Cos’è il phishing e come riconoscerlo è qualcosa che chiunque usi internet dovrebbe sapere. È la truffa informatica più diffusa al mondo, quella che colpisce più persone ogni anno — non solo i poco esperti, ma anche professionisti attenti. Il nome viene dall’inglese “fishing” (pesca) con una “ph” tipica dell’hacker slang degli anni ’90: qualcuno lancia un’esca, aspetta che qualcuno abbocchi, e porta a casa credenziali, dati bancari o accesso a sistemi. Capire come funziona è il modo più efficace per difendersi.
Il phishing è una tecnica di attacco informatico in cui i criminali si fingono entità affidabili (banche, corrieri, servizi online) per ottenere credenziali, dati personali o accesso a dispositivi. Avviene via email, SMS (smishing), telefono (vishing) e social network. I segnali di riconoscimento sono precisi e imparabili. In Italia nel 2025 ha causato perdite per centinaia di milioni di euro.
Indice
- Come funziona un attacco di phishing
- I tipi di phishing: email, SMS, telefono e social
- Come riconoscerlo: i segnali concreti
- Esempi reali di phishing in Italia
- Spear phishing: gli attacchi personalizzati
- Cosa fare se hai cliccato su un link sospetto
- Come difendersi: le regole pratiche
- Domande frequenti
Come funziona un attacco di phishing
La struttura di un attacco di phishing segue quasi sempre lo stesso schema. Il criminale crea un messaggio — di solito un’email — che sembra provenire da un ente di fiducia: la tua banca, PayPal, Amazon, l’Agenzia delle Entrate, le Poste Italiane, DHL. Il messaggio crea un senso di urgenza: il tuo conto è stato sospeso, c’è un pacco fermo al magazzino, devi aggiornare le tue credenziali entro 24 ore.
Dentro al messaggio c’è un link. Il link porta a un sito che visivamente è quasi identico all’originale — stesso logo, stesso layout, stesso colore. Ma l’URL è diverso: invece di bancaintesa.it potrebbe essere bancaintesa-sicurezza.com, o intesa-banca.it, o qualcosa di simile. Chi non guarda l’URL prima di inserire dati non se ne accorge.
Una volta sul sito falso, ti viene chiesto di inserire username, password, numero di carta di credito, codice PIN, codice OTP. In pochi secondi queste informazioni arrivano ai criminali, che le usano immediatamente per svuotare conti bancari, fare acquisti fraudolenti o vendere le credenziali sul dark web.
L’intera catena è automatizzata e scalabile: un criminale può inviare milioni di email di phishing con un costo minimo, e anche se solo lo 0,1% delle persone abbocca, il risultato economico può essere significativo.
I tipi di phishing: email, SMS, telefono e social
Il phishing via email è il più classico. Le email vengono inviate in massa — spesso da indirizzi che sembrano legittimi grazie a tecniche di spoofing — e cercano di portarti su siti falsi o di farti scaricare allegati infetti.
Lo smishing (SMS phishing) è diventato molto comune negli ultimi anni. Arriva come un SMS che sembra provenire dalla tua banca, da un corriere o da un servizio noto. I messaggi SMS sembrano più affidabili delle email per molte persone, e i link accorciati nascondono meglio la destinazione reale. “Il tuo pacco è in attesa, clicca qui per sbloccare la consegna” è uno dei formati più diffusi in Italia.
Il vishing (voice phishing) è il phishing telefonico. Ricevi una chiamata da qualcuno che si presenta come operatore della tua banca, della polizia postale o di un’azienda tech. Ti informano di un problema urgente con il tuo account e ti chiedono di confermare dati personali, di installare software di “assistenza remota” o di trasferire fondi su un “conto sicuro”. Alcune call center di vishing sono altamente professionali, con copioni ben scritti e risposte a possibili obiezioni.
Il phishing sui social network avviene tramite messaggi diretti su WhatsApp, Instagram, Facebook o LinkedIn. “Ciao, sono il supporto di Instagram, il tuo account è a rischio — verifica qui.” Oppure messaggi da account di amici reali, compromessi e usati per inviare link infetti a tutta la lista contatti.
Come riconoscerlo: i segnali concreti
Imparare a riconoscere il phishing significa allenare l’occhio su alcuni elementi specifici. Il primo è l’indirizzo email del mittente. Non guardare solo il nome visualizzato — quello può essere impostato su qualsiasi cosa — ma l’indirizzo reale. “Supporto Amazon” come nome visualizzato con un indirizzo come support@amaz0n-account.net è un segnale chiarissimo. Le aziende reali usano i loro domini ufficiali.
Il secondo segnale è il senso di urgenza artificiale. “Il tuo account verrà sospeso entro 24 ore”, “Azione richiesta immediatamente”, “Accedi subito per evitare la perdita dei tuoi dati”. Questa pressione temporale è progettata per farti agire senza pensare. Le aziende reali non comunicano così — e certamente non ti chiedono credenziali via email.
Il terzo segnale è l’URL sospetto. Prima di cliccare, passa il mouse sul link (desktop) o tieni premuto (mobile) per vedere la destinazione reale. Un URL legittimo di una banca italiana finisce con .it e usa il dominio esatto della banca, non variazioni. Attenzione anche ai link su redirect: URL che iniziano con “google.com/url?q=…” o simili possono mascherare la destinazione finale.
Errori grammaticali e di formattazione erano un tempo un segnale affidabile, ma con l’uso dell’AI da parte dei criminali le email di phishing sono diventate molto più convincenti. Non fare affidamento solo su questo criterio.
Esempi reali di phishing in Italia
In Italia, i vettori di phishing più usati negli ultimi anni seguono schemi ricorrenti. Le truffe che imitano le Poste Italiane sono tra le più frequenti: SMS e email che avvisano di un pacco da ritirare, di un rimborso da richiedere, di un conto corrente BancoPosta da verificare. Il volume è enorme perché Poste ha una base utenti vastissima e molte persone ci hanno conti e carte.
Gli attacchi che imitano l’Agenzia delle Entrate sono particolarmente efficaci perché generano paura: “Hai un rimborso fiscale disponibile, inserisci l’IBAN per riceverlo” oppure “Hai un avviso di accertamento, accedi subito per visualizzarlo.” Nessuno ignora una comunicazione che sembra provenire dal fisco.
Le truffe legate ai corrieri — DHL, GLS, BRT, Amazon Logistics — esplodono nei periodi di acquisti intensi come il Black Friday e il Natale, quando le persone hanno effettivamente pacchi in arrivo e non si interrogano troppo su un SMS che chiede di “sbloccare la consegna pagando 1,99 euro di spese doganali”.
Spear phishing: gli attacchi personalizzati
Il phishing di massa è indiscriminato: stessa email a milioni di persone, sperando che qualcuna abbocchi. Lo spear phishing è diverso: è un attacco mirato, progettato su misura per una persona o un’organizzazione specifica. Il criminale raccoglie informazioni sulla vittima — dal profilo LinkedIn, dai social network, da data breach precedenti — e costruisce un messaggio altamente convincente.
“Ciao Marco, come discusso nella call di ieri con il team commerciale, ti allego il contratto aggiornato da firmare prima di venerdì.” Se Marco ha effettivamente un team commerciale e usa questa terminologia, e il mittente sembra essere un collega, abbassare la guardia è naturale. Questo tipo di attacco è usato principalmente contro dipendenti di aziende per ottenere credenziali aziendali, trasferimenti bancari o accesso a sistemi interni.
Cosa fare se hai cliccato su un link sospetto
Se hai cliccato su un link sospetto ma non hai inserito nessun dato, probabilmente sei al sicuro. Chiudi la pagina, non inserire nulla, esegui una scansione con un antivirus aggiornato per sicurezza.
Se hai inserito la password di un account, cambiala immediatamente da un dispositivo diverso. Se hai inserito dati bancari o numeri di carta di credito, chiama subito la banca per bloccare la carta e segnalare l’incidente. Molte banche hanno linee dedicate per le frodi disponibili 24 ore su 24. Agisci entro i primi minuti: i criminali tentano di usare le credenziali sottratte quasi istantaneamente.
Puoi anche segnalare il sito di phishing alla Polizia Postale su commissariatodips.it. Aiuta a bloccare il sito e a proteggere altri utenti. Per proteggere il tuo account e capire se è già stato compromesso, leggi come verificare se il tuo dispositivo è stato compromesso.
Come difendersi: le regole pratiche
La regola più importante è semplice: nessuna azienda legittima ti chiederà mai le tue credenziali via email, SMS o telefono. La tua banca non ti manderà un’email chiedendoti di inserire PIN e password su un sito web. L’Agenzia delle Entrate non ti chiederà l’IBAN via SMS. Se ricevi una comunicazione del genere, è phishing.
Attiva sempre l’autenticazione a due fattori (2FA) su tutti gli account importanti — banca, email, social network. Anche se qualcuno ottiene la tua password tramite phishing, senza il secondo fattore non può accedere. Il 2FA non è infallibile (esistono attacchi avanzati che lo aggirano), ma elimina la stragrande maggioranza dei rischi.
Non cliccare mai sui link nelle email — vai direttamente al sito della tua banca o del servizio digitando l’indirizzo nel browser o usando i segnalibri. Se ricevi un SMS da un corriere, non cliccare: vai sul sito del corriere e inserisci manualmente il numero di tracking. Questo piccolo cambio di abitudine elimina quasi completamente il rischio di phishing da link.
Infine, mantieni aggiornati sistema operativo, browser e antivirus. Molti attacchi di phishing sfruttano vulnerabilità note nei sistemi non aggiornati per installare malware anche senza che l’utente inserisca dati manualmente.
Domande frequenti
Il phishing è un reato in Italia?
Sì. È perseguito penalmente come frode informatica (art. 640-ter c.p.), sostituzione di persona (art. 494 c.p.) e accesso abusivo a sistemi informatici (art. 615-ter c.p.). Le pene possono arrivare a diversi anni di reclusione. Puoi sporgere denuncia alla Polizia Postale sia fisicamente che online su commissariatodips.it.
Come faccio a sapere se un sito è falso?
Guarda sempre l’URL nella barra del browser, non solo il contenuto della pagina. Verifica che inizi con https:// (il lucchetto non garantisce la legittimità del sito, ma la sua assenza è un segnale negativo). Controlla che il dominio sia esattamente quello ufficiale: intesasanpaolo.com è legittimo, intesa-sanpaolo-sicurezza.com non lo è. In caso di dubbio, chiudi la pagina e accedi al servizio digitando l’indirizzo ufficiale.
Il mio antivirus mi protegge dal phishing?
Parzialmente. I moderni antivirus includono protezione web che blocca i siti di phishing noti. Ma i siti di phishing vengono creati e cambiati costantemente, quindi non tutti vengono rilevati in tempo. Il filtro antiphishing dei browser (Chrome, Firefox, Edge lo hanno integrato) blocca molti siti pericolosi. Ma nessuno strumento tecnologico sostituisce la consapevolezza dell’utente.
Posso ricevere phishing anche su WhatsApp?
Sì. Il phishing su WhatsApp avviene spesso attraverso account compromessi di contatti reali — l’amico che ti manda un link “guarda che cosa interessante” senza ulteriore contesto. Anche messaggi da numeri sconosciuti che offrono lavoro, premi o opportunità sono frequenti. La regola è la stessa: non cliccare su link inaspettati, anche se vengono da contatti fidati.
