Secondo lo Zscaler ThreatLabz 2026 Phishing and Initial Access Report è in atto un cambiamento strutturale nell’economia del Cybercrime: mentre il volume complessivo di phishing è diminuito per il secondo anno consecutivo (–20% su base annua), l’efficacia e la sofisticazione degli attacchi sono aumentate in modo significativo.
I criminali informatici stanno facendo sempre più ricorso a strumenti basati sull’AI di tipo “text-to-site” e a kit per il dirottamento delle sessioni in tempo reale per aggirare l’autenticazione multi-fattore (MFA). In modo rilevante, stanno inoltre mascherando in maniera sempre più sofisticata queste campagne: il 95,2% dei tentativi di phishing si nasconde oggi all’interno di traffico cifrato per eludere i sistemi di sicurezza tradizionali. Inoltre, la nuova telemetria basata su tecniche di deception — che ha rilevato quasi 90 milioni di attività malevole — mostra che i criminali informatici stanno effettuando attività aggressive di scansione e ricognizione su identità e piattaforme di collaboration aziendale, molto prima che avvenga la compromissione iniziale.
“Stiamo osservando una ricalibrazione strategica nel modo in cui i criminali informatici affrontano le fasi di accesso iniziale”, ha dichiarato Deepen Desai, Chief Security Officer di Zscaler. “La diminuzione del volume complessivo di phishing non è un segnale di arretramento, ma di evoluzione. Gli attaccanti stanno spostando il focus dalla quantità alla qualità, sfruttando l’AI generativa per eliminare i tradizionali segnali rivelatori, come errori grammaticali e messaggi generici. Con il 95% dei tentativi di phishing oggi nascosto nel traffico cifrato, le aziende non possono più ignorare l’ispezione del traffico Transport Layer Security (TLS). Un’architettura Zero Trust rappresenta l’unico approccio in grado di interrompere la catena d’attacco, dalla fase di ricognizione fino all’esfiltrazione dei dati.”
Come il cybercrime utilizza l’AI generativa per compromissioni iniziali ad alta precisione
Il report evidenzia come l’intelligenza artificiale sia diventata il principale motore delle moderne campagne di intrusione. ThreatLabz ha identificato 413.524 siti generati tramite AI, di cui quasi il 10% classificato come esplicitamente malevolo. Strumenti come Manus AI, Blackbox AI e Lovable AI vengono oggi sfruttati per creare in pochi minuti portali di phishing altamente curati e coerenti con i brand, attività che in passato richiedevano giorni di sviluppo manuale.
Queste esche generate dall’AI si rivelano particolarmente efficaci nel replicare flussi di lavoro affidabili. Il settore dei servizi è stato quello più colpito da questo cambiamento, registrando un aumento del 65,5% su base annua degli attacchi, poiché i criminali informatici hanno sfruttato interazioni basate su operazioni di routine, come processi di fatturazione, onboarding e rinnovo dei servizi di supporto.
Ulteriori evidenze emerse dal report:
- Scenario globale: gli Stati Uniti restano uno dei principali obiettivi degli attacchi di phishing via email; il Brasile ha registrato un aumento del 2.522% nell’hosting di contenuti di phishing, diventando uno dei primi cinque Paesi al mondo per origine degli attacchi.
- Distribuzione per settore: il manifatturiero e la pubblica amministrazione continuano a essere i principali bersagli del phishing via email, con quest’ultima che registra un aumento del 50% degli attacchi, poiché i criminali informatici puntano a informazioni di alto valore.
- Tendenze nel furto di credenziali: Microsoft e Google risultano i brand più imitati nelle campagne di phishing, a conferma del focus continuo sulla compromissione dei sistemi di identità aziendale.
- Evasione dei sistemi di rilevamento: la crittografia è ormai lo standard per i cybercriminali, con l’87% delle attività malevole veicolate tramite HTTPS.
- Attività di scansione ostile: gli attaccanti sfruttano infrastrutture cloud legittime per attività di ricognizione, utilizzando oltre 121.000 indirizzi IP ospitati su cloud pubblici per sondare gli ambienti aziendali.
La tecnologia di deception rivela le intenzioni degli attaccanti
La telemetria di Zscaler basata su sistemi di deception distribuiti a livello globale ha rilevato quasi 90 milioni di interazioni malevole, provenienti da 1,37 milioni di indirizzi IP unici riconducibili ad attaccanti. Questi dati confermano che i criminali informatici stanno conducendo attività di ricognizione sempre più aggressive sulle piattaforme di collaborazione e di gestione delle identità, alla ricerca di punti deboli e per testare le ipotesi sui meccanismi di difesa attivi.
