Ingegneria sociale
Leve psicologiche, urgenza, fiducia e autorità spiegate in modo pratico per riconoscere quando qualcuno prova a farci agire troppo in fretta.
Obiettivi e quadro pratico
Al termine di questo modulo, il partecipante sarà in grado di:
- 01
spiegare che cos’è l’ingegneria sociale con esempi pratici e quotidiani.
- 02
riconoscere le leve psicologiche più usate negli attacchi digitali.
- 03
individuare richieste sospette in email, telefonate, chat e messaggi brevi.
- 04
verificare richieste insolite senza farsi guidare da urgenza, paura o autorità.
- 05
proteggere dati, accessi, documenti e pagamenti con procedure semplici.
- 06
sapere cosa non comunicare mai e come prendere tempo in modo professionale.
7.1.1 Perché funziona
L’ingegneria sociale funziona perché sfrutta comportamenti umani normali: fidarsi di colleghi e fornitori, rispondere velocemente, rispettare figure di autorità, aiutare chi sembra in difficoltà, evitare problemi e gestire urgenze. Questi comportamenti sono utili nella vita quotidiana, ma possono essere manipolati.
Un attaccante non deve costruire una storia perfetta. Gli basta creare una situazione abbastanza plausibile da spingere la persona ad agire prima di riflettere. Fretta, stanchezza, sovraccarico, distrazione, routine e paura di sbagliare sono condizioni ideali.
La difesa non è diventare sospettosi di tutto, ma imparare a rallentare quando una richiesta è insolita, urgente, economica o riguarda dati e accessi.
Se una richiesta ti fa sentire “devo farlo subito”, quello è esattamente il momento in cui devi fermarti e controllare.
7.2 Le principali leve psicologiche
Gli attaccanti usano leve psicologiche ricorrenti: urgenza, paura, autorità, curiosità, fiducia, senso di colpa, desiderio di aiutare, pressione del tempo, abitudine e imitazione di persone conosciute. Spesso non ne usano una sola, ma le combinano.
Una falsa email del capo, per esempio, può usare autorità, urgenza e riservatezza: “Mi serve subito questo bonifico. Non chiamarmi perché sono in riunione. Ti spiego dopo”. Il messaggio è costruito per far saltare i controlli.
Riconoscere la leva usata aiuta a riprendere controllo. Se capisci che il messaggio ti sta spingendo con paura o urgenza, puoi fermarti e verificare.
Etichetta della pressione
Quando ricevi una richiesta sospetta, prova a darle un’etichetta: urgenza, paura, autorità, curiosità, fiducia o riservatezza. Questo semplice gesto riduce l’impulso ad agire.
7.2.1 Urgenza
L’urgenza è una delle leve più usate. Frasi come “serve entro oggi”, “il pagamento è bloccato”, “l’account verrà sospeso”, “ultimo avviso” o “rispondi subito” cercano di togliere tempo al controllo.
L’urgenza riduce la capacità di analisi. Quando una persona teme di perdere un servizio, creare un ritardo o causare un problema, può saltare passaggi che normalmente farebbe.
La difesa è fermarsi, chiedersi se la richiesta era attesa, verificare il mittente, non usare i contatti presenti nel messaggio sospetto e coinvolgere un responsabile se la richiesta riguarda pagamenti, dati o accessi.
Più una richiesta sembra urgente, più deve essere verificata.
7.2.2 Paura
La paura viene usata per spingere ad agire rapidamente. Messaggi come “il tuo conto è stato bloccato”, “abbiamo rilevato un accesso sospetto”, “il tuo dispositivo è infetto” o “perderai il servizio” portano la persona a cercare una soluzione immediata.
Il problema è che la soluzione proposta dal messaggio è spesso proprio l’azione pericolosa: cliccare, chiamare, inserire dati, scaricare un file, comunicare un codice o installare un programma.
La risposta corretta è uscire dal canale che ha creato paura. Non cliccare dal messaggio ricevuto; apri manualmente il sito ufficiale, usa l’app ufficiale o contatta il servizio tramite recapiti già noti.
Cercare di risolvere il problema usando il link o il numero indicato nel messaggio che ha generato l’allarme.
7.2.3 Autorità
L’autorità viene sfruttata quando l’attaccante finge di essere un titolare, un direttore, un responsabile, un cliente importante, un fornitore strategico, un tecnico informatico, una banca, un ente pubblico o un supporto noto.
L’obiettivo è far pensare: “Se lo chiede questa persona, devo farlo”. È particolarmente pericoloso quando la richiesta chiede di saltare procedure, agire in fretta o non coinvolgere altri.
Una buona procedura protegge anche dai falsi messaggi apparentemente autorevoli. Per pagamenti, cambio IBAN, invio documenti e accessi, la richiesta va verificata su un secondo canale usando contatti già noti.
Bonifico urgente del falso titolare
Un’email apparentemente del titolare chiede un bonifico urgente e riservato. Anche se il nome visualizzato è corretto, la richiesta va verificata prima di agire.
7.2.4 Curiosità
La curiosità spinge ad aprire allegati e link: “sei tu in questo video?”, “documento riservato”, “lista stipendi aggiornata”, “nuovo file condiviso con te”. In azienda, nomi come “fattura.pdf”, “ordine cliente.xlsx” o “contratto aggiornato.docx” possono sembrare normali.
Il rischio è che il file sia malevolo o che il link porti a una pagina falsa. Il nome plausibile non basta: bisogna chiedersi se il documento era atteso, se il mittente è coerente e se il canale è normale.
Aprire un allegato solo per curiosità è una delle scorciatoie più rischiose. Se qualcosa non torna, è meglio chiedere conferma al mittente tramite un canale diverso.
Un allegato inatteso resta inatteso anche se ha un nome professionale.
7.2.5 Fiducia
La fiducia è una leva potente. Gli attaccanti possono fingere di essere colleghi, clienti, fornitori, consulenti, tecnici, amici, familiari, banche, servizi cloud o corrieri. A volte usano account reali compromessi, quindi il messaggio può arrivare davvero da un indirizzo conosciuto.
Per questo non basta guardare il mittente. Bisogna valutare anche contenuto, tono, contesto e richiesta. Un collega che invia un link breve senza spiegazioni, un fornitore che cambia improvvisamente IBAN o un cliente che manda un allegato inatteso meritano verifica.
La fiducia deve essere accompagnata da metodo. Se una richiesta è insolita, si verifica senza accusare nessuno: “ti chiamo per conferma” è una protezione, non una scortesia.
Un account reale compromesso può inviare messaggi falsi con un mittente autentico. Valuta sempre anche cosa viene chiesto.
7.2.6 Senso di colpa e desiderio di aiutare
Molti attacchi sfruttano la disponibilità delle persone. Messaggi come “mi serve aiuto subito”, “sei l’unico che può farlo”, “sono un nuovo collega” o “il cliente è arrabbiato” fanno leva sul desiderio di risolvere un problema.
Aiutare è corretto, ma non deve significare aggirare procedure. Password, codici, documenti, accessi, pagamenti e installazioni non possono essere gestiti solo per fare un favore.
Una frase utile è: “Ti aiuto volentieri, ma devo prima verificare la richiesta”. Permette di restare collaborativi senza esporsi.
La disponibilità è un valore; la verifica è il modo per proteggerla.
7.2.7 Riservatezza forzata
La riservatezza diventa sospetta quando viene usata per impedire controlli. Frasi come “non parlarne con nessuno”, “è una questione riservata”, “non coinvolgere altri colleghi” o “ti spiego dopo” possono essere costruite per isolare la vittima.
In azienda esistono richieste riservate legittime, ma anche quelle devono seguire procedure. Se una comunicazione chiede denaro, dati o accessi e allo stesso tempo impedisce verifiche, il rischio è alto.
La risposta corretta è non accettare richieste che impongono di saltare i controlli, verificare su un canale diverso e coinvolgere un responsabile quando sono in gioco informazioni o denaro.
Bonifico urgente del falso titolare
Una falsa email del titolare chiede un bonifico urgente e aggiunge: “non coinvolgere l’amministrazione”. Questo è un segnale di allarme, non una prova di riservatezza.
7.3 Finto tecnico informatico
Il falso tecnico può presentarsi via telefono, email, chat o di persona. Può fingere di essere l’IT interno, il supporto Microsoft, Google, Apple, il tecnico della banca, del gestionale, del cloud o di un fornitore.
Può chiedere password, codici OTP, installazione di software di controllo remoto, apertura di link, disattivazione di protezioni o conferma di un accesso. Usa spesso tono tecnico e urgenza per creare fiducia.
La regola è semplice: non comunicare password o codici, non installare software, non concedere controllo remoto e non disattivare protezioni se la richiesta non è stata verificata su un canale ufficiale.
Un vero intervento tecnico deve essere riconoscibile, autorizzato e verificabile. Una chiamata inattesa non basta.
7.3.1 Finto collega, capo, cliente o fornitore
In azienda molti attacchi imitano persone plausibili. Il finto collega può chiedere accesso a un file o apertura di un link; il finto capo può chiedere bonifici urgenti o documenti riservati; il finto cliente può inviare allegati; il finto fornitore può chiedere cambio IBAN o aggiornamento anagrafica.
La difesa comune è la verifica su un canale diverso. Se la richiesta è insolita, urgente, economica o riguarda dati sensibili, non basta che sembri provenire da una persona conosciuta.
Per le richieste critiche serve una procedura: contatto già noto, doppia approvazione quando necessario, registrazione della verifica e segnalazione dell’anomalia.
Nuovo IBAN comunicato via email
Un fornitore comunica un nuovo IBAN via email. Il logo è corretto e il tono professionale, ma l’IBAN non va modificato senza conferma tramite recapito già registrato.
7.3.2 Messaggi WhatsApp, SMS e chat
L’ingegneria sociale non arriva solo via email. SMS, WhatsApp, Telegram, Messenger, Instagram, LinkedIn, chat aziendali e app di collaborazione possono essere usati per richieste brevi, veloci e difficili da valutare con calma.
Messaggi come “ho cambiato numero”, “manca un dato per la consegna”, “il conto è bloccato”, “puoi aprire questo file?” o “ti mando un codice, me lo leggi?” sfruttano abitudine e immediatezza dello smartphone.
Non bisogna cliccare link ricevuti via SMS, comunicare codici OTP, fidarsi automaticamente di nome e foto profilo o rispondere a richieste economiche urgenti. La verifica va fatta con una telefonata o un canale già noto.
Fidarsi di un numero nuovo solo perché usa il nome o la foto di una persona conosciuta.
7.5 Procedura pratica: cosa fare davanti a una richiesta insolita
Davanti a una richiesta insolita, urgente o sensibile, il primo passo è fermarsi. Non cliccare, non rispondere, non pagare, non comunicare dati e non aprire allegati prima di aver capito cosa viene richiesto.
Poi bisogna valutare il contenuto: chiede soldi, password, codici, documenti, accessi, link, allegati, installazione di software o salto di una procedura? Se sì, la richiesta va trattata come sensibile.
La verifica deve avvenire su un canale diverso, usando numeri, email, rubriche, referenti interni, siti ufficiali o app ufficiali già noti. Se la richiesta riguarda pagamenti, dati o accessi, va coinvolto un responsabile o referente IT.
7.5.1 Frasi utili per prendere tempo
In molte situazioni la pressione nasce anche dal non sapere cosa rispondere. Avere frasi pronte aiuta a prendere tempo senza sembrare scortesi.
Si può dire: “Verifico e le faccio sapere”, “per questa richiesta devo seguire la procedura interna”, “non posso confermare dati o codici al telefono”, “per motivi di sicurezza devo richiamare il contatto ufficiale”, “non posso procedere senza approvazione”.
Una frase particolarmente utile è: “Se è urgente, proprio per questo devo controllare meglio”. Trasforma l’urgenza da motivo per agire a motivo per verificare.
Frasi di verifica
Scegli due frasi che useresti davvero nel tuo lavoro e rendile naturali per il tuo tono di voce.
7.5.2 Cosa non comunicare mai
Ci sono informazioni che non devono essere comunicate tramite telefonate, chat o messaggi non verificati: password, PIN, codici OTP, codici SMS, codici di backup, link di recupero password, dati completi di carte, credenziali aziendali, codici bancari e accessi a gestionali.
Un servizio serio non dovrebbe chiedere la password completa. Una banca non dovrebbe chiedere di leggere un codice OTP per telefono. Un collega non dovrebbe chiedere password via chat. Un tecnico non dovrebbe pretendere controllo remoto senza una richiesta verificata.
Se qualcuno chiede queste informazioni, non bisogna discutere a lungo: si interrompe l’azione, si verifica tramite canale ufficiale e si segnala se necessario.
I codici temporanei sono password usa e getta. Comunicarli equivale spesso ad autorizzare un accesso o un’operazione.
7.5.3 Casi specifici per ruolo
Ogni ruolo ha rischi tipici. Segreteria e front office possono ricevere telefonate da falsi tecnici o richieste di informazioni interne. Amministrazione e contabilità sono esposte a false fatture, cambi IBAN e bonifici urgenti. Acquisti e commerciale possono ricevere allegati, falsi ordini e link a portali non verificati. I liberi professionisti sono spesso bersaglio di falsi clienti, finte fatture e richieste di documenti.
Le difese cambiano nei dettagli, ma il metodo è lo stesso: verificare identità e contesto, non aprire allegati inattesi, non caricare dati su portali non verificati, non modificare informazioni bancarie solo via email e usare MFA su email e cloud.
Email del capo per bonifico urgente
Una persona dell’amministrazione riceve una falsa email del capo che chiede un bonifico urgente e riservato. I segnali sono autorità, urgenza, richiesta economica, impossibilità di parlare e invito a non coinvolgere altri. Il comportamento corretto è verificare tramite numero già noto, coinvolgere una seconda persona autorizzata e seguire la procedura interna.
“Mi fido perché sembra una persona che conosco.” Un messaggio può usare un nome reale, un profilo copiato o un account compromesso. Bisogna valutare sempre anche la richiesta.
Mini-procedura di verifica
Costruisci una mini-procedura per cambio IBAN, pagamento urgente, invio documenti sensibili, recupero password e accesso a una cartella cloud. Per ogni caso indica chi autorizza, quale canale usare per verificare e quando segnalare l’anomalia.
L’ingegneria sociale sfrutta psicologia, fiducia e comportamento umano per far compiere azioni rischiose. L’attaccante può imitare capi, colleghi, clienti, fornitori, tecnici, banche o persone conosciute. La regola da portare con sé è semplice: se una richiesta mette fretta, chiede segretezza o spinge a saltare una procedura, fermati e verifica prima di agire.