Siamo lieti di annunciare la pubblicazione del nostro report State of The Phish. Giunto alla sua nona edizione, il report State of The Phish offre la panoramica più dettagliata e completa dei rischi legati agli utenti e della loro resilienza in tema di sicurezza informatica.
Il report si basa su due delle principali fonti di dati per fornire una visione completa dei rischi informatici che derivano dai comportamenti umani. Per comprendere meglio la consapevolezza e le convinzioni in materia di sicurezza informatica, abbiamo intervistato 7.500 lavoratori adulti e 1.050 professionisti della sicurezza in 15 Paesi. Inoltre, per cogliere il comportamento reale degli utenti, abbiamo analizzato 135 milioni di simulazioni di attacchi di phishing inviate dai nostri clienti oltre a 18 milioni di email segnalate dai loro utenti finali.
Di seguito alcuni dei principali risultati a livello globale:
- Manca la comprensione anche di concetti di base: oltre un terzo degli utenti non è in grado di dare una definizione ai termini “malware,” “phishing” o “ransomware”.
- Il 44% degli intervistati ritiene che un’email sia sicura quando include un marchio familiare. Eppure, oltre 30 milioni di messaggi dannosi inviati nel 2022 hanno coinvolto il marchio o i prodotti di Microsoft, uno dei nomi più importanti nel settore della tecnologia.
- I criminali informatici hanno effettuato tra 300.000 e 400.000 tentativi di phishing tramite telefono ogni giorno, con un picco di 600.000 al giorno ad agosto 2022.
- Le perdite finanziarie dirette causate dagli attacchi di phishing sono aumentate del 76%.
- Oltre 1 minaccia su 10 è stata identificata e segnalata in primo luogo da un utente finale.
Per la prima volta, oltre al report globale, pubblichiamo anche le sintesi regionali della nostra ricerca. L’edizione per l’Europa e il Medio Oriente del report è volta ad aiutare le aziende a comprendere come le sfumature locali possano influire sulle lacune dei loro utenti finali in materia di sensibilizzazione alla sicurezza informatica.
Il report “State of The Phish: Europa e Medio Oriente” include i dati relativi a Francia, Germania, Italia, Paesi Bassi, Spagna, Svezia, Regno Unito e Emirati Arabi Uniti. Si basa su sondaggi condotti su 4.000 lavoratori adulti e 650 professionisti della sicurezza informatica.
Ecco una panoramica delle quattro principali conclusioni della nostra sintesi per questa regione.
1. Quasi tre quarti (71%) delle aziende della regione EMEA hanno perso dati a causa di minacce interne nel 2022
Abbiamo ampliato il nostro ultimo report State of the Phish per includere le minacce interne e abbiamo scoperto che sono un problema importante per le aziende di tutta la regione. Questa categoria di minacce include il furto di dati da parte di utenti malintenzionati, la violazione degli account e le perdite di dati causate da utenti negligenti.
In tutta la regione EMEA, una media del 71% delle aziende ha dichiarato di aver subito una perdita di dati nel corso dell’ultimo anno. Tale percentuale è ancora più alta per il Regno Unito e i Paesi Bassi, dove si aggira intorno all’85%. Inoltre, abbiamo riscontrato che le aziende tedesche sono risultate le più a rischio di subire frequenti attacchi di origine interna (18%), mentre le aziende degli Emirati Arabi Uniti sono quelle con meno probabilità di subirli (4%).
2. Le aziende italiane sono risultate le meno propense a subire attacchi di phising riusciti, mentre quelle svedesi sono risultate le più colpite
Questo è anche il primo anno in cui abbiamo incluso l'Italia nella nostra indagine. I risultati sono interessanti. In primo luogo, abbiamo appreso che le aziende italiane, tra tutti i paesi coperti dalla nostra indagine a livello mondiale, sono quelle che hanno subito meno attacchi di phishing riusciti. Se questo sia un dato positivo, altri fattori possono aver influenzato questo risultato, come ad esempio norme di segnalazione meno severe.
Abbiamo anche riscontrato che le aziende svedesi sono risultate le più a rischio di subire un attacco di phishing riuscito (94%). È interessante notare che la Svezia attribuisce poca importanza alla formazione di sensibilizzazione alla sicurezza informatica. Per esempio, solo il 18% delle aziende del paese forma gli utenti che sanno essere presi di mira.
3. Le aziende olandesi hanno subito il maggior numero di attacchi informatici di origine interna ed esterna
La nostra ricerca mostra che le aziende olandesi sono obiettivi primari. Per esempio, lo scorso anno l’86% delle aziende nei Paesi Bassi è stato preso di mira da utenti interni, rispetto a una media globale del 66%. Inoltre, l’84% delle aziende olandesi ha dichiarato di aver subito attacchi di origine esterna, rispetto al 68% delle aziende a livello globale.
La buona notizia è che le aziende olandesi attribuiscono maggiore importanza alla formazione di sicurezza informatica rispetto agli altri 14 Paesi presi in considerazione nella nostra indagine. Questa formazione è probabilmente un fattore chiave del fatto che i collaboratori olandesi sono i meno propensi a divulgare informazioni personali o password.
4. Il ransomware è diffuso, ma non tutti sono così disposti a pagare
Tra i Paesi della regione, solo le aziende italiane hanno registrato un tasso di incidenza del ransomware inferiore al 50%. La Svezia ha registrato il tasso di infezione più alto, pari all'82%. Gli altri Paesi variano tra il 62% e il 76%. Le aziende svedesi sono risultate anche molto propense a pagare un riscatto; l'80% ha dichiarato di aver pagato dopo un'infezione. La Germania rappresenta un'eccezione: nonostante un tasso di infezione relativamente basso (63%), le aziende tedesche sono state le più propense a pagare.
Scarica il report “State of the Phish: Europa e Medio Oriente”
Per saperne di più sulla sensibilizzazione alla sicurezza informatica e sulle tendenze del panorama delle minacce, scarica il report “State of the Phish: Europa e Medio Oriente”. Otterrai informazioni e consigli per creare un programma di sicurezza adattato in base alle minacce reali e ai rischi legati agli utenti. Il report gratuito è disponibile qui.