Skip to main content

Phishing: cos’è, come riconoscerlo e cosa fare

phishing
| Luca Lampis | Sicurezza informatica

Il phishing è una delle forme più diffuse di truffa digitale: un messaggio, una telefonata, un SMS o un sito apparentemente legittimo vengono usati per indurre la vittima a consegnare password, dati bancari, codici OTP, documenti o informazioni aziendali riservate. Non è soltanto “una mail falsa”: è una tecnica di ingegneria sociale che sfrutta fiducia, urgenza, paura e abitudine.

Negli ultimi anni il fenomeno si è evoluto. Gli attacchi non sono più riconoscibili solo da errori grammaticali o loghi sgranati. L’uso dell’intelligenza artificiale, la clonazione vocale, i QR code malevoli e le tecniche di bypass della MFA hanno reso il phishing più credibile e più difficile da intercettare. Microsoft segnala, ad esempio, campagne di device code phishing in cui l’utente viene spinto a inserire un codice su pagine apparentemente legittime, concedendo all’attaccante accesso a servizi cloud, email e dati collegati.

Indice dei contenuti

  1. Che cos’è il phishing e perché funziona
    1. Phishing, spam, malware e truffa: differenze
  2. Come riconoscere un tentativo di phishing
    1. I segnali più importanti da controllare
    2. Il lucchetto HTTPS non basta
  3. Tipologie di phishing più diffuse
    1. Email phishing e spear phishing
    2. Smishing: SMS da banca, Poste o corriere
    3. Vishing e deepfake vocali
    4. Quishing: phishing tramite QR code
  4. Ho cliccato su un link phishing: cosa devo fare?
    1. Se hai solo aperto il link
    2. Se hai inserito username e password
    3. Se hai inserito dati bancari, carta o OTP
  5. Phishing in azienda: rischi, prove e risposta
    1. Cosa deve fare un dipendente
    2. Cosa deve fare l’azienda
  6. Come prevenire il phishing
    1. Difese personali
    2. Difese aziendali
  7. Quando rivolgersi a professionisti o investigatori privati
  8. FAQ sul phishing
    1. Una mail ben scritta può essere phishing?
    2. Se ho cliccato ma non ho inserito dati, sono salvo?
    3. Devo rispondere a un SMS sospetto?
    4. La banca rimborsa sempre in caso di phishing?
    5. Dove segnalare un phishing in Italia?

Che cos’è il phishing e perché funziona

Il phishing è una truffa informatica basata sull’impersonificazione. Il criminale si presenta come banca, corriere, fornitore, social network, ente pubblico, collega o dirigente aziendale. L’obiettivo è far compiere alla vittima un’azione: cliccare un link, aprire un allegato, inserire credenziali, confermare un pagamento o comunicare un codice.

La Polizia Postale definisce il phishing come una truffa realizzata attraverso l’inganno degli utenti, spesso tramite messaggi che sembrano provenire da soggetti affidabili.

Phishing, spam, malware e truffa: differenze

TermineSignificatoRischio principale
Phishing Inganno per sottrarre dati o denaro Furto credenziali, pagamenti fraudolenti
Spam Messaggi indesiderati inviati in massa Fastidio, pubblicità, possibile veicolo di truffe
Malware Software dannoso installato sul dispositivo Furto dati, controllo remoto, ransomware
Smishing Phishing via SMS Furto credenziali bancarie o dati carta
Vishing Phishing tramite telefonata Manipolazione vocale, finte autorizzazioni
Quishing Phishing tramite QR code Reindirizzamento verso siti falsi
BEC Business Email Compromise Bonifici, fatture e IBAN fraudolenti

Il phishing può quindi essere una semplice truffa, ma può anche diventare il punto d’ingresso di un attacco più ampio di cybercrime, con furto di identità, compromissione dell’email aziendale o installazione di malware.

Come riconoscere un tentativo di phishing

I segnali classici restano utili, ma non bastano più. Oggi un messaggio fraudolento può essere scritto in italiano corretto, usare loghi realistici e imitare il tono di una comunicazione ufficiale.

I segnali più importanti da controllare

Prima di cliccare, è utile verificare:

  • indirizzo reale del mittente, non solo il nome visualizzato;
  • dominio del link, soprattutto se contiene errori, trattini, sottodomini strani o lettere simili;
  • richiesta di urgenza, come “conto bloccato”, “pagamento respinto”, “azione richiesta entro 24 ore”;
  • richieste anomale, come password, PIN, OTP, documenti o bonifici;
  • allegati inattesi, soprattutto file ZIP, documenti Office, PDF sospetti o fatture non richieste;
  • tono emotivo, quando il messaggio punta su paura, autorità, premio, curiosità o emergenza.

Google consiglia di non inserire mai la password dopo aver cliccato su un link ricevuto via messaggio e di accedere agli account digitando direttamente l’indirizzo ufficiale o usando l’app ufficiale.

Il lucchetto HTTPS non basta

Uno degli errori più comuni è pensare che il lucchetto nella barra del browser garantisca l’affidabilità del sito. In realtà indica solo che la connessione è cifrata. Anche un sito di phishing può usare HTTPS. Per questo bisogna controllare il dominio, non solo la presenza del lucchetto.

Tipologie di phishing più diffuse

Il phishing non viaggia più soltanto via email. I criminali seguono le abitudini delle persone e delle aziende: SMS, WhatsApp, social, telefonate, QR code, portali cloud e strumenti di collaborazione.

Email phishing e spear phishing

Il phishing generico viene inviato in massa. Lo spear phishing, invece, è mirato: l’attaccante raccoglie informazioni su una persona o un’organizzazione, spesso da LinkedIn, siti aziendali, registri pubblici o social media, e costruisce un messaggio molto credibile.

In ambito aziendale questo può diventare whaling, quando il bersaglio è un dirigente, oppure Business Email Compromise, quando viene imitato un CEO, un fornitore o un responsabile amministrativo per ottenere bonifici, cambio IBAN o pagamenti urgenti.

Smishing: SMS da banca, Poste o corriere

Lo smishing sfrutta SMS apparentemente provenienti da banche, corrieri, Poste, SPID o servizi pubblici. Il dubbio più frequente è: “Perché l’SMS falso compare nello stesso thread di messaggi veri?”. Accade perché il nome mittente può essere manipolato. Per questo non bisogna fidarsi solo del mittente visualizzato.

Se il messaggio parla di pacco bloccato, conto sospeso, multa, rimborso o pagamento non riuscito, la regola è semplice: non cliccare dal messaggio. Aprire invece l’app ufficiale o digitare il sito manualmente.

Vishing e deepfake vocali

Nel vishing, la truffa avviene tramite chiamata. L’interlocutore può fingersi operatore bancario, tecnico IT, collega, dirigente o fornitore. Con l’AI, il rischio aumenta: una voce può essere imitata partendo da contenuti pubblici, vocali o video online.

Per le aziende, una chiamata che autorizza un pagamento urgente non dovrebbe mai bastare. Serve una procedura di verifica su canali separati: numero già registrato, doppia approvazione, controllo dell’IBAN e conferma scritta da account affidabile.

Quishing: phishing tramite QR code

Il quishing usa QR code malevoli inseriti in email, volantini, adesivi, finti avvisi di pagamento, parcheggi o comunicazioni cartacee. APWG ha segnalato la crescita di campagne che sfruttano QR code per portare utenti verso siti di phishing o malware.

Prima di aprire un QR code, è opportuno controllare l’URL mostrato dallo smartphone. Se rimanda a un dominio strano, abbreviato o non coerente con l’ente dichiarato, è meglio fermarsi.

Ho cliccato su un link phishing: cosa devo fare?

Cliccare non significa automaticamente essere stati infettati o derubati. Il livello di rischio dipende da cosa è successo dopo il click.

Se hai solo aperto il link

Se non hai inserito dati, non hai scaricato file e non hai autorizzato notifiche o permessi, il rischio può essere limitato. È comunque prudente:

  1. chiudere la pagina;
  2. cancellare cronologia e dati del sito;
  3. non riprovare il link;
  4. eseguire una scansione antivirus;
  5. verificare che non siano state attivate notifiche browser sospette.

Se hai inserito username e password

In questo caso bisogna agire subito:

  • cambia la password da un dispositivo sicuro;
  • esci da tutte le sessioni attive;
  • attiva o modifica l’autenticazione a più fattori;
  • controlla email e numeri di recupero;
  • verifica app collegate, inoltri automatici e regole della casella email;
  • cambia la stessa password anche su altri account dove era riutilizzata.

Se hai inserito dati bancari, carta o OTP

Se hai comunicato dati di pagamento, PIN, codici OTP o credenziali home banking, contatta immediatamente la banca. Chiedi blocco carta, blocco operazioni sospette, verifica movimenti e contestazione. In caso di sottrazione di denaro, è opportuno sporgere denuncia.

Sul piano giuridico, il phishing può rientrare nella frode informatica di cui all’art. 640-ter c.p., soprattutto quando vengono usati sistemi informatici o identità digitali per ottenere un profitto illecito.

Phishing in azienda: rischi, prove e risposta

Per un’impresa, un singolo click può aprire un incidente serio: accesso non autorizzato alla posta, furto di documenti, bonifici fraudolenti, data breach, compromissione di fornitori o attivazione di malware.

Cosa deve fare un dipendente

Se il click è avvenuto da un dispositivo aziendale, non bisogna nasconderlo. La segnalazione tempestiva riduce i danni. Occorre informare subito IT, responsabile sicurezza o referente interno, evitando di cancellare email, log o messaggi: potrebbero servire per ricostruire l’accaduto.

Cosa deve fare l’azienda

Una buona procedura di incident response dovrebbe prevedere:

  • isolamento del dispositivo o dell’account;
  • reset credenziali e revoca sessioni;
  • analisi di log, header email, domini e indirizzi IP;
  • verifica di regole di inoltro nella casella compromessa;
  • controllo di movimenti bancari e richieste di pagamento;
  • conservazione delle evidenze digitali;
  • eventuale notifica a autorità, clienti o soggetti coinvolti.

Per le organizzazioni rientranti nel perimetro della direttiva NIS2, la gestione degli incidenti non è solo una buona pratica: ACN indica obblighi relativi a governance, misure di sicurezza e notifica degli incidenti significativi.

Come prevenire il phishing

La prevenzione efficace combina tecnologia, procedure e cultura del dubbio. Nessuno strumento, da solo, elimina il rischio.

Difese personali

Le misure più efficaci sono:

  • usare password uniche e un password manager;
  • attivare MFA, preferendo passkey o chiavi FIDO2;
  • aggiornare sistemi operativi e browser;
  • non installare software da link ricevuti via email o chat;
  • accedere ai servizi sensibili solo da app o siti digitati manualmente;
  • non comunicare mai OTP, PIN o codici di recupero.

IBM evidenzia l’importanza di metodi di autenticazione resistenti al phishing, come le passkey, per ridurre il rischio di abuso delle credenziali.

Difese aziendali

Per la cybersecurity aziendale servono controlli più strutturati:

AreaMisura consigliata
Email SPF, DKIM, DMARC in policy rigorosa
Identità MFA resistente al phishing, passkey, FIDO2
Endpoint EDR, antivirus gestito, patch management
Processi doppia approvazione per pagamenti e cambio IBAN
Persone formazione continua e simulazioni realistiche
Dati backup, classificazione e sicurezza dei dati aziendali
Fornitori verifica contrattuale e controlli sui canali di pagamento

Le simulazioni di phishing non dovrebbero servire a “punire” chi sbaglia, ma a misurare rischio, tempi di segnalazione e qualità delle procedure.

Quando rivolgersi a professionisti o investigatori privati

In molti casi, soprattutto quando sono coinvolti denaro, reputazione, account aziendali o identità digitale, non basta cambiare password. Serve ricostruire la catena degli eventi: origine del messaggio, domini usati, movimenti sospetti, account compromessi, soggetti coinvolti e prove documentali.

Un’agenzia investigativa con competenze digitali può supportare privati, professionisti e aziende nella raccolta ordinata delle evidenze, nella ricostruzione dei fatti, nel coordinamento con consulenti legali e nella tutela della reputazione. Questo è particolarmente importante quando il phishing si intreccia con frodi finanziarie, furto d’identità, dipendenti infedeli, truffe romantiche o compromissione di email aziendali.

FAQ sul phishing

Una mail ben scritta può essere phishing?

Sì. Oggi errori grammaticali e traduzioni approssimative non sono più indicatori sufficienti. L’AI consente di creare messaggi realistici, personalizzati e coerenti con il contesto.

Se ho cliccato ma non ho inserito dati, sono salvo?

Non necessariamente, ma il rischio è più basso. Bisogna verificare se sono stati scaricati file, concessi permessi, attivate notifiche o aperte pagine che sfruttano vulnerabilità del browser.

Devo rispondere a un SMS sospetto?

No. Non rispondere, non cliccare e non chiamare numeri presenti nel messaggio. Usa solo canali ufficiali già noti.

La banca rimborsa sempre in caso di phishing?

Non automaticamente. Dipende dalla dinamica, dalle misure di sicurezza adottate dall’intermediario e dall’eventuale colpa grave del cliente. È importante bloccare subito le operazioni, raccogliere prove e fare denuncia.

Dove segnalare un phishing in Italia?

Per reati informatici e truffe online è possibile rivolgersi alla Polizia Postale. ACN/CSIRT Italia chiarisce inoltre che denunce, segnalazioni o esposti devono essere indirizzati alle competenti Forze di Polizia o Autorità amministrative.

Conclusione

Il phishing funziona perché arriva nel momento giusto, con il tono giusto e attraverso un canale che la vittima considera familiare. La difesa più efficace non è il sospetto generico, ma una procedura chiara: fermarsi, verificare il dominio, usare canali ufficiali, non comunicare codici e segnalare subito.

Per privati e aziende, la regola è la stessa: un minuto di verifica può evitare mesi di conseguenze economiche, legali e reputazionali.

Per una consulenza gratuita e senza impegno, non esitare a contattarci!
Contattaci adesso

Categorie del Blog

Articoli Correlati

Desideri ricevere le news e i contenuti esclusivi di Phersei Investigazioni?