24 Aprile 2026 • Corso Cyber Security

Social Engineering

Quando si parla di attacchi informatici, si pensa subito a virus, hacker e sistemi violati.

In realtà, molti attacchi non iniziano da un computer.
Iniziano da una persona.

Una telefonata, una mail, un messaggio.
Qualcuno che chiede qualcosa.
Qualcosa che sembra normale.

E invece non lo è.

Questo è il social engineering: una tecnica che non sfrutta vulnerabilità tecniche, ma comportamenti umani.

1. Che cos’è il social engineering

Il social engineering è una tecnica utilizzata per manipolare una persona e convincerla a:

  • fornire informazioni (password, dati sensibili)
  • eseguire azioni (cliccare, inviare file, fare pagamenti)
  • concedere accessi

L’attaccante non entra nei sistemi…
si fa aprire la porta

Spiegazione semplice

Il social engineering è: l’arte di farti fare qualcosa che normalmente non faresti

Sfruttando:

  • fiducia
  • fretta
  • abitudine
  • distrazione

2. Perché funziona così bene

Molte persone pensano: “Io non ci cascherei mai”

In realtà, il social engineering funziona proprio perché sfrutta comportamenti normali.

Chi lavora in ufficio:

  • deve essere veloce
  • deve collaborare
  • deve rispondere alle richieste
  • deve fidarsi di colleghi e clienti

L’attaccante usa tutto questo contro di te.

Concetto chiave

Non è una questione di competenza.
È una questione di contesto e pressione.

3. Le leve psicologiche degli attacchi

Quasi tutti gli attacchi di social engineering usano sempre le stesse leve.

Urgenza

“Serve subito”
“Entro oggi”
“È urgente”

Riduce il tempo per pensare

Autorità

“Te lo chiede il capo”
“Sono dell’IT”
“Chiamata dall’amministrazione”

Spinge a obbedire senza verificare

Paura

“Account bloccato”
“Problema di sicurezza”
“Accesso sospetto”

Porta ad agire d’istinto

Fiducia

“Ciao, sono Marco”
“Ti giro un file”
“Mi aiuti un attimo?”

Sfrutta relazioni e abitudine

Messaggio importante

Se una richiesta ti mette fretta o pressione, è già un segnale di rischio.

4. Esempi reali

Esempio 1 — Telefonata IT

📞
“Buongiorno, sono dell’assistenza IT.
Abbiamo un problema sul tuo account.
Mi serve la password per sistemarlo subito.”

Analisi

  • usa autorità
  • crea urgenza
  • sembra plausibile

👉 Ma è una truffa

Esempio 2 — Finta email del capo

📧
“Ciao, sono in riunione.
Mi serve un bonifico urgente.
Ti mando IBAN.”

Analisi

  • sfrutta autorità
  • evita verifiche
  • crea pressione

👉 Classico attacco: CEO fraud

Esempio 3 — Collega “in difficoltà”

💬
“Ciao, mi giri il file clienti?
Non riesco ad accedere”

Analisi

  • richiesta normale
  • contesto realistico

👉 Ma potrebbe essere un account compromesso

5. Perché è difficile riconoscerlo

Il social engineering è difficile da riconoscere perché:

  • sembra parte del lavoro quotidiano
  • usa richieste plausibili
  • arriva nei momenti di maggiore stress
  • sfrutta relazioni già esistenti

Non è “strano”.

È troppo normale.

6. Errori comuni

“Sembrava davvero lui”

Un attaccante può:

  • imitare un collega
  • usare email simili
  • scrivere in modo credibile

“Non volevo fare brutta figura”

Molti errori nascono da:

  • paura di dire no
  • timore di sembrare poco disponibili

“Era urgente”

La fretta è il miglior alleato dell’attaccante.

“Era una cosa semplice”

Proprio le richieste semplici sono le più pericolose.

7. Come difendersi

Non servono competenze tecniche avanzate.
Servono abitudini corrette.

Regole pratiche

✔ Non condividere mai password
✔ Non fidarti dell’urgenza
✔ Verifica sempre richieste strane
✔ Usa un altro canale per confermare
✔ Segnala ogni dubbio

Regola d’oro

👉 FERMATI → VERIFICA → AGISCI

8. Cosa fare se hai dubbi

Se ricevi una richiesta strana:

  • non agire subito
  • non rispondere d’istinto
  • verifica con:
    • telefono
    • chat interna
    • collega reale

9. Cosa fare se ci sei cascato

La cosa più importante:

👉 non nascondere l’errore

Cosa fare subito

  • avvisa l’IT o il referente
  • spiega cosa è successo
  • segui le istruzioni
  • non cercare di “sistemare da solo”

Perché è importante

Prima segnali → meno danni

0. Checklist veloce

Prima di eseguire una richiesta chiediti:

  • Mi aspettavo questa richiesta?
  • È normale per il mio ruolo?
  • Mi stanno mettendo fretta?
  • Posso verificare?
  • Sto condividendo qualcosa di sensibile?

Se hai anche un solo dubbio → fermati

11. Regole d’oro

  1. Non dare mai password
  2. Non fidarti dell’urgenza
  3. Verifica sempre richieste insolite
  4. Non avere paura di dire “controllo”
  5. Segnala sempre

Conclusione

Il social engineering è potente perché non rompe le regole.

Le usa.

Sfrutta il fatto che:

  • lavoriamo in fretta
  • vogliamo aiutare
  • ci fidiamo

La difesa non è diventare diffidenti con tutto.

È imparare a fermarsi quando qualcosa non torna.

Perché, nella maggior parte dei casi,
l’attacco non entra da solo.

👉 Qualcuno lo fa entrare.