{"id":53,"date":"2026-06-11T04:39:58","date_gmt":"2026-06-11T04:39:58","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/11\/phishing-browser-2026\/"},"modified":"2026-06-11T04:39:58","modified_gmt":"2026-06-11T04:39:58","slug":"phishing-browser-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/11\/phishing-browser-2026\/","title":{"rendered":"Phishing nel Browser: +140% e 20% Sfugge [2026]"},"content":{"rendered":"\n

Il fronte del phishing nel browser<\/strong> \u00e8 esploso. Nel suo report State of Browser Security<\/em> pubblicato il 19 marzo 2025, Menlo Security ha analizzato oltre 752.000 attacchi di phishing partiti dentro la finestra del browser e ha registrato una crescita del 140% rispetto al 2023. A met\u00e0 2026 il dato resta la fotografia pi\u00f9 nitida di uno spostamento strutturale: l’attacco non arriva pi\u00f9 solo come allegato o macro nascosta in una email, ma si avvia direttamente nella scheda del browser, dove gran parte degli strumenti di sicurezza aziendali fatica a vederlo. Secondo la stessa ricerca, un attacco su cinque sfugge ai controlli tradizionali di rete ed endpoint.<\/p>\n\n\n\n

Per le aziende italiane ed europee la posta in gioco \u00e8 alta. Check Point, nel suo Cyber Security Report 2026<\/em>, segnala un aumento del 20% degli attacchi informatici in Europa nel corso del 2025. L’Allianz Risk Barometer 2026 colloca gli incidenti cyber al primo posto tra i rischi globali per il quinto anno consecutivo. Questa analisi raccoglie i numeri verificati, il contesto di mercato e le previsioni per capire perch\u00e9 il phishing browser<\/strong> \u00e8 diventato la nuova linea del fronte e cosa possono fare le imprese per difendersi.<\/p>\n\n\n\n

Phishing nel browser: cosa sta succedendo nel 2026<\/h2>\n\n\n\n

Il modello di attacco \u00e8 cambiato. Per anni la difesa si \u00e8 concentrata sul gateway di posta e sull’antivirus dell’endpoint, perch\u00e9 l\u00ec transitava la minaccia. Oggi il lavoro si svolge nel browser: applicazioni SaaS, portali aziendali, strumenti di collaborazione e intelligenza artificiale generativa vivono tutti dentro una scheda. Gli attaccanti hanno seguito gli utenti. Una pagina di phishing servita in tempo reale, ospitata su un dominio legittimo e costruita per imitare un login Microsoft 365, non lascia tracce nel flusso email e spesso non viene intercettata dai controlli di rete.<\/p>\n\n\n\n

Menlo Security ha quantificato il fenomeno. Nei 12 mesi analizzati la societ\u00e0 ha contato pi\u00f9 di 752.000 attacchi di phishing nel browser, con una crescita del 140% sull’anno precedente. Gli attacchi cosiddetti zero-hour, cio\u00e8 pagine mai viste prima e quindi assenti da qualsiasi lista di reputazione, sono aumentati del 130%: oltre 170.000 episodi in un anno. La finestra di esposizione media prima che gli strumenti legacy riuscissero a bloccare una pagina di phishing zero-hour arrivava fino a sei giorni. Sei giorni sono un’eternit\u00e0: il tempo necessario perch\u00e9 migliaia di credenziali finiscano nelle mani sbagliate.<\/p>\n\n\n\n

A inizio giugno 2026 la stampa di settore, tra cui Infosecurity Magazine il 10 giugno, ha rilanciato l’attenzione sul rischio di esecuzione di codice all’interno della sandbox del browser tramite pagine HTML costruite ad arte. Si tratta di segnalazioni recenti e in parte ancora in fase di verifica, ma la direzione \u00e8 coerente con i dati Menlo: la superficie di attacco si \u00e8 spostata dentro il browser, non pi\u00f9 solo sul livello email o rete.<\/p>\n\n\n\n

I numeri del report Menlo Security 2025<\/h2>\n\n\n\n

Il report State of Browser Security<\/em> resta la fonte quantitativa pi\u00f9 completa sul tema. I dati si riferiscono al 2024 e sono stati pubblicati il 19 marzo 2025. La tabella seguente riassume le metriche chiave, tutte attribuibili direttamente a Menlo Security.<\/p>\n\n\n\n

Metrica (Menlo Security 2025)<\/th>Valore<\/th>Variazione<\/th><\/tr><\/thead>
Attacchi di phishing nel browser analizzati<\/td>oltre 752.000<\/td>+140% vs 2023<\/td><\/tr>
Attacchi zero-hour identificati (12 mesi)<\/td>oltre 170.000<\/td>+130% vs 2023<\/td><\/tr>
Nuovi siti di phishing creati ogni mese<\/td>quasi 1 milione<\/td>+700% dal 2020<\/td><\/tr>
Attacchi con impersonificazione di brand<\/td>circa 51%<\/td>sul totale<\/td><\/tr>
Link di phishing ospitati su siti affidabili<\/td>75%<\/td>sul totale<\/td><\/tr>
Attacchi con tecniche evasive<\/td>1 su 5 (20%)<\/td>sul totale 2024<\/td><\/tr>
Finestra di esposizione prima del blocco<\/td>fino a 6 giorni<\/td>attacchi zero-hour<\/td><\/tr>
Casi di frode con GenAI<\/td>quasi 600<\/td>nel 2024<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Due numeri meritano una lettura attenta. Il primo \u00e8 il 75% di link di phishing ospitati su siti considerati affidabili. Significa che i filtri basati sulla reputazione del dominio, pilastro storico della difesa, funzionano sempre meno: l’attaccante carica la pagina malevola su un servizio cloud noto o su un provider di sottodomini legittimo, e il controllo passa. Menlo segnala proprio che gli attacchi ospitati su provider di sottodomini sono cresciuti del 51%, arrivando a rappresentare il 24% del totale.<\/p>\n\n\n\n

Il secondo \u00e8 il milione di nuovi siti di phishing al mese, una crescita del 700% dal 2020. Questo volume rende inutile qualsiasi approccio basato su blocklist statiche. Quando una pagina viene catalogata come malevola, ne sono gi\u00e0 nate mille altre. \u00c8 la ragione tecnica per cui la finestra di sei giorni resta aperta cos\u00ec a lungo.<\/p>\n\n\n\n

Perch\u00e9 il browser \u00e8 il nuovo perimetro aziendale<\/h2>\n\n\n\n

Il perimetro di rete classico \u00e8 evaporato con il lavoro ibrido e il cloud. Il dipendente accede ai dati aziendali da casa, da un caff\u00e8, da uno smartphone personale, sempre attraverso un browser. Quel browser \u00e8 diventato il vero endpoint: il punto in cui dati sensibili, identit\u00e0 e sessioni autenticate convivono. Chi controlla il browser controlla l’accesso. Gli attaccanti lo hanno capito prima di molti reparti IT.<\/p>\n\n\n\n

Zero-hour phishing e la finestra di sei giorni<\/h3>\n\n\n\n

Gli attacchi zero-hour sfruttano una semplice asimmetria temporale. La difesa basata su firme e reputazione ha bisogno di vedere una minaccia almeno una volta per riconoscerla. L’attaccante genera pagine sempre nuove, le usa per poche ore e le abbandona. Nel report Menlo questa finestra arriva a sei giorni di esposizione media: il tempo in cui una pagina malevola resta visibile e operativa prima che gli strumenti legacy la blocchino. La crescita del 130% degli attacchi zero-hour mostra che la tecnica funziona su scala industriale.<\/p>\n\n\n\n

L’Europa sotto pressione: +20% di attacchi nel 2025<\/h2>\n\n\n\n

Il dato Menlo non vive isolato. Check Point, nel Cyber Security Report 2026<\/em>, indica una crescita del 20% degli attacchi informatici in Europa durante il 2025, descrivendo un continente che ha raggiunto “nuovi livelli” di pressione offensiva. I ricercatori di Check Point collegano questa accelerazione anche all’uso dell’intelligenza artificiale da parte degli attaccanti, che abbatte i costi di produzione di campagne credibili e su misura.<\/p>\n\n\n\n

L’Allianz Risk Barometer 2026 conferma la gravit\u00e0 percepita dalle imprese. Gli incidenti cyber risultano il primo rischio globale per il quinto anno consecutivo, con un punteggio di risposta del 42%, il pi\u00f9 alto mai registrato nell’indagine. Il distacco sul secondo rischio classificato, l’intelligenza artificiale, \u00e8 di dieci punti, il margine pi\u00f9 ampio mai osservato. Allianz precisa che il rischio cyber \u00e8 in cima alla classifica non solo in Europa, ma anche nelle Americhe, in Asia-Pacifico, in Africa e in Medio Oriente. La minaccia \u00e8 globale, ma colpisce un tessuto europeo di piccole e medie imprese spesso prive di difese mature.<\/p>\n\n\n\n

Per chi vuole capire come un singolo punto di ingresso si trasforma in violazione su larga scala, la nostra analisi sulle violazioni di dati<\/a> ricostruisce la catena tipica dell’attacco, dal furto di credenziali al movimento laterale.<\/p>\n\n\n\n

Impatto sul mercato: la spesa si sposta su identit\u00e0 e browser<\/h2>\n\n\n\n

La reazione del mercato \u00e8 gi\u00e0 misurabile. Secondo un report di settore di giugno 2026, i ricavi della distribuzione di cybersicurezza in Europa sono cresciuti del 10% su base annua ad aprile 2026. Il segmento pi\u00f9 dinamico \u00e8 l’Identity & Access Management, in aumento del 18% da inizio anno. La spesa si sta spostando con decisione verso strumenti di protezione dell’identit\u00e0, conformit\u00e0 e infrastruttura, esattamente le aree messe sotto stress dal phishing nel browser, che punta a rubare proprio le identit\u00e0.<\/p>\n\n\n\n

George Weston, CEO di CONTEXT, ha osservato che la crescita dei ricavi della distribuzione cyber europea \u00e8 tornata ad aprile 2026, con una spesa che si orienta verso strategie di sicurezza guidate dall’identit\u00e0 e acquisti legati alla conformit\u00e0. \u00c8 la traduzione commerciale di un cambio di paradigma: i budget seguono la minaccia, e la minaccia oggi colpisce l’identit\u00e0 dell’utente nel browser.<\/p>\n\n\n\n

Questo riallineamento ha vincitori e perdenti. Crescono i fornitori di browser security, isolamento remoto, autenticazione phishing-resistant e gestione delle identit\u00e0. Soffrono invece i gateway email tradizionali e gli antivirus a firme, percepiti come insufficienti contro un attacco che non passa pi\u00f9 dai canali storici. La nostra guida alla sicurezza delle password<\/a> spiega perch\u00e9 l’autenticazione multifattore resistente al phishing \u00e8 diventata una priorit\u00e0 di spesa.<\/p>\n\n\n\n

Brand impersonati: Microsoft, Facebook e Netflix in testa<\/h2>\n\n\n\n

L’impersonificazione di marchi noti resta la leva psicologica preferita. Menlo Security indica che circa il 51% degli attacchi di phishing nel browser sfrutta una qualche forma di impersonificazione di brand, e che i marchi pi\u00f9 imitati sono Microsoft, Facebook e Netflix. La scelta non \u00e8 casuale: sono servizi con basi utenti enormi, login frequenti e un alto valore delle credenziali rubate, soprattutto nel caso degli account Microsoft 365 aziendali.<\/p>\n\n\n\n

La logica dell’attaccante \u00e8 di efficienza. Replicare il login di Microsoft significa avere accesso potenziale a posta, file e identit\u00e0 federata di un’intera organizzazione. Un account Netflix vale poco da solo, ma serve a normalizzare la campagna e a colpire gli utenti meno attenti. La combinazione di volume e valore spiega perch\u00e9 questi tre nomi dominano le statistiche.<\/p>\n\n\n\n

L’intelligenza artificiale generativa moltiplica il rischio<\/h2>\n\n\n\n

La GenAI agisce su due fronti. Da un lato fornisce agli attaccanti testi privi di errori, traduzioni perfette in italiano e pagine clonate in pochi minuti, alzando la qualit\u00e0 media delle campagne. Menlo ha contato quasi 600 casi di frode legati alla GenAI gi\u00e0 nel 2024. Dall’altro lato, l’uso massiccio di strumenti di intelligenza artificiale da parte dei dipendenti apre una nuova superficie di esposizione dei dati, anch’essa dentro il browser.<\/p>\n\n\n\n

In un secondo report pubblicato il 4 agosto 2025, Menlo Security ha misurato il traffico verso i siti di GenAI: una crescita del 50%, da 7 miliardi di visite a febbraio 2024 a 10,53 miliardi a gennaio 2025. L’80% di questi accessi avviene tramite browser. Il 68% dei dipendenti usa strumenti AI gratuiti come ChatGPT tramite account personali, e il 57% di loro vi inserisce dati sensibili. In un solo mese Menlo ha osservato 155.005 tentativi di copia e 313.120 tentativi di incolla verso queste piattaforme, su oltre 6.500 domini GenAI e 3.000 applicazioni. Ogni incolla pu\u00f2 contenere codice proprietario, dati di clienti o credenziali.<\/p>\n\n\n\n

Il messaggio per i responsabili della sicurezza \u00e8 duplice. La GenAI rende il phishing pi\u00f9 convincente e, allo stesso tempo, crea un canale di fuga di dati che vive nello stesso punto, il browser. Difendere il browser significa affrontare entrambi i problemi con un unico controllo.<\/p>\n\n\n\n

Difese tradizionali contro browser security: il confronto<\/h2>\n\n\n\n

La domanda operativa \u00e8 semplice: perch\u00e9 gli strumenti esistenti non bastano? La tabella seguente confronta l’approccio tradizionale, basato su gateway email, antivirus a firme e filtri di reputazione, con l’approccio browser-native, basato su isolamento e ispezione in tempo reale del contenuto della pagina.<\/p>\n\n\n\n

Caratteristica<\/th>Difesa tradizionale (SWG, antivirus, filtri reputazione)<\/th>Browser security e isolamento<\/th><\/tr><\/thead>
Punto di controllo<\/td>Email, rete, file su disco<\/td>Scheda del browser, contenuto della pagina<\/td><\/tr>
Attacchi zero-hour<\/td>Visibilit\u00e0 scarsa, fino a 6 giorni di esposizione<\/td>Ispezione in tempo reale, indipendente dalla reputazione<\/td><\/tr>
Link su siti legittimi (75%)<\/td>Spesso non bloccati<\/td>Analisi del comportamento della pagina, non solo del dominio<\/td><\/tr>
Furto di credenziali nel browser<\/td>Non intercettato<\/td>Blocco dell’inserimento su pagine non attendibili<\/td><\/tr>
Fuga di dati verso GenAI<\/td>Controllo limitato<\/td>Policy su copia, incolla e upload<\/td><\/tr>
Tecniche evasive (1 su 5)<\/td>Spesso eludono i controlli<\/td>Esecuzione isolata del contenuto attivo<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Il limite della difesa tradizionale non \u00e8 la qualit\u00e0 del prodotto, ma il punto di osservazione. Un gateway email non vede una pagina aperta dopo un clic su un link arrivato via chat o SMS. Un filtro di reputazione non blocca un dominio legittimo. L’isolamento del browser sposta il controllo nel luogo dove l’attacco effettivamente si manifesta. Per questo la spesa, come visto, si sta riallocando proprio su questa categoria.<\/p>\n\n\n\n

Cosa dicono gli esperti e le istituzioni<\/h2>\n\n\n\n

Menlo Security<\/strong>, nel report 2025, attribuisce l’impennata degli attacchi nel browser a tre fattori combinati: attacchi potenziati dall’intelligenza artificiale, phishing-as-a-service e vulnerabilit\u00e0 zero-day. La societ\u00e0 sottolinea che un attacco su cinque nel 2024 ha mostrato tecniche evasive progettate per aggirare i controlli di rete ed endpoint.<\/p>\n\n\n\n

I ricercatori di Check Point<\/strong>, nel Cyber Security Report 2026<\/em>, concludono che gli attacchi in Europa sono cresciuti in modo marcato nel 2025 e che l’intelligenza artificiale ha contribuito a rendere il panorama delle minacce pi\u00f9 ostile. Gli analisti di Allianz<\/strong>, nel Risk Barometer 2026, ribadiscono che il rischio cyber \u00e8 la prima preoccupazione delle imprese a livello globale, con il distacco pi\u00f9 ampio mai registrato sul rischio legato all’AI.<\/p>\n\n\n\n

Sul piano europeo e italiano, le agenzie pubbliche spingono nella stessa direzione. ENISA<\/strong>, l’Agenzia dell’Unione Europea per la cibersicurezza, nei suoi Threat Landscape recenti classifica il phishing e l’ingegneria sociale tra i vettori di attacco pi\u00f9 diffusi e in crescita. In Italia, l’ACN<\/strong> (Agenzia per la Cybersicurezza Nazionale) e il CSIRT Italia trattano il phishing come una minaccia prioritaria e ricorrente per pubblica amministrazione e imprese, con avvisi periodici sulle campagne attive. Le posizioni istituzionali qui riportate riflettono la documentazione pubblica di queste agenzie, non singole dichiarazioni verbatim.<\/p>\n\n\n\n

Contesto storico: dall’email al browser<\/h2>\n\n\n\n

Il phishing non \u00e8 nuovo. Il termine circola dagli anni Novanta, quando i primi truffatori imitavano i servizi online per rubare password. Per due decenni la battaglia si \u00e8 combattuta sull’email: filtri antispam, autenticazione del mittente con SPF, DKIM e DMARC, sandbox per gli allegati. Queste difese hanno funzionato e hanno reso l’email un canale pi\u00f9 costoso da sfruttare.<\/p>\n\n\n\n

Gli attaccanti hanno reagito spostando il punto di consegna. Oggi un link di phishing arriva via messaggistica, SMS, notifica di un’app SaaS o risultato di ricerca avvelenato, e si apre nel browser, lontano dai controlli email. La migrazione delle applicazioni aziendali nel cloud ha completato il quadro: tutto il lavoro vive in una scheda, quindi tutto il valore da rubare vive l\u00ec. La crescita del 140% misurata da Menlo non \u00e8 un’anomalia, ma il punto di arrivo di un percorso ventennale. Lo stesso meccanismo, con vittime diverse, lo abbiamo raccontato nella cronaca dell’attacco Ivanti<\/a> che ha colpito le istituzioni europee.<\/p>\n\n\n\n

Cosa significa per le aziende italiane<\/h2>\n\n\n\n

Il tessuto produttivo italiano \u00e8 particolarmente esposto. Le piccole e medie imprese, spina dorsale dell’economia, spesso non dispongono di un team di sicurezza dedicato e si affidano ad antivirus ed email security tradizionali, esattamente le difese che il phishing nel browser \u00e8 progettato per aggirare. La direttiva europea NIS2, ora recepita, estende gli obblighi di sicurezza a migliaia di soggetti italiani, comprese molte realt\u00e0 che fino a ieri non si consideravano bersagli rilevanti.<\/p>\n\n\n\n

La conseguenza pratica \u00e8 duplice. Da un lato cresce la pressione normativa a dotarsi di controlli adeguati, con sanzioni concrete per chi non si adegua. Dall’altro, il phishing resta il punto di ingresso pi\u00f9 economico per l’attaccante: una sola credenziale rubata pu\u00f2 aprire la porta al ransomware o all’esfiltrazione di dati. Per le imprese italiane, investire sulla protezione del browser e sull’autenticazione resistente al phishing \u00e8 oggi la spesa con il miglior rapporto tra costo e rischio evitato.<\/p>\n\n\n\n

Come proteggersi dal phishing nel browser<\/h2>\n\n\n\n

La difesa efficace combina tecnologia, configurazione e formazione. Sul piano tecnico, l’isolamento del browser e l’ispezione in tempo reale delle pagine neutralizzano gli attacchi zero-hour, indipendenti dalla reputazione del dominio. Sul piano dell’identit\u00e0, le chiavi di sicurezza FIDO2 e le passkey rendono inutile il furto di password, perch\u00e9 la credenziale \u00e8 legata al dominio reale e non pu\u00f2 essere replicata su una pagina clone.<\/p>\n\n\n\n

Sul piano della configurazione, una Content Security Policy rigorosa e header di sicurezza corretti riducono la superficie di attacco delle applicazioni web aziendali. Un esempio minimo di intestazioni difensive da impostare lato server:<\/p>\n\n\n\n

Content-Security-Policy: default-src 'self'; frame-ancestors 'none'\nStrict-Transport-Security: max-age=63072000; includeSubDomains\nX-Frame-Options: DENY\nX-Content-Type-Options: nosniff\nReferrer-Policy: strict-origin-when-cross-origin<\/code><\/pre>\n\n\n\n
Restano fondamentali le misure di base: aggiornare browser ed estensioni, limitare le estensioni installabili, applicare il principio del privilegio minimo e formare gli utenti a diffidare anche delle pagine apparentemente legittime. La nostra guida pratica sugli attacchi di phishing<\/a> elenca i segnali di allarme e i comportamenti corretti per chi lavora ogni giorno nel browser.<\/p>\n\n\n\n
Previsioni: cosa aspettarsi nel 2026 e 2027<\/h2>\n\n\n\n
Sulla base dei dati disponibili, si possono formulare alcune previsioni ragionevoli per i prossimi diciotto mesi.<\/p>\n\n\n\n