Quando il phishing diventa una lezione
Il percorso di HoneyPeople tra ricerca, scuole e cittadini
C’è un momento, durante un attacco di phishing, in cui anche le persone più sicure di sé iniziano a dubitare. Una mail apparentemente legittima, un messaggio scritto in modo convincente, una richiesta urgente: basta poco per trasformare un attacco informatico in qualcosa di estremamente umano.
È proprio da questa consapevolezza che nasce il percorso educativo proposto da Fondazione Bruno Kessler attraverso HoneyPeople, il tool di cyber deception sviluppato dall’unità DAISY in collaborazione con Università di Trento. Nato come strumento di ricerca per studiare il social engineering ed i comportamenti degli attaccanti, HoneyPeople sfrutta l’Intelligenza Artificiale generativa per simulare interazioni via email realistiche e protette. Nel tempo, il progetto si è evoluto in un efficace percorso di formazione e awareness, capace di coinvolgere pubblici diversi: cittadini, scuole superiori e studenti internazionali di varie discipline.
L’obiettivo non è soltanto spiegare cosa sia il phishing, ma far vivere alle persone un’esperienza concreta e realistica, mostrando come gli attaccanti sfruttino emozioni, abitudini digitali e meccanismi psicologici molto più che vulnerabilità tecniche.
Il phishing oggi: un problema sempre più umano
Negli ultimi anni il phishing si è evoluto rapidamente. Se in passato molte truffe online erano facilmente riconoscibili, oggi gli attacchi sono diventati più credibili, personalizzati e sofisticati, anche grazie alla diffusione dell’intelligenza artificiale generativa.
Le tecniche di social engineering sfruttano urgenza, fiducia, paura o curiosità per convincere le persone a cliccare su link malevoli, condividere informazioni sensibili o eseguire azioni rischiose: in questo scenario, la componente umana rappresenta sempre più spesso il principale punto di ingresso degli attacchi.
Per questo motivo la cybersecurity awareness non può più limitarsi a spiegazioni teoriche o linee guida astratte. Diventa invece fondamentale creare esperienze pratiche e coinvolgenti, capaci di mostrare concretamente come funziona un attacco e quali segnali possano aiutare a riconoscerlo. Anche a livello europeo, strategia e normative come la direttiva NIS2 stanno ponendo crescente attenzione sulla formazione e sulla consapevolezza delle persone, riconoscendo il fattore umano come uno degli elementi centrali della sicurezza digitale.
Dalla ricerca alla divulgazione: il ruolo di HoneyPeople
HoneyPeople nasce nel contesto della cyber deception, un approccio che utilizza ambienti e interazioni credibili (generate anche tramite AI e monitorate dal sistema stesso) per rallentare, osservare e comprendere le operazioni eseguite dagli attaccanti. Il sistema sfrutta le stesse tecniche di social engineering utilizzate nelle campagne di phishing reali, creando identità digitali e scenari plausibili con cui gli attaccanti possono interagire. Questo permette ai ricercatori di studiare dinamiche, strategie e modalità operative utilizzate durante le diverse fasi degli attacchi.
Il sistema, progettato per ricostruire e analizzare le catene di attacco legate al phishing, nel tempo si è rivelato anche uno strumento particolarmente efficace per attività educative e divulgative. Attraverso simulazioni realistiche, scenari interattivi e attività basate sulla gamification, HoneyPeople consente ai partecipanti di vestire i panni dell’attaccante e comprendere concetti complessi attraverso esperienze accessibili anche a persone prive di competenze informatiche specialistiche.
Proprio questo approccio esperienziale si è dimostrato particolarmente efficace nel coinvolgere il pubblico e nel rendere più concreti e comprensibili i meccanismi alla base del phishing e del social engineering. Dopotutto, quale modo migliore per imparare a difendersi se non osservare in prima persona cosa rende un attacco credibile ed efficace?
Capire il rischio attraverso l’esperienza: il percorso tra cittadini, scuole e università
Le attività sviluppate con HoneyPeople sono state sperimentate in contesti molto diversi tra loro, coinvolgendo cittadini, studenti delle scuole superiori e partecipanti internazionali provenienti da percorsi multidisciplinari.
La prima esperienza pubblica si è svolta durante la Notte della Ricerca 2025, dove i partecipanti sono stati invitati a mettersi nei panni di un attaccante attraverso una serie di sfide progressive ispirate alle competizioni Capture The Flag (CTF). L’attività ha mostrato come informazioni apparentemente innocue possano essere utilizzate per costruire attacchi mirati e convincenti, favorendo al tempo stesso il confronto diretto con i ricercatori e la condivisione di esperienze personali legate a truffe e tentativi di inganno online.
L’esperienza è stata successivamente adattata al contesto scolastico grazie alla collaborazione con l’Unità Scholars and PhD Program e il Liceo Scientifico Galileo Galilei di Trento. Con il contributo dei docenti, che hanno aiutato a modellare contenuti e modalità di interazione sulle esigenze delle diverse classi, le attività sono state integrate con momenti di approfondimento dedicati al phishing, al social engineering e all’impatto dell’Intelligenza Artificiale, seguiti da esercizi pratici di analisi di email sospette. Molti studenti, inizialmente convinti di saper riconoscere facilmente un attacco, hanno scoperto quanto sia difficile distinguere comunicazioni autentiche da messaggi fraudolenti ben costruiti.
Lo stesso approccio è stato infine proposto a circa 60 studenti internazionali coinvolti nel progetto MERIT. Nonostante i diversi background disciplinari dei partecipanti, le attività hanno evidenziato come phishing, manipolazione online e consapevolezza digitale siano temi trasversali che riguardano ormai chiunque operi in contesti sempre più digitalizzati.
In tutti i casi è emerso un elemento comune: l’apprendimento risulta più efficace quando le persone vengono coinvolte direttamente in scenari realistici che permettono di osservare, comprendere e sperimentare in prima persona i meccanismi alla base degli attacchi informatici.
Oltre la tecnologia: costruire consapevolezza
Le esperienze sviluppate attraverso HoneyPeople mostrano come strumenti nati dalla ricerca possano avere un impatto concreto anche fuori dai laboratori, trasformandosi in occasioni di formazione, divulgazione e partecipazione.
Nel contesto moderno in cui gli attacchi informatici diventano sempre più credibili e personalizzati grazie all’Intelligenza Artificiale, la tecnologia da sola non basta. Servono consapevolezza, spirito critico e la capacità di riconoscere dinamiche manipolative che fanno leva soprattutto sul comportamento umano. Per questo motivo, accanto a norme, linee guida e percorsi formativi tradizionali, diventa sempre più importante sperimentare approcci educativi innovativi, capaci di coinvolgere attivamente le persone e trasformare la sicurezza informatica da concetto astratto a esperienza concreta.
Le attività realizzate con HoneyPeople hanno mostrato come la gamification, l’interazione diretta e la simulazione di scenari realistici possano rendere più accessibili e memorabili temi spesso percepiti come complessi o lontani dalla quotidianità. Rappresentano inoltre un punto di partenza per sviluppare strumenti ancora più orientati alla cybersecurity awareness, sfruttando l’Intelligenza Artificiale per creare percorsi formativi personalizzati, simulazioni dinamiche e sfide interattive che accompagnino le persone nell’acquisizione di competenze utili ad affrontare le minacce digitali di oggi e di domani.
Hanno partecipato alle attività: Daniele Santoro, Claudio Facchinetti, Domenico Siracusa, Matteo Franzil, Adriano Patton, Valentina Pasqualino, Andrea Palmieri.
