L’automazione del crimine informatico non è più una previsione distopica, ma una realtà operativa consolidata che sta ridefinendo i perimetri della sicurezza aziendale. Se fino a pochi anni fa l’ingegneria sociale richiedeva tempo e competenze specifiche, l’attuale convergenza tra modelli di Intelligenza Artificiale generativa e architetture as-a-Service ha abbattuto drasticamente le barriere d’ingresso, trasformando la truffa digitale in una filiera industriale ad alta efficienza e basso costo marginale. Non siamo più di fronte a tentativi isolati o artigianali, ma a campagne adattive capaci di saturare i sistemi di difesa tradizionali, rendendo la distinzione tra contenuto legittimo e malevolo sempre più sfumata e complessa per l’operatore umano.
Il phishing continua a essere una delle minacce più pervasive e in rapida evoluzione nel panorama della cybersecurity, ma la sua natura sta cambiando radicalmente. Nel corso dell'ultimo anno abbiamo assistito a un’accelerazione senza precedenti, alimentata dall’uso combinato di intelligenza artificiale, kit di Phishing-as-a-Service (PhaaS) sempre più sofisticati e tecniche di evasione avanzate. Queste dinamiche hanno reso gli attacchi più mirati, complessi e difficili da rilevare, spostando l'ago della bilancia a favore degli attaccanti che ora possono operare su scala globale con risorse minime.
Guardando al 2026, uno studio di Barracuda ci indica che il phishing non solo manterrà la sua posizione di minaccia dominante, ma diventerà ancora più insidioso grazie all’integrazione profonda di AI generativa, campagne auto-adattive e tattiche polimorfiche. Per le aziende, questo significa che le difese tradizionali basate su regole statiche non saranno più sufficienti: sarà necessario adottare strategie proattive e soluzioni di sicurezza integrate basate sull’AI, capaci di apprendere alla stessa velocità degli attaccanti.
La democratizzazione del crimine e il modello as-a-Service
Nel corso del 2025 il numero di kit di phishing è raddoppiato, e ciascun kit è stato in grado di lanciare milioni di attacchi, segnando un punto di svolta nell'economia del cybercrimine. Il modello Phishing-as-a-Service ha abbattuto le barriere tecniche, consentendo anche a criminali informatici meno esperti di lanciare campagne complesse semplicemente "affittando" l'infrastruttura necessaria. Non è più necessario essere un hacker esperto; basta disporre di un budget limitato per accedere a strumenti di livello enterprise.
Nel 2026, i kit di phishing di nuova generazione saranno ancora più potenti e integreranno funzionalità avanzate che automatizzano l'intero ciclo di attacco. La profilazione sociale dettagliata diventerà la norma: saranno utilizzati strumenti automatizzati per raccogliere informazioni sui target dai social media e dal web pubblico, permettendo di creare attacchi altamente personalizzati che fanno leva su dettagli specifici della vita lavorativa o privata della vittima, aumentando drasticamente le probabilità di successo.
Un altro aspetto critico sarà il bypass dell’autenticazione multifattore (MFA), che cesserà di essere un ostacolo insormontabile per gli attaccanti. Il furto di token di accesso o le tecniche di relay di autenticazione attraverso siti legittimi subiranno una forte impennata, rendendo vulnerabili anche gli account protetti da misure di sicurezza aggiuntive. Questo richiederà una revisione completa dei protocolli di verifica dell'identità.
L’intelligenza artificiale sarà il motore invisibile di questi attacchi mirati, utilizzata non solo per la scrittura ma per la strategia operativa. L’AI verrà impiegata per generare contenuti persuasivi e adattare le campagne in tempo reale, analizzando cosa funziona e cosa no istantaneamente. La minaccia non è più statica, ma apprende e si evolve autonomamente mentre l'attacco è in corso.
L’inganno perfetto e la psicologia della fatica digitale
Gli attacchi alimentati dall’AI diventeranno più rapidi e sofisticati, eliminando quei segnali rivelatori come errori grammaticali o di formattazione che un tempo ci proteggevano. I messaggi saranno personalizzati e inviati su larga scala con una qualità linguistica indistinguibile da quella umana. Le campagne saranno adattate automaticamente in base alle reazioni delle vittime, creando un loop di feedback che ottimizza l'inganno in tempo reale. Inoltre, si farà largo uso di prompt injection per manipolare agenti AI e compromettere gli stessi strumenti di sicurezza basati sull’AI.
Gli aggressori intensificheranno le tattiche per aggirare l’autenticazione multifattore puntando non sulla tecnologia, ma sulla psiche dell'utente. La "push approval fatigue" diventerà una tecnica standard: verrà intensificato il bombardamento di notifiche sugli smartphone dei dipendenti per indurli, per sfinimento o distrazione, a concedere l’accesso pur di far cessare le interruzioni. Parallelamente, assisteremo a tentativi di downgrade dei protocolli MFA, dove si tenterà di forzare l’utente a scegliere metodi di autenticazione meno sicuri, come gli SMS, più facili da intercettare.
Entro il 2026, oltre l’85% degli attacchi di phishing utilizzerà CAPTCHA per indurre un falso senso di sicurezza nelle vittime. Paradossalmente, la presenza di un controllo di sicurezza visibile rassicura l'utente sulla legittimità del sito. Inoltre, queste tecniche servono per evitare il rilevamento automatico da parte dei crawler di sicurezza. Gli aggressori si sposteranno dai CAPTCHA legittimi verso alternative false, aumentando la complessità delle campagne e rendendo sempre più difficile per gli strumenti automatizzati analizzare il contenuto della pagina malevola.
Le tattiche polimorfiche cambieranno continuamente contenuto e schemi di consegna, rendendo inefficaci le difese basate su firme tradizionali che cercano pattern noti. Le tecniche comuni più utilizzate saranno l'inserimento di stringhe alfanumeriche casuali nell’oggetto o nel corpo dell’email, l'offuscamento dell’indirizzo del mittente e l'uso di link e nomi di allegati variabili. Ogni email sarà unica, rendendo impossibile bloccare una campagna massiva identificando un singolo campione.
Strategie di difesa oltre la tecnologia
Gli attacchi malware evolveranno parallelamente al phishing, diventando più furtivi e persistenti. Si diffonderanno i fileless malware, ovvero codici malevoli che risiedono esclusivamente nella memoria del dispositivo senza scrivere file sul disco, eludendo così molti antivirus tradizionali. I payload polimorfici renderanno ogni infezione unica a livello di codice, mentre l'evoluzione del modello Malware-as-a-Service garantirà un flusso costante di nuovi strumenti offensivi. Accanto a queste tecniche, continueranno truffe tradizionali come quelle legate a HR, paghe, consegne e falsi servizi governativi, che restano efficaci per la loro capacità di fare leva sull'urgenza burocratica.
Le minacce di phishing sono diventate più complesse e pervasive, come confermano i dati: secondo il report di Barracuda, il 78% delle organizzazioni ha subito una violazione della sicurezza email negli ultimi 12 mesi. Più tempo impiega la vittima a rilevare e contenere la minaccia, più gravi sono i danni economici e reputazionali. È evidente che gli approcci tradizionali non bastano più e che la semplice aggiunta di nuovi software non risolverà il problema alla radice senza un cambiamento strutturale.
Le aziende dovranno adottare piattaforme di sicurezza integrate basate sull’AI, capaci di analizzare il contesto e non solo il contenuto. Tuttavia, la tecnologia da sola è insufficiente senza una formazione continua per creare una cultura della sicurezza. È necessario implementare soluzioni avanzate di protezione email, in grado di rilevare attacchi polimorfici, CAPTCHA falsi e tecniche AI-driven, ma soprattutto bisogna investire sul capitale umano, trasformando ogni dipendente da potenziale vittima a prima linea di difesa attiva.
Il 2026 segnerà l'ingresso definitivo in una "corsa agli armamenti" algoritmica, dove l'intelligenza artificiale verrà usata sia come scudo che come spada. L’evoluzione delle tecniche di phishing richiede un cambio di paradigma mentale prima che tecnologico: non basta più reagire all'incidente, bisogna anticipare le mosse di un avversario che non dorme mai. Investire in tecnologie AI-driven e in una strategia di sicurezza resiliente è l’unico modo per proteggere dati e continuità operativa, ma dobbiamo chiederci quanto a lungo sarà sostenibile questa escalation di risorse computazionali per garantire la semplice integrità delle nostre comunicazioni quotidiane.