Il fronte del phishing nel browser è esploso. Nel suo report State of Browser Security pubblicato il 19 marzo 2025, Menlo Security ha analizzato oltre 752.000 attacchi di phishing partiti dentro la finestra del browser e ha registrato una crescita del 140% rispetto al 2023. A metà 2026 il dato resta la fotografia più nitida di uno spostamento strutturale: l’attacco non arriva più solo come allegato o macro nascosta in una email, ma si avvia direttamente nella scheda del browser, dove gran parte degli strumenti di sicurezza aziendali fatica a vederlo. Secondo la stessa ricerca, un attacco su cinque sfugge ai controlli tradizionali di rete ed endpoint.
Per le aziende italiane ed europee la posta in gioco è alta. Check Point, nel suo Cyber Security Report 2026, segnala un aumento del 20% degli attacchi informatici in Europa nel corso del 2025. L’Allianz Risk Barometer 2026 colloca gli incidenti cyber al primo posto tra i rischi globali per il quinto anno consecutivo. Questa analisi raccoglie i numeri verificati, il contesto di mercato e le previsioni per capire perché il phishing browser è diventato la nuova linea del fronte e cosa possono fare le imprese per difendersi.
Phishing nel browser: cosa sta succedendo nel 2026
Il modello di attacco è cambiato. Per anni la difesa si è concentrata sul gateway di posta e sull’antivirus dell’endpoint, perché lì transitava la minaccia. Oggi il lavoro si svolge nel browser: applicazioni SaaS, portali aziendali, strumenti di collaborazione e intelligenza artificiale generativa vivono tutti dentro una scheda. Gli attaccanti hanno seguito gli utenti. Una pagina di phishing servita in tempo reale, ospitata su un dominio legittimo e costruita per imitare un login Microsoft 365, non lascia tracce nel flusso email e spesso non viene intercettata dai controlli di rete.
Menlo Security ha quantificato il fenomeno. Nei 12 mesi analizzati la società ha contato più di 752.000 attacchi di phishing nel browser, con una crescita del 140% sull’anno precedente. Gli attacchi cosiddetti zero-hour, cioè pagine mai viste prima e quindi assenti da qualsiasi lista di reputazione, sono aumentati del 130%: oltre 170.000 episodi in un anno. La finestra di esposizione media prima che gli strumenti legacy riuscissero a bloccare una pagina di phishing zero-hour arrivava fino a sei giorni. Sei giorni sono un’eternità: il tempo necessario perché migliaia di credenziali finiscano nelle mani sbagliate.
A inizio giugno 2026 la stampa di settore, tra cui Infosecurity Magazine il 10 giugno, ha rilanciato l’attenzione sul rischio di esecuzione di codice all’interno della sandbox del browser tramite pagine HTML costruite ad arte. Si tratta di segnalazioni recenti e in parte ancora in fase di verifica, ma la direzione è coerente con i dati Menlo: la superficie di attacco si è spostata dentro il browser, non più solo sul livello email o rete.
I numeri del report Menlo Security 2025
Il report State of Browser Security resta la fonte quantitativa più completa sul tema. I dati si riferiscono al 2024 e sono stati pubblicati il 19 marzo 2025. La tabella seguente riassume le metriche chiave, tutte attribuibili direttamente a Menlo Security.
| Metrica (Menlo Security 2025) | Valore | Variazione |
|---|---|---|
| Attacchi di phishing nel browser analizzati | oltre 752.000 | +140% vs 2023 |
| Attacchi zero-hour identificati (12 mesi) | oltre 170.000 | +130% vs 2023 |
| Nuovi siti di phishing creati ogni mese | quasi 1 milione | +700% dal 2020 |
| Attacchi con impersonificazione di brand | circa 51% | sul totale |
| Link di phishing ospitati su siti affidabili | 75% | sul totale |
| Attacchi con tecniche evasive | 1 su 5 (20%) | sul totale 2024 |
| Finestra di esposizione prima del blocco | fino a 6 giorni | attacchi zero-hour |
| Casi di frode con GenAI | quasi 600 | nel 2024 |
Due numeri meritano una lettura attenta. Il primo è il 75% di link di phishing ospitati su siti considerati affidabili. Significa che i filtri basati sulla reputazione del dominio, pilastro storico della difesa, funzionano sempre meno: l’attaccante carica la pagina malevola su un servizio cloud noto o su un provider di sottodomini legittimo, e il controllo passa. Menlo segnala proprio che gli attacchi ospitati su provider di sottodomini sono cresciuti del 51%, arrivando a rappresentare il 24% del totale.
Il secondo è il milione di nuovi siti di phishing al mese, una crescita del 700% dal 2020. Questo volume rende inutile qualsiasi approccio basato su blocklist statiche. Quando una pagina viene catalogata come malevola, ne sono già nate mille altre. È la ragione tecnica per cui la finestra di sei giorni resta aperta così a lungo.
Perché il browser è il nuovo perimetro aziendale
Il perimetro di rete classico è evaporato con il lavoro ibrido e il cloud. Il dipendente accede ai dati aziendali da casa, da un caffè, da uno smartphone personale, sempre attraverso un browser. Quel browser è diventato il vero endpoint: il punto in cui dati sensibili, identità e sessioni autenticate convivono. Chi controlla il browser controlla l’accesso. Gli attaccanti lo hanno capito prima di molti reparti IT.
Zero-hour phishing e la finestra di sei giorni
Gli attacchi zero-hour sfruttano una semplice asimmetria temporale. La difesa basata su firme e reputazione ha bisogno di vedere una minaccia almeno una volta per riconoscerla. L’attaccante genera pagine sempre nuove, le usa per poche ore e le abbandona. Nel report Menlo questa finestra arriva a sei giorni di esposizione media: il tempo in cui una pagina malevola resta visibile e operativa prima che gli strumenti legacy la blocchino. La crescita del 130% degli attacchi zero-hour mostra che la tecnica funziona su scala industriale.
Il 75% dei link ospitati su siti legittimi
Quando tre link di phishing su quattro vivono su domini affidabili, l’utente non ha più indizi visivi su cui contare. Il lucchetto HTTPS è presente, il dominio è plausibile, la pagina è una copia pixel-perfect del login originale. La difesa non può più delegare il riconoscimento all’occhio umano. Serve isolamento tecnico, non solo formazione. Chi vuole approfondire il significato reale del lucchetto può leggere la nostra guida su HTTPS e TLS, che spiega perché la cifratura del canale non garantisce l’onestà del sito.
L’Europa sotto pressione: +20% di attacchi nel 2025
Il dato Menlo non vive isolato. Check Point, nel Cyber Security Report 2026, indica una crescita del 20% degli attacchi informatici in Europa durante il 2025, descrivendo un continente che ha raggiunto “nuovi livelli” di pressione offensiva. I ricercatori di Check Point collegano questa accelerazione anche all’uso dell’intelligenza artificiale da parte degli attaccanti, che abbatte i costi di produzione di campagne credibili e su misura.
L’Allianz Risk Barometer 2026 conferma la gravità percepita dalle imprese. Gli incidenti cyber risultano il primo rischio globale per il quinto anno consecutivo, con un punteggio di risposta del 42%, il più alto mai registrato nell’indagine. Il distacco sul secondo rischio classificato, l’intelligenza artificiale, è di dieci punti, il margine più ampio mai osservato. Allianz precisa che il rischio cyber è in cima alla classifica non solo in Europa, ma anche nelle Americhe, in Asia-Pacifico, in Africa e in Medio Oriente. La minaccia è globale, ma colpisce un tessuto europeo di piccole e medie imprese spesso prive di difese mature.
Per chi vuole capire come un singolo punto di ingresso si trasforma in violazione su larga scala, la nostra analisi sulle violazioni di dati ricostruisce la catena tipica dell’attacco, dal furto di credenziali al movimento laterale.
Impatto sul mercato: la spesa si sposta su identità e browser
La reazione del mercato è già misurabile. Secondo un report di settore di giugno 2026, i ricavi della distribuzione di cybersicurezza in Europa sono cresciuti del 10% su base annua ad aprile 2026. Il segmento più dinamico è l’Identity & Access Management, in aumento del 18% da inizio anno. La spesa si sta spostando con decisione verso strumenti di protezione dell’identità, conformità e infrastruttura, esattamente le aree messe sotto stress dal phishing nel browser, che punta a rubare proprio le identità.
George Weston, CEO di CONTEXT, ha osservato che la crescita dei ricavi della distribuzione cyber europea è tornata ad aprile 2026, con una spesa che si orienta verso strategie di sicurezza guidate dall’identità e acquisti legati alla conformità. È la traduzione commerciale di un cambio di paradigma: i budget seguono la minaccia, e la minaccia oggi colpisce l’identità dell’utente nel browser.
Questo riallineamento ha vincitori e perdenti. Crescono i fornitori di browser security, isolamento remoto, autenticazione phishing-resistant e gestione delle identità. Soffrono invece i gateway email tradizionali e gli antivirus a firme, percepiti come insufficienti contro un attacco che non passa più dai canali storici. La nostra guida alla sicurezza delle password spiega perché l’autenticazione multifattore resistente al phishing è diventata una priorità di spesa.
Brand impersonati: Microsoft, Facebook e Netflix in testa
L’impersonificazione di marchi noti resta la leva psicologica preferita. Menlo Security indica che circa il 51% degli attacchi di phishing nel browser sfrutta una qualche forma di impersonificazione di brand, e che i marchi più imitati sono Microsoft, Facebook e Netflix. La scelta non è casuale: sono servizi con basi utenti enormi, login frequenti e un alto valore delle credenziali rubate, soprattutto nel caso degli account Microsoft 365 aziendali.
La logica dell’attaccante è di efficienza. Replicare il login di Microsoft significa avere accesso potenziale a posta, file e identità federata di un’intera organizzazione. Un account Netflix vale poco da solo, ma serve a normalizzare la campagna e a colpire gli utenti meno attenti. La combinazione di volume e valore spiega perché questi tre nomi dominano le statistiche.
L’intelligenza artificiale generativa moltiplica il rischio
La GenAI agisce su due fronti. Da un lato fornisce agli attaccanti testi privi di errori, traduzioni perfette in italiano e pagine clonate in pochi minuti, alzando la qualità media delle campagne. Menlo ha contato quasi 600 casi di frode legati alla GenAI già nel 2024. Dall’altro lato, l’uso massiccio di strumenti di intelligenza artificiale da parte dei dipendenti apre una nuova superficie di esposizione dei dati, anch’essa dentro il browser.
In un secondo report pubblicato il 4 agosto 2025, Menlo Security ha misurato il traffico verso i siti di GenAI: una crescita del 50%, da 7 miliardi di visite a febbraio 2024 a 10,53 miliardi a gennaio 2025. L’80% di questi accessi avviene tramite browser. Il 68% dei dipendenti usa strumenti AI gratuiti come ChatGPT tramite account personali, e il 57% di loro vi inserisce dati sensibili. In un solo mese Menlo ha osservato 155.005 tentativi di copia e 313.120 tentativi di incolla verso queste piattaforme, su oltre 6.500 domini GenAI e 3.000 applicazioni. Ogni incolla può contenere codice proprietario, dati di clienti o credenziali.
Il messaggio per i responsabili della sicurezza è duplice. La GenAI rende il phishing più convincente e, allo stesso tempo, crea un canale di fuga di dati che vive nello stesso punto, il browser. Difendere il browser significa affrontare entrambi i problemi con un unico controllo.
Difese tradizionali contro browser security: il confronto
La domanda operativa è semplice: perché gli strumenti esistenti non bastano? La tabella seguente confronta l’approccio tradizionale, basato su gateway email, antivirus a firme e filtri di reputazione, con l’approccio browser-native, basato su isolamento e ispezione in tempo reale del contenuto della pagina.
| Caratteristica | Difesa tradizionale (SWG, antivirus, filtri reputazione) | Browser security e isolamento |
|---|---|---|
| Punto di controllo | Email, rete, file su disco | Scheda del browser, contenuto della pagina |
| Attacchi zero-hour | Visibilità scarsa, fino a 6 giorni di esposizione | Ispezione in tempo reale, indipendente dalla reputazione |
| Link su siti legittimi (75%) | Spesso non bloccati | Analisi del comportamento della pagina, non solo del dominio |
| Furto di credenziali nel browser | Non intercettato | Blocco dell’inserimento su pagine non attendibili |
| Fuga di dati verso GenAI | Controllo limitato | Policy su copia, incolla e upload |
| Tecniche evasive (1 su 5) | Spesso eludono i controlli | Esecuzione isolata del contenuto attivo |
Il limite della difesa tradizionale non è la qualità del prodotto, ma il punto di osservazione. Un gateway email non vede una pagina aperta dopo un clic su un link arrivato via chat o SMS. Un filtro di reputazione non blocca un dominio legittimo. L’isolamento del browser sposta il controllo nel luogo dove l’attacco effettivamente si manifesta. Per questo la spesa, come visto, si sta riallocando proprio su questa categoria.
Cosa dicono gli esperti e le istituzioni
Menlo Security, nel report 2025, attribuisce l’impennata degli attacchi nel browser a tre fattori combinati: attacchi potenziati dall’intelligenza artificiale, phishing-as-a-service e vulnerabilità zero-day. La società sottolinea che un attacco su cinque nel 2024 ha mostrato tecniche evasive progettate per aggirare i controlli di rete ed endpoint.
I ricercatori di Check Point, nel Cyber Security Report 2026, concludono che gli attacchi in Europa sono cresciuti in modo marcato nel 2025 e che l’intelligenza artificiale ha contribuito a rendere il panorama delle minacce più ostile. Gli analisti di Allianz, nel Risk Barometer 2026, ribadiscono che il rischio cyber è la prima preoccupazione delle imprese a livello globale, con il distacco più ampio mai registrato sul rischio legato all’AI.
Sul piano europeo e italiano, le agenzie pubbliche spingono nella stessa direzione. ENISA, l’Agenzia dell’Unione Europea per la cibersicurezza, nei suoi Threat Landscape recenti classifica il phishing e l’ingegneria sociale tra i vettori di attacco più diffusi e in crescita. In Italia, l’ACN (Agenzia per la Cybersicurezza Nazionale) e il CSIRT Italia trattano il phishing come una minaccia prioritaria e ricorrente per pubblica amministrazione e imprese, con avvisi periodici sulle campagne attive. Le posizioni istituzionali qui riportate riflettono la documentazione pubblica di queste agenzie, non singole dichiarazioni verbatim.
Contesto storico: dall’email al browser
Il phishing non è nuovo. Il termine circola dagli anni Novanta, quando i primi truffatori imitavano i servizi online per rubare password. Per due decenni la battaglia si è combattuta sull’email: filtri antispam, autenticazione del mittente con SPF, DKIM e DMARC, sandbox per gli allegati. Queste difese hanno funzionato e hanno reso l’email un canale più costoso da sfruttare.
Gli attaccanti hanno reagito spostando il punto di consegna. Oggi un link di phishing arriva via messaggistica, SMS, notifica di un’app SaaS o risultato di ricerca avvelenato, e si apre nel browser, lontano dai controlli email. La migrazione delle applicazioni aziendali nel cloud ha completato il quadro: tutto il lavoro vive in una scheda, quindi tutto il valore da rubare vive lì. La crescita del 140% misurata da Menlo non è un’anomalia, ma il punto di arrivo di un percorso ventennale. Lo stesso meccanismo, con vittime diverse, lo abbiamo raccontato nella cronaca dell’attacco Ivanti che ha colpito le istituzioni europee.
Cosa significa per le aziende italiane
Il tessuto produttivo italiano è particolarmente esposto. Le piccole e medie imprese, spina dorsale dell’economia, spesso non dispongono di un team di sicurezza dedicato e si affidano ad antivirus ed email security tradizionali, esattamente le difese che il phishing nel browser è progettato per aggirare. La direttiva europea NIS2, ora recepita, estende gli obblighi di sicurezza a migliaia di soggetti italiani, comprese molte realtà che fino a ieri non si consideravano bersagli rilevanti.
La conseguenza pratica è duplice. Da un lato cresce la pressione normativa a dotarsi di controlli adeguati, con sanzioni concrete per chi non si adegua. Dall’altro, il phishing resta il punto di ingresso più economico per l’attaccante: una sola credenziale rubata può aprire la porta al ransomware o all’esfiltrazione di dati. Per le imprese italiane, investire sulla protezione del browser e sull’autenticazione resistente al phishing è oggi la spesa con il miglior rapporto tra costo e rischio evitato.
Come proteggersi dal phishing nel browser
La difesa efficace combina tecnologia, configurazione e formazione. Sul piano tecnico, l’isolamento del browser e l’ispezione in tempo reale delle pagine neutralizzano gli attacchi zero-hour, indipendenti dalla reputazione del dominio. Sul piano dell’identità, le chiavi di sicurezza FIDO2 e le passkey rendono inutile il furto di password, perché la credenziale è legata al dominio reale e non può essere replicata su una pagina clone.
Sul piano della configurazione, una Content Security Policy rigorosa e header di sicurezza corretti riducono la superficie di attacco delle applicazioni web aziendali. Un esempio minimo di intestazioni difensive da impostare lato server:
Content-Security-Policy: default-src 'self'; frame-ancestors 'none'
Strict-Transport-Security: max-age=63072000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-originRestano fondamentali le misure di base: aggiornare browser ed estensioni, limitare le estensioni installabili, applicare il principio del privilegio minimo e formare gli utenti a diffidare anche delle pagine apparentemente legittime. La nostra guida pratica sugli attacchi di phishing elenca i segnali di allarme e i comportamenti corretti per chi lavora ogni giorno nel browser.
Previsioni: cosa aspettarsi nel 2026 e 2027
Sulla base dei dati disponibili, si possono formulare alcune previsioni ragionevoli per i prossimi diciotto mesi.
- Il browser diventa una categoria di sicurezza autonoma. Con la spesa IAM in crescita del 18% da inizio 2026, la browser security smetterà di essere una funzione accessoria e diventerà una voce di budget dedicata nelle aziende medie e grandi.
- Il phishing-as-a-service si industrializza ancora. Con quasi un milione di nuovi siti malevoli al mese, i kit pronti all’uso abbasseranno ulteriormente la barriera d’ingresso, aumentando il volume più che la sofisticazione.
- Le passkey diventano lo standard di fatto. La pressione normativa NIS2 e l’inefficacia dimostrata delle password spingeranno le imprese europee verso l’autenticazione phishing-resistant come requisito minimo.
- La GenAI alimenta sia l’attacco sia la fuga di dati. Il controllo su copia, incolla e upload verso strumenti AI diventerà parte integrante delle policy di sicurezza del browser, non un tema separato.
- Cresce la divaricazione tra grandi e piccole imprese. Le organizzazioni dotate di isolamento del browser ridurranno l’esposizione, mentre le PMI con difese tradizionali resteranno il bersaglio più redditizio, mantenendo alto il dato europeo degli attacchi.
Domande frequenti sul phishing nel browser
Cos’è il phishing nel browser?
È un attacco di phishing che si avvia e si svolge dentro la scheda del browser, anziché tramite un allegato email. La pagina malevola imita un login legittimo, spesso ospitata su un dominio affidabile, e cattura le credenziali dell’utente. Menlo Security ha registrato una crescita del 140% di questi attacchi nel 2024.
Perché l’antivirus non blocca il phishing nel browser?
Perché l’antivirus e i filtri di reputazione osservano file e domini, non il comportamento di una pagina aperta in tempo reale. Con il 75% dei link di phishing ospitati su siti legittimi e attacchi zero-hour mai visti prima, questi strumenti hanno una visibilità scarsa. Serve un controllo a livello di browser.
Cosa sono gli attacchi zero-hour?
Sono pagine di phishing mai osservate prima, assenti da ogni lista di reputazione. Sfruttano la finestra di tempo, fino a sei giorni secondo Menlo, in cui gli strumenti legacy non le riconoscono ancora. Sono cresciuti del 130% nel 2024.
Quali brand vengono imitati più spesso?
Secondo Menlo Security, i marchi più impersonati nel phishing nel browser sono Microsoft, Facebook e Netflix. Circa il 51% degli attacchi sfrutta una forma di impersonificazione di brand, perché punta a credenziali ad alto valore come gli account Microsoft 365 aziendali.
Le passkey proteggono dal phishing?
Sì. Le passkey e le chiavi FIDO2 legano l’autenticazione al dominio reale del servizio. Su una pagina clone la passkey semplicemente non funziona, perché il dominio non corrisponde. Questo neutralizza il furto di credenziali, che è l’obiettivo principale del phishing nel browser.
Come è esposta l’Italia a questa minaccia?
Il tessuto di piccole e medie imprese italiane si affida spesso a difese email e antivirus tradizionali, proprio quelle che il phishing nel browser aggira. Con il recepimento della direttiva NIS2 e l’aumento del 20% degli attacchi in Europa nel 2025 segnalato da Check Point, la pressione su aziende e pubblica amministrazione è in crescita.
Quanto è grande il fenomeno nel 2026?
Menlo Security ha analizzato oltre 752.000 attacchi di phishing nel browser in un anno e stima quasi un milione di nuovi siti malevoli creati ogni mese, una crescita del 700% dal 2020. L’Allianz Risk Barometer 2026 colloca il rischio cyber al primo posto tra i rischi globali per il quinto anno consecutivo.
Approfondimenti correlati
- Attacchi di phishing: come riconoscerli ed evitarli
- Violazioni di dati: come avvengono e come proteggersi
- HTTPS e TLS: cosa significa davvero il lucchetto
- Sicurezza delle password: cosa protegge davvero gli account
- Attacco Ivanti: 600 IP, CVSS 9.8 e l’UE colpita
- Sicurezza online: la guida completa
