L'anello debole è la mente: anatomia dell'ingegneria sociale

La maggior parte delle violazioni non rompe la crittografia: rompe le persone. Come gli attacchi sfruttano i meccanismi della cognizione — e perché i deepfake hanno alzato la posta.

Redazione Core Matrix 19 giugno 2026 2 min

Sicurezza informatica e ingegneria sociale

Nella maggior parte degli attacchi informatici riusciti non viene forzato alcun algoritmo. Viene forzata una persona. Il Data Breach Investigations Report 2025 di Verizon stima che circa il 60% delle violazioni coinvolga il "fattore umano": errori, abusi e, soprattutto, ingegneria sociale. La superficie d'attacco più vulnerabile non è il firewall, è la cognizione.

Le leve della persuasione

L'ingegneria sociale non inventa nulla: industrializza i meccanismi che lo psicologo Robert Cialdini ha codificato come principi dell'influenza — autorità, scarsità, riprova sociale, reciprocità, impegno e coerenza, simpatia e, infine, unità (l'appartenenza a un "noi"). Un'email che finge di arrivare dall'amministratore delegato sfrutta l'autorità; un avviso "il tuo account scade tra un'ora" sfrutta la scarsità e l'urgenza; una richiesta da parte di un "collega" sfrutta simpatia e appartenenza. Il phishing e la sua variante mirata, lo spear phishing, non sono altro che queste leve impacchettate in un messaggio.

Quando il volto stesso mente

La vera svolta è che oggi anche le prove che il nostro cervello considera affidabili — una voce, un volto in videochiamata — possono essere falsificate. Nel caso più citato, all'inizio del 2024 un dipendente della società di ingegneria Arup a Hong Kong ha effettuato 15 bonifici per un totale di circa 25,6 milioni di dollari dopo una videoconferenza in cui il "direttore finanziario" e altri colleghi erano interamente deepfake generati dall'AI (CNN). Non è un episodio isolato: l'FBI stima in oltre 55 miliardi di dollari le perdite globali da Business Email Compromise tra il 2013 e il 2023 (IC3), e dal 2025 mette in guardia su campagne che clonano la voce di figure istituzionali.

Perché la tecnologia, da sola, non basta

Il punto cruciale è che questi attacchi non bersagliano i sistemi, ma le scorciatoie del pensiero: la fiducia nell'autorità, la pressione del tempo, il desiderio di non deludere. Nessun aggiornamento software corregge un bias cognitivo. La difesa efficace è socio-tecnica e procedurale: verifica fuori banda (richiamare il presunto mittente su un canale diverso e già noto), regole rigide e non negoziabili per i trasferimenti di denaro, principio del "fidarsi è bene, verificare è doveroso", e una cultura in cui fermarsi a controllare non è scortesia ma professionalità.

Il paradosso del 2026 è netto: man mano che l'AI rende l'inganno più economico e convincente, l'unica difesa davvero robusta torna a essere umana — una mente addestrata al sospetto, sostenuta da processi che non dipendono dal fatto che, in quel preciso momento, qualcuno "ci caschi".

In most successful cyberattacks no algorithm is broken. A person is. Verizon's 2025 Data Breach Investigations Report estimates that roughly 60% of breaches involve the "human element": errors, misuse and, above all, social engineering. The most vulnerable attack surface is not the firewall — it is cognition.

The levers of persuasion

Social engineering invents nothing: it industrializes the mechanisms psychologist Robert Cialdini codified as principles of influence — authority, scarcity, social proof, reciprocity, commitment and consistency, liking and, finally, unity (belonging to a "we"). An email pretending to come from the CEO exploits authority; a "your account expires in one hour" alert exploits scarcity and urgency; a request from a "colleague" exploits liking and belonging. Phishing and its targeted variant, spear phishing, are simply these levers packaged into a message.

When the face itself lies

The real turning point is that today even the evidence our brain treats as reliable — a voice, a face on a video call — can be faked. In the most cited case, in early 2024 an employee of the engineering firm Arup in Hong Kong made 15 transfers totaling about $25.6 million after a video conference in which the "chief financial officer" and other colleagues were entirely AI-generated deepfakes (CNN). It is not isolated: the FBI estimates over $55 billion in global Business Email Compromise losses between 2013 and 2023 (IC3), and since 2025 has warned of campaigns cloning the voices of public officials.

Why technology alone is not enough

The crucial point is that these attacks do not target systems but the shortcuts of thought: trust in authority, time pressure, the wish not to disappoint. No software update fixes a cognitive bias. Effective defense is socio-technical and procedural: out-of-band verification (calling back the supposed sender on a different, already-known channel), strict non-negotiable rules for money transfers, a "trust but verify" principle, and a culture in which pausing to check is not rudeness but professionalism.

The paradox of 2026 is stark: as AI makes deception cheaper and more convincing, the only truly robust defense becomes human again — a mind trained to be suspicious, supported by processes that do not depend on no one, in that precise moment, falling for it.

#ingegneria sociale#phishing#deepfake#BEC

L'anello debole è la mente: anatomia dell'ingegneria sociale

Le leve della persuasione

Quando il volto stesso mente

Perché la tecnologia, da sola, non basta

The levers of persuasion

When the face itself lies

Why technology alone is not enough

Articoli correlati

La kill chain e il paradosso dei 15 giorni: gli attacchi si fermano all'inizio, o non si fermano

Anatomia di uno schema Ponzi: perché i "primi vincitori" sono la trappola, non la prova

OSINT: l'intelligence non è cercare su Google, è il metodo

Ricevi le analisi che contano