// servizio · phishing simulation

Phishing Simulation

Misura quanto i tuoi dipendenti sono pronti contro le email truffa. Campagna controllata, dashboard di chi clicca, training automatico per i più vulnerabili.

Perché serve davvero

Il 91% degli attacchi cyber inizia con un'email di phishing. I firewall, gli antivirus e gli EDR possono bloccare molto, ma basta un click di un dipendente distratto per far entrare ransomware o esfiltrare credenziali.

Il phishing simulation è l'unico modo per misurare oggettivamente il livello di consapevolezza del tuo team — e migliorarlo nel tempo.

Come funziona

01
Setup & targeting — Mi dai la lista degli indirizzi email aziendali. Concordiamo lo scenario: spear phishing CEO fraud, fatture false, allegati malevoli, OneDrive/SharePoint clone, ecc.
02
Lancio campagna — Invio le email simulate con dominio simil-reale, landing page clone, tracking di click/credenziali inserite. La campagna dura 7-14 giorni.
03
Educational pop-up — Chi clicca o inserisce credenziali viene reindirizzato a una pagina educativa che spiega come riconoscere il phishing reale. Nessuna shame, solo apprendimento.
04
Report dettagliato — Dashboard con click-rate, credentials-rate, tempo medio di clic, dipartimenti più vulnerabili. Anonimizzato per il management se richiesto.
05
Training mirato — Per i dipendenti che hanno cliccato, sessione di micro-training di 30 minuti (in presenza o online). Per chi ha riconosciuto il phishing, riconoscimento positivo.

Cosa misuriamo

Click-rate

% di dipendenti che hanno cliccato il link malevolo. Benchmark italiano PMI: 28%.

Credentials-rate

% che ha anche inserito credenziali sulla landing page clone. Benchmark: 9%.

Reporting-rate

% che ha segnalato l'email come sospetta (al posto di cliccare). Buona pratica.

Time-to-click

Tempo medio dall'invio al click. Indica quanto velocemente il phishing si propaga in azienda.

Aspetti legali

Il phishing simulation è perfettamente legale ma richiede:

  • Autorizzazione scritta del titolare (la firmiamo prima di iniziare)
  • Comunicazione preventiva ai rappresentanti dei lavoratori (RSU/RSA) se presenti
  • Aggiornamento dell'informativa privacy interna
  • Risultati gestiti aggregati e anonimi (no shaming individuale)

Mi occupo io di tutta la documentazione legale necessaria.