“Tutte le certificazioni del mondo… e basta una telefonata per far crollare tutto” Se persino Google, Salesforce e Adidas cadono vittima di social engineering, la tua azienda è davvero al sicuro? Ne abbiamo parlato alla Commit University di settembre, dove Diego Sarnataro - CEO di 10punto10 -ci ha mostrato come phishing, vishing e attacchi tecnici possano essere fermati con formazione, processi e tecnologia.

2. Diego Sarnataro
Da hacker a CEO di 10punto10 s.r.l.
La mia esperienza nella cybersecurity nasce da un percorso non
convenzionale: ho conosciuto le minacce dall'interno, comprendendo
profondamente le metodologie e la mentalità degli attaccanti.
Questa prospettiva mi ha insegnato che la sicurezza informatica non è
solo una questione tecnologica, ma soprattutto umana. Gli attacchi più
devastanti sfruttano le vulnerabilità delle persone, non solo dei sistemi.
Oggi trasformo questa dualità di esperienza in strategie di difesa
concrete, aiutando le aziende a sviluppare quella consapevolezza che
rappresenta la loro prima e più efficace linea di difesa.

3. Perché siamo qui oggi
73%
Breach con errore
umano
La stragrande maggioranza degli
incidenti di sicurezza coinvolge il
fattore umano.
8%
Aziende italiane che
formano i dipendenti
Solo una minima parte investe in
security awareness training.
La tecnologia non basta più. Serve consapevolezza e cultura della
sicurezza.

4. Il Panorama delle Minacce: i numeri che contano
Crescita phishing/social engineering
Aumento degli attacchi di phishing e social engineering nel 2024 (dati CLUSIT
2025).
Minacce: credential phishing
71.7% delle minacce è credential phishing (dato Fastweb nel CLUSIT 2025).
Incidenti via phishing + account validi
Il 30% degli incidenti usa phishing e un altro 30% account validi (IBM X-Force nel
CLUSIT 2025).
Violazioni iniziano con email
Il 73% delle violazioni inizia con phishing/pretexting via email (Verizon citato nel
CLUSIT 2025).
Aziende con SAT
Solo l'8% delle aziende effettua security awareness training specifico (CLUSIT
2025).
Formazione su larga scala
Solo il 2% delle aziende implementa programmi di formazione su larga scala
(CLUSIT 2025).

5. Non siamo
più negli
anni 2000

6. Il panorama delle minacce è cambiato
1
2000-2010
Virus tradizionali, worm, attacchi opportunistici
2 2010-2020
Ransomware, APT, attacchi mirati alle aziende
3
2020-2025
Social engineering potenziato dall'AI, deepfake,
phishing personalizzato
Crescita del +33% phishing e social engineering nel 2024

7. AI: L'arma a doppio
taglio della
cybersecurity
AI per il bene
Detection automatica delle
minacce
Analisi comportamentale
avanzata
Response automatizzata
Threat intelligence
potenziata
AI per il male
Deepfake vocali convincenti
Email phishing
personalizzate
Social engineering su scala
Bypass dei sistemi di
detection

8. Tecniche AI per social engineering
Sintesi vocale realistica
Deepfake vocali che imitano CEO o colleghi per autorizzare
trasferimenti fraudolenti
Email iper-personalizzate
Messaggi che analizzano social media per creare contenuti
su misura della vittima
Siti clone automatici
Generazione automatica di copie perfette di siti bancari e
istituzionali
SMS contestualizzati
Messaggi che si inseriscono perfettamente in
conversazioni reali esistenti

9. La nuova superficie di attacco
32% degli incidenti causati da malware nel 2024
Smartphone
App, SMS, chiamate, social media
sempre connessi
Social media
Informazioni personali utilizzate per
attacchi mirati
Email aziendali
Punto di ingresso principale per
malware e phishing
Chat e messaging
WhatsApp Business, Telegram,
Teams sempre più nel mirino

10. Le 6 facce del
social
engineering

11. Tassonomia completa social engineering
Phishing
71.7% delle minacce
Smishing
SMS fraudolenti
Spear-phishing
Attacchi mirati
Vishing
Phishing telefonico
Baiting
Esca digitale/fisica
Watering-hole
Siti compromessi

12. Email phishing: il re degli
attacchi
71.7%
Credential phishing
Percentuale di tutte le minacce cyber rilevate
Target principali
portali Microsoft 365 e Google Workspace
home banking di tutti i principali istituti
servizi cloud aziendali (Dropbox, OneDrive)
piattaforme e-commerce e marketplace

13. Smishing: L'SMS che rovina
1.467
Casi nel 2024
SMS fraudolenti segnalati in Italia
59%
Furto identità
Inizia con SMS phishing
Tecnica alias telefonico
I criminali inseriscono messaggi falsi in conversazioni reali esistenti,
sfruttando la fiducia del destinatario.

14. Spear-phishing: quando l'attacco è personale
Ricognizione social
Raccolta informazioni personali da LinkedIn, Facebook, Instagram
Target identificato
CEO, CFO, IT manager, HR director con accesso privilegiato
Messaggio personalizzato
Email che referenzia progetti reali, colleghi, viaggi di lavoro
Compromissione
Accesso a sistemi critici e dati sensibili

15. Vishing: la chiamata che
costa cara
671
Casi Vishing 2024
Chiamate fraudolente segnalate
27%
Delle frodi telefoniche
Rappresentate dal Vishing
Tecnica CLI spoofing
I criminali mascherano il numero chiamante facendolo apparire come
banca, azienda IT o ente istituzionale fidato.

16. Watering Hole: l'imboscata digitale
Come funziona
Identificazione target: Siti frequentati dalle vittime
1.
Compromissione: Infezione del sito web fidato
2.
Attesa: Il malware si attiva quando la vittima visita
3.
Infezione: Download automatico di payload malevolo
4.
Strategia particolarmente insidiosa perché sfrutta la
fiducia verso risorse considerate sicure.

17. Baiting: L'esca digitale
che cattura
Il baiting sfrutta la curiosità o la cupidigia della vittima, attirandola con una
promessa di qualcosa di desiderabile (gratuito, esclusivo) che nasconde
un malware o un tentativo di phishing.
Esca Fisica
Dispositivi USB, CD o altri supporti di memoria infetti lasciati in
luoghi pubblici, sperando che vengano trovati e utilizzati.
Esca Digitale
Offerte irresistibili come download di software pirata, film gratuiti, e-
book esclusivi o premi virtuali che conducono a siti malevoli o
download di malware.

18. Se è
successo a
Google
Può succedere a
chiunque

19. La tecnica di social engineering
Contatto e
impersonificazione
Il gruppo UNC6040 ha effettuato
un attacco vishing, fingendosi il
supporto Salesforce per un
tecnico IT di un fornitore Google.
Installazione
fraudolenta
Il tecnico è stato indotto a
installare un "data loader"
compromesso, fornendo
l'accesso iniziale agli attaccanti.
Esfiltrazione dati
Utilizzando token OAuth, gli
attaccanti hanno estratto 2.55
milioni di record dal CRM.

20. Attacco vishing: il caso
Google-Salesforce 2025
Analizziamo la dinamica dell'attacco vishing attraverso un caso studio
dettagliato:
La chiamata
Una chiamata telefonica arriva
inaspettatamente alle ore 14:30
di un martedì.
Il target
Il ricevente è un dipendente IT
(sembrerebbe di Dublino) di un
fornitore di Google.
L'identità fittizia
Il chiamante si identifica come
"del supporto tecnico
Salesforce".
L'inganno
Il numero mostrato al dipendente
sembra apparentemente lecito,
aumentando la credibilità
dell'inganno.

21. La tecnica di social engineering
L'attaccante dimostra conoscenza sofisticata:
Dettagli interni specifici
Conosce il nome del
responsabile IT
Fa riferimento al sistema CRM
aziendale
Cita progetti recenti
dell'azienda
Creazione di credibilità
Riferimenti a un "ticket urgente
#SF-2025-0847"
Problemi di sincronizzazione
CRM con Salesforce
Terminologia tecnica
convincente: "OAuth token
scaduto", "connessione API
interrotta"
Pressione temporale
"Il sistema potrebbe bloccarsi
entro le 17:00 se non
risolviamo"
"Altri clienti stanno già
segnalando problemi simili"
"Serve solo 5 minuti per
risolvere"

22. L'inganno tecnico
Fase 1: guida verso
Salesforce
Indirizzamento verso
login.salesforce.com/setup/connect.
Il criminale indica: "Deve accedere
alla sezione connected apps per
autorizzare il fix".
E subito dopo: richiesta di
condivisione schermo "per guidarla
meglio".
Fase 2: l'esca OAuth
Richiesta di inserimento codice a 8
cifre per autorizzare "My Ticket
Portal".
Il criminale spiega: "È un'app interna
Salesforce per la gestione ticket".
In realtà: installazione versione
compromessa del Salesforce data
loader.
Fase 3: compromissione
Ottenimento di token OAuth
persistenti.
Bypass completo dell'autenticazione
multifattore.
Accesso permanente ai dati
Salesforce.

23. Impatto e conseguenze
Il danno dell'attacco:
L'attacco ha causato danni significativi e ramificati, colpendo dati sensibili e generando severe ripercussioni economiche e reputazionali.
Dati compromessi
2,55 milioni di record
Nomi aziendali, numeri di telefono, email
Note di follow-up vendite e informazioni commerciali sensibili
Credenziali di accesso a sistemi AWS
Richieste di estorsione
Richiesta di riscatto in bitcoin entro 72 ore
Minaccia di pubblicazione dati sul dark web
Contatto diretto con clienti per estorsioni mirate
1
¬2.8M
Costi incident response
2
¬50M
Sanzioni GDPR potenziali
Oltre ai costi diretti, l'impatto economico si estende a:
Danno reputazionale incalcolabile
Perdita di fiducia dei clienti e partner

24. Indicatori di compromissione
Red flags che avrebbero dovuto allertare:
Indicatori
comportamentali
Chiamate non programmate da
"supporto IT" con richieste
tecniche urgenti
Richieste di condivisione
schermo per "assistenza
remota"
Pressione temporale eccessiva
("entro le 17:00")
Conoscenza sospetta di dettagli
interni specifici
Indicatori tecnici
Richieste di autorizzazione app
sconosciute in Salesforce
Picchi anomali di query API REST
su endpoint
/services/data/v62.0/query
Connessioni da indirizzi IP TOR
nei log di Salesforce event
monitoring
Accessi fuori orario lavorativo
con pattern inusuali
Indicatori di sistema
Nuove connected apps non
autorizzate
Token OAuth con permessi
eccessivi
Download massivi di dati CRM
Attività API superiori alla
baseline normale

25. Come hanno aggirato le difese
Convincimento psicologico
Sfruttamento della naturale tendenza ad aiutare
colleghi del team security
Bypass MFA comportamentale
Manipolazione per ottenere i codici OTP in tempo reale
Fiducia nel "supporto interno"
Abuso della fiducia verso chiamate apparentemente
interne
Informazioni pubbliche
Uso di dati LinkedIn per aumentare credibilità della
chiamata

26. Misure di Prevenzione
Strategie di difesa contro attacchi vishing avanzati:
Procedure organizzative
Implementazione di procedure di
verifica indipendente per richieste
IT
Protocollo "callback" obbligatorio
su numeri ufficiali verificati
Formazione del personale su
tecniche avanzate di social
engineering
Simulazioni periodiche di attacchi
vishing per testare la preparazione
Controlli tecnici
Monitoraggio continuo delle app
OAuth connesse e revoca di quelle
sospette
Attivazione dell'event monitoring
per tracciare attività API anomale
Implementazione di alerting
automatico per picchi di attività API
Whitelist di IP autorizzati per
accessi amministrativi
Governance e compliance
Audit regolari delle connected apps
autorizzate
Revisione trimestrale dei permessi
OAuth
Documentazione di tutti gli accessi
privilegiati
Incident response plan specifico
per attacchi di social engineering

27. Il problema è
culturale
La tecnologia protegge i
sistemi, solo la
formazione protegge le
persone

28. Security Awareness
training: ROI 37x
37x
ROI medio
return on investment
della formazione
security awareness
confronto investimento
formazione annuale: ¬150/dipendente
costo medio ransomware: ¬285.000

29. Phishing simulation: Impara
facendo
Email test realistiche
Simulate inviate periodicamente ai dipendenti
Formazione immediata
Training automatico per chi "cade nella trappola"
Miglioramento progressivo
Da 30% a 3% di click rate in 6 mesi
Gamification
Classifiche dipartimentali e premi

30. microlearning: 5 minuti che valgono migliaia di euro
Vantaggi del microlearning
Moduli brevi: 5-10 minuti ciascuno
Integrazione lavorativa: Durante la pausa caffè
Retention elevata: +80% vs formazione tradizionale
Aggiornamento continuo: Nuove minacce in tempo reale
La formazione mordi e fuggi è 3x più efficace di quella
tradizionale

31. Gamification: quando la sicurezza diventa
gioco
Sistema a punti
Riconoscimenti per comportamenti sicuri: segnalazioni
corrette, training completati, best practice adottate
Sfide dipartimentali
Competizione sana tra team per metriche di sicurezza:
click rate, segnalazioni, completion rate
Badge competenze
Certificazioni digitali per aree specialistiche: phishing
expert, social engineering detective
Difensore del mese
Riconoscimento pubblico per il dipendente che ha
dimostrato maggiore awareness

32. Human firewall
Trasformare ogni
dipendente in un
sensore di sicurezza

33. Il concetto di human firewall
Da punto debole a difesa
I dipendenti diventano la prima linea di protezione
invece che il principale fattore di rischio
Rilevamento proattivo
Identificazione precoce di minacce che i sistemi
automatici potrebbero non rilevare
Cultura condivisa
Responsabilità della sicurezza distribuita in tutta
l'organizzazione
Resilienza 24/7
Protezione attiva anche quando i sistemi tecnologici
falliscono o sono compromessi

34. I 4 Pilastri del dipendente consapevole
Riconoscimento
Identifica email, chiamate e comportamenti sospetti.
Segnalazione
Reporting tempestivo e accurato delle anomalie.
Resistenza
Non cede alle tecniche di social engineering.
Resilienza
Mantiene comportamenti sicuri nel tempo.

35. L'importanza dei processi
La formazione senza processi è solo teoria
Incident response plan
Protocolli chiari personalizzati per l'azienda
Escalation matrix
Chi chiamare, quando e come per ogni tipo di incidente
Continuous improvement
Feedback loop per migliorare continuamente i processi
Integrazione tecnologica
Connessione con stack tecnologico esistente (SIEM, SOC)

36. I numeri parlano chiaro
70%
Riduzione incidenti
Causati da errore umano dopo formazione
95%
Segnalazioni corrette
Dipendenti segnalano le emattività sospette
4x
Detection veloce
Più rapida identificazione delle minacce
La formazione trasforma ogni dipendente in un sensore di sicurezza attivo.
Compliance NIS2/GDPR

37. Compliance NIS2: Da
obbligo a opportunità
Requisiti normativi
Formazione obbligatoria per
settori essenziali e importanti
Documentazione tracciabile
dei programmi di training
Valutazione periodica
dell'efficacia
Reporting agli organi di
vigilanza
Il vantaggio
competitivo
Trasformare la compliance in
differenziatore:
Audit trail automatico
Certificazioni di security
awareness
Credibilità verso partner e
clienti
Riduzione premi assicurativi
cyber

38. Domande?

39. Grazie!
Per la vostra attenzione e il vostro prezioso tempo.
Diego Sarnataro
CEO - 10punto10 s.r.l.
diego.sarnataro@10punto10.eu
https://www.10punto10.eu