Riconoscere il phishing: i segnali che tradiscono un'email truffa

Published on 13/07/2026 Sicurezza

Il phishing resta la tecnica più efficace per rubare credenziali, dati bancari o accesso ad account aziendali, non perché sia sofisticato, ma perché sfrutta la fretta e l'abitudine. La buona notizia è che quasi ogni tentativo lascia tracce riconoscibili, se si sa dove guardare. Bastano tre controlli sistematici: mittente, link, tono del messaggio.

Primo controllo: il mittente reale, non quello visualizzato

I client di posta mostrano un nome "amichevole" (es. "Assistenza PayPal") che non ha nessun legame garantito con l'indirizzo effettivo. Bisogna sempre far comparire l'indirizzo completo, non fermarsi al nome mostrato.

  • Su desktop: passa il mouse sul nome del mittente senza cliccare, oppure clicca per espandere i dettagli del messaggio.
  • Su smartphone: tocca il nome del mittente, si apre il dettaglio con l'indirizzo completo.
  • Controlla il dominio dopo la chiocciola: supporto@paypa1-security.com non è PayPal, anche se il testo del messaggio è identico all'originale.
  • Attenzione ai domini "cugini": lettere sostituite con simboli simili (rn al posto di m, 1 al posto di l), sottodomini ingannevoli (paypal.sicurezza-login.com, dove il dominio vero è "sicurezza-login.com"), o TLD anomali (.info, .top, .xyz per servizi che normalmente usano .com o .it).

Secondo controllo: dove porta davvero il link

Il testo di un link non garantisce nulla: può scrivere "www.poste.it" e puntare altrove. Prima di cliccare, va sempre verificata la destinazione reale.

  • Su computer, passa il mouse sul link senza cliccare: l'URL reale compare in basso a sinistra nel browser o nel client di posta.
  • Su smartphone, tieni premuto sul link (senza rilasciare) per far comparire un'anteprima dell'indirizzo, poi annulla.
  • Confronta dominio per dominio: conta solo la parte immediatamente prima del TLD (es. in "login.sicurezza.miobanca-supporto.com" il dominio reale è "miobanca-supporto.com", non "miobanca").
  • Diffida di URL accorciati (bit.ly, tinyurl) in email non richieste: nascondono la destinazione reale. Puoi espanderli con servizi come "unshorten.it" prima di aprirli.
  • Se il messaggio chiede di inserire una password, apri il servizio digitando tu stesso l'indirizzo nel browser (o usando un bookmark salvato), mai cliccando dal link ricevuto.

Terzo controllo: l'urgenza artificiale

Il phishing funziona perché induce a decidere in fretta, senza pensare. Le formule più comuni sono quasi sempre le stesse:

  • "Il tuo account verrà sospeso entro 24 ore"
  • "Rilevato accesso sospetto, conferma subito la tua identità"
  • "Pagamento in sospeso, evita penali confermando ora"
  • "Il pacco non può essere consegnato, aggiorna i dati entro oggi"

Le aziende serie non minacciano la chiusura immediata dell'account via email, e i corrieri non chiedono dati di pagamento per "sbloccare" una consegna. Ogni volta che un messaggio prova a farti saltare la riflessione con una scadenza imminente, è un segnale d'allarme da solo sufficiente a fermarsi.

Altri dettagli che spesso tradiscono il falso

  • Saluto generico: "Gentile cliente" invece del tuo nome, quando il servizio reale sa chi sei.
  • Allegati inattesi: fatture, bolle di consegna o "documenti importanti" in formato .zip, .html o macro di Office non richiesti vanno trattati come pericolosi finché non verificati altrove.
  • Errori di battitura e formattazione: loghi sgranati, layout leggermente diverso dal solito, errori grammaticali insoliti per un'azienda con team di comunicazione.
  • Richiesta di dati che il servizio non chiederebbe mai: nessuna banca chiede la password intera o il codice OTP via email o telefono.

Cosa fare in pratica

  • Non cliccare, non rispondere: se hai dubbi su un servizio, aprilo separatamente digitando l'indirizzo noto o usando l'app ufficiale.
  • Segnala il messaggio come phishing dal tuo client di posta (Gmail, Outlook e simili hanno un pulsante dedicato): aiuta a bloccare campagne simili per altri utenti.
  • Se hai già cliccato e inserito credenziali, cambia subito la password sul sito reale e attiva (o verifica) l'autenticazione a due fattori sull'account coinvolto.
  • Se hai scaricato un allegato sospetto, scollega la connessione di rete e fai una scansione antivirus prima di riaprire il sistema in uso normale.

Il phishing punta sulla velocità del click, non sull'inganno perfetto. Rallentare per trenta secondi e controllare mittente, link e tono del messaggio è, nella grande maggioranza dei casi, sufficiente a smascherarlo prima che faccia danni.