2 luglio 2026 • Sicurezza informatica
La maggior parte delle persone è stata istruita, o almeno messa in guardia, a diffidare delle e-mail che richiedono password, dati bancari o un intervento urgente. Gli autori degli attacchi lo sanno bene. Questo è in parte il motivo per cui il vishing ha acquisito maggiore diffusione: utilizza il telefono anziché l’e-mail per manipolare le vittime, sfruttando la fiducia e la pressione in tempo reale che una conversazione dal vivo genera. Comprendere cos’è il vishing, come funziona e perché è efficace è il primo passo per rendere i propri dipendenti immuni a questa minaccia.
Significato di "vishing": cosa indica questo termine?
Il termine “vishing” è un neologismo derivante dalla fusione dei termini “voice” e“phishing”. Indica attacchi di ingegneria sociale condotti per telefono, sia tramite chiamate tradizionali che tramite chiamate VoIP o, sempre più spesso, tramite messaggi vocali generati dall’intelligenza artificiale, con l’obiettivo di indurre la vittima a rivelare informazioni sensibili, a trasferire denaro o a concedere l’accesso ai sistemi.
Il significato del termine “vishing” è sostanzialmente lo stesso del “phishing”: indurre qualcuno con l’inganno a compiere un’azione che non compirebbe se comprendesse cosa sta realmente accadendo. La differenza sta nel canale utilizzato. Mentre il phishing si avvale delle e-mail e lo smishing degli SMS, il vishing utilizza la voce, che trasmette un senso di legittimità che il testo scritto non possiede.
Chi chiama, se si mostra sicuro di sé, usa la terminologia corretta e crea uno scenario plausibile — ad esempio un controllo di sicurezza da parte della banca, una chiamata all’help desk informatico o un fornitore che conferma i dettagli di pagamento — può convincere i dipendenti che, se avessero ricevuto la stessa richiesta via e-mail, l’avrebbero smascherata in pochi secondi.
Come funziona un attacco di vishing
Gli attacchi di vishing sono raramente casuali. In genere, gli autori degli attacchi effettuano ricerche sul proprio bersaglio prima di chiamare, utilizzando LinkedIn, i siti web aziendali, i dati provenienti da precedenti violazioni o le informazioni raccolte tramite precedenti tentativi di phishing. Maggiori sono le informazioni che un autore dell’attacco possiede sul bersaglio e sulla sua organizzazione, più convincente potrà risultare la chiamata.
Uno scenario tipico di vishing segue uno schema ben riconoscibile:
- Falsa identità. Chi chiama finge di essere una persona di cui la vittima ha motivo di fidarsi: un impiegato di banca, un tecnico dell’assistenza informatica, un funzionario dell’agenzia delle entrate, un collega di livello superiore o un fornitore.
- Urgenza o autorità. Chi chiama esercita pressione, sostenendo che c’è un problema da risolvere immediatamente, oppure invoca la propria autorità (“il tuo responsabile mi ha chiesto di chiamarti”). Questo aggirando l’istinto del destinatario di fermarsi un attimo e verificare.
- Richiesta. Chi chiama chiede qualcosa: una password, un codice monouso, la conferma delle coordinate bancarie, l'accesso a un sistema o un bonifico.
- Fine. Una volta ottenute le informazioni o compiuta l’azione, la chiamata termina rapidamente. Quando la vittima si rende conto che qualcosa non andava, il danno è ormai fatto.
Il vishing funziona perché è difficile applicare durante una conversazione telefonica dal vivo gli stessi filtri critici che si utilizzerebbero leggendo un’e-mail sospetta. La pressione sociale derivante da un’interazione in tempo reale ha la meglio sulla cautela, ed è proprio su questo che fanno affidamento gli aggressori.
Vishing, phishing e smishing: qual è la differenza?
Il vishing è una delle numerose tecniche di ingegneria sociale basate su chiamate e messaggi. Comprendere in che modo si differenziano aiuta le organizzazioni a formare i propri dipendenti affinché siano in grado di riconoscerle tutte.
| Tecnica | Canale | Scenario comune | Perché funziona |
|---|---|---|---|
| Phishing | Pagina di accesso fasulla, avviso urgente relativo all'account | Volume e illusione ottica | |
| Vishing | Telefono / voce | Falsa telefonata da parte di una banca, truffa tramite l’usurpazione dell’identità del servizio di assistenza informatica | Pressione in tempo reale, autorità vocale |
| Smishing | SMS / app di messaggistica | Avviso di consegna falso, link di pagamento | Contesto mobile, formato conciso, i link risultano naturali |
| Lancia phishing | E-mail (mirata) | Email personalizzata utilizzando i dati in nostro possesso | La specificità sembra credibile perché ti conosce |
In pratica, queste tecniche vengono spesso combinate. Un malintenzionato potrebbe inviare prima un’e-mail di phishing, per poi seguire con una chiamata di vishing fingendo di essere un tecnico dell’assistenza IT in merito all’e-mail che il bersaglio ha appena ricevuto. Ciascun canale rafforza la credibilità dell’altro.
Il vishing nella pratica: scenari ricorrenti
Gli attacchi di vishing non sono minacce astratte. Si tratta di situazioni che le organizzazioni, comprese le aziende olandesi, si trovano ad affrontare regolarmente:
- La chiamata all’helpdesk IT. Chi chiama sostiene di appartenere al supporto IT interno, afferma che sono state rilevate attività sospette sull’account del dipendente e chiede a quest’ultimo di confermare la propria password o di installare uno strumento di accesso remoto “per risolvere il problema”.
- La telefonata di sicurezza da parte della banca. Un interlocutore che si spaccia per un addetto del dipartimento antifrode avverte che il conto corrente aziendale è stato compromesso e chiede alla vittima di confermare i dati del conto o di autorizzare un “bonifico di prova”.
- La telefonata del CEO o del CFO. Conosciuta come “frode del CEO” o BEC (Business Email Compromise), questa truffa prevede che chi chiama si spacci per un alto dirigente e faccia pressione su un dipendente del reparto finanziario affinché effettui un bonifico urgente, spesso di venerdì pomeriggio.
- La telefonata di conferma da parte del fornitore. Chi chiama sostiene di rappresentare un fornitore noto e chiede di aggiornare le coordinate bancarie per i pagamenti futuri, reindirizzando i pagamenti verso un conto controllato dall’autore dell’attacco.
- La chiamata "deepfake" generata dall'intelligenza artificiale. Grazie alla tecnologia di clonazione vocale basata sull'intelligenza artificiale, gli hacker sono ora in grado di impersonare colleghi o dirigenti reali con una precisione sbalorditiva. I dipendenti ricevono una chiamata che sembra provenire proprio dal loro responsabile, in cui vengono richieste le credenziali di accesso o l'approvazione urgente di un pagamento.
In che modo la formazione sulla sicurezza informatica protegge dal vishing
I controlli tecnici non bastano a fermare il vishing. I filtri antispam, i firewall e gli strumenti di sicurezza degli endpoint sono inutili quando un hacker alza il telefono. L’unica difesa efficace è una forza lavoro in grado di riconoscere le tattiche di manipolazione e di sapere come comportarsi quando qualcosa non quadra.
Questo si ottiene attraverso la formazione: non con una presentazione una tantum, ma con una pratica costante che porta alla creazione di abitudini. Una formazione efficace sulla sicurezza contro il vishing comprende diversi aspetti:
- Riconoscere i fattori scatenanti. Urgenza, tono autoritario, richieste insolite, richieste di aggirare le normali procedure. I dipendenti in grado di individuare questi schemi tendono a essere più restii a assecondarli.
- Il diritto di verificare. I dipendenti devono sapere che è sempre lecito rispondere: «La richiamerò al numero che ho in archivio», anche se a chiamare è l’amministratore delegato. Per instaurare questa abitudine è necessario il permesso esplicito della direzione e un sostegno attraverso la formazione.
- Cosa fare dopo. Se un dipendente sospetta di essere stato vittima di una chiamata di vishing o, peggio ancora, di avervi ceduto, deve poter contare su una procedura chiara per segnalare l'accaduto. La segnalazione dovrebbe essere considerata una pratica normale, non stigmatizzata.
- Stare al passo con l’evoluzione delle tattiche. La clonazione vocale tramite IA, i deepfake e gli attacchi sempre più personalizzati fanno sì che il panorama delle minacce cambi rapidamente. La formazione deve tenere il passo, ed è per questo che sessioni brevi e frequenti sono più efficaci dei corsi di aggiornamento annuali.
Proteggi la tua squadra oggi stesso
I criminali informatici stanno chiamando. Il tuo team è pronto?
Richiedi una demo