Il fattore umano nel mirino cyber: le nuove frontiere del social engineering industriale

Negli ultimi anni, le aziende manifatturiere hanno investito ingenti risorse in firewall intelligenti, segmentazione delle reti, monitoraggio continuo e soluzioni avanzate di Endpoint Protection. I sistemi sono diventati più resilienti, le reti più sicure e gli alert più tempestivi. Eppure, nonostante tutto questo, gli attacchi informatici non diminuiscono: cambiano bersaglio. Non è più la tecnologia a essere vulnerabile: è la persona.

Ogni ottobre, il Mese Europeo della Cybersicurezza (European Cybersecurity Month, ECM) ci ricorda quanto sia cruciale sensibilizzare tutti i livelli aziendali sulla protezione digitale. I numeri recenti parlano chiaro:

• Secondo l’ENISA Threat Landscape 2025, il 60% degli attacchi in Europa parte da un phishing.
• Il Rapporto Clusit 2025 registra in Italia una crescita del +33% degli attacchi di phishing e social engineering, pari all’11% del totale degli incidenti rilevati.
• L’ACN segnala che nel primo semestre 2025 le campagne di phishing sono aumentate di oltre il 76% rispetto al 2024, con un ulteriore +39% già a luglio.

Questi numeri raccontano una verità semplice, ma spesso trascurata: la sicurezza aziendale non può prescindere dal fattore umano.

In questo scenario, il paradosso è evidente. L’operatore che inserisce una chiavetta USB trovata nel parcheggio può annullare mesi di lavoro in pochi secondi, mentre investiamo milioni in sistemi sofisticati. Ma il vero errore non sta nel collaboratore: sta nel non considerarlo come parte integrante della difesa.

La domanda cruciale non è “come eliminare l’errore umano”, un obiettivo impossibile, ma “come progettare una cultura della sicurezza che trasformi ogni collaboratore da possibile vulnerabilità a prima linea di difesa?”. Questa è oggi la sfida più strategica per le aziende manifatturiere.

I cybercriminali non si limitano più a cercare una falla tecnica: progettano vere e proprie campagne psicologiche. Agiscono come «architetti della mente»: raccolgono informazioni pubbliche e interne, testano varianti di messaggi, iterano le narrazioni più persuasive e scelgono il canale più efficace per ogni obiettivo. Il risultato è una gamma di tecniche e modalità d’attacco che vanno ben oltre la classica e‑mail generica: sono operazioni orchestrate, multimodali e specifiche per il contesto aziendale.

Modalità operative e logiche persuasorie:

Le tattiche attuali tendono a costruire un contesto credibile che induce la vittima a reagire d’impulso. Gli attaccanti sfruttano costantemente tre leve psicologiche:

• Autorità percepita: messaggi che sembrano provenire da figure apicali, fornitori o enti certificatori, che riducono la riluttanza a verificare.
• Urgenza e scarsità: richieste con scadenze stringenti o conseguenze immaginarie per il ritardo, che comprimono i tempi di giudizio.
• Conformità sociale e cooperazione: comunicazioni che richiamano procedure di team o richieste tra colleghi, facendo leva sul desiderio di aiutare e non bloccare processi critici.

Queste leve vengono spesso combinate con ricognizione preventiva (OSINT) e raccolta di metadata interni (es. ruoli, turni, progetti in corso) per massimizzare la plausibilità del messaggio.

Tecniche d’attacco:

• Phishing e Spear Phishing: email altamente personalizzate che simulano comunicazioni aziendali legittime, spesso con contenuti mirati su processi produttivi o fornitori. Gli attaccanti iniziano raccogliendo informazioni sul destinatario (nome, ruolo, progetti in corso, etc.) per poi costruire un messaggio convincente. Una volta pronto, inviano l’email con un link o un allegato che invita l’utente ad agire rapidamente, con l’obiettivo di esfiltrare credenziali o attivare un payload malevolo. Un esempio tipico nel manifatturiero è una fattura urgente “del fornitore X” con numero ordine reale e link a un portale di pagamento fasullo.
• Vishing e smishing: queste tecniche sfruttano telefono e SMS per indurre all’azione immediata. L’attaccante invia un SMS o effettua una chiamata che conferma un’urgenza, richiedendo dati o azioni rapide, come l’inserimento di un codice OTP. Un caso concreto può essere un SMS che segnala un guasto a una macchina critica, seguito da una chiamata che conferma l’istruzione e spinge l’utente a cliccare un link o autorizzare interventi non necessari.
• Whaling / BEC (Business Email Compromise): si tratta di frodi sofisticate rivolte ai vertici aziendali o ai responsabili finanziari. L’attaccante compromette o contraffà l’account di un dirigente, inviando istruzioni apparentemente legittime per modifiche urgenti, come la variazione di coordinate bancarie. Un esempio pratico è la richiesta del CFO di modificare rapidamente le coordinate di pagamento di un fornitore strategico prima della chiusura della giornata lavorativa.
• Baiting / USB‑baiting: questa tecnica sfrutta supporti fisici come chiavette USB o QR code lasciati in aree accessibili. Il personale, trovando il dispositivo, lo inserisce nel PC aziendale attivando automaticamente il payload malevolo, che può raccogliere credenziali o installare malware. Un esempio concreto è una USB etichettata “Report manutenzione urgente” lasciata in sala break che, una volta collegata a una workstation, avvia un loader malevolo.
• Social engineering multimodale: in questo caso l’attacco combina più canali (email, messaggi su piattaforme professionali, chiamate, badge di accesso) per creare una narrativa coerente e convincente. Gli attaccanti iniziano con ricognizione e contatto via email, seguono con telefonate di conferma e possono arrivare a consegnare materiale fisico o badge temporanei falsificati. Un esempio è l’invio di un’email che annuncia un aggiornamento software, seguito da una chiamata che fornisce dettagli e dall’accesso in loco di un falso tecnico con badge contraffatto.

Nel settore manifatturiero, alcune caratteristiche operative e organizzative rendono la componente umana un punto critico della difesa aziendale:

• Interazione continua con sistemi critici: gli operatori accedono regolarmente a macchinari, sistemi SCADA e portali di manutenzione. Un messaggio ingannevole che simula un allarme tecnico o un aggiornamento urgente può convincere l’utente a compiere azioni rischiose senza verificarne l’autenticità.
• Struttura organizzativa complessa: la presenza di più reparti, sedi e turni di lavoro crea canali di comunicazione frammentati, aumentando la possibilità che un attacco mirato passi inosservato.
• Conoscenza operativa elevata: molti attacchi, come lo spear phishing, sfruttano informazioni specifiche sui processi produttivi o sui fornitori. La familiarità dei collaboratori con queste procedure li rende più propensi a considerare legittimo un messaggio apparentemente contestualizzato.
• Alta pressione temporale: scadenze di produzione, interventi manutentivi e esigenze di continuità operativa comprimono i tempi di verifica. La necessità di agire rapidamente aumenta la probabilità di reagire d’impulso a richieste fraudolente.
• Attacchi multimodali: la combinazione di email, telefonate, messaggi su piattaforme professionali e strumenti fisici (badge, chiavette) crea un effetto di credibilità quasi totale, rendendo difficile distinguere tra reale e falso.

In questo contesto, anche un singolo errore umano può innescare effetti a catena che si propagano lungo l’intera catena produttiva, confermando come la componente umana rappresenti il nodo strategico su cui costruire la sicurezza e la resilienza aziendale.

Conoscere episodi reali di attacchi informatici è fondamentale per prevenire rischi simili.

Un distributore di prodotti ittici surgelati è stato recentemente vittima di una frode di tipo Business Email Compromise (BEC), sfruttando modalità riconducibili alla tecnica nota come “Man-in-the-Email” o “Supplier Account Compromise”. L’attacco ha preso di mira la comunicazione tra l’azienda e un fornitore estero, con l’obiettivo di intercettare e manipolare i messaggi di pagamento.

La compromissione è avvenuta probabilmente attraverso l’accesso illecito alla casella email del fornitore, ottenuto tramite phishing, malware o sfruttamento di credenziali deboli. L’attaccante ha così potuto osservare le comunicazioni esistenti, acquisire documentazione reale, come fatture, e inserirsi credibilmente negli scambi di email già avviati, richiedendo la modifica delle coordinate bancarie per il bonifico destinato al fornitore. In alternativa, non si esclude l’uso di spoofing dell’indirizzo email o la creazione di un dominio simile a quello legittimo, aumentando ulteriormente la credibilità della truffa.

Modalità di rilevamento dell’incidente

L’incidente è stato individuato a seguito della segnalazione del fornitore legittimo, che sollecitava un pagamento mai ricevuto. Tale allerta ha attivato immediatamente le verifiche interne del team amministrativo, che hanno confermato sia l’invio del bonifico verso coordinate bancarie non corrette, sia la natura fraudolenta delle email intercettate. Questo processo ha permesso di ricostruire rapidamente il flusso dell’attacco e avviare le contromisure necessarie.

Impatto:

L’attacco ha determinato un trasferimento non autorizzato di €185.000 su un conto fraudolento, con conseguente ritardo nel pagamento al fornitore legittimo e interruzioni temporanee nelle consegne. Oltre all’impatto finanziario diretto, sono emersi costi aggiuntivi legati alla gestione dell’incidente e alla revisione dei processi interni.

Azioni intraprese:

• Allerta interna e blocco delle comunicazioni sospette, informando i responsabili di Amministrazione, Finanza, IT e Direzione;
• Contatto urgente con l’istituto bancario per bloccare il bonifico e avviare le procedure di richiamo dei fondi;
• Comunicazione formale con il fornitore legittimo per confermare la sua estraneità alla frode e coordinare le azioni correttive;
• Denuncia alle autorità competenti, con acquisizione e conservazione sicura di tutte le evidenze digitali (email originali, header, fatture modificate);
• Verifica preliminare interna sulla sicurezza dei sistemi e degli account coinvolti per escludere compromissioni interne.

Lezioni apprese:

Il caso evidenzia come la vulnerabilità di un fornitore possa tradursi in un rischio diretto per l’azienda. Le principali indicazioni operative comprendono: implementare procedure multi-livello per la validazione dei pagamenti, integrare la cybersecurity dei fornitori nel risk management aziendale, rafforzare la formazione del personale nella rilevazione delle frodi e assicurare un coordinamento tempestivo tra tutte le funzioni aziendali coinvolte.

Studi recenti dimostrano che programmi di awareness strutturati e continuativi, con simulazioni realistiche di phishing e training “embedded”, aumentano sensibilmente la capacità dei collaboratori di riconoscere e bloccare un attacco.

Questo implica che la sicurezza non è mai un progetto “one-shot”, ma un investimento strategico da integrare nella cultura aziendale.

Un dipendente ben formato può:

• Riconoscere preventivamente i segnali di un attacco in corso.
• Attivare rapidamente procedure di risposta per la gestione dell’incidente con criteri misurabili (ROI/ROSI).
• Limitare la diffusione dell’attacco e proteggere i dati sensibili.

• Integrare la sicurezza nelle attività quotidiane con un approccio “by design” (es. l’adozione di password robuste, l’autenticazione a più fattori, etc.).

Oltre ad incrementare la resilienza complessiva, promuovere una cultura aziendale della sicurezza permette anche di rispettare le normative. Regolamenti come NIS2 e DORA richiedono programmi strutturati di formazione e sensibilizzazione: trascurarli significa rischiare non danni reputazionali, ma anche ingenti sanzioni economiche.

A completare questo approccio nasce la figura dei Cyber Champion, una nuova risorsa strategica in azienda. Si tratta di collaboratori selezionati e specializzati che diventano punti di riferimento nella sicurezza all’interno dei loro rispettivi team (produzione, logistica, amministrazione). Guidano i colleghi, individuano comportamenti a rischio e promuovono le migliori pratiche operative. Grazie al loro ruolo, la formazione non è più un evento annuale imposto dall’IT, ma un processo di mentoring e apprendimento continuo che si amplifica e si consolida all’interno di ogni dipartimento.

I dati confermano che il fattore umano resta il punto critico nella sicurezza industriale. Phishing, social engineering e attacchi multimodali sfruttano la routine quotidiana e la complessità dei sistemi IT e sistemi OT, mettendo alla prova la resilienza aziendale.

La resilienza cyber non si costruisce solo con tecnologie avanzate, ma con persone consapevoli: con una formazione mirata e procedure strutturate, ogni dipendente può diventare un alleato strategico nella protezione dell’azienda.

Come MSSP, guidiamo le aziende in percorsi di sensibilizzazione e training continuo, trasformando i dipendenti da potenziali vulnerabilità a difensori attivi dell’organizzazione. Un approccio strutturato che allinea sicurezza, cultura aziendale e compliance a NIS2 e DORA.