Saper riconoscere un sito truffa è diventata una competenza essenziale per chiunque faccia acquisti online, utilizzi servizi bancari digitali o semplicemente navighi in internet. Le truffe online si sono evolute enormemente negli ultimi anni — i siti falsi di oggi sono spesso indistinguibili visivamente da quelli legittimi, con grafica curata, recensioni false e URL che sembrano quasi identici agli originali. In questa guida trovi i segnali d’allarme concreti da controllare prima di fidarsi di un sito e di inserire i propri dati o pagare.
I segnali più affidabili di un sito truffa sono: URL con errori ortografici o dominio sospetto, assenza di HTTPS, prezzi irrealisticamente bassi, metodi di pagamento solo non tracciabili, nessun recapito fisico verificabile, recensioni tutte positive e recenti. Questa guida mostra come controllare un sito in meno di due minuti prima di fidarsi.
Indice
- Controlla l’URL: il primo indizio
- HTTPS non basta: cosa significa davvero
- Prezzi troppo bassi: il campanello d’allarme classico
- Metodi di pagamento sospetti
- Verifica i contatti e la partita IVA
- Recensioni false: come riconoscerle
- Controllare chi ha registrato il dominio
- Strumenti gratuiti per verificare un sito
- Siti di phishing: la variante più pericolosa
- Domande frequenti
Controlla l’URL: il primo indizio
Il primo controllo da fare è sempre l’URL nella barra degli indirizzi — non quello nel corpo dell’email o nel messaggio che ti ha portato sul sito, ma quello che appare effettivamente nel browser dopo il caricamento della pagina. I truffatori usano tecniche di typosquatting: registrano domini con piccoli errori ortografici o variazioni che a colpo d’occhio sembrano identici all’originale. Amazon diventa “arnazon.com”, PayPal diventa “paypa1.com” (con il numero 1 al posto della lettera l), o il dominio ufficiale viene messo come sottodominio di un dominio truffa (“paypal.com.truffa123.net” — il dominio reale è “truffa123.net”, non “paypal.com”).
Controlla anche l’estensione del dominio. Un sito che usa .com o .it per un brand noto in una versione leggermente diversa è sospetto. Le estensioni insolite come .xyz, .top, .click, .tk per siti di e-commerce o servizi bancari sono spesso usate per truffe — non perché queste estensioni siano illegali, ma perché costano pochissimo e vengono abbandonate rapidamente dopo una truffa. Aggiungi ai preferiti i siti che usi spesso e raggiungi sempre da lì, invece di cliccare su link nelle email.
HTTPS non basta: cosa significa davvero
Molti pensano che il lucchetto verde HTTPS sia una garanzia di sicurezza. Non è così. HTTPS garantisce che la connessione tra il tuo browser e il sito è cifrata — ma non dice nulla sull’affidabilità del sito stesso. Un sito truffa può avere perfettamente il certificato HTTPS (gratuito e ottenibile in pochi minuti tramite Let’s Encrypt). Il lucchetto significa solo che nessuno può intercettare il traffico tra te e quel sito — non che il sito sia legittimo.
La vera utilità di HTTPS è proteggere dai cosiddetti attacchi man-in-the-middle, non dalle truffe dei gestori del sito. Quindi: un sito senza HTTPS (con il messaggio “Non sicuro” nel browser) è sempre sospetto. Un sito con HTTPS potrebbe ancora essere una truffa. HTTPS è necessario ma non sufficiente per fidarsi di un sito.
Prezzi troppo bassi: il campanello d’allarme classico
Se un iPhone 16 Pro costa 299 euro su un sito sconosciuto mentre su tutti gli altri ne costa 1.299, non stai trovando un affare — stai per essere truffato. I prezzi irrealisticamente bassi sono uno dei segnali più affidabili di truffa, specialmente per elettronica, abbigliamento di marca e prodotti di lusso. Il meccanismo più comune è uno di questi tre: il prodotto non esiste e prendi i tuoi soldi senza mai ricevere nulla, ricevi una replica contraffatta di scarsa qualità, oppure il sito raccoglie i dati della carta di credito e li usa per altri acquisti fraudolenti.
Una buona regola pratica: se lo sconto supera il 50-60% sul prezzo di mercato di un prodotto che normalmente non ha sconti così aggressivi, è quasi certamente una truffa. I veri saldi esistono, ma raramente sui prodotti più recenti e raramente con sconti così estremi. Prima di acquistare su un sito sconosciuto con prezzi bassissimi, cerca il nome del sito su Google aggiungendo “truffa”, “recensioni” o “opinioni” — spesso trovi già decine di segnalazioni di altri utenti.
Metodi di pagamento sospetti
I siti legittimi accettano metodi di pagamento tracciabili e che offrono protezione all’acquirente: carte di credito/debito con circuiti Visa o Mastercard, PayPal, bonifici bancari per importi grandi. I siti truffa tendono a spingere verso metodi non tracciabili o irrecuperabili: ricariche Postepay, bonifici istantanei a privati, pagamenti in criptovaluta, buoni Amazon o iTunes come “metodo di pagamento alternativo”.
Se un sito accetta solo bonifico bancario a un privato (non a una società) o solo carte prepagate non nominative, è un segnale di allarme serio. Al contrario, pagare con carta di credito su siti sconosciuti è paradossalmente più sicuro che con altri metodi: puoi avviare una procedura di chargeback con la tua banca se il prodotto non arriva o non è come descritto, recuperando l’importo. Con un bonifico a privato o con criptovaluta, i soldi sono irrecuperabili.
Verifica i contatti e la partita IVA
Un sito di e-commerce legittimo che opera in Italia deve avere nella pagina “Chi siamo” o nei termini e condizioni: ragione sociale o nome del titolare, partita IVA italiana, indirizzo fisico verificabile, email di contatto funzionante, e numero di telefono o modulo di contatto. Puoi verificare la partita IVA italiana gratuitamente sul sito ufficiale dell’Agenzia delle Entrate (agenziaentrate.gov.it) nella sezione di ricerca VIES — in pochi secondi sai se è registrata e a chi appartiene.
Se mancano questi dati, o se l’indirizzo fisico porta a un indirizzo inesistente su Google Maps, o se la partita IVA non è verificabile, evita il sito. Molti siti truffa usano indirizzi in paesi esteri (spesso Cina o paesi dell’Est Europa) pur presentandosi come shop italiani — il punto di consegna o la sede operativa estera non è necessariamente sospetto, ma la mancanza di una ragione sociale verificabile lo è sempre.
Recensioni false: come riconoscerle
Le recensioni sono facilmente manipolabili e non vanno mai prese come prova definitiva di affidabilità. I segnali di recensioni false sono abbastanza riconoscibili a chi sa cosa guardare. Tutte le recensioni sono a 5 stelle senza eccezioni — nessun sito legittimo ha solo recensioni perfette. Le date sono concentrate in un breve periodo (molte recensioni aggiunte lo stesso giorno o la stessa settimana). Il testo è generico e non descrive un’esperienza specifica. Il profilo del recensore non ha storia o ha recensito solo quel sito.
Per le recensioni su Google Maps e Trustpilot, cerca sempre il sito con il suo nome esatto (non tramite il link sul sito stesso, che potrebbe rimandare a una pagina diversa da quella recensita). Trustpilot è utile ma può essere manipolato — verifica sia le recensioni positive che le negative, e guarda come il venditore risponde alle recensioni negative. Un venditore legittimo risponde con soluzioni concrete; uno truffaldino non risponde o usa testi generici. Per approfondire come difenderti dalle truffe digitali in generale, leggi la nostra guida su phishing: cos’è e come riconoscerlo.
Controllare chi ha registrato il dominio
Ogni dominio internet ha una registrazione pubblica consultabile tramite i servizi WHOIS. Puoi usare who.is o il WHOIS di ICANN per vedere quando è stato registrato il dominio, da chi (spesso le informazioni sono oscurate per privacy, ma non sempre) e per quanto tempo è stato pagato. Un sito di e-commerce registrato due settimane fa e pagato per un solo anno è un segnale di allarme — i siti legittimi vengono registrati anni prima del lancio e rinnovati per periodi lunghi.
Controlla anche la data di creazione del dominio rispetto all’anzianità dichiarata dal sito. Un sito che afferma di essere attivo dal 2010 ma con un dominio registrato nel 2024 sta chiaramente mentendo. La corrispondenza tra la storia dichiarata del sito e i dati WHOIS è un indicatore utile di affidabilità.
Strumenti gratuiti per verificare un sito
Esistono diversi strumenti online gratuiti che analizzano un sito e segnalano potenziali problemi. Google Safe Browsing è il più diffuso: puoi usarlo indirettamente tramite Chrome (che avvisa automaticamente per i siti nella lista nera di Google) oppure direttamente tramite la pagina Google Transparency Report. URLVoid e Scamadviser analizzano la reputazione di un dominio incrociando diverse fonti. VirusTotal permette di scansionare URL e file con oltre 70 motori antivirus contemporaneamente.
Nessuno di questi strumenti è infallibile — un sito truffa nuovo può non essere ancora nelle basi dati — ma la combinazione di più controlli riduce significativamente il rischio. Se un sito supera tutti i controlli (HTTPS, partita IVA verificabile, dominio anziano, recensioni credibili, prezzi realistici, metodi di pagamento tracciabili), è ragionevolmente affidabile. Se fallisce anche solo due o tre di questi controlli, è meglio non rischiare.
Siti di phishing: la variante più pericolosa
I siti di phishing non cercano di venderti qualcosa di falso — cercano di rubarti le credenziali di accesso o i dati della carta di credito. Imitano graficamente siti legittimi (la tua banca, Amazon, PayPal, l’INPS, le Poste Italiane) con una cura sempre maggiore, e ti ci portano tramite email, SMS o messaggi WhatsApp con testi urgenti: “Il tuo conto è stato sospeso”, “Verifica il tuo metodo di pagamento”, “Pacco in attesa di consegna”.
Il modo più efficace per non cadere nel phishing è non cliccare mai sui link nelle email o negli SMS che riguardano banche, pagamenti o spedizioni — apri sempre il sito direttamente dal browser digitando l’URL o usando i preferiti. Le banche non chiedono mai credenziali via email o SMS. Le Poste Italiane non ti manderanno un SMS con un link per sbloccare un pacco. Qualsiasi messaggio che crea urgenza e ti chiede di cliccare su un link per “verificare” o “sbloccare” qualcosa è phishing con altissima probabilità.
Domande frequenti
Ho già inserito i miei dati su un sito sospetto: cosa faccio?
Se hai inserito dati della carta di credito, chiama subito la banca e blocca la carta. Se hai inserito username e password di un servizio (email, banca, social), cambia immediatamente la password da un dispositivo sicuro e attiva l’autenticazione a due fattori. Se hai già effettuato un pagamento, contatta la banca per avviare una procedura di chargeback e presenta una denuncia alla Polizia Postale (tramite il sito commissariatodips.it).
Posso recuperare i soldi pagati su un sito truffa?
Dipende dal metodo di pagamento. Con carta di credito hai le migliori possibilità tramite chargeback, da avviare entro 60-120 giorni dal pagamento. Con PayPal puoi aprire una disputa entro 180 giorni. Con bonifico bancario a privato o con criptovaluta il recupero è quasi impossibile senza un’azione legale. Segnala sempre l’accaduto alla Polizia Postale — aumenta le probabilità di bloccare il truffatore.
Il fatto che un sito sia su Google è una garanzia?
No. Google indicizza e mostra anche nei risultati di ricerca siti fraudolenti, almeno fino a quando non vengono segnalati e rimossi. Comparire nelle prime pagine di Google non è una prova di affidabilità — i truffatori fanno anche SEO. La presenza nei risultati organici di Google è un piccolo segnale positivo ma non sostituisce gli altri controlli descritti in questa guida.
