Social Engineering Livello avanzato · 4.5 ore v2 · 7 fonti integrate

Ingegneria Sociale — La Minaccia Umana

Tecniche, psicologia e difese: il corso completo per titolari e direttori di PMI — basato su Hadnagy, Mitnick, DCSA, lawpilots, Cyber Foundry e ricerche comportamentali avanzate.

7 moduli

7 fonti accademiche e istituzionali

Titolari · Direttori · Responsabili PMI

Hadnagy Science of Human Hacking Hadnagy Art of Human Hacking Mitnick Art of Intrusion DCSA Manipulated Insider 2024 lawpilots Phishing WP GM Cyber Foundry Verizon DBIR / FBI IC3

Modulo 01 · Fondamenti

La minaccia invisibile

Perché il social engineering è l'attacco che nessun firewall può fermare

Il social engineering non viola i sistemi informatici. Viola le persone. È la manipolazione psicologica di individui per indurli a compiere azioni, rivelare informazioni riservate o concedere accessi che non avrebbero mai autorizzato consapevolmente. Mentre i sistemi di sicurezza tecnica migliorano costantemente, i criminali informatici si sono accorti che il percorso più semplice attraverso un firewall è manipolare la persona che già si trova dall'altra parte.

I numeri che ogni titolare deve conoscere

98%degli attacchi cyber usa tecniche di SE (DCSA 2024)

700+attacchi SE subisce ogni azienda in media ogni anno

50%dei dipendenti non sa definire correttamente "social engineering"

€203Bdanni cyber in Germania nel 2022. Dark figure stimata: 90% (BKA)

$130kcosto medio di recovery da un attacco SE (DCSA)

86%delle organizzazioni ha almeno un dipendente che ha cliccato un link phishing

Il ciclo di vita di un attacco — modello DCSA 2024

Ogni attacco sofisticato segue quattro fasi precise definite dalla Defense Counterintelligence and Security Agency. Capire il modello permette di identificare il momento in cui si è ancora in tempo per interrompere la catena.

Fase 01

Investigation

Raccolta OSINT, studio dell'organizzazione, identificazione del bersaglio e delle sue vulnerabilità psicologiche.

Fase 02

Hook

Primo contatto. L'attaccante crea la situazione iniziale di aggancio: email, telefonata, presenza fisica. Il pretext viene attivato.

Fase 03

Play

Esecuzione. L'attaccante ottiene ciò che cerca: informazioni, accesso fisico, credenziali, bonifico, installazione malware.

Fase 04

Exit

Uscita pulita. L'attaccante si disconnette senza tracce evidenti. La vittima spesso non sa di essere stata attaccata.

Perché le PMI sono il bersaglio preferito

Fattore 01

Trust culture informale

Nelle PMI ci si conosce e ci si fida. L'attaccante sfrutta questa fiducia intrinseca per inserirsi nella rete relazionale.

Fattore 02

Assenza di policy verificate

Raramente esistono procedure di call-back o dual approval. Un'email convincente può bastare per autorizzare un bonifico.

Fattore 03

Supply chain entry point

La PMI è spesso fornitore di aziende più grandi. Violarla è il modo più semplice per raggiungere il cliente finale.

Fattore 04

Solo il 56% forma il personale

Solo il 56% delle aziende fornisce formazione sulla sicurezza. Le PMI sono in media sotto questa soglia (DCSA 2024).

Il dato più preoccupante

Il social engineering non lascia tracce nei log di sistema e non viene rilevato dagli antivirus. Il 90% dei casi non viene mai denunciato. La PMI colpita spesso non lo sa nemmeno. La difesa tecnica da sola è inutile: serve la difesa umana.

Modulo 02 · Psicologia

La psicologia della persuasione

Cialdini, bias cognitivi, optimism bias e il modello SEEF

L'attaccante esperto non improvvisa. Applica principi psicologici dimostrati scientificamente, sfrutta istinti evolutivi profondi e disattiva il pensiero critico nel momento esatto in cui ne hai più bisogno. Come mostrano le ricerche della Greater Manchester Cyber Foundry, conoscere le tecniche non protegge automaticamente da esse.

I sei principi di Cialdini nell'attacco

Reciprocità

Attacco: "Ti faccio un favore, ora tu me ne fai uno"

Il supporto tecnico che "risolve" un problema che ha lui stesso causato. L'aiuto non richiesto crea un debito psicologico. La vittima abbassa le difese per non sembrare ingrata.

Impegno e coerenza

Attacco: "Hai già detto sì alle prime domande"

Piccole concessioni iniziali rendono impossibile rifiutare la richiesta finale. L'escalation è così graduale che nessuno nota il momento in cui ha attraversato la linea.

Riprova sociale

Attacco: "Tutti i tuoi colleghi lo fanno già"

"Il suo responsabile ci ha già inviato la documentazione." Normalizza una richiesta insolita facendo credere che il comportamento sia già diffuso nell'organizzazione.

Simpatia

Attacco: "Sono come te, mi fido di te"

L'attaccante usa il nome, trova punti in comune, rispecchia il linguaggio. Le persone aiutano chi percepiscono come simile a sé. La fiducia è costruita, non guadagnata.

Autorità

Attacco: "Parlo a nome del CEO / dell'AdE"

Impersonare figure di autorità — CEO, banca, Agenzia delle Entrate, tecnico IT — è la tecnica più efficace. Il dipendente non osa mettere in discussione l'autorità percepita.

Scarcità

Attacco: "Devi farlo ora o ci saranno conseguenze"

L'urgenza paralizza il pensiero critico. "Il conto sarà bloccato entro un'ora." L'ansia da tempo elimina la verifica. È il vettore più sfruttato nel BEC.

L'optimism bias — il paradosso della consapevolezza

La trappola più pericolosa

Studi della Greater Manchester Cyber Foundry dimostrano che la maggioranza delle persone cade vittima delle tecniche di social engineering anche dopo essere stata informata e avvertita in anticipo. Chi crede di essere immune è il bersaglio più vulnerabile. La convinzione "io non ci cascherò mai" è il bias cognitivo più sfruttato dagli attaccanti.

Profili ad alto rischio

Nuove assunzioni, dipendenti molto disponibili ad aiutare, persone sotto stress lavorativo, chi teme di creare problemi al superiore. Questi profili sono i primi target del social engineer.

Il dato che sorprende

Gli specialisti IT e i responsabili esperti sono statisticamente più vulnerabili al whaling proprio perché la loro expertise tecnica crea un eccesso di fiducia nelle proprie capacità di riconoscimento.

Principio fondamentale — Mitnick / Cyber Foundry

"Il social engineer vive secondo il motto Knowledge is Power e tenterà di estrarre ogni informazione disponibile. La difficoltà maggiore nel prevenire questi attacchi è superare l'istinto umano di essere utile agli altri."

— Kevin Mitnick, citato in Social Engineering: Hacking the Human (GM Cyber Foundry)

Modulo 03 · Tecniche

L'arsenale digitale

Tassonomia completa: 10 tipologie di attacco + metodo SLAM

Gli attacchi digitali sono oggi la modalità prevalente perché scalabili, economici e straordinariamente efficaci. Il ransomware veicolato via phishing è responsabile del 41% dei pagamenti di riscatto aziendali (Coveware). La tassonomia che segue, integrata dal whitepaper lawpilots e dalla documentazione DCSA, copre tutte le varianti che la tua azienda potrebbe incontrare.

Le 10 tipologie principali

Spear phishing

Attacco email personalizzato su un bersaglio specifico. L'attaccante ha già fatto OSINT: conosce nome, ruolo, colleghi, clienti reali. Il tasso di successo è drammaticamente più alto del phishing di massa.

"Ciao Marco, come concordato con il Dott. Bianchi, ti mando il link per firmare il contratto Rossi S.r.l."

Whaling (CEO fraud)

Spear phishing diretto ai vertici aziendali. Il premio è alto: accesso ai conti correnti, decisioni strategiche, dati di clienti e fornitori. La frode FACC da 60 milioni di dollari ne è l'esempio documentato più eclatante.

Business Email Compromise (BEC)

L'account email del CEO o di un dirigente viene compromesso o imitato. I bonifici vengono autorizzati su basi apparentemente legittime. Perdite globali superiori a 50 miliardi di dollari (FBI IC3).

Email "dal CEO" durante sua trasferta, bonifico urgente verso fornitore estero, richiesta di discrezione per "ragioni strategiche".

Clone phishing

Una email legittima già inviata da un fornitore o banca viene copiata identicamente, con allegati o link sostituiti da versioni malevole. La vittima si fida perché riconosce il formato e il mittente.

La banca rimanda una comunicazione "in aggiornamento" — stessa grafica, stesso testo, allegato PDF con malware.

Deceptive phishing (domain spoofing)

L'attaccante registra un dominio quasi identico a quello legittimo: www.paypa1.com invece di paypal.com, dol-gov.com invece di dol.gov. Le email passano i filtri di sicurezza perché la differenza è quasi invisibile a occhio nudo.

Caso DCSA 2022: dominio dol-gov[.]us per imitare il Dipartimento del Lavoro USA — le email passarono i gateway delle organizzazioni target.

Tech support scam

Finti tecnici IT contattano telefonicamente o via pop-up. Richiedono accesso remoto al PC "per risolvere un problema urgente". Una volta dentro, installano keylogger o malware.

Il classico Windows Scam: "Siamo Microsoft, il suo PC mostra errori critici, abbiamo bisogno di accesso remoto per risolverli."

Evil Twin phishing

Creazione di una rete WiFi malevola con lo stesso SSID della rete legittima. Tutto il traffico è visibile agli attaccanti. Particolarmente pericoloso per i titolari che lavorano in mobilità (hotel, aeroporti, fiere).

Watering hole phishing

I siti web frequentati regolarmente dall'azienda vengono infettati con malware. La semplice visita al sito fidato installa il payload. Non rilevabile senza soluzioni di sicurezza avanzate.

Vishing (voice phishing)

Telefonata da finto supporto banca, Agenzia delle Entrate, partner commerciale. Il numero chiamante è falsificato (spoofing). Con AI generativa, oggi è possibile clonare la voce del CEO in tempo reale.

"Parlo da UniCredit Business. Il suo conto mostra attività sospette. Per bloccarle, mi serve la credenziale temporanea via SMS."

Smishing (SMS phishing)

SMS fraudolenti da finti corrieri, INPS, banche. I link abbreviati nascondono domini malevoli. Particolarmente efficace su smartphone aziendali dove la soglia di guardia è più bassa rispetto all'email.

Il metodo SLAM — la difesa immediata per il tuo team

Raccomandato dalla DCSA e dalla Cyber Foundry: procedura rapida di analisi applicabile da chiunque in 4 passaggi su qualsiasi comunicazione sospetta.

Sender

Chi ha inviato davvero? L'indirizzo reale corrisponde all'identità dichiarata?

Link

Dove porta REALMENTE questo URL? Passare il cursore sul link prima di cliccare.

Attachment

L'allegato era atteso? Da un mittente verificato? Estensione reale vs visualizzata?

Message

Urgenza, minaccia, richiesta insolita = RED FLAG. Il contenuto giustifica l'azione richiesta?

Dato Europa 2022 — lawpilots / BKA

In Germania i danni cyber 2022 hanno raggiunto €203 miliardi. Il principale vettore rimane il phishing, con il ransomware come attacco più redditizio: il 41% delle aziende colpite ha pagato il riscatto. Si stima che il 90% dei casi non venga mai denunciato.

Modulo 04 · Tecniche

L'arsenale fisico

Pretexting, impersonation, tailgating: quando l'attaccante entra di persona

Non tutti gli attacchi avvengono dietro uno schermo. Kevin Mitnick ha dimostrato ripetutamente che la presenza fisica — accompagnata da un pretext convincente — può aprire qualsiasi porta. Le PMI tendono a sottovalutare questa dimensione concentrandosi sulla sicurezza informatica e ignorando quella fisica.

Pretexting fisico

L'attaccante si costruisce un'identità fisica convincente: tecnico del fotocopiatore, ispettore antincendio, consulente IT mandato dalla sede, revisore dei conti. Uniforma, badge, strumenti appropriati. Il dipendente non mette in discussione ciò che sembra ovvio. Solo chi ha accesso alla terminologia interna sembra legittimo — ma solo perché sa cosa dire non significa che abbia diritto all'accesso.

Caso Mitnick: si è fatto passare per un dipendente DEC appena trasferito per ottenere credenziali da un tecnico reale che voleva "aiutarlo a integrarsi".

Tailgating e piggybacking

Accedere a zone protette seguendo una persona autorizzata. Il piggybacking usa la cortesia: mani occupate, sguardo amichevole. La Cyber Foundry riporta che pochissime persone rifiutano di tenere una porta aperta a qualcuno con le mani occupate — nonostante non lo riconoscano.

"Scusi, ho le mani occupate con questi documenti, può tenermi la porta? Sono il nuovo consulente di Fantini."

Baiting fisico

Dispositivi compromessi lasciati in luoghi visibili: chiavette USB nel parcheggio, QR code su poster nelle aree comuni. La curiosità umana è irresistibile. Etichette efficaci per l'attaccante: "Stipendi 2024", "Video festivo aziendale", "Listino prezzi riservato".

Dumpster diving

Raccolta sistematica di informazioni dai rifiuti aziendali: documenti stampati e scartati, post-it con password, estratti conto, organigrammi, offerte commerciali. Legale nella maggior parte dei contesti. Fonte inesauribile di informazioni per costruire un pretext credibile.

Shoulder surfing

Osservare di nascosto schermi, tastiere o documenti in spazi pubblici: treni, aeroporti, open space. Particolarmente pericoloso per i titolari che lavorano su documenti sensibili (offerte, contratti, dati bancari) in mobilità.

La lezione di Mitnick

Mitnick ha ottenuto codice sorgente proprietario da grandi aziende tecnologiche attraverso sole telefonate di pretexting — impersonando colleghi e tecnici. Nessun exploit tecnico sofisticato: solo la comprensione di chi voleva essere utile e chi temeva conseguenze per aver "creato problemi".

— Kevin Mitnick, The Art of Intrusion

Modulo 05 · Ricognizione + Minaccia interna

OSINT e il dipendente manipolato

Come ti studiano dall'esterno — e come ti colpiscono dall'interno senza che nessuno lo sappia

L'attacco di social engineering inizia molto prima del primo contatto. Il DCSA 2024 report introduce il concetto critico di Manipulated Insider: individui all'interno dell'organizzazione che, intenzionalmente o inconsapevolmente, diventano vettori dell'attacco. Capire sia la ricognizione esterna che la vulnerabilità interna è fondamentale.

La tua superficie OSINT pubblica

Organigramma completo, ruoli, anzianità, colleghi, clienti dichiarati, tecnologie usate (skills), cambi di lavoro, progetti in corso

Rischio alto

Sito web

Nomi e email del personale, indirizzi, numeri di telefono, clienti e partner, tecnologie del sito, software usati

Rischio alto

Visura camerale

Soci, amministratori, capitale sociale, bilanci, cariche in altre società, fatturato dichiarato, partita IVA

Rischio alto

Social media aziendale

Foto di uffici e ambienti (dettagli in background), eventi, nuove assunzioni, clienti celebrati, viaggi di lavoro del titolare

Rischio medio

Gare e bandi pubblici

Relazioni commerciali con PA, importi contratti, documentazione tecnica presentata

Rischio medio

Google Dorking

Documenti non protetti (PDF, Excel) pubblicati per errore, pagine non indicizzate ma accessibili, credenziali dimenticate in file pubblici

Rischio alto

Email header analysis

Infrastruttura IT, provider email, server interni, formato dell'indirizzo aziendale (nome.cognome@ vs n.cognome@)

Rischio medio

Il dipendente manipolato — la minaccia interna invisibile

La DCSA identifica una categoria critica spesso ignorata dalle PMI: l'insider manipolato. Non si tratta di un dipendente sleale o malevolo, ma di una persona normale che viene inconsapevolmente trasformata in uno strumento dell'attacco.

Tipo 01

L'insider involontario

Dipendente che cede a tecniche di SE senza intenzione malevolente. Vuole essere utile, non vuole creare problemi, teme le conseguenze del rifiuto. È il profilo più comune.

Tipo 02

Il Syn-Puppet (DCSA)

Il dipendente diventa un "puppet sincronizzato": relay point inconsapevole. Passa informazioni o accessi credendo di agire correttamente, mentre l'attaccante orchestra dall'esterno.

Tipo 03

Il nuovo assunto

Statisticamente i più vulnerabili. Non conoscono ancora le procedure, vogliono dimostrare efficienza, non osano mettere in discussione le richieste.

Tipo 04

Il dipendente sotto stress

Pressione lavorativa, paura di errori, conflitti interni: questi stati riducono la capacità di analisi critica e aumentano la vulnerabilità alle leve emotive dell'attaccante.

Il dato DCSA più importante per te come titolare

I dipendenti più efficienti, dedicati e con più anzianità sono spesso i più vulnerabili. La loro reputazione di affidabilità e il desiderio di mantenere relazioni positive li rendono bersagli prioritari. Il social engineer sceglie con cura chi colpire.

Modulo 06 · Analisi

Casi reali documentati

6 attacchi reali analizzati: cosa è successo, perché ha funzionato, cosa ha reso possibile la compromissione

DCSA documentatoFACC — CEO Fraud da 60 milioni di dollari

Il produttore cinese di componenti aeronautici FACC perde quasi 60 milioni di dollari in un CEO fraud scam. I truffatori impersonano dirigenti di alto livello e inducono i dipendenti del settore finanziario a trasferire fondi. L'epilogo è doppiamente amaro: FACC tenta di citare in giudizio il proprio CEO e il responsabile finanziario per non aver implementato controlli di sicurezza interni adeguati.

Lezione: quando il CEO fraud ha successo, la responsabilità legale ricade sull'organizzazione per mancanza di procedure. La dual approval sui bonifici non è burocrazia — è protezione legale per il titolare.

DCSA documentatoMerseyrail / Lockbit — il ransomware che usa la tua email contro di te

Il gruppo ransomware Lockbit penetra nei sistemi di Merseyrail. Non si limita a cifrare i dati e chiedere riscatto: usando l'accesso all'account email del direttore, invia ai dipendenti una comunicazione che rivela pubblicamente l'attacco — umiliando l'azienda davanti ai propri dipendenti con i loro stessi dati personali come "prova". Il social engineering digitale viene usato come strumento di pressione e danno reputazionale post-compromissione.

Lezione: il ransomware moderno combina cifratura, esfiltrazione e pressione psicologica. L'accesso all'email aziendale è un'arma completa. MFA non opzionale su tutti gli account email.

DCSA documentatoUS Department of Labor — domain spoofing di massima sofisticazione

Gennaio 2022: un attacco mira alle credenziali Microsoft 365. Gli attaccanti usano due tecniche simultanee: spoofing dell'indirizzo email ufficiale del DoL e registrazione di domini lookalike (dol-gov[.]com, dol-gov[.]us). Le email passano i gateway di sicurezza delle organizzazioni target. Cliccando il link, le vittime arrivano su un sito phishing identico al DoL reale, che chiede le credenziali 365 due volte — simulando un errore per ridurre la possibilità di typo e garantire credenziali valide all'attaccante.

Lezione: i filtri antispam non sono sufficienti contro domain spoofing avanzato. Formare i dipendenti a verificare manualmente i domini e a non inserire mai credenziali seguendo link email.

PMI italiana documentataSupply chain fraud — €320.000 in 48 ore

Un'azienda metalmeccanica veronese riceve un'email dal suo principale fornitore tedesco con comunicazione cambio IBAN. Email perfettamente formattata, firma grafica corretta, indirizzo giusto — perché l'account del fornitore era già stato compromesso settimane prima. Tre bonifici regolari. Frode scoperta solo quando il fornitore reale sollecita il pagamento delle fatture. I fondi erano già stati trasferiti in criptovaluta.

Lezione: qualsiasi comunicazione di cambio IBAN va verificata telefonicamente al numero ufficiale pre-registrato, mai a quello eventualmente indicato nella comunicazione stessa.

Hadnagy documentatoPenetration test banca — il dipendente esemplare che ha aperto tutto

Hadnagy viene ingaggiato per testare una banca regionale. In 3 giorni, tramite sole telefonate di pretexting — impersonando un tecnico IT in visita e poi un consulente della sede centrale — ottiene le credenziali del sistema di pagamento da un funzionario di filiale. Il funzionario era un dipendente esemplare con 12 anni di anzianità: voleva essere utile, temeva di creare problemi, la richiesta era arrivata in un momento di pressione lavorativa.

Lezione: i dipendenti più affidabili e dediti sono spesso i più vulnerabili. La compliance formale non sostituisce la consapevolezza psicologica applicata a procedure concrete e verificabili.

Mitnick documentatoPacific Bell — come si smonta una telco con sole telefonate

Attraverso una serie di telefonate concatenate — ciascuna ottenendo un piccolo pezzo di informazione da un operatore diverso — Mitnick costruisce un quadro completo dell'infrastruttura interna di Pacific Bell. Ogni operatore risponde correttamente alle proprie policy. Nessuno vede l'intero schema. L'attacco si completa in fasi distribuite nel tempo, rendendo impossibile il rilevamento real-time.

Lezione: gli attacchi sofisticati sono distribuiti e incrementali. Ogni singola azione sembra innocua. Solo l'insieme rivela la compromissione. Mantenere un log delle richieste di informazioni esterne.

Modulo 07 · Strategia

Il piano di difesa del titolare

SLAM, probe questions, 4 pilastri e checklist operativa in 20 punti

La difesa efficace non è un prodotto da acquistare: è un sistema da costruire su tre livelli interdipendenti: le procedure (cosa fare e non fare), la formazione (far interiorizzare le procedure) e la cultura (far sì che i dipendenti si sentano autorizzati e responsabili). La DCSA raccomanda che la security awareness sia parte integrante del processo di onboarding — non una formazione opzionale annuale.

I quattro pilastri della difesa

Pilastro 01

Verifica out-of-band

Qualsiasi richiesta urgente di pagamento, accesso o dati va verificata su un canale diverso da quello della richiesta. Il canale di verifica deve essere quello ufficiale pre-esistente.

Pilastro 02

Cultura del "posso chiedere"

I dipendenti devono sapere che mettere in discussione una richiesta sospetta — anche se arriva dal CEO — è non solo permesso ma richiesto. La paura delle conseguenze è il vettore più sfruttato.

Pilastro 03

Multi-Person Authorization (DCSA)

Nessun bonifico sopra soglia viene eseguito da una sola persona. Nessuna credenziale di accesso viene condivisa a fronte di una sola richiesta. La regola vale anche se arriva dal vertice aziendale.

Pilastro 04

Simulazioni e refresh periodici

La formazione teorica da sola non protegge (optimism bias documentato). Test di phishing simulati e audit fisici periodici sono l'unico modo per misurare la resilienza reale.

La tecnica della domanda di verifica (probe question)

Tecnica avanzata raccomandata dalla DCSA per smontare un attacco in corso durante una telefonata sospetta. L'attaccante non ha le informazioni necessarie per rispondere e si rivela attraverso l'esitazione.

Script pratici da usare subito

"Prima di procedere, mi conferma il numero interno del suo ufficio così lo registro nel sistema."

"Mi ricorda qual era l'oggetto dell'ultima email che ci siamo scambiati?"

"Per sicurezza, ci sentissimo domani al suo numero diretto in rubrica — mi passi pure i dettagli in quel momento."

"Il nostro responsabile IT ha già verificato questa richiesta? Me lo passa così confermo con lui?"

Un attaccante reale non può rispondere a queste domande. Un interlocutore legittimo risponde senza esitazione. L'esitazione stessa è il segnale di allarme.

Checklist operativa — 20 azioni concrete

0 di 20 completati

Policy e procedure

Definita e comunicata la policy di verifica out-of-band per richieste di pagamento o accesso urgenti
Implementato il dual/multi-person authorization per bonifici sopra la soglia definita (consigliata: €2.000)
Whitelist fornitori con IBAN verificati — qualsiasi cambio IBAN richiede verifica telefonica su numero pre-registrato ufficiale
Definita una parola chiave di sicurezza per chiamate urgenti interne (per autenticare l'identità del chiamante)
Policy del visitatore visibile: nessun ospite si muove in azienda senza accompagnatore autorizzato identificato

Formazione e consapevolezza

Formazione base sul social engineering per tutti i dipendenti inclusa nel processo di onboarding (DCSA raccomandazione)
Condotto almeno un test di phishing simulato nell'ultimo anno e risultati analizzati con il team
I dipendenti conoscono il metodo SLAM e sanno applicarlo su email e messaggi sospetti
I dipendenti conoscono le probe questions e sanno usarle senza imbarazzo durante chiamate sospette
Il team è formato a riconoscere i 6 principi di Cialdini negli scenari di attacco più comuni

Sicurezza fisica e digitale

Implementato distruggi-documenti: tutti i fogli stampati con dati aziendali vengono distrutti, non cestinati
Policy clear desk vigente: nessun documento sensibile lasciato incustodito sulle scrivanie
MFA (autenticazione a due fattori) attivo su tutti gli account email aziendali e cloud
I dipendenti non si connettono mai a WiFi pubblici senza VPN aziendale
I dipendenti non collegano chiavette USB di origine sconosciuta ai PC aziendali

OSINT e superficie pubblica

Eseguita ricerca OSINT sulla propria azienda: LinkedIn dei dipendenti, sito web, Google Dorking verificati
Policy social media aziendale: vietate foto di uffici, sistemi IT, documenti visibili negli sfondi

Incident response

Piano di risposta agli incidenti definito: chi chiamo, in che ordine, cosa faccio nelle prime 2 ore
In caso di attacco: nessuna prova viene cancellata — tutto conservato per analisi e eventuale denuncia
Il team sa che segnalare un attacco subito (anche se ci si è "cascati") è comportamento positivo, non soggetto a sanzioni

Principio finale — Cyber Foundry / DCSA

Quattro azioni con il massimo ROI: aumentare la consapevolezza, ripetere la formazione con approcci diversi, contrastare l'optimism bias ("a me non capiterà"), e concentrarsi sui profili più vulnerabili (nuove assunzioni, dipendenti sotto stress). La difesa dal social engineering è un processo continuo — non un progetto a scadenza.