facebook-pixel
L
Lunyb

Cosa Fare se ti Rubano l'Account Email: Guida Completa 2026

T
Team Sicurezza Lunyb
··9 min read

L'account email è la chiave maestra della tua vita digitale. Se te lo rubano, l'attaccante può accedere a banche, social, servizi cloud e potenzialmente rubare la tua identità. In questa guida ti spiego esattamente cosa fare nei primi minuti, nelle prime ore e nei giorni successivi a un furto di account email, con riferimenti normativi italiani aggiornati al 2026.

Come capire se ti hanno rubato l'account email

Prima di agire, devi confermare il sospetto. Un account email compromesso presenta segnali specifici che è importante riconoscere tempestivamente.

Segnali tipici di un account email compromesso

  • Non riesci più ad accedere nonostante la password sia corretta (l'attaccante l'ha cambiata).
  • Email inviate che non ricordi di aver scritto, presenti nella cartella "Inviati".
  • Notifiche di accesso da posizioni sconosciute (es. "Nuovo accesso da Mosca, Lagos, Hanoi").
  • Email di reset password di servizi terzi (banca, PayPal, Amazon) che non hai richiesto.
  • I tuoi contatti ti segnalano email strane o link sospetti ricevuti a tuo nome.
  • Regole filtro create senza il tuo consenso che spostano o eliminano automaticamente email in arrivo.
  • L'indirizzo di recupero o il numero di telefono sono stati modificati.

Se anche uno solo di questi segnali è presente, considera l'account compromesso e agisci immediatamente.

Cosa fare nei primi 10 minuti: la checklist d'emergenza

Il tempo è il fattore critico. Più ritardi, più danni può fare l'attaccante. Ecco la sequenza esatta da seguire.

  1. Tenta subito il reset della password dal sito ufficiale del provider (Gmail, Outlook, Libero, Aruba, Yahoo). Usa un dispositivo che ritieni sicuro, possibilmente diverso da quello usato di solito.
  2. Se il reset funziona, scegli una password forte e completamente nuova (almeno 16 caratteri, mix di lettere, numeri, simboli).
  3. Attiva immediatamente l'autenticazione a due fattori (2FA), preferibilmente con app come Google Authenticator, Authy o Microsoft Authenticator (non solo SMS, vulnerabili al SIM swap).
  4. Disconnetti tutte le sessioni attive dalle impostazioni di sicurezza dell'account.
  5. Controlla e rimuovi dispositivi sconosciuti, app collegate e regole filtro sospette.
  6. Verifica l'indirizzo email di recupero e il numero di telefono associato: ripristinali se modificati.

Se non riesci ad accedere all'account

Quando l'attaccante ha già cambiato password e dati di recupero, devi usare le procedure ufficiali di recupero account:

  • Gmail/Google: vai su accounts.google.com/signin/recovery e segui la procedura. Google chiede informazioni storiche (vecchie password, data di creazione, contatti frequenti).
  • Outlook/Microsoft: usa il modulo su account.live.com/acsr. Devi fornire dati specifici come oggetti di email recenti.
  • Provider italiani (Libero, Virgilio, Tiscali, Aruba): contatta direttamente l'assistenza clienti. Spesso richiedono documento d'identità.
  • Apple iCloud: usa iforgot.apple.com o contatta il supporto Apple.

Mettere in sicurezza gli account collegati

L'email è il punto di partenza, ma l'attaccante potrebbe aver già compromesso altri servizi. Devi fare un inventario rapido e cambiare tutte le password dei servizi critici.

Ordine di priorità per cambiare le password

  1. Home banking e servizi finanziari (banca, PayPal, Satispay, Revolut, broker).
  2. Account governativi (SPID, INPS, Agenzia delle Entrate, NoiPA).
  3. E-commerce con metodi di pagamento salvati (Amazon, eBay, Subito).
  4. Social network (Facebook, Instagram, LinkedIn, X, TikTok).
  5. Servizi cloud (Google Drive, OneDrive, Dropbox, iCloud).
  6. App di messaggistica (WhatsApp, Telegram, Signal).
  7. Altri servizi minori registrati con quell'email.

Per ogni servizio, oltre a cambiare la password, attiva l'autenticazione a due fattori e controlla i log di accesso. Se vedi accessi sospetti, segnala l'incidente al servizio stesso.

Controllo dei dati bancari

Verifica subito i movimenti bancari e delle carte di credito degli ultimi 30 giorni. In caso di transazioni sospette:

  • Blocca immediatamente le carte tramite app o numero verde della banca.
  • Avvia la procedura di chargeback per addebiti non autorizzati.
  • Richiedi nuove carte con nuovi numeri.

Denunciare il furto: aspetti legali in Italia

Il furto di un account email è un reato penale in Italia, configurabile come accesso abusivo a sistema informatico (art. 615-ter c.p.) e potenzialmente come sostituzione di persona (art. 494 c.p.) o frode informatica (art. 640-ter c.p.).

Dove e come denunciare

  1. Polizia Postale: presenta denuncia online su commissariatodips.it o di persona presso il commissariato più vicino. Porta con te screenshot, email sospette, log di accesso e tutti gli indizi raccolti.
  2. Carabinieri: in alternativa, puoi denunciare presso qualsiasi caserma.
  3. Garante per la Protezione dei Dati Personali: se sono stati esposti dati personali tuoi o di terzi (es. una mailing list aziendale), valuta una segnalazione su gpdp.it. In ambito GDPR, una violazione di dati va notificata entro 72 ore se sei titolare del trattamento.

Per approfondire gli obblighi normativi, leggi la nostra guida completa sulla protezione dei dati in Italia 2026.

Documenti utili per la denuncia

  • Screenshot di email sospette, accessi anomali, modifiche all'account.
  • Eventuali comunicazioni con l'attaccante (richieste di riscatto, ricatti).
  • Log di accesso forniti dal provider (data, ora, IP).
  • Elenco dei servizi potenzialmente compromessi.
  • Eventuali movimenti bancari sospetti.

Come l'attaccante ha rubato l'account: capire per prevenire

Capire come è avvenuto il furto ti aiuta a evitare che si ripeta. Ecco le tecniche più comuni nel 2026.

Tecniche di furto account email più diffuse

Tecnica Come funziona Come difendersi
Phishing Email o SMS che imitano il provider e ti portano a una pagina di login falsa Verificare sempre l'URL, non cliccare link sospetti, usare 2FA
Credential stuffing Riutilizzo di password rubate in altri data breach Password univoche per ogni servizio, password manager
Malware/keylogger Software malevolo che registra le password digitate Antivirus aggiornato, evitare software pirata
SIM swap L'attaccante ottiene una SIM duplicata e intercetta SMS di verifica 2FA con app, non solo SMS
Social engineering Manipolazione psicologica per farti rivelare dati Diffidenza, verifica indipendente delle richieste
Wi-Fi pubblici non sicuri Intercettazione del traffico su reti aperte DNS cifrato, HTTPS, evitare login su reti pubbliche

Puoi verificare se la tua email è stata coinvolta in data breach noti su servizi come haveibeenpwned.com: inserisci l'indirizzo e scopri in quali violazioni è apparso.

Prevenzione: come proteggere l'account email in futuro

Recuperare l'account è il primo passo; il vero obiettivo è rendere il furto improbabile. Ecco le best practice da implementare subito.

10 regole d'oro per un account email blindato

  1. Password unica e lunga: minimo 16 caratteri, generata casualmente.
  2. Password manager: usa Bitwarden, 1Password, KeePass o simili per gestire password univoche per ogni servizio.
  3. 2FA con app authenticator: evita gli SMS, preferisci Authy, Google Authenticator, o chiavi hardware come YubiKey.
  4. Email di recupero dedicata: crea un secondo account email usato solo per il recupero, mai per registrazioni o comunicazioni.
  5. Controllo periodico degli accessi: ogni mese, verifica i log di sicurezza dell'account.
  6. Aggiornamenti software: mantieni sistema operativo, browser e app sempre aggiornati.
  7. Antivirus e antimalware: usa una soluzione affidabile con scansione in tempo reale.
  8. Attenzione al phishing: non cliccare link sospetti, verifica sempre il dominio del mittente.
  9. Backup periodico: esporta regolarmente le email importanti su uno storage cifrato.
  10. Email diverse per scopi diversi: una per banca/servizi critici, una per social, una per newsletter e registrazioni.

Attenzione ai link sospetti

Molti attacchi phishing iniziano con un link mascherato. Quando ricevi un'email con un URL accorciato, prima di cliccare verifica la destinazione reale. Esistono servizi di shortening che mostrano statistiche e anteprima della destinazione: per esempio, Lunyb permette di creare e gestire link con dashboard dettagliate, utile sia per chi vuole condividere link in modo trasparente sia per analizzare il traffico. Se vuoi un confronto completo, leggi la guida alle migliori piattaforme di gestione link 2026 o la recensione onesta di Lunyb.

Comunicare l'incidente: amici, colleghi, clienti

Se l'attaccante ha usato il tuo account per inviare email malevole, devi avvisare i contatti che potrebbero averle ricevute. Questo limita la diffusione del danno e protegge la tua reputazione.

Come avvisare i contatti

  • Messaggio chiaro e breve: "Il mio account email è stato compromesso tra il [data] e il [data]. Se hai ricevuto messaggi sospetti da me in quel periodo, ignorali e non cliccare alcun link."
  • Canale alternativo: usa WhatsApp, SMS o telefono per i contatti più importanti, non l'email appena recuperata.
  • Contesto aziendale: se sei in azienda, informa subito IT/security e management. Potrebbero esserci obblighi di notifica al Garante entro 72 ore.

Cosa fare se vengono richiesti soldi o ricatti

Una variante particolarmente sgradevole è la sextortion o il ricatto: l'attaccante minaccia di diffondere dati personali, foto o conversazioni private se non paghi un riscatto, spesso in criptovaluta.

Regole assolute

  1. Non pagare mai: il pagamento non garantisce nulla e ti identifica come vittima pagante per attacchi futuri.
  2. Conserva tutte le prove: screenshot, email, indirizzi di wallet criptovaluta.
  3. Denuncia subito alla Polizia Postale, anche se ti vergogni del contenuto.
  4. Non rispondere all'attaccante, ogni risposta conferma che l'account è attivo.

FAQ: Domande frequenti sul furto di account email

Quanto tempo ci vuole per recuperare un account email rubato?

Dipende dal provider e dallo stato dell'account. Se l'attaccante non ha cambiato i dati di recupero, puoi recuperare l'accesso in pochi minuti. Se ha modificato password, email di recupero e numero di telefono, il processo può richiedere da 24 ore a 2-3 settimane, soprattutto su Google e Microsoft, che fanno verifiche approfondite per evitare recuperi fraudolenti.

La Polizia Postale può davvero rintracciare chi mi ha rubato l'email?

Sì, ma con limiti. Se l'attaccante opera dall'estero o usa tecniche di anonimizzazione (Tor, server proxy), l'identificazione è difficile. Tuttavia, la denuncia è comunque importante: serve come prova in caso di danni successivi (furto d'identità, frodi), permette di sbloccare procedure assicurative, e contribuisce a indagini più ampie su gruppi criminali organizzati.

Devo informare il Garante della Privacy se mi rubano l'email personale?

No, se si tratta di un account personale privato. L'obbligo di notifica al Garante entro 72 ore riguarda i titolari del trattamento: aziende, professionisti, enti che gestiscono dati di terzi. Se sei un libero professionista o titolare d'azienda e l'account compromesso conteneva dati di clienti, fornitori o dipendenti, scatta l'obbligo di notifica e potenzialmente di comunicazione agli interessati.

Conviene cambiare indirizzo email dopo un furto?

Non sempre. Se hai recuperato l'account, attivato 2FA con app, cambiato password e disconnesso tutte le sessioni, l'account è di nuovo sicuro. Cambiare indirizzo è oneroso (devi aggiornare tutti i servizi collegati) e di solito non necessario. Considera il cambio solo se l'account è stato esposto in modo grave (es. dati sensibili pubblicati online) o se non riesci a recuperarlo.

Le password manager sono davvero sicuri? E se rubano anche quello?

I password manager moderni cifrano i dati con crittografia end-to-end: nemmeno il fornitore può leggere le tue password. Il rischio principale è dimenticare la master password (che non è recuperabile) o usarne una debole. Proteggi il password manager con una master password lunga e univoca, 2FA, e backup cifrato. Anche con il rischio teorico, sono molto più sicuri del riutilizzo della stessa password su 50 siti diversi.

Conclusione

Subire il furto di un account email è stressante, ma con i giusti passaggi puoi limitare i danni e tornare al controllo in poche ore. La regola d'oro è agire rapidamente: ogni minuto di ritardo è un'opportunità in più per l'attaccante. Soprattutto, sfrutta l'esperienza per implementare difese robuste (password manager, 2FA con app, monitoraggio accessi) che rendano l'account praticamente inespugnabile in futuro.

Se gestisci anche link, contenuti o comunicazioni online per lavoro, considera strumenti che ti diano controllo e visibilità sui dati che condividi. Per approfondire il tema della sicurezza digitale a 360°, dai un'occhiata alle nostre guide sulla protezione dati in Italia.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Data Breach in Italia 2026: Cosa Sapere e Come Proteggersi

Guida completa ai data breach in Italia nel 2026: definizione GDPR, obblighi di notifica al Garante entro 72 ore, sanzioni, casi recenti e best practice di prevenzione. Tutto quello che aziende e utenti devono sapere per proteggere i dati personali.

10 min

Cosa Sa Google di Te: Come Verificarlo e Riprendere il Controllo

Google raccoglie più dati su di te di quanto immagini: ricerche, posizioni, video, voce, acquisti. In questa guida ti mostro come verificare esattamente cosa sa, come scaricare l'archivio completo, cosa cancellare e come ridurre la traccia futura in pochi minuti.

10 min

Ingegneria Sociale: Tipi e Come Difendersi nel 2026

L'ingegneria sociale sfrutta la psicologia umana per rubare dati e denaro. Scopri i 10 tipi di attacchi più diffusi - dal phishing al vishing al pretexting - e le strategie pratiche per difendere te stesso e la tua azienda nel 2026.

9 min

Furto di Dati: Come Reagire Velocemente in 7 Passi (Guida 2026)

Scoprire di essere vittima di un furto di dati richiede reazione immediata: ogni minuto conta per limitare i danni. In questa guida trovi i 7 passi da seguire nelle prime 24 ore, la checklist d'emergenza, gli obblighi GDPR e le strategie per prevenire futuri incidenti.

9 min