DBIR 2026: vishing più pericoloso dell'email, click rate +40%
Il Verizon DBIR 2026 rivela che il median click rate del phishing telefonico è del 2%, superando l'1,4% delle email grazie ai dati forniti da Keepnet.
Contenuto
Keepnet, piattaforma di Extended Human Risk Management (xHRM), ha annunciato che i propri dati di simulazione relativi a voice e SMS phishing sono stati integrati nel Verizon Data Breach Investigations Report (DBIR) 2026. La pubblicazione di questi dati ricalibra il perimetro della difesa aziendale moderna. Per la prima volta, il report include a pagina 50 un confronto quantitativo su larga scala tra simulazioni telefoniche e email-based.
Il risultato è netto: il median click rate dei test phone-centric è del 2%, contro l'1,4% di quelli condotti via email. Questo scarto rappresenta un incremento del 40%, rendendo il canale telefonico formalmente più insidioso del vettore che per oltre vent'anni ha dominato i programmi di security awareness. L'analisi principale di questo cambiamento si basa sulle rilevazioni riportate da HelpNetSecurity, fonte che ha dettagliato il contributo di Keepnet al report Verizon.
I dati forniti da Keepnet coprono un set di campagne di simulazione anonimizzate condotte tra ottobre 2024 e ottobre 2025. La disponibilità di tali informazioni colma una lacuna storica nella reportistica sulla cybersecurity. Il team del DBIR ha infatti dichiarato esplicitamente a pagina 50 di aver incontrato notevoli difficoltà nel reperire aziende che effettuassero simulazioni sistematiche di campagne basate su voce e messaggi di testo.
- Il Verizon DBIR 2026 integra per la prima volta dati di simulazione voice e SMS phishing su larga scala, citando Keepnet a pagina 118.
- Il median click rate delle simulazioni phone-centric è del 2%, superando l'1,4% delle simulazioni email-based (incremento del 40%).
- I dati di Keepnet derivano da simulazioni condotte tra ottobre 2024 e ottobre 2025; l'azienda esegue tali test dal 2022.
- Il DBIR sottolinea la carenza di aziende che simulano attacchi telefonici, indicando un gap strutturale nella valutazione del rischio umano.
- Il rapporto FBI IC3 2025 conferma la gravità del fenomeno con 798 milioni di dollari di perdite per impersonificazione governativa via vishing/smishing.
La misurazione del rischio oltre l'email phishing
Il passaggio a una metrica phone-centric evidenzia un cambiamento operativo necessario per i responsabili della sicurezza. Per anni, l'efficacia del social engineering è stata misurata quasi esclusivamente attraverso l'email. Tuttavia, la scarsità di dati evidenziata dal team Verizon suggerisce che il settore abbia finora sottovalutato la capacità degli attaccanti di sfruttare il canale vocale e i messaggi di testo come superfici di attacco primarie.
Questa mancanza di simulazioni aziendali ha creato un punto cieco. Un link di phishing ricevuto via email è soggetto a molteplici controlli tecnici: filtri URL, sandboxing e analisi dei detonatori. Al contrario, una chiamata telefonica o un SMS attraversano perimetri di difesa molto più labili. Il canale telefonico si basa su un'architettura di fiducia ereditata, dove l'identità del chiamante viene spesso data per scontata dall'utente finale.
Il dato del 2% assume un'importanza critica se rapportato al costo e alla natura dell'interazione. Mentre un click su un'email può essere un'azione impulsiva e talvolta bloccata a valle, l'interazione telefonica implica un contatto diretto che può portare alla compromissione di credenziali o all'esecuzione di istruzioni fraudolente. La difficoltà di misurazione citata dal DBIR riflette la complessità di tracciare queste interazioni rispetto ai log digitali standardizzati delle email.
"We've spent years measuring email click rates because email data was easy to collect. The phone channel is harder to measure, but the DBIR data shows the risk is higher there. Most awareness programmes are still grading on email alone. The next step for security leaders is building verification habits into the phone channel too." — Ozan Ucar, Founder & CEO, Keepnet
Analisi editoriale: Help desk e nuove frontiere del social engineering
Sebbene il DBIR 2026 fornisca i dati quantitativi, l'interpretazione dei vettori suggerisce che gli help desk interni rappresentino un punto di vulnerabilità strategico. Dal punto di vista editoriale, si può analizzare come gli operatori addestrati alla risoluzione dei problemi siano naturalmente portati a fidarsi delle richieste in entrata, specialmente se l'attaccante utilizza tecniche di pretesto efficaci.
Un attaccante che impersona un dipendente bloccato fuori dal sistema MFA trova spesso un interlocutore disposto ad aiutare piuttosto che a verificare l'identità in modo rigoroso. La struttura organizzativa, spesso basata su centri di supporto esternalizzati, può amplificare questo rischio a causa della minore familiarità tra il personale. La capacità di superare i controlli iniziali attraverso dati reperibili pubblicamente rende il vishing uno strumento di escalation privilegiato.
Parallelamente, l'emergere di nuove categorie di crimine informatico legate all'intelligenza artificiale aggiunge un ulteriore livello di complessità. Il rapporto FBI IC3 2025 ha introdotto una categoria specifica per il cybercrime AI-related, che ha già registrato perdite per 893 milioni di dollari. Si può ipotizzare che l'integrazione di strumenti AI possa facilitare la scalabilità di attacchi vocali e testuali, rendendo il gap tra simulazioni tradizionali e attacchi reali ancora più profondo.
Cosa fare adesso
Integrare simulazioni di vishing e smishing nei programmi di awareness. Le aziende devono superare il modello basato solo sull'email. È necessario implementare test regolari che simulino scenari di social engineering telefonico, come richieste di reset credenziali o impersonificazione di fornitori, per abituare il personale a riconoscere i segnali di allarme in tempo reale.
Adottare protocolli di verifica out-of-band per le richieste critiche. Ogni richiesta ricevuta telefonicamente che comporti modifiche a account, privilegi di accesso o trasferimenti di dati deve essere verificata tramite un secondo canale sicuro. Questo può includere un callback su un numero aziendale registrato o la conferma tramite un'applicazione di messaggistica interna protetta da MFA.
Rafforzare le procedure di sicurezza degli help desk. I team di supporto tecnico devono essere addestrati specificamente sulla resistenza al social engineering. La procedura di verifica dell'identità deve essere standardizzata e non soggetta a deroghe, anche in situazioni dichiarate di "estrema urgenza" dall'interlocutore.
Revisionare i KPI del rischio umano. I CISO dovrebbero aggiornare le metriche di reporting includendo il click rate telefonico e la capacità di rilevamento del personale sui canali non-email. Il benchmark fornito dal DBIR 2026 (2% vs 1,4%) serve come base per valutare se l'attuale postura di sicurezza aziendale sia allineata alle minacce reali emergenti.
Il riallineamento del linguaggio del rischio
La rilevanza del DBIR 2026 non risiede solo nelle cifre, ma nella normalizzazione di un canale di attacco che è rimasto a lungo nell'ombra della misurazione quantitativa. Per anni, il vishing e lo smishing sono stati trattati come minacce aneddotiche o casi isolati. La pubblicazione di dati su larga scala permette ora ai security leader di discutere il rischio telefonico con la stessa precisione utilizzata per il phishing tradizionale.
Il dato del 2% contro l'1,4% fornisce un argomento solido per la riallocazione dei budget di difesa. Non è più una questione di percezione, ma di esposizione misurabile. La fragilità di questa analisi risiede nella dipendenza da un numero limitato di contributori specializzati, come Keepnet, ma il riconoscimento da parte di Verizon segna l'inizio di una nuova fase di trasparenza per la sicurezza delle comunicazioni telefoniche.
Il rischio maggiore per le organizzazioni è mantenere una difesa asimmetrica: fortificata sul layer digitale delle email e vulnerabile sul layer vocale delle interazioni umane. Il DBIR 2026 evidenzia questa discrepanza. Spetta ora alle aziende agire su questi dati prima che le perdite, già quantificate dall'FBI in centinaia di milioni di dollari, continuino a crescere su scala globale.
FAQ
Il dato del 2% si riferisce a attacchi reali o simulazioni?
Il dato si riferisce specificamente a simulazioni controllate di phishing via voce e SMS condotte da Keepnet. Il DBIR 2026 confronta il median click rate di questi test (2%) con quello dei test basati su email (1,4%).
Keepnet è citata ufficialmente nel report Verizon?
Sì, Keepnet compare nell'elenco delle organizzazioni contributrici a pagina 118 del Verizon DBIR 2026, avendo fornito i dati relativi alle simulazioni telefoniche discussi a pagina 50.
Quali sono i periodi coperti dai dati di Keepnet nel DBIR 2026?
I dati forniti per il report riguardano campagne di simulazione anonimizzate effettuate tra ottobre 2024 e ottobre 2025. Keepnet sviluppa simulazioni in questo ambito sin dal 2022.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/05/22/keepnet-verizon-dbir-2026/
- https://www.darkreading.com/cyber-risk/verizon-dbir-healthcare-fends-off-increased-social-engineering-attacks
- https://www.darkreading.com/threat-intelligence/verizon-dbir-enterprises-vulnerability-glut
- https://cyberscoop.com/verizon-data-breach-investigations-report-2026/
- https://thehackernews.com/2026/05/the-new-phishing-click-how-oauth.html