Un recente studio condotto da UC San Diego Health e Censys ha messo in discussione l’efficacia dei programmi di formazione anti-phishing nelle aziende. I ricercatori hanno analizzato i comportamenti di quasi 20 mila dipendenti attraverso dieci campagne simulate di phishing in un periodo di otto mesi, rilevando che la formazione obbligatoria non incideva in maniera impattante sulla capacità di riconoscere email fraudolente.
Perché il training anti-phishing non funziona
Secondo lo studio, non vi è alcuna correlazione tra la partecipazione ai corsi di sicurezza informatica e la riduzione dei clic su link malevoli. Anche i test con email simulate non avrebbero prodotto risultati rilevanti: la differenza tra chi aveva seguito il corso e chi no sarebbe stata di appena il 2%.
I ricercatori hanno osservato inoltre che la probabilità di cadere vittima di phishing cresceva nel tempo: dal 10% nel primo mese al 50% dopo otto mesi. Alcuni dei temi trattati risultavano più efficaci di altri per ingannare gli utenti: mentre pochi cadevano nella trappola di un finto reset password di Outlook, oltre il 30% cliccava su un presunto aggiornamento delle politiche di ferie aziendali.
Il phishing resta inoltre una delle principali cause di ransomware e data breach, con il 35% delle aziende colpite che lo hanno indicato come vettore primario, in crescita rispetto al 25% del 2024.
Quali sono le soluzioni più efficaci?
Secondo i ricercatori, il problema risiede nella scarsa interazione con i materiali didattici, spesso ignorati o consultati per meno di un minuto. Per questo motivo la formazione tradizionale appare insufficiente.
La soluzione proposta è quella di scegliere degli approcci più tecnici, come l’implementazione di sistemi di autenticazione a due o più fattori (2FA ed MFA), la limitazione delle credenziali ai soli domini affidabili e un maggior ricorso ad automatismi di protezione. Gli esperti non escludono però la possibilità di migliorare la formazione attraverso modalità più coinvolgenti come workshop interattivi, sessioni in presenza o gamification.
Per restare sempre aggiornato seguici su Google News!
