facebook-pixel
L
Lunyb

Phishing: Come Riconoscere una Truffa Online nel 2026

T
Team Sicurezza Lunyb
··9 min read

Il phishing è oggi la minaccia informatica più diffusa in Italia: secondo i dati della Polizia Postale e del CERT-AGID, ogni anno milioni di italiani ricevono email, SMS e messaggi WhatsApp progettati per rubare credenziali bancarie, dati personali e denaro. Riconoscere una truffa di phishing prima di cliccare può salvarti da perdite economiche e furti d'identità. In questa guida ti mostriamo, con esempi concreti, come identificare ogni tipologia di phishing e quali strumenti usare per difenderti.

Cos'è il phishing e perché funziona

Il phishing è una tecnica di ingegneria sociale con cui un truffatore si finge un'entità affidabile (banca, corriere, ente pubblico, social network) per indurre la vittima a rivelare informazioni sensibili o cliccare su link malevoli. Il termine deriva dall'inglese "fishing" (pescare): il criminale getta l'esca e attende che qualcuno abbocchi.

Funziona così bene perché sfrutta tre leve psicologiche fondamentali:

  • Urgenza: "Il tuo conto verrà bloccato entro 24 ore"
  • Paura: "Abbiamo rilevato un accesso sospetto"
  • Curiosità o avidità: "Hai vinto un buono Amazon da 500€"

Quando il cervello entra in modalità reattiva, il pensiero critico si abbassa e la probabilità di cliccare aumenta drasticamente.

Le principali tipologie di phishing

Non esiste un solo tipo di phishing: i criminali hanno sviluppato varianti specializzate per ogni canale di comunicazione. Conoscerle tutte è il primo passo per difendersi.

1. Email phishing

È la forma classica: un'email che imita perfettamente la grafica di Poste Italiane, Intesa Sanpaolo, Agenzia delle Entrate o Amazon. Contiene un link che porta a un sito clone dove ti chiedono di inserire username e password.

2. Smishing (SMS phishing)

Truffa via SMS, in forte crescita in Italia. I messaggi tipici: "Pacco in giacenza, conferma indirizzo qui [link]" oppure "INPS: rimborso disponibile, accedi con SPID". Spesso il mittente sembra ufficiale grazie allo spoofing del nome.

3. Vishing (voice phishing)

Truffa telefonica. Un finto operatore della tua banca ti chiama dicendo che ci sono transazioni sospette e ti chiede di confermare i codici OTP che ricevi via SMS. In realtà, sta autorizzando bonifici dal tuo conto.

4. Spear phishing

Attacco mirato e personalizzato. Il criminale ha studiato la vittima (LinkedIn, social) e invia un messaggio credibile, magari fingendosi un collega o un fornitore. Molto usato contro aziende e dirigenti.

5. Phishing su WhatsApp e Telegram

Messaggi che sembrano arrivare da un amico ("Ciao, ho perso il telefono, mi mandi un codice?") o falsi gruppi di lavoro/investimento che promettono guadagni rapidi.

Come riconoscere una truffa di phishing: i 10 segnali d'allarme

Ecco i segnali che dovrebbero farti drizzare le antenne immediatamente. Anche solo uno di questi è sufficiente per sospettare.

  1. Mittente sospetto: l'indirizzo email contiene domini strani come poste-italiane-sicurezza.com invece di poste.it. Controlla sempre il dominio dopo la @.
  2. Saluto generico: "Gentile cliente" invece del tuo nome. Le banche e i servizi seri ti chiamano per nome.
  3. Errori grammaticali e di traduzione: virgole fuori posto, frasi tradotte male, accenti errati.
  4. Senso di urgenza eccessivo: "Agisci entro 24 ore o il conto sarà chiuso".
  5. Richiesta di credenziali o dati sensibili: nessuna banca o ente ti chiederà mai password, PIN o codici OTP via email o SMS.
  6. Link sospetti: passa il mouse sul link senza cliccare e controlla l'URL reale in basso a sinistra. Spesso non corrisponde al testo visualizzato.
  7. Allegati inattesi: file .zip, .exe o documenti Office con macro da abilitare sono quasi sempre malware.
  8. Offerte troppo belle per essere vere: vincite, rimborsi inattesi, eredità da parenti lontani.
  9. Loghi sgranati o di bassa qualità: spesso copiati male da Google Immagini.
  10. Indirizzo del sito (URL) anomalo: domini con caratteri strani, sottodomini infiniti, assenza di HTTPS.

Tabella di confronto: email legittima vs email di phishing

CaratteristicaEmail legittimaEmail di phishing
MittenteDominio ufficiale (es. @poste.it)Dominio simile o sconosciuto
SalutoPersonalizzato con nome e cognomeGenerico ("Gentile utente")
TonoInformativo, mai allarmisticoUrgente, minaccioso
RichiesteMai password o OTP via emailChiede credenziali, codici, dati carta
LinkPunta al dominio ufficialePunta a domini diversi o accorciati
GrammaticaCorretta e professionaleErrori, traduzioni automatiche
AllegatiRari e annunciatiSpesso .zip, .exe o documenti con macro

Come verificare un link sospetto prima di cliccare

Il link è il cuore di quasi ogni attacco di phishing. Imparare a ispezionarlo è una competenza essenziale.

1. Anteprima del link

Su desktop, passa il cursore sopra il link senza cliccare: in basso a sinistra del browser apparirà l'URL reale. Su smartphone, tieni premuto il dito sul link per visualizzare l'anteprima.

2. Analizza il dominio

Il dominio principale è quello immediatamente prima dell'estensione (.it, .com, .net). Esempio: in https://poste.it.sicurezza-login.ru/accesso, il dominio reale è sicurezza-login.ru, non poste.it.

3. Usa scanner online

Strumenti come VirusTotal, URLVoid e Google Safe Browsing permettono di analizzare un URL senza visitarlo. Incolla il link e controlla se è segnalato come malevolo.

4. Attenzione ai link accorciati

Bit.ly, tinyurl e altri shortener nascondono la destinazione reale. Per questo è importante usare servizi affidabili: piattaforme professionali come Lunyb offrono link brevi sicuri con anteprima della destinazione e protezione anti-malware integrata, riducendo il rischio per chi clicca. Se vuoi approfondire come funzionano i link brevi sicuri, leggi la nostra guida su come creare link brevi personalizzati.

Cosa fare se hai cliccato su un link di phishing

Se hai già cliccato o, peggio, inserito i tuoi dati, agisci immediatamente seguendo questi passaggi nell'ordine indicato.

  1. Disconnetti il dispositivo da internet per impedire l'esfiltrazione di altri dati o l'installazione di malware.
  2. Cambia subito le password degli account coinvolti, partendo da email principale e home banking. Usa una password unica e robusta per ogni servizio.
  3. Attiva l'autenticazione a due fattori (2FA) ovunque possibile, preferibilmente con app come Google Authenticator o Authy invece dell'SMS.
  4. Contatta la tua banca se hai inserito dati bancari o autorizzato operazioni: richiedi il blocco di carte e il monitoraggio del conto.
  5. Esegui una scansione antivirus completa con un software aggiornato (Windows Defender, Malwarebytes, Bitdefender).
  6. Segnala l'incidente alla Polizia Postale (commissariatodips.it) e, in caso di violazione di dati personali, al Garante per la Protezione dei Dati Personali.
  7. Monitora il credito: controlla per i mesi successivi estratti conto, CRIF e movimenti sospetti.

Strumenti e abitudini per prevenire il phishing

La prevenzione è sempre più efficace della reazione. Ecco le pratiche che, secondo le linee guida del CERT-AGID e del Garante Privacy, riducono drasticamente il rischio.

Password manager

Bitwarden, 1Password e KeePass generano password uniche per ogni sito e le compilano automaticamente solo sul dominio corretto: se sei su un sito di phishing, il password manager non riconoscerà il dominio e non compilerà i campi, dandoti un segnale d'allarme.

Autenticazione a due fattori

Anche se la password viene rubata, senza il secondo fattore l'attaccante non può entrare. Preferisci app TOTP o chiavi hardware (YubiKey) all'SMS, vulnerabile al SIM swap.

Filtri antispam avanzati

Gmail, Outlook e ProtonMail integrano filtri AI molto efficaci. Per le aziende, soluzioni come Microsoft Defender for Office 365 o Proofpoint bloccano la maggior parte delle email malevole prima che raggiungano la casella.

Estensioni browser anti-phishing

Estensioni come Netcraft, Bitdefender TrafficLight e uBlock Origin avvisano in tempo reale se stai visitando un sito noto per phishing.

Aggiornamenti costanti

Mantieni sempre aggiornati sistema operativo, browser e antivirus: molte campagne sfruttano vulnerabilità note già corrette dalle patch.

Formazione e consapevolezza

Per le aziende, simulazioni periodiche di phishing e corsi di sensibilizzazione riducono fino al 70% il tasso di click su link malevoli. Anche a livello personale, restare aggiornati su tecniche nuove è fondamentale: per chi gestisce campagne marketing e link, abbiamo recensito i migliori strumenti di tracking link del 2026 che includono funzionalità di sicurezza avanzate.

Phishing in Italia: dati e contesto normativo

Secondo l'ultimo rapporto Clusit, il phishing rappresenta oltre il 30% degli incidenti informatici registrati in Italia. Il CERT-AGID pubblica settimanalmente bollettini con le campagne attive contro cittadini e Pubblica Amministrazione: una risorsa gratuita preziosa per restare informati.

Sul piano normativo, il GDPR impone alle aziende vittime di data breach causati da phishing l'obbligo di notifica al Garante entro 72 ore e, nei casi gravi, agli interessati. Il Codice Penale italiano punisce la frode informatica (art. 640-ter) con la reclusione fino a 3 anni e, in casi aggravati, fino a 6 anni.

Pro e contro delle principali difese anti-phishing

Vantaggi delle difese tecniche

  • Protezione automatica anche quando l'attenzione cala
  • Blocco di domini malevoli noti in tempo reale
  • Riduzione drastica delle email che arrivano in inbox
  • Compatibilità con compliance GDPR e ISO 27001

Limiti

  • Nessuno strumento blocca il 100% degli attacchi, soprattutto quelli zero-day
  • Lo spear phishing mirato spesso bypassa i filtri
  • I falsi positivi possono bloccare email legittime
  • L'errore umano resta il principale vettore: la formazione è insostituibile

FAQ - Domande frequenti sul phishing

Come faccio a capire se un'email viene davvero dalla mia banca?

Le banche italiane non chiedono mai credenziali, PIN o codici OTP via email o SMS. In caso di dubbio, non cliccare sui link nell'email: apri il browser, digita manualmente l'indirizzo ufficiale della banca o usa l'app, e verifica direttamente nel tuo account se ci sono comunicazioni reali.

I link accorciati sono sempre pericolosi?

No, non in assoluto. I link brevi sono uno strumento legittimo usato per marketing, social media e tracking. Il rischio dipende dalla piattaforma: i servizi seri offrono protezione anti-malware, anteprima del link e statistiche trasparenti. Diffida invece di link accorciati ricevuti da mittenti sconosciuti o in contesti sospetti.

Cosa succede se inserisco la password su un sito di phishing?

I criminali ottengono immediatamente le tue credenziali e le usano per accedere ai tuoi account, spesso entro pochi minuti. Devi cambiare la password subito su tutti i servizi dove la usi (idealmente, dovresti usare password uniche), attivare la 2FA e monitorare l'account per accessi anomali.

Il phishing colpisce solo via email?

No. Negli ultimi anni gli attacchi via SMS (smishing), telefono (vishing), WhatsApp, Telegram e persino QR code (quishing) sono cresciuti enormemente. Anche i social network e i marketplace come Subito.it e Vinted sono diventati canali frequenti. La regola di base resta la stessa: mai cliccare su link sospetti né condividere codici di sicurezza.

Dove posso segnalare un tentativo di phishing in Italia?

Puoi segnalare alla Polizia Postale tramite il portale commissariatodips.it, al CERT-AGID per email che imitano la PA (segnalazioni@cert-agid.gov.it) e al Garante Privacy in caso di violazione di dati personali. Segnalare aiuta a bloccare le campagne attive e proteggere altri utenti.

Conclusione

Riconoscere una truffa di phishing è una competenza che, nel 2026, è diventata indispensabile quanto sapere usare l'home banking. I criminali diventano sempre più sofisticati, ma le regole d'oro restano semplici: diffida dell'urgenza, controlla sempre mittente e dominio, non inserire mai credenziali tramite link ricevuti, attiva la 2FA ovunque. Combinando consapevolezza, strumenti tecnici e abitudini sicure, riduci il rischio di cadere vittima a livelli minimi. La prossima email sospetta che riceverai sarà l'occasione perfetta per mettere in pratica quanto hai letto.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free