GoPhish è uno degli strumenti open source di simulazione del phishing più conosciuti al mondo. Gratuito, rispettato dalla comunità della sicurezza, con oltre 13.000 stelle su GitHub.
Allora perché sempre più PMI stanno passando da GoPhish a soluzioni gestite? Perché testare il phishing e mettere in atto un programma di sensibilizzazione continuo sono due cose diverse, e GoPhish non è mai stato progettato per la seconda.
Questo confronto presenta i fatti. GoPhish ha punti di forza reali. NovaShield risponde a esigenze diverse.
GoPhish in sintesi
GoPhish è un framework open source di simulazione del phishing creato da Jordan Wright nel 2016. Scritto in Go e distribuito sotto licenza MIT, il progetto è ospitato su GitHub e ha accumulato oltre 13.000 stelle.
Il principio: si installa GoPhish sul proprio server, si configura un SMTP di invio, si creano template di email e pagine di destinazione, poi si lanciano le campagne. L'interfaccia web mostra i risultati: email inviate, aperte, link cliccati, credenziali inviate.
Punti importanti:
- Nessuna azienda dietro GoPhish. Progetto comunitario, nessun supporto commerciale, nessun SLA, nessuna roadmap garantita.
- Popolare tra i pentester e i red teamer. GoPhish è uno strumento di test di penetrazione prima di essere uno strumento di sensibilizzazione. La comunità lo utilizza principalmente per test puntuali durante gli audit di sicurezza.
- Solo self-hosted. Nessuna versione SaaS ufficiale. È necessario predisporre un server, installare il binario, configurare la rete e mantenere l'infrastruttura.
- Ultima versione stabile: 0.12.1 (secondo il repository GitHub). Il ritmo di sviluppo ha rallentato negli ultimi anni.
GoPhish rimane un punto di riferimento nel campo del phishing e dell'ingegneria sociale. Ha democratizzato la simulazione del phishing rendendola accessibile a chiunque sappia amministrare un server Linux.
Cosa fa bene GoPhish
GoPhish è un buon strumento per ciò che fa. Criticarlo per non essere un SaaS gestito sarebbe come rimproverare a un cacciavite di non essere un trapano.
Gratuito e open source, senza compromessi. Licenza MIT, uso commerciale senza restrizioni. Nessuna licenza da rinnovare, nessun pricing per utente. Per un'organizzazione con un budget per la sicurezza vicino allo zero, è un argomento di peso.
Controllo totale sui dati. L'hosting on-premise significa che i tuoi dati non lasciano mai la tua infrastruttura. Nessuna terza parte accede agli indirizzi email dei tuoi collaboratori né ai risultati delle campagne.
API REST ben documentata. Automatizza la creazione di campagne, l'importazione di utenti e il recupero dei risultati. Esistono script Python e integrazioni comunitarie.
Comunità attiva. Il wiki di GitHub, le issue e i tutorial della comunità coprono la maggior parte dei casi d'uso.
Strumento di riferimento per i pentest. Per un red teamer che conduce un test di spear phishing puntuale, GoPhish è spesso la scelta migliore: configurare una campagna mirata, misurare i risultati, produrre un report e passare al cliente successivo.
Quali sono i limiti di GoPhish per un programma di sensibilizzazione nelle PMI?
Il problema non è ciò che GoPhish fa. È ciò che non fa, e ciò che dovrete fare al suo posto.
Installazione e manutenzione: il tempo IT invisibile
Installare GoPhish non è un clic su "Avvia". Il processo implica:
- Predisporre un server Linux (VPS o macchina dedicata)
- Installare e configurare GoPhish (binario o Docker)
- Configurare un server SMTP di invio (con autenticazione, SPF, DKIM per evitare i filtri antispam)
- Acquistare e configurare un dominio dedicato per le pagine di phishing
- Ottenere un certificato SSL
- Configurare le regole del firewall e la sicurezza della rete
- Predisporre i backup del database
Conteggiate da 2 a 5 giorni di lavoro per un amministratore esperto. E questo è solo l'installazione iniziale. Poi: aggiornamenti del server, patch di sicurezza, monitoraggio dei log, gestione degli incidenti. Per una PMI di 80 persone con un responsabile IT a tempo parziale, questo tempo non è disponibile.
Nessun modulo di formazione
Questo è il limite più significativo per l'uso aziendale. Quando un collaboratore clicca su un link di phishing in una campagna GoPhish, viene reindirizzato a una pagina statica, e basta.
Nessun micro-learning adattivo, nessun modulo di formazione che spieghi perché l'email era sospetta, nessun meccanismo di rinforzo che riduca il rischio di recidiva, nessun percorso didattico progressivo.
La simulazione del phishing senza formazione è una diagnosi, non un programma di sensibilizzazione. Si identificano i collaboratori vulnerabili, ma non si aiuta a migliorarsi. I tassi di clic rimangono stabili di campagna in campagna perché nessuno impara dai propri errori. Secondo il Verizon DBIR 2024, il 68% delle violazioni coinvolge un fattore umano. Rilevare il problema senza trattarlo non riduce questa cifra.
Creazione di template: un lavoro artigianale
GoPhish non viene fornito con una libreria di modelli. Ogni template di email di phishing e ogni pagina di destinazione devono essere creati manualmente in HTML. Per simulazioni realistiche, ciò implica progettare un'email credibile, codificare l'HTML responsivo compatibile con i client email, creare la pagina di destinazione corrispondente e testare il rendering e la consegnabilità.
Conteggiate da 1 a 2 ore per template, sulla base dei feedback della comunità. Per un programma di sensibilizzazione che richiede da 20 a 30 scenari variati all'anno, sono da 30 a 60 ore di lavoro di creazione di contenuti. E i template esistenti condivisi dalla comunità sono quasi esclusivamente in inglese.
Dashboard limitato
GoPhish fornisce quattro metriche per campagna: email inviate, email aperte, link cliccati, credenziali inviate. È sufficiente per un report di pentest puntuale. È insufficiente per gestire un programma di sensibilizzazione continuo. Ciò che manca: un punteggio di rischio per collaboratore e per reparto, tendenze nel tempo, benchmark di settore, avvisi automatici quando un reparto supera una soglia di rischio.
Nessun report di conformità
La direttiva NIS2, applicabile dall'ottobre 2024, richiede alle entità interessate di dimostrare misure di sensibilizzazione del personale (articolo 21, paragrafo 2g). GoPhish non genera alcun report di conformità. Estrarre i dati grezzi e formattarli manualmente per un audit o un report alla direzione è un lavoro aggiuntivo dopo ogni campagna.
Responsabilità GDPR
Quando si ospita GoPhish sul proprio server, si è il titolare del trattamento ai sensi del GDPR per tutti i dati raccolti: indirizzi email, clic, credenziali inviate. Registro delle attività di trattamento, analisi d'impatto, sicurezza dei dati, notifica in caso di violazione: tutto è a vostro carico. Con un SaaS gestito, questa responsabilità è condivisa con il fornitore tramite un DPA.
Difficile scalabilità
Gestire campagne per 200 o 500 collaboratori in GoPhish diventa rapidamente faticoso. L'importazione di liste, la segmentazione per reparto, la pianificazione di campagne ricorrenti, il tracciamento individuale: tutto deve essere fatto manualmente o tramite script via API. È fattibile, ma richiede tempo aggiuntivo di sviluppo e manutenzione.
Qual è il vero costo di GoPhish?
GoPhish è gratuito. Ma gratuito non significa senza costi. Ecco un calcolo realistico per una PMI di 100 collaboratori in 12 mesi.
Costi di infrastruttura:
| Voce | Costo stimato |
|---|---|
| VPS (server dedicato) | Da 30 a 50 €/mese, ovvero da 360 a 600 €/anno |
| Dominio dedicato + certificato SSL | Da 15 a 30 €/anno |
| Subtotale infrastruttura | Da 375 a 630 €/anno |
Costi umani (tempo IT, base 450 €/giorno):
| Voce | Tempo stimato | Costo |
|---|---|---|
| Installazione iniziale | Da 3 a 5 giorni | Da 1.350 a 2.250 € |
| Manutenzione mensile (patch, monitoraggio) | 3 h/mese × 12 | 2.025 € |
| Creazione di 24 template (2 al mese) | 1,5 h × 24 | 2.025 € |
| Configurazione campagne (2/mese) | 1 h × 24 | 1.350 € |
| Estrazione e formattazione dei report | 2 h × 12 | 1.350 € |
| Subtotale tempo IT | Da 8.100 a 9.000 €/anno |
Costo totale di GoPhish: da 8.475 a 9.630 euro il primo anno. Negli anni successivi, senza l'installazione iniziale: circa da 6.750 a 7.380 euro all'anno.
Costo di NovaShield: gratuito fino a 50 collaboratori (offerta Freemium), poi da 59 euro al mese per 51-150 collaboratori, con simulazione, formazione post-fallimento, dashboard, report di conformità NIS2 e hosting incluso. Consulta tutti i livelli nella pagina prezzi di NovaShield.
E il costo della mancata formazione? GoPhish simula il phishing ma non forma i collaboratori che falliscono. Senza formazione, il tasso di clic non diminuisce in modo significativo. Ogni clic in una situazione reale può costare a una PMI tra 15.000 e 150.000 euro. Un solo incidente evitato all'anno ripaga l'investimento in una soluzione gestita.
Cosa NovaShield mira a fare diversamente
NovaShield non è un fork di GoPhish. È un prodotto progettato per un uso diverso: consentire alle PMI di avviare un programma di sensibilizzazione continuo senza mobilitare le proprie risorse IT.
Implementazione prevista in 15 minuti. Crea un account, importa i collaboratori (CSV o sincronizzazione con la directory), scegli gli scenari, lancia una prima campagna — senza server, senza SMTP, senza dominio da acquistare.
Scenari pronti all'uso. Template di phishing che imitano servizi di consegna pacchi, fornitori cloud, banche, buste paga o email dell'amministrazione fiscale — senza codificare un solo template HTML.
Formazione automatica post-fallimento. Quando un collaboratore clicca su un link di simulazione, accede a un modulo di micro-learning di 3-5 minuti che spiega i segnali di allerta specifici dell'email ricevuta. Questa è la differenza tra diagnosticare un problema e trattarlo. Secondo il SANS Security Awareness Report 2024, la formazione contestuale immediata riduce il tasso di recidiva del 50-75%.
Verifica delle email sospette tramite IA. Un'email dubbia? I collaboratori la inoltrano e ricevono un verdetto rapido — legittima o sospetta — con un'analisi delle intestazioni e dell'autenticazione SPF/DKIM/DMARC. Senza dover coinvolgere l'IT per ogni email sospetta.
Dashboard con punteggio di rischio per reparto, tipo di attacco e periodo, con progressione nel tempo e report per la direzione in un clic.

Report di conformità NIS2 generati automaticamente, che attestano le campagne e la formazione dei collaboratori, pronti per un audit.
Infrastruttura ospitata in Francia. Dati delle campagne e informazioni dei collaboratori su server in Francia, senza trasferimento transatlantico.
Inizia la tua prova gratuita di 14 giorni, senza impegno, per confrontare con un'installazione GoPhish esistente.
Per chi scegliere GoPhish o NovaShield?
I due strumenti non rispondono alla stessa esigenza. Ecco un quadro decisionale obiettivo.
Scegli GoPhish se:
- Sei un pentester o un red teamer e conduci test di phishing puntuali per i clienti.
- Hai un team IT disponibile con un amministratore di sistema che può dedicare tempo all'installazione, alla manutenzione e alla creazione di template.
- Hai bisogno di una personalizzazione avanzata. Il codice sorgente aperto consente di modificare il comportamento di GoPhish senza restrizioni.
- Il tuo budget è realmente zero e preferisci investire tempo piuttosto che denaro.
- Stai eseguendo un test puntuale, un singolo audit di resilienza al phishing, senza programma di follow-up.
Scegli NovaShield se:
- Stai mettendo in atto un programma di sensibilizzazione continuo con campagne regolari, tracciamento nel tempo e formazione dei collaboratori.
- Sei una PMI senza un team di sicurezza dedicato e il tuo responsabile IT ha altro da fare che mantenere un server e creare template HTML.
- Hai bisogno di report di conformità per NIS2, il GDPR o audit interni.
- Vuoi formare, non solo testare. La simulazione senza formazione non riduce il rischio.
- Vuoi scenari pronti all'uso senza codificare template da zero.
- L'hosting dei dati in Francia è importante per te.
Come migrare da GoPhish a NovaShield?
Se stai già usando GoPhish e la manutenzione sta diventando onerosa, la migrazione è progettata per essere semplice.
- Esporta la tua lista di utenti. In GoPhish, accedi a "Users & Groups" ed esporta i tuoi contatti in formato CSV. Le colonne email, nome, cognome e reparto sono sufficienti.
- Crea il tuo account NovaShield. Registrati gratuitamente, senza carta di credito.
- Importa i tuoi utenti. Carica il file CSV esportato da GoPhish.
- Lancia la tua prima campagna. Scegli gli scenari, seleziona i gruppi target, pianifica l'invio.
- Conserva o archivia i tuoi dati storici di GoPhish. Rimangono sul tuo server GoPhish. Puoi mantenerlo in modalità sola lettura durante la transizione, o esportare i risultati delle campagne in formato JSON tramite l'API GoPhish per archiviarli.
Il server GoPhish può poi essere dismesso: un server in meno da mantenere, meno patch di sicurezza da applicare, tempo IT recuperato per attività di maggior valore.
GoPhish è un eccellente strumento open source che ha reso la simulazione del phishing accessibile a tutti. Per un pentest puntuale o un team con solide competenze tecniche, svolge perfettamente il suo ruolo.
Ma per una PMI che vuole ridurre il proprio rischio umano in modo sostenibile, con formazione, tracciamento e conformità, senza mobilitare l'IT, GoPhish raggiunge i suoi limiti. Confronta i risultati con la tua installazione GoPhish esistente.
Domande frequenti
GoPhish è davvero gratuito?
Il software GoPhish è gratuito e open source (licenza MIT). Ma il costo reale include il tempo di installazione e configurazione (conta da 2 a 5 giorni per un deployment funzionante), la manutenzione del server, gli aggiornamenti di sicurezza, la creazione manuale di template di phishing e il tempo del tuo team IT per gestire lo strumento. Per una PMI senza un team IT dedicato, il costo nascosto spesso supera il prezzo di una soluzione gestita.
Come si installa GoPhish?
GoPhish richiede un server (Linux consigliato), la configurazione di un server SMTP per l'invio di email, un certificato SSL, un dominio dedicato per le pagine di phishing e regole del firewall. L'installazione tecnica richiede da 2 a 5 giorni per un deployment completo e stabile. Prova NovaShield gratuitamente per confrontare.
Si può usare GoPhish in azienda?
Sì, ma con limitazioni. GoPhish funziona bene per test puntuali. Per un programma di sensibilizzazione continuo con formazione post-fallimento, tracciamento del rischio umano e report di conformità, mancano le funzionalità essenziali. Inoltre, ospitare GoPhish sulla propria infrastruttura rende responsabili della sicurezza dei dati raccolti ai sensi del GDPR.
Perché passare da GoPhish a una soluzione gestita?
Le ragioni più frequenti: la manutenzione di GoPhish monopolizza il tempo IT, i template sono difficili da creare, non c'è formazione automatica post-fallimento e i report non sono sufficienti per dimostrare la conformità NIS2.
GoPhish o NovaShield: quale è più adatto per una PMI?
GoPhish è appropriato se hai un team IT disponibile, un'esigenza di test puntuale e un budget vicino allo zero. NovaShield è orientato alle PMI che vogliono un programma di sensibilizzazione continuo, senza mobilitare l'IT, con report di conformità NIS2 e dati ospitati in Francia. Per una PMI da 50 a 500 collaboratori, NovaShield mira a essere più conveniente di GoPhish una volta integrato il costo umano nel calcolo.
Sull'autore
Kaci è il fondatore di NovaShield, laureato con un Master in Cybersecurity & Cloud all'IPSSI. NovaShield è un fornitore referenziato sulla piattaforma Cybermalveillance.gouv.fr.
