazione cybersecurity tracciabile: con NextPhish hai sia formazione (training inline) che misurazione (KPI).
Educa, non sanziona. Il training appare subito dopo l’errore, in modo costruttivo. Approccio raccomandato da ENISA e CISA.
Apprendimento attivo. Quiz dopo ogni capitolo: l’utente non può saltare, deve dimostrare di aver capito. Apprendimento misurato, non semplice lettura.
Certificato stampabile. Ogni dipendente che completa il corso riceve un certificato in PDF con nome, punteggio e codice univoco — documentazione pronta per gli audit.
Rivendibile come servizio. Se sei un MSP o studio IT puoi configurare un tenant per ogni cliente e fatturarlo come “Security Awareness as a Service”.
Privacy by design. Le credenziali digitate dai target NON sono mai salvate. Si traccia solo il fatto che siano state inserite.
SMTP personalizzato. Le email partono dal tuo dominio, non da uno mittente terzo riconoscibile. Realismo massimo.
Documentazione automatica. CSV export per ogni campagna, perfetto per gli audit di conformità.
Zero spam. Sei tu che invii alle tue caselle aziendali. Niente piattaforme cloud che potrebbero finire in blacklist.
Licenza annuale flat. Un canone, campagne illimitate, target illimitati, storico permanente.

Workflow tipico

Dalla campagna alla certificazione del personale, in 7 step automatizzati.

  1. Inizio trimestre · prepari la campagna. Apri la dashboard NextPhish e premi “+ Nuova campagna”. Il wizard ti guida in 5 step: nome campagna (“Test phishing Q1 2026”), template email (“Microsoft 365 — Scadenza password”), landing fake-login (Login Microsoft 365), lista dei 50 target (incollati a mano o importati da XML), riepilogo e conferma.
  2. Lanci la campagna · email reali dal tuo SMTP. NextPhish manda le 50 email dal tuo dominio aziendale (header X-NG-Phishing per tracciabilità interna). Le caselle dei tuoi target ricevono qualcosa che sembra venire davvero da Microsoft. Ogni link ha un token unico.
  3. Dopo 7 giorni · misuri i danni. Dashboard in tempo reale: 38/50 hanno aperto (76%), 12 hanno cliccato (24%), 5 hanno inserito le credenziali (10%). Il dato medio italiano di “credential harvest” è il 10% al primo ciclo; con 3 cicli di training scende al 3%. La dashboard mostra chi ha cliccato e quando, ma nessuna password reale è stata salvata.
  4. Click → atterri sul corso. I 5 caduti, subito dopo aver inserito le credenziali nella landing fake, vengono reindirizzati automaticamente alla prima schermata del corso. Da lì in poi la formazione è obbligatoria per loro. Tu ricevi una notifica in dashboard (“5 target catturati”).
  5. Invio corso automatico via email. Premi “Invia formazione ai 5 in attesa” nel pannello “🎓 Formazione cybersecurity” della dashboard. NextPhish manda a ciascuno una mail “Ciao [Nome], dobbiamo parlarne” con un link unico al corso di 15 minuti suddiviso in 4 capitoli (Cos’è il phishing, Gli 8 segnali rossi, Casi reali, Le 5 difese pratiche).
  6. Apprendimento attivo con gating · certificato finale. Ogni dipendente apre il corso, legge il capitolo, risponde al mini-quiz alla fine. Solo se risponde correttamente al 100% delle domande del capitolo, il capitolo successivo si sblocca: niente “scorri velocemente fino alla fine”. Completati tutti e 4 i quiz, genera il proprio certificato di completamento in PDF con nome, punteggio, data e codice univoco (es. NPH-2026-A3K9X1) — stampabile o salvabile con un click. La dashboard registra in tempo reale “training superato” o “non superato”.
  7. Re-invio mirato + export per audit NIS2. Per chi non ha superato il quiz, premi “Re-invia il corso” sul singolo target dalla dashboard. Una volta che tutti hanno superato, scarichi il report PDF della campagna: contiene per ogni dipendente lo storico apertura → click → credenziali → training_sent → training_passed (con punteggio e data). Lo alleghi alla documentazione di formazione del personale che conservi per i controlli NIS2 / GDPR art. 32. Tutto su un foglio, pronto per il revisore.

Sottoscrizione

Una licenza annuale per attivare NextPhish sulla tua area utente.

NextPhish — Licenza annuale
120
/ anno per utente principale · IVA esclusa


Richiedi informazioni

Compila il modulo e ti contatteremo entro 24 ore lavorative.


Inviando i tuoi dati acconsenti al trattamento secondo l’informativa privacy. Non condividiamo i tuoi dati con terzi.