Le e-mail continuano a essere uno dei vettori di attacco preferiti dai cybercriminali. Secondo i più recenti dati telemetrici diffusi da Kaspersky, nel 2025 quasi un’e-mail su due (45% del traffico globale) era classificata come spam. Un dato che non si limita a indicare messaggi indesiderati, ma include minacce concrete come phishing, truffe e malware distribuiti tramite posta elettronica.
Nel corso dell’anno, utenti privati e aziende hanno ricevuto oltre 144 milioni di allegati e-mail dannosi o potenzialmente indesiderati, segnando un incremento del 15% rispetto al 2024. Un aumento che evidenzia una crescita non solo quantitativa, ma anche qualitativa degli attacchi, sempre più mirati e sofisticati.
Regioni più colpite e picchi stagionali
Nel 2025 l’area APAC ha registrato la quota più alta di rilevamenti antivirus nelle e-mail, con il 30% del totale globale, seguita dall’Europa al 21%. A seguire America Latina (16%), Medio Oriente (15%), Russia e CSI (12%) e Africa (6%).
Analizzando i singoli Paesi, la Cina ha riportato il tasso più elevato di allegati e-mail non dannosi ma potenzialmente indesiderati, con una percentuale di rilevamenti pari al 14%. Seguono Russia (11%), Messico (8%), Spagna (8%) e Turchia (5%). I picchi di rilevamento si sono registrati nei mesi di giugno, luglio e novembre, periodi in cui l’attività malevola via e-mail ha mostrato un’intensificazione moderata ma costante.
Phishing e spam: le nuove tecniche nel 2025
L’analisi annuale di Kaspersky evidenzia diverse tendenze destinate a proseguire anche nel 2026. Una delle più rilevanti è la combinazione di canali di comunicazione: le vittime vengono spinte dalle e-mail a spostarsi su servizi di messaggistica istantanea o a chiamare numeri telefonici fraudolenti. Le finte opportunità di investimento, ad esempio, reindirizzano verso siti contraffatti che raccolgono dati di contatto per successivi tentativi di truffa telefonica.
Sempre più diffuso anche l’uso di tecniche di evasione per mascherare link dannosi, tra cui servizi di protezione URL e codici QR incorporati nelle e-mail o in allegati PDF. Questi QR code nascondono collegamenti di phishing e invitano l’utente a scansionarli tramite smartphone, sfruttando talvolta controlli di sicurezza meno rigorosi rispetto ai PC aziendali.
Non manca l’abuso di piattaforme legittime: sono stati individuati casi in cui funzionalità di creazione organizzazioni e invito team sono state sfruttate per inviare spam da indirizzi apparentemente autentici. Inoltre, è riemerso uno schema di phishing basato sul calendario, già visto alla fine degli anni 2010, che prende di mira soprattutto utenti aziendali. Particolarmente insidiosi gli attacchi di tipo Business E-mail Compromise (BEC), sempre più raffinati. Nel 2025 gli aggressori hanno inserito finte e-mail inoltrate all’interno delle conversazioni, prive di alcune intestazioni tecniche, rendendo complessa la verifica della loro autenticità.
Secondo Roman Dedenok, Anti-Spam Expert di Kaspersky, il phishing via e-mail resta una minaccia da non sottovalutare: circa un attacco su dieci alle aziende ha origine proprio dal phishing, con una quota significativa riconducibile ad attività di Advanced Persistent Threat (APT). La diffusione dell’IA generativa ha ulteriormente amplificato il fenomeno, consentendo la creazione su larga scala di messaggi personalizzati e credibili, adattati a contesto, tono e destinatario con uno sforzo minimo.
Come proteggersi
Per ridurre il rischio, è fondamentale adottare alcune buone pratiche: diffidare degli inviti non richiesti, verificare con attenzione gli URL prima di cliccare, evitare di chiamare numeri indicati in e-mail sospette e cercare eventuali contatti direttamente sui siti ufficiali. In ambito aziendale, soluzioni di protezione multilivello per i server di posta e la formazione periodica del personale sulle tecniche di phishing rappresentano strumenti chiave per mitigare i rischi.
