Succede quasi sempre così: ricevi un messaggio da un mittente “credibile” (la tua banca, Poste Italiane, un corriere, INPS, Agenzia delle Entrate, perfino “Polizia Postale” etc.); la comunicazione è “urgente” e ti spinge a compiere subito un’azione semplice: cliccare, inserire dati, confermare un accesso o pagare. 

La grafica è perfetta. Il registro stilistico, anche. A una prima occhiata, tutto sembra in regola. E invece, siamo appena cascati nella truffa per eccellenza dell’Era Digitale: il Phishing. 

Non è un fenomeno marginale. Basta dare un’occhiata ai dati per accorgersene:

• Secondo il Rapporto Clusit 2024, phishing e truffe basate su ingegneria sociale risultano in crescita rispetto all’anno precedente.
• A livello europeo, ENISA (Threat Landscape) evidenzia che il phishing è tra i principali vettori di intrusione. 
• Anche i report di settore (come quelli dell’APWG) mostrano volumi molto elevati di attacchi. 
• In Italia, il CERT-AGID segnala campagne ricorrenti, con forte presenza di temi legati a pagamenti e falsi solleciti (es. PagoPA).

Quindi, smontiamo subito un mito: caderci, non è questione di “ingenuità”. È una questione di numeri: il phishing funziona come una pesca a strascico, prima o poi qualcuno finisce nella rete dei truffatori. E prima o poi, potrebbe toccare a noi. 

Vale la pena approfondire.

1. Cos’è il phishing e perché è pericoloso

Per phishing intendiamo qualunque tentativo di truffa digitale in cui qualcuno si finge un soggetto affidabile per convincerti a consegnare credenziali, codici, dati personali o denaro. 

Che se ne fanno dei nostri dati? Semplice: li rivendono. Di solito nel Dark Web, quel mondo digitale sotterraneo che scorre lontano dai motori di ricerca tradizionali e in cui truffatori di ogni dove trovano la piazza perfetta per attività illecite. Quindi, è inutile pensare “tanto io non sono nessuno, a chi possono interessare i miei dati”? Fidatevi: a qualcuno interessano eccome. Ed è disposto a pagare fior di quattrini pur di averli.

A seconda del canale, il Phishing cambia nome, ma la logica è identica. Ecco il vocabolario della truffa:

• Phishing: via email
• Smishing: via SMS o messaggi
• WhatsApp phishing: spesso con link, finti operatori o richieste di “codici”
• Vishing: via telefonata (a volte come “secondo passaggio” dopo un SMS o una mail)

Il rischio non è solo perdere soldi. In tanti casi il danno è più subdolo: accesso all’email (che è la chiave per resettare le password praticamente di qualunque cosa), furto d’identità, attivazioni non richieste, compromissione di account e servizi.

2. Come riconoscere una mail di phishing (esempi pratici)

Il phishing via email è estremamente raffinato: grafica curata, linguaggio corretto, firme credibili. Oggi è praticamente impossibile distinguere un falso da un originale in base al contenuto. Per questo conviene ragionare non su “come è scritta”, ma:

1. sul messaggio:  cosa ti chiede di fare, COME, ed entro quando, specie se l’urgenza è tale da assumere il tono di una minaccia, con espressioni chiave quali “pagamento non riuscito”,  “ultimo avviso”, “account sospeso”, “azione legale”, “blocco dell’account…” Specialmente se richiede dati che gli enti (come spesso comunicano) non chiedono MAI via mail: password, OTP, PIN, dati completi della carta di credito o debito.
2. Sugli aspetti “tecnici” come la mail del mittente: concentratevi in particolare sulla parte che segue la @ e controllate che corrisponda a quello ufficiale sul sito dell’Ente/azienda/organizzazione; ancora peggio se nel mittente trovate codici lunghi e apparentemente inspiegabili.
3. Sulle pagine di destinazione: a volte viene chiesto di “aggiornare i propri dati” cliccando su un link; si arriva a una pagina di atterraggio che contiene un form e coincide in grafica e stile con il sito ufficiale (è successo di recente con una mail truffa a nome di AGID, L’Agenzia per l’Italia Digitale, di cui avevamo parlato qui su Instagram); in questi casi, occhio alla url della pagina di atterraggio, ovvero l’indirizzo che appare nella barra del browser e inizia di solito con https://www… Dopo il “www” deve apparire il dominio ufficiale del mittente, seguito dal nome della singola pagina (es, /comunicazione, /contatti etc.). Se appare qualunque altra cosa, anche simile, è una frode.

Attenzione ai dettagli: a volte basta davvero una piccola differenza nella url o nell’indirizzo del mittente, come un trattino o un punto (a titolo di puro esempio: intesa-sanpaolo.com invece dell’ufficiale intesasanpaolo.com, senza trattino).

Cosa fare in questi casi: se hai un vago dubbio che la richiesta possa essere credibile, contatta direttamente l’Ente/la Banca attraverso i canali ufficiali indicati sul sito e verifica direttamente con loro. Se devi accedere a un servizio, non usare il link della mail. Apri tu l’app o digita l’indirizzo ufficiale nel browser. Dopodiché, cestina la mail e svuota subito il cestino. Se riesci, segnalala come “spam” e blocca il mittente.

Esempio realistico: “Accesso anomalo rilevato”

Oggetto: “Verifica immediata richiesta – Accesso anomalo rilevato”.

Testo tipico: “Abbiamo rilevato un accesso non autorizzato. Per evitare la sospensione, conferma i dati entro 2 ore.” Con un pulsante “Verifica ora”.

Cosa guardare: la combo urgenza + link esterno + richiesta di “conferma” è la formula perfetta della truffa informatica. Anche se sembra la tua banca, non cliccare: apri l’app ufficiale e controlla da lì.

Esempio basato su avviso Agenzia delle Entrate: “Rimborso fiscale”

Negli ultimi anni sono ricorrenti campagne che sfruttano nome e logo dell’Agenzia delle Entrate per notificare un presunto rimborso fiscale e spingere le vittime a inserire dati personali e bancari su siti di imitazione (in gergo: “lookalike”). In genere il messaggio invita a “confermare i dati per ricevere l’accredito”.

Sospetto immediato: un rimborso non si “sblocca” inserendo dati bancari da un link ricevuto via email. Se hai

dubbi, verifica solo da canali ufficiali.

Esempio basato su alert Polizia Postale: false convocazioni / finta “polizia”

Altra variante molto efficace è quella delle false convocazioni o comunicazioni “ufficiali” che minacciano procedimenti e chiedono una risposta immediata, dati personali o pagamenti per “chiudere la pratica”. Spesso arrivano con allegati che simulano atti o convocazioni.

Regola pratica: se un messaggio ti spaventa, è proprio il momento di fermarti. Verifica tramite canali istituzionali e non seguire le istruzioni contenute nel messaggio.

3. Come riconoscere SMS o WhatsApp di phishing (smishing)

Lo smishing sfrutta due debolezze tipiche della comunicazione mobile: lo schermo piccolo e la lettura veloce. In più, alcuni messaggi possono apparire in thread “già noti”, perché l’identità del mittente può essere falsificata.

Esempio basato su comunicazione INPS

INPS ha più volte chiarito un punto semplice: i messaggi ufficiali non contengono link cliccabili. Se ricevi un SMS che ti invita a “aggiornare i dati” con un link, trattalo come altamente sospetto e accedi solo tramite i canali ufficiali (app o portale).

Esempio ricorrente: falsi solleciti di pagamento (es. PagoPA)

Una delle leve più usate è il falso sollecito: “pagamento scaduto”, “multa”, “evita maggiorazioni entro oggi”, con un link che porta a una pagina clone. Questi temi compaiono frequentemente nelle campagne osservate in Italia.

WhatsApp: il trucco del codice e del finto familiare

Su WhatsApp ricorrono spesso: “Ciao, mamma: ho cambiato numero”, “Ti ho mandato un codice per errore, rimandamelo”. Se ti chiedono un codice, fermati: spesso è l’ultimo passaggio per rubarti l’account o autorizzare un’operazione di cui non sai nulla. 

4. Come prevenire il phishing: comportamenti virtuosi 

Il phishing non si batte con l’eroismo, ma con le sane abitudini.

La regola d’oro: non fare mai quello che ti dicono. Se un messaggio ti chiede di fare qualcosa, non usare il canale indicato dal messaggio stesso per compierla. Apri tu l’app, digita tu il sito, cerca autonomamente il numero ufficiale e chiamalo. E poi…

• Usa password uniche (meglio con un password manager).
• Attiva l’autenticazione a due fattori dove possibile (meglio app di autenticazione o passkey, se disponibili).
• Attiva notifiche bancarie su ogni transazione.
• Aggiorna regolarmente telefono, sistema operativo e app.
• Diffida di allegati inattesi e non “abilitare contenuti” in documenti ricevuti via mail, come “scarica immagini”. 
• Non scaricare mai e poi mai allegati o app arrivate via mail, anche se sembrano affidabili.

E soprattutto: rallenta. Il phishing vive sulla fretta.

5. Se il danno è fatto: cosa fare subito 

Se ti accorgi di aver cliccato o inserito dati dove non dovevi, l’obiettivo è limitare i danni e mettere in ordine le prove. Agisci subito: non lasciarti vincere dall’orgoglio ferito, ogni minuto perso a maledire te stesso e dire “come ho potuto cascarci!” è un regalo al truffatore. Ecco cosa fare…

subito (entro i primi minuti)

• Blocca carte e strumenti di pagamento tramite app o canali ufficiali della banca.
• Cambia password dell’email (prima) e poi degli account collegati; disconnetti le sessioni attive.
• Se hai comunicato OTP o autorizzato operazioni, contatta subito la banca: il tempo è un fattore decisivo.

Entro poche ore

• Raccogli tutto: screenshot, mail completa, numero mittente, link (senza cliccare), orari, importi, eventuali chat.
• Controlla se sul telefono sono comparse app nuove o permessi insoliti.

Entro 24 ore

• Presenta segnalazione o denuncia tramite i canali ufficiali (ad esempio Polizia Postale).
• Avvia la procedura di disconoscimento delle operazioni non autorizzate presso la banca.

Nei giorni successivi monitora movimenti, email di reset password, tentativi di accesso, richieste di attivazione SIM o servizi: quando un dato finisce in mano ai truffatori, può essere riutilizzato.

A seconda dei casi: avverti amici e parenti di prestare attenzione, se ricevono messaggi strani da parte tua, che ti contattino immediatamente con una chiamata vocale. 

6. I tuoi diritti come vittima e il supporto di un avvocato esperto

La vittima di phishing non è senza tutele. Anche nei casi che concernono la sottrazione di somme di denaro. In ambito UE esiste la direttiva PSD2 (Revised Payment Service Directive) disciplina i servizi di pagamento, i tempi di contestazione e, in molte situazioni, limita la responsabilità economica dell’utente, salvo frode o colpa grave, e obbliga gli istituti di credito a tutelare i propri clienti, anche attraverso il rimborso diretto delle somme sottratte.

Nella pratica, molte controversie nascono su un punto: quando la banca sostiene che ci sia stata “colpa grave” e quindi nega il rimborso (esempio: avevi lasciato il PIN della carta di credito in bella vista nel portafoglio o avevi usato 123456 come password). 

Un avvocato esperto può aiutarti a impostare correttamente contestazione e reclamo (tempi, forma, documenti), ricostruire i fatti e organizzare le prove per dimostrare la dinamica e la tua diligenza, gestire l’interlocuzione con la banca e, se necessario, intraprendere iniziative stragiudiziali o giudiziali. Anche avvalendosi di un nuovo strumento per la risoluzione del contenzioso: l’Arbitro Bancario Finanziario (ABF- qui tutti i dettagli).

7. Call to action

Se hai ricevuto un messaggio sospetto o ti sei accorto di un addebito o bonifico che non riconosci, non aspettare. Più tempo passa, più si disperdono prove e possibilità operative.

Contattaci subito: lo Studio Morbinati & Longo ha una lunga esperienza di battaglie in tema phishing e frodi informatiche. Possiamo valutare rapidamente la situazione, indicarti quali passi fare subito (e quali evitare) e seguirti nella tutela dei tuoi diritti. 

Per avere un’idea più chiara, a questo link trovi un nostro caso studio di successo che riguarda proprio una truffa via SMS e mail portata davanti all’Arbitro Bancario Finanziario (Spoiler: alla fine la banca ha dovuto rimborsare l’intera cifra e le spese processuali).

Non credere a chi ti dice: “ormai non c’è piu’ nulla da fare”. Combattere per i propri diritti, non è mai tempo perso.

Contattaci: la valutazione della posizione e delle azioni da intraprendere è sempre gratuita e senza impegno.