È un martedì mattina. Il responsabile IT di una media impresa manifatturiera del Nord Italia riceve una chiamata. Voce autorevole, tono professionale: è il “supporto tecnico” di un noto fornitore di software gestionale. C’è un problema urgente con la licenza e se non si interviene entro l’ora, il sistema si bloccherà. Servono le credenziali di accesso per una verifica rapida. Il responsabile, sotto pressione, fornisce quello che viene richiesto.

Nessun malware. Nessun exploit sofisticato. Solo una telefonata ben costruita.

Questo è il social engineering: l’arte di manipolare le persone per ottenere informazioni o accessi che non dovrebbero essere concessi. Ed è ancora, nel 2026, il vettore d’attacco più efficace contro qualsiasi organizzazione indipendentemente da quanto si investa in tecnologia difensiva.

Quando si parla di ingegneria sociale, il pensiero corre immediatamente alle email di phishing. Ma ridurre il problema a questo è uno degli errori più comuni e più pericolosi che un’organizzazione possa fare. Il social engineering è un insieme molto più ampio di tecniche che sfruttano la psicologia umana anziché le vulnerabilità tecniche: phishing, vishing, quishing, baiting, pretexting, smishing. Ciò che accomuna tutte queste tecniche non è la tecnologia, ma la leva psicologica: urgenza, autorità, paura, reciprocità, appartenenza. Questi sono i bias cognitivi su cui ogni attacco di ingegneria sociale fa perno. E sono parte della natura umana non possono essere corretti come si fa con l’hardware o software.

Secondo il Verizon Data Breach Investigations Report, oltre il 68% delle violazioni di dati include una componente umana. La statistica non migliora anno dopo anno, anzi, con l’avvento dell’intelligenza artificiale, il trend si sta invertendo.

Le tecniche in uso nel 2025 e 2026 sono ancora quelle già viste negli anni passati, ma sicuramente l’uso di strumenti di intelligenza artificiale ha trasformato il social engineering da attività artigianale ad attività industriale. 

Le tecniche già in atto:

• Phishing: email ingannevoli che simulano comunicazioni legittime per sottrarre credenziali o indurre azioni dannose
• Vishing (voice phishing): attacchi condotti via telefono, come nell’esempio di apertura
• Smishing (SMS phishing): messaggi testuali con link malevoli o richieste urgenti
• Quishing (QR code phishing): codici QR fisici o digitali che reindirizzano a siti fraudolenti 
• Pretexting: costruzione di un contesto narrativo falso e credibile per giustificare una richiesta (es. fingersi un collega, un auditor, un tecnico)
• Baiting: utilizzo di un’esca fisica o digitale — una chiavetta USB abbandonata in parcheggio, un allegato intitolato “Stipendi 2026.xlsx”

Ecco le evoluzioni più significative che i professionisti della sicurezza stanno osservando sul campo.

Per anni, una delle difese più efficaci contro il phishing è stata paradossalmente la scarsa qualità delle email malevole: grammatica approssimativa, traduzioni automatiche goffe, formattazione inconsistente. Oggi quella difesa non esiste più. I modelli linguistici di nuova generazione permettono a chiunque, anche senza competenze tecniche, di generare email di phishing perfette: tono professionale, contesto realistico, personalizzazione basata su informazioni pubbliche (LinkedIn, sito aziendale, comunicati stampa). Un attaccante può costruire in pochi minuti un’email che simula fedelmente la comunicazione interna di un’azienda specifica, rivolta a un destinatario specifico, in merito a un progetto reale.

Questo approccio viene chiamato spear phishing potenziato dall’AI, e il tasso di successo è significativamente superiore al phishing generico.

Nel 2024 si sono moltiplicati i casi documentati di attacchi vishing con audio deepfake: la voce del CEO, del CFO o di un collega fidato, riprodotta in modo convincente attraverso strumenti di clonazione vocale, per autorizzare bonifici urgenti, fornire credenziali o avallare decisioni critiche. Alcuni casi hanno già coinvolto videochiamate falsificate, dove l’interlocutore visualizzato sullo schermo era un avatar generato in tempo reale. Non si tratta di scenari futuristici: gli strumenti per farlo sono accessibili e relativamente economici. Il principio di difesa in questo caso non è tecnologico ma procedurale: nessuna decisione critica deve basarsi su un’unica fonte di comunicazione, anche se quella fonte sembra essere il proprio diretto superiore.

Con l’aumento dell’uso dei QR code nella vita quotidiana (menu, pagamenti, accessi Wi-Fi, documenti) gli attaccanti hanno trovato un canale spesso ignorato dai filtri di sicurezza tradizionali. Un QR code malevolo può essere stampato e affisso sopra quello legittimo in un ufficio, incluso in una presentazione condivisa, inserito in una email che bypassa i filtri perché non contiene link testuali. Quando l’utente lo scansiona con lo smartphone (e di solito utilizza un dispositivo personale, al di fuori del perimetro di sicurezza aziendale) viene reindirizzato a una pagina di login fraudolenta.

La frontiera più sofisticata del social engineering attuale è l’attacco coordinato su più canali simultanei. L’obiettivo riceve prima un’email, poi un SMS di “conferma”, poi una telefonata di “verifica”. Ogni touchpoint rinforza la credibilità degli altri. La vittima, ricevendo messaggi coerenti da canali diversi, abbassa le difese. Questa tecnica è particolarmente efficace contro i reparti Finance e HR, dove i processi di autorizzazione coinvolgono spesso comunicazioni multicanale.