Truffe via SMS e email: perché i filtri antispam tradizionali non bastano più

I filtri tradizionali operano per sottrazione: bloccano ciò che è già noto come malevolo. Ma cosa accade quando l’attaccante utilizza infrastrutture legittime o server compromessi con un’alta reputazione?

L’attuale vulnerabilità del perimetro digitale italiano non è un errore di distrazione, ma un limite tecnologico strutturale. Analizzando i dati del Rapporto Clusit 2024, emerge come il cybercrime abbia ormai industrializzato la manipolazione dei protocolli di fiducia. Non parliamo di spam massivo, ma di attacchi a bassa impronta digitale che eludono i filtri euristici dei provider convenzionali. Il problema? La maggior parte degli utenti si affida a sistemi di scansione che analizzano il “cosa” viene scritto, ignorando totalmente il “come” e il “da dove”. In un ecosistema così compromesso, l’impiego di una mail che integri nativamente la crittografia end-to-end e la firma crittografica del mittente cessa di essere un’opzione per pochi e diventa l’unica barriera contro l’usurpazione d’identità. Senza una validazione asimmetrica alla radice, il rischio di subire attacchi di man-in-the-middle o spoofing documentale rimane una costante ineliminabile.

Oltre la reputazione IP: il collasso delle blacklist

I filtri tradizionali operano per sottrazione: bloccano ciò che è già noto come malevolo. Ma cosa accade quando l’attaccante utilizza infrastrutture legittime o server compromessi con un’alta reputazione? Accade che la mail passi, il filtro tace e l’utente cade nel tranello. La sofisticazione odierna permette di inserire comunicazioni fraudolente all’interno di flussi SMS o messaggistici già aperti con enti istituzionali o bancari. È una crisi di autenticità che i software di vecchia generazione non possono risolvere. Come sottolineato spesso nelle analisi di sicurezza e cronaca, la prevenzione basata sulla semplice segnalazione degli URL è ormai una difesa di retroguardia, incapace di stare al passo con domini generati algoritmicamente che hanno un ciclo di vita di poche ore.

Serve un cambio di paradigma: la logica “Zero Trust”. Non è più sostenibile un modello che concede fiducia a un pacchetto dati solo perché non contiene pattern virali noti. La resilienza digitale oggi richiede sistemi che non si limitino a filtrare, ma che isolino preventivamente ogni elemento non verificato.

Il contesto nazionale e le direttive ACN

In Italia, la consapevolezza tecnica è ancora pericolosamente disallineata rispetto all’aggressività delle minacce. Le ultime linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN) spingono verso una crittografia forte e un’autenticazione multifattoriale che non sia basata su canali insicuri come gli SMS. Il furto d’identità digitale, alimentato da database esfiltrati e venduti nel dark web, ha trasformato ogni utente in un potenziale target di alto valore.

Per mitigare l’impatto di queste offensive, l’approccio deve essere multilivello:

1. Autenticazione granulare: L’adozione di protocolli SPF, DKIM e soprattutto DMARC deve essere la norma per impedire che il nome del brand o dell’ente venga utilizzato da terzi.
2. Cifratura del contenuto: La protezione non deve riguardare solo l’accesso alla casella, ma l’integrità stessa del messaggio. Un dato cifrato è inutile per chiunque provi a intercettarlo durante il transito tra i nodi di rete.
3. Sandboxing dinamico: Ogni link deve essere processato in un ambiente virtuale isolato prima di raggiungere l’interfaccia dell’utente, eliminando l’errore umano alla base.

In definitiva, la persistenza del phishing e dello smishing è il sintomo di un ritardo infrastrutturale. Continuare a proteggere le comunicazioni moderne con strumenti concepiti per il web degli anni 2000 è una scommessa persa in partenza. La sicurezza non è un prodotto che si acquista una tantum, ma una scelta di architettura: preferire tecnologie che pongono la riservatezza e la verifica dell’identità al centro del codice è l’unico modo per non rimanere schiacciati da un’evoluzione criminale che non concede margini di errore. Chi gestisce dati sensibili, finanziari o personali, deve oggi pretendere standard crittografici superiori, perché il costo di una violazione è infinitamente più alto di quello di una protezione adeguata.