8,3 miliardi di minacce di phishing in 90 giorni: perché Email Security sia il rilevamento che la prevenzione

• Nel primo trimestre del 2026, Microsoft Threat Intelligence 8,3 miliardi di minacce di phishing via e-mail; il phishing tramite codici QR ha registrato un aumento del 146% nel corso del trimestre, mentre il phishing basato su CAPTCHA è più che raddoppiato a marzo rispetto a febbraio.
• Secondo i test di benchmark condotti dalla stessa Microsoft, Microsoft Defender rimuove il 70,8% delle e-mail dannose dopo la consegna, ovvero una volta che queste sono già arrivate nella posta in arrivo.
• Il phishing generato dall'intelligenza artificiale raggiungerà il 56% di tutti i tentativi di phishing entro dicembre 2025, con un aumento di 14 volte rispetto all'anno precedente.
• Un approccio multistrato che combina rilevamento e prevenzione, basato sulla tecnologia Deep CDR™, neutralizza le minacce basate su file prima che raggiungano gli utenti, indipendentemente dal fatto che la minaccia sia nota o meno.

Se ti occupi della sicurezza della posta elettronica in una grande organizzazione, l'ultimo trimestre ti sarà probabilmente sembrato familiare. Un'ondata di allegati con codici QR. Un picco di file HTML dal comportamento anomalo. Un PDF sospetto che è sfuggito al filtro di sicurezza, per poi essere rimosso dalle caselle di posta poche ore dopo. Ogni avviso gestito, ogni ticket chiuso, ma con una domanda fastidiosa che continua a ronzarti in testa: quanto di tutto questo riusciamo effettivamente a intercettare in tempo?

Il rapporto di Microsoft sul panorama delle minacce via e-mail nel primo trimestre del 2026 illustra i dati concreti alla base di questa domanda. In tre mesi, Microsoft Threat Intelligence 8,3 miliardi di minacce di phishing via e-mail, ha registrato un aumento del 146% nel phishing tramite codici QR e ha visto il phishing basato su CAPTCHA più che raddoppiare nel solo mese di marzo.

Il punto fondamentale non è la portata del fenomeno, bensì la rapidità con cui si evolve e ciò che essa rivela riguardo ai limiti dei controlli basati esclusivamente sul rilevamento.

Gli attacchi di phishing con CAPTCHA sono più che raddoppiati a marzo (+125%), raggiungendo il volume mensile più alto registrato in oltre un anno.

Microsoft ha osservato che gli autori delle minacce cambiavano attivamente ogni mese i metodi di diffusione, verificando quali formati riuscissero a eludere più efficacemente i sistemi di protezione della posta elettronica. Questo comportamento è più significativo del semplice volume dei messaggi.

• A gennaio, gli allegati HTML sono stati il metodo di invio più utilizzato (37%); a febbraio hanno registrato un calo del 34%, per poi più che raddoppiare a marzo
• I file SVG hanno registrato un aumento del 49% a febbraio, per poi subire un calo del 57% a marzo
• Gli allegati PDF utilizzati per attacchi di phishing con CAPTCHA sono più che quadruplicati a marzo (+356%), superando il picco annuale del 37%
• I payload in formato DOC/DOCX sono quasi quintuplicati (+373%) a marzo, raggiungendo il 15% degli attacchi di phishing protetti da CAPTCHA
• Gli URL inseriti nelle e-mail, che un tempo rappresentavano oltre la metà degli attacchi di phishing protetti da CAPTCHA, hanno toccato il minimo degli ultimi otto mesi prima di registrare una parziale ripresa

Un filtro configurato per intercettare i payload HTML a febbraio non fornisce ai responsabili della sicurezza indicazioni significative sulla sua capacità di intercettare l'ondata di PDF prevista per marzo.

La sicurezza della posta elettronica basata sul rilevamento si basa su un unico interrogativo: si tratta di una minaccia?

Tuttavia, la sua efficacia dipende dal fatto che la soluzione abbia già incontrato quella minaccia (o almeno qualcosa di simile). Ma gli attacchi zero-day e i payload potenziati dall'IA superano in rapidità le ricerche basate su firme e i modelli di ML a motore singolo, eludendo così il rilevamento. È significativo che il phishing generato dall'IA sia aumentato di 14 volte nel dicembre 2025, raggiungendo il 56% di tutti i tentativi di phishing entro dicembre 2025, secondo l'Hoxhunt Phishing Trends Report, poiché queste minacce sono più difficili da individuare.

Il carico di lavoro legato all'ispezione è aggravato dall'uso strumentale dei formati: gli aggressori inviano contenuti dannosi tramite file HTML, PDF, SVG, DOC/DOCX e URL. Ogni formato presenta una propria superficie di contenuti attivi che i motori di rilevamento devono imparare a ispezionare singolarmente, limitando ulteriormente la capacità di rilevamento.

Infine, i test di benchmark condotti dalla stessa Microsoft dimostrano che Microsoft Defender rimuove in media il 70,8% delle e-mail dannose dopo la consegna. Le difese native del cloud presentano delle lacune che comportano esposizioni al rischio, anche in caso di tempi di permanenza brevi. Quando si interviene per risolvere il problema, l'utente potrebbe aver già aperto, inoltrato o interagito con un allegato dannoso.

Con questo non voglio dire che il rilevamento non sia più importante. La sicurezza della posta elettronica basata sul rilevamento funziona in modo eccellente contro le minacce note. Tuttavia, da sola, non è più sufficiente per i modelli di minaccia documentati da Microsoft in questo trimestre.

Nessun sistema di sicurezza della posta elettronica è in grado di eliminare ogni minaccia, ma una strategia efficace consiste nel garantire la massima copertura, il che oggi significa combinare il rilevamento con la prevenzione. Se la vostra strategia di sicurezza della posta elettronica si basa ancora principalmente sull'identificazione delle minacce prima di bloccarle, la rotazione dei payload documentata da Microsoft in questo trimestre vi dimostra quanto siate vulnerabili.

Aggiungere la prevenzione alla lista

Un approccio a più livelli pone una domanda diversa oltre a quella relativa al rilevamento: questo allegato contiene ancora contenuti attivi?

La tecnologia Deep CDR™ OPSWATnon cerca di stabilire se un file sia dannoso. Partendo dal presupposto che tutti i file possano esserlo, la tecnologia scompone i file, rimuove gli elementi potenzialmente rischiosi e fornisce una versione sicura. L'utente riceve un documento funzionante. La minaccia, nota o sconosciuta che sia, viene eliminata.

Quando i PDF contenenti payload di phishing protetti da CAPTCHA sono quadruplicati, un ambiente protetto dalla tecnologia Deep CDR™ non ha bisogno di riconoscere la nuova variante. Il contenuto attivo che rende possibile l'attacco viene comunque rimosso. Lo stesso vale per gli allegati DOC/DOCX, SVG, HTML e ZIP utilizzati come armi, nonché per i codici QR incorporati nei PDF, il vettore di attacco in più rapida crescita nel primo trimestre del 2026, con i PDF che rappresentano il 70% della distribuzione di QR dannosi.

La tecnologia Deep CDR™ è stata certificata da SE Labs come la prima soluzione CDR in assoluto a raggiungere un punteggio del 100% in termini di protezione e accuratezza.

Colmare la vulnerabilità zero-day con MetaDefender

La sanificazione neutralizza i contenuti attivi. Alcuni allegati richiedono comunque un'analisi comportamentale più approfondita, in particolare i payload evasivi progettati per apparire innocui durante l'analisi statica. MetaDefender Sandbox la prevenzione all'analisi dinamica basata sull'emulazione, mettendo in luce i comportamenti dannosi presenti negli allegati sospetti e fornendo un unico verdetto affidabile per una valutazione più rapida. Con un tasso di rilevamento degli attacchi zero-day del 99,9%, Aether colma le lacune residue lasciate dalla sola sanificazione e dalla scansione multipla.

MetaDefender ™ è la soluzione multistrato OPSWAT alle minacce descritte dai dati di Microsoft relativi al primo trimestre del 2026. Due modelli di implementazione, un'unica base combinata di rilevamento e prevenzione. È la soluzione multistrato OPSWAT alle minacce descritte dai dati di Microsoft relativi al primo trimestre del 2026. Due modelli di implementazione, un'unica base combinata di rilevamento e prevenzione.

MetaDefender Gateway Security™ (EGS) viene implementato come software a monte dei server di posta esistenti a livello SMTP/MX. Applica la tecnologia Deep CDR™ su oltre 200 tipi di file, MetaDefender Sandbox, Metascan con scansione multipla su oltre 30 motori antivirus per la più ampia copertura delle minacce conosciute, il rilevamento del phishing, Proactive DLP e Predictive Alin AI, un livello di IA pre-esecuzione che segnala in pochi millisecondi gli allegati generati dall'IA e quelli polimorfici, con funzionamento offline per OT/ICS e ambienti air-gapped.

MetaDefender Cloud Security™ (CES) potenzia gli ambienti Microsoft 365, implementandosi in pochi minuti senza necessità di modificare i record MX. Contro le tendenze dei payload basati su file documentate da Microsoft (strumentalizzazione di HTML, PDF, DOC, ZIP, SVG), CES applica la tecnologia Deep CDR™, MetaDefender , Metascan™ Multiscanning fino a 17 motori antivirus e l'IA predittiva Alin per ispezionare e sanificare ogni allegato nei flussi di posta in entrata e in uscita, compresi i file crittografati.

Grazie al nostro impegno costante nel portare sul mercato innovazioni in grado di garantire la sicurezza dei nostri clienti anche di fronte alle minacce moderne, come gli attacchi generati dall'intelligenza artificiale, OPSWAT protegge OPSWAT oltre 2.000 organizzazioni in tutto il mondo.