La sicurezza informatica non è un tema esclusivamente tecnologico. Costituisce un rischio organizzativo, economico e giuridico che coinvolge governance, compliance, gestione del personale e continuità operativa.
Il legislatore europeo è attento a questa dimensione.
In particolare, con la Direttiva UE 2022/2555 – NIS2 richiede infatti alle organizzazioni dei settori essenziali e importanti di adottare misure tecniche, organizzative e formative adeguate alla gestione del rischio cyber, includendo espressamente sia la prevenzione degli incidenti sia la formazione del personale (art. 21).
Non è un dettaglio secondario.
Molti incidenti informatici non derivano da vulnerabilità tecniche particolarmente sofisticate, ma da comportamenti quotidiani apparentemente banali: l’apertura di un allegato malevolo, il riutilizzo di password deboli, la condivisione impropria di credenziali o l’incapacità di riconoscere una comunicazione fraudolenta.
È proprio in questo spazio che continua a inserirsi il phishing, che resta una delle tecniche di attacco più diffuse e redditizie.
Ma oggi il fenomeno è molto più articolato rispetto al passato.
Per phishing si intende l’invio di comunicazioni apparentemente legittime finalizzate a indurre il destinatario a compiere un’azione dannosa: cliccare su un link, scaricare malware, rivelare credenziali o autorizzare pagamenti.
Oggi il fenomeno è in evoluzione rispetto al passato. Accanto alle tradizionali email fraudolente si sono diffuse forme sempre più sofisticate di attacco: dallo spear phishing, costruito su informazioni specifiche della vittima, allo smishing via SMS, fino al vishing telefonico, al QR phishing e ai sempre più frequenti casi di Business Email Compromise, nei quali l’attaccante si presenta come dirigente aziendale, fornitore o consulente esterno per ottenere trasferimenti di denaro.
In molti casi, inoltre, l’attacco non colpisce direttamente l’azienda ma la sua rete di relazioni.
Possono essere coinvolti e danneggiati fornitori o partner commerciali per inserirsi in conversazioni reali già avviate e modificare coordinate bancarie, fatture o istruzioni di pagamento.
È una forma di compromissione particolarmente insidiosa perché dimostra come il rischio cyber non si esaurisca più nel perimetro interno dell’organizzazione.
A rendere il quadro ancora più complesso contribuisce l’intelligenza artificiale generativa: email scritte in modo impeccabile, messaggi costruiti su informazioni pubbliche reperite online, sistemi di clonazione vocale e tecniche di impersonificazione stanno rendendo sempre più difficile distinguere una comunicazione autentica da una fraudolenta.
Secondo il Verizon Communications Data Breach Investigations Report 2025, il fattore umano continua a rappresentare una componente rilevante degli incidenti di sicurezza e le tecniche di social engineering restano tra i principali vettori di compromissione.
Il punto è semplice: l’attacco riesce non quando fallisce la macchina, ma quando viene manipolata la persona.
Per questa ragione investire esclusivamente in firewall, autenticazione multifattoriale e sistemi di monitoraggio non è sufficiente se il personale non è in grado di riconoscere il rischio.
Le organizzazioni hanno affrontato il tema attraverso corsi obbligatori, moduli eLearning e informative periodiche.
Il problema è che la formazione teorica non coincide sempre con la capacità
concreta di reagire a un attacco reale.
Sapere astrattamente cosa sia il phishing non significa necessariamente riconoscere una richiesta fraudolenta quando arriva in una normale giornata lavorativa, magari in condizioni di pressione, urgenza o sovraccarico informativo.
Per questa ragione si stanno diffondendo le campagne di phishing simulation, anche ricorrendo a fornitori specializzati su tale aspetto: invii controllati di comunicazioni simulate finalizzati a verificare il livello effettivo di attenzione dei dipendenti.
L’obiettivo può essere pienamente legittimo: misurare l’esposizione organizzativa, individuare vulnerabilità, programmare interventi formativi e ridurre il rischio di incidenti reali.
Il problema nasce quando il confine tra formazione e controllo diventa ambiguo.
Se l’organizzazione comunica con precisione data, modalità e contenuto del test, il valore della simulazione si svuota di molto.
Se invece il test è completamente occulto emergono problemi molto più complessi sotto il profilo giuslavoristico, privacy ed anche di cultura organizzativa.
Esiste una soluzione intermedia: informare preventivamente il personale dell’esistenza di campagne periodiche di sensibilizzazione senza comunicare il momento preciso del test.
In questo modo si evita sia l’effetto sorpresa assoluto sia l’inutilità della simulazione.
Il punto centrale da evitare è il dubbio: l’organizzazione sta formando il personale oppure sta introducendo strumenti occulti di sorveglianza? Qui entra in gioco l’art. 4 dello Statuto dei Lavoratori.
Se gli strumenti utilizzati consentono monitoraggi individualizzati del comportamento dei lavoratori possono emergere profili di controllo a distanza.
La questione giuridica è molto concreta: l’organizzazione sta realmente formando il personale oppure sta costruendo strumenti di valutazione individuale?
Se emergono classifiche nominative, report disciplinari permanenti, sistemi reputazionali interni o valutazioni sulle performance individuali, il rischio aumenta sensibilmente.
In tale ambito può inoltre emergere anche il tema delle relazioni sindacali. Qualora gli strumenti adottati assumano caratteristiche particolarmente invasive o si avvicinino a forme strutturate di controllo individuale, il coinvolgimento delle organizzazioni sindacali può diventare un passaggio necessario per evitare successive contestazioni sulla legittimità dello strumento adottato.
Le simulazioni comportano inevitabilmente trattamento di dati personali se si raccolgono informazioni relative ai destinatari delle campagne, ai comportamenti tenuti durante il test, ai tempi di reazione e, in alcuni casi, alla reiterazione degli errori nel tempo.
Entrano quindi in gioco gli obblighi previsti dal quadro europeo in materia di protezione dei dati personali e, in particolare, i principi di minimizzazione, proporzionalità, limitazione della finalità e limitazione della conservazione previsti dal GDPR.
Il punto centrale è che i risultati delle simulazioni non dovrebbero trasformarsi in strumenti di profilazione interna permanente né alimentare meccanismi sanzionatori indiretti incompatibili con la finalità originaria dell’attività, che deve restare prevalentemente preventiva e formativa.
Parte della formazione potrebbe anche consistere nella divulgazione di quegli interventi giurisprudenziali che – nella vita reale, non nelle simulazioni – hanno ritenuto legittime sanzioni disciplinari severe quando il dipendente, ignorando procedure interne e segnali evidenti di frode, ha autorizzato operazioni fraudolente.
È il caso tipico del Business Email Compromise.
Quando emergono violazione delle procedure interne, grave negligenza e danno economico rilevante, la responsabilità disciplinare può essere riconosciuta.
Il problema non è dunque il test simulato, ma il danno reale prodotto da una condotta gravemente imprudente.
La Corte di Cassazione con l’ordinanza n. 3263 del 13 febbraio 2026 ha ritenuto legittimo il licenziamento di una dipendente addetta alla contabilità che, vittima di una CEO fraud, aveva disposto un bonifico fraudolento senza effettuare adeguate verifiche e senza interrompere l’operazione nemmeno dopo l’allerta ricevuta dal reale presidente della società.
La decisione evidenzia come, nell’attuale scenario caratterizzato da phishing evoluto, Business Email Compromise e tecniche di impersonificazione sempre più sofisticate, la consapevolezza del rischio cyber entri progressivamente a far parte degli obblighi di diligenza.
Ma ciò induce a ritenere opportuno se non necessario che le organizzazioni rafforzino l’attenzione e la sensibilità dei propri addetti.
Insomma, qualificare il phishing come un problema esclusivamente tecnico significa leggere con categorie ormai superate un rischio che oggi ha assunto natura globale.
Un attacco riuscito può generare simultaneamente perdite economiche dirette, violazioni di dati personali, interruzioni operative, responsabilità regolatorie, danni reputazionali e, in alcuni casi, persino contenzioso interno legato alla gestione delle responsabilità.
Per questa ragione la gestione del rischio non può più essere delegata esclusivamente alle funzioni IT, ma richiede un coordinamento strutturato tra vertici aziendali, funzioni cyber security, HR, compliance, DPO, internal audit e – nei settori maggiormente regolati – anche risk management e funzioni di controllo di secondo livello.
La resilienza cyber è quindi sempre meno una questione tecnica e sempre più una componente strutturale della governance d’impresa.
La costruzione di campagne di phishing simulation realmente efficaci richiede un framework di governance preventivo chiaro e coerente.
La finalità dell’attività deve essere definita in modo inequivoco: formazione e prevenzione del rischio, non raccolta occulta di elementi disciplinari.
Il personale dovrebbe essere preventivamente informato dell’esistenza di campagne periodiche di sensibilizzazione, senza però compromettere l’efficacia dei test attraverso una calendarizzazione nota.
Sul piano giuslavoristico occorre verificare attentamente eventuali interferenze con l’art. 4 dello Statuto dei Lavoratori e valutare il coinvolgimento delle rappresentanze sindacali o, quantomeno, provvedere a garantire adeguata informativa al personale.
Oltre alla menzionata informativa, sul piano privacy dovrebbero essere applicati criteri rigorosi di minimizzazione dei dati raccolti, limitazione dei tempi di conservazione, inclusione nel Registro dei trattamenti e verifica preventiva dell’eventuale necessità di una DPIA.
Ciò soprattutto nei casi in cui le campagne comportino forme di monitoraggio sistematico dei comportamenti dei dipendenti, valutazioni individuali reiterate nel tempo o trattamenti suscettibili di incidere, anche indirettamente, sulla posizione lavorativa dell’interessato.
Gli esiti delle simulazioni dovrebbero inoltre alimentare percorsi di formazione correttiva, attività di rafforzamento organizzativo e interventi di miglioramento dei processi interni.
Ciò che dovrebbe essere evitato è la trasformazione di questi strumenti in meccanismi reputazionali permanenti, classifiche interne o forme indirette di valutazione individuale estranee alla finalità originaria.
Insomma, occorre evitare quello che in tempi recenti è avvenuto nel settore della grande distribuzione con attività assimilabili a forme di mystery shopping successivamente utilizzate per interventi a danno dei dipendenti coinvolti.
Le campagne di phishing simulation sono strumenti sempre più diffusi e, in molti contesti, difficilmente sostituibili.
La loro legittimità organizzativa, tuttavia, dipende dalla capacità dell’organizzazione di mantenere equilibrio tra esigenze di sicurezza, tutela dei lavoratori, protezione dei dati personali e trasparenza interna.
Quando questo equilibrio viene meno, il rischio è che strumenti nati per rafforzare la sicurezza finiscano per generare conflitti interni e vulnerabilità ulteriori.
Nel contesto attuale, la resilienza cyber non si misura soltanto nella qualità delle infrastrutture tecnologiche adottate, ma anche nella capacità dell’organizzazione di costruire comportamenti affidabili, perché nel rischio cyber contemporaneo uno dei necessari firewall è rappresentato dalla consapevolezza delle persone.