Gli attacchi informatici non vanno in vacanza: per molti gruppi criminali l’estate rappresenta una delle finestre operative più favorevoli dell’anno. Secondo Sophos la combinazione di organici ridotti, turnover temporanei e minore supervisione crea condizioni ideali per compromettere aziende e organizzazioni di qualsiasi dimensione.
Il Sophos Active Adversary Report 2026, evidenzia come il 67% degli incidenti analizzati nel 2025 abbia avuto origine da attacchi all’identità, con le credenziali compromesse come causa principale nel 42% di quei casi. Questi vettori di attacco diventano ancora più efficaci durante l’estate: i team di sicurezza riducono il personale, i tempi di risposta agli incidenti si allungano e le lacune nella copertura del monitoraggio si ampliano.
“La realtà è più complessa di una semplice curva stagionale: i cybercriminali mossi da motivazioni finanziarie operano tutto l’anno, ma l’estate rappresenta per loro un momento particolarmente proficuo. Le organizzazioni riducono le proprie capacità difensive, il perimetro si estende con il lavoro da remoto e il Wi-Fi pubblico, e gli utenti sono in “modalità vacanza” dunque, meno attenti”, commenta Marco D’Elia, Country Manager Sophos Italia.
Turismo e ospitalità, maggiore esposizione
In estate, il settore del turismo e dell’hospitality è particolarmente vulnerabile: i volumi delle transazioni aumentano vertiginosamente, i team integrano personale temporaneo con minore formazione sulla sicurezza e l’urgenza tipica dei viaggi rende gli utenti particolarmente esposti all’ingegneria sociale.
Dal 2023, Sophos monitora campagne attive contro note piattaforme di prenotazione che non richiedono la compromissione della piattaforma stessa: gli attaccanti rubano le credenziali del personale alberghiero tramite phishing e poi utilizzano dati di prenotazione reali (nome dell’ospite, data del check-in, prezzo, ecc.) per contattare direttamente i viaggiatori attraverso canali di messaggistica legittimi. Il risultato è un’ingegneria sociale quasi impossibile da individuare a prima vista.
L’IA, un acceleratore silenzioso
Gli strumenti di IA possono generare messaggi con il contesto culturale appropriato, ortografia corretta in più lingue e dettagli di prenotazione veritieri, eliminando gli errori che in passato fungevano da campanelli d’allarme per l’utente.
Questo riguarda in particolare il tradizionale phishing via email, ma anche il vishing (chiamate vocali) e lo smishing (SMS), metodi che si intensificano in estate sfruttando l’urgenza dei viaggi: messaggi come «Conferma il pagamento entro 24 ore o perderai la tua camera» generano una risposta emotiva immediata che impedisce il pensiero critico.
“Quando parliamo di IA in questo contesto, parliamo di velocità e iterazione. Gli attaccanti possono produrre esche di phishing culturalmente accurate, generare siti web falsi indistinguibili dagli originali e personalizzare ogni messaggio con dati reali rubati. L’IA non ha cambiato la natura degli attacchi, ma ha rimosso le barriere che in passato davano agli utenti la possibilità di individuarli”, continua D’Elia.
Consigli per mantenere un elevato livello di protezione delle reti aziendali anche in estate
Sophos raccomanda alle organizzazioni di rivedere la propria strategia di sicurezza prima dell’alta stagione, in particolare:
- Attivare e verificare la MFA: il 59% degli incidenti investigati nel 2025 non disponeva dell’autenticazione a più fattori o l’aveva configurata in modo errato. Abilitarla su tutti i sistemi critici è la misura con il maggiore impatto immediato.
- Coprire i turni di monitoraggio: garantire una copertura 24/7 durante i periodi di vacanza, soprattutto per i team privi di un servizio MDR in outsourcing, oppure ricorrere a servizi di “virtual CISO”.
- Formare il personale stagionale includendolo nei programmi di sensibilizzazione: i dipendenti temporanei sono uno dei vettori d’ingresso preferiti dagli attaccanti.
- Rivedere le policy su Wi-Fi esterno e telelavoro (l’uso di reti pubbliche aumenta drasticamente in estate), stabilire l’uso obbligatorio della VPN aziendale e segmentare gli accessi in base al profilo utente.
- Attivare protocolli di risposta rapida: gli attaccanti sanno che i tempi di reazione si allungano in estate; disporre di un piano di risposta agli incidenti documentato e testato, o di un servizio MDR con capacità di risposta autonoma, riduce significativamente l’impatto.
