CERT-AgID fornisce alcune indicazioni per le amministrazioni che conducono simulazioni di campagne di phishing, al fine di evitare che i test vengano scambiati per attacchi reali. Tra i suggerimenti principali: inserire un commento nel codice HTML per segnalare la natura simulata, mantenere visibili le informazioni WHOIS del dominio, informare preventivamente i CERT istituzionali con dati essenziali (domini, IP, periodo), pubblicare un file security.txt sul dominio per fornire contatti di verifica. Questi accorgimenti riducono il rischio di falsi positivi e consentono ai CERT di concentrarsi sulle minacce reali.
Fonte: cert-agid.gov.it