Crescono gli attacchi contro le PMI che sfruttano il nome di strumenti AI popolari. Kaspersky ha fatto oltre 33.000 rilevamenti nei primi quattro mesi del 2026, quasi cinque volte il dato del 2025.
Autore: Redazione SecurityOpenLab
Le piccole e medie imprese continuano a rappresentare un bersaglio privilegiato per i cybercriminali, sia come bersaglio diretto che come punto di accesso verso aziende più grandi e strutturate. Lo conferma il report Threat landscape for SMBs in 2026 pubblicato da Kaspersky in occasione dell'International SMB Day del 27 giugno. Il quadro che emerge è preoccupante per la rapida evoluzione delle esche utilizzate dagli attaccanti, la pervasività delle campagne di phishing e frode, e la crescente presenza di dati riferiti alle PMI nei mercati underground.
Il dato più significativo del report riguarda l'esplosione degli attacchi che utilizzano strumenti AI come esca. Tra gennaio e aprile 2026, le soluzioni Kaspersky hanno rilevato 33.352 attacchi contro utenti PMI in cui malware o applicazioni potenzialmente indesiderate erano camuffate da ChatGPT, DeepSeek, Grok, Claude e Gemini. Il numero è quasi cinque volte superiore a quello registrato nello stesso periodo del 2025 e supera del 39% i rilevamenti relativi ad attacchi che si travestono da software per ufficio e strumenti di collaborazione.
Il meccanismo è sempre lo stesso, semplicemente declinato sulla nuova tecnologia: più un prodotto è alla moda, più è appetibile come esca. E dato che siamo in piano hype AI, l'AI è oggi la categoria più sfruttata per ingannare gli utenti aziendali e le esche più prolifiche del momento sono Claude e OpenClaw, mentre poco tempo fa era ChatGPT ad essere sulla cresta dell’onda.
Non siamo ancora all’apice di questo trend, dato che nonostante i numeri siano in forte crescita, le app di comunicazione mantengono il primato come vettore d'attacco: nel periodo gennaio-aprile 2026, le soluzioni Kaspersky hanno bloccato 414.736 attacchi contro utenti PMI in cui gli attaccanti usavano popolari app di messaggistica e videoconferenza per far abboccare le potenziali vittime.
Resta in auge anche lo sfruttamento degli strumenti per la produttività: Kaspersky ha rilevato oltre 24.000 attacchi nei primi quattro mesi del 2026 in cui il malware si mascherava da celebri applicazioni Office, quali Outlook, PowerPoint, Excel, Word, Figma e Google Drive. In questo caso il meccanismo alla base è l’abuso di fiducia verso strumenti di lavoro con cui le vittime hanno grande confidenza, e cui associano erroneamente un sentimento di sicurezza.
Come ormai ben noto, il kit di phishing-as-a-service, complice il supporto dell’AI generativa, creano campagne con un livello di personalizzazione crescente. I criminali impersonano servizi finanziari e piattaforme AI per sottrarre credenziali, dati personali e denaro. In tutti i casi i messaggi sono curati graficamente e linguisticamente, sfruttano brand noti e contesti plausibili per abbassare la guardia del destinatario.
Un capitolo particolarmente significativo del report riguarda l'analisi dei forum underground. Kaspersky ha esaminato i post che offrono accesso iniziale alle infrastrutture aziendali nei primi mesi del 2025 e del 2026 e ha dedotto che i post riguardanti gli accessi a PMI rappresentano più della metà di tutte le offerte di initial access presenti nel dark web. Significa che broker di accesso iniziale trovano nelle PMI un bacino produttivo. Due sono i motivi alla base di questa percezione, secondo gli esperti di Kaspersky: le difese meno robuste rispetto alle grandi imprese (quindi sono più facili da compromettere) e l’appartenenza alla supply chain di grandi organizzazioni, nell’ottica di attacchi alle supply chain. Detto questo, i ricercatori notano che, nonostante il volume maggiore di post riguardi le piccole imprese, le medie rappresentano un obiettivo forse ancora più appetibile nell’ottica del miglior rapporto fra i ricavi di eventuali estorsioni e la raffinatezza delle difese, che comunque non è all’altezza delle enterprise.
In chiusura, Kaspersky raccomanda alle PMI un approccio che combina soluzioni di sicurezza dedicate, formazione continua del personale e attenzione ai canali da cui si scaricano software e aggiornamenti. In un contesto in cui gli attaccanti sfruttano il nome di strumenti che molti dipendenti utilizzano ogni giorno, la capacità di distinguere l'autentico dal contraffatto è diventata una competenza organizzativa fondamentale.