24 Aprile 2026 • Corso Cyber Security

Phishing: come riconoscere una truffa via email prima di cliccare

La maggior parte degli attacchi informatici non inizia con un hacker che “buca” un sistema complesso. Molto spesso inizia con un gesto semplice: una persona riceve una mail, la apre, clicca su un link o inserisce una password in una pagina falsa.

Questo è il phishing.

Il phishing è una tecnica usata dai criminali informatici per ingannare le persone e convincerle a compiere un’azione pericolosa: cliccare un link, aprire un allegato, inserire credenziali, comunicare dati riservati o autorizzare un pagamento.

Per chi lavora in ufficio, il phishing è uno dei pericoli più importanti da conoscere, perché può arrivare durante una normale giornata lavorativa, in mezzo a decine di email apparentemente ordinarie.

1. Che cos’è il phishing

Il phishing è una truffa digitale basata sull’inganno.

L’attaccante si finge qualcun altro: una banca, un corriere, un collega, un fornitore, Microsoft, Google, l’ufficio HR, l’amministrazione o persino il proprio responsabile.

L’obiettivo è portare la vittima a fare qualcosa senza pensarci troppo.

Per esempio:

  • cliccare su un link falso;
  • aprire un allegato infetto;
  • inserire username e password;
  • comunicare dati personali o aziendali;
  • autorizzare un bonifico;
  • scaricare un file pericoloso.

Il phishing funziona perché non attacca solo il computer, ma soprattutto la persona. Sfrutta fretta, fiducia, paura, abitudine e distrazione.

2. Perché il phishing è pericoloso per le aziende

Una singola email di phishing può causare danni molto gravi.

Immaginiamo questa scena: un dipendente riceve una mail che sembra provenire da Microsoft 365. Il messaggio dice che la password sta per scadere e invita a cliccare su un link. Il dipendente clicca, apre una pagina identica a quella reale, inserisce le credenziali aziendali e continua a lavorare.

Da quel momento, però, l’attaccante può avere accesso alla sua casella email.

Con quell’accesso può:

  • leggere conversazioni interne;
  • inviare email a colleghi e clienti;
  • rubare documenti;
  • cercare fatture o dati bancari;
  • tentare ulteriori truffe;
  • impersonare il dipendente.

3. Come si presenta una mail di phishing

Una mail di phishing può essere fatta male, piena di errori e facilmente riconoscibile. Ma oggi molte email false sono curate, convincenti e difficili da distinguere a colpo d’occhio.

Può sembrare una comunicazione di:

  • banca;
  • corriere;
  • fornitore;
  • cliente;
  • ufficio paghe;
  • reparto IT;
  • piattaforma cloud;
  • servizio di firma digitale;
  • social network;
  • portale aziendale.

Esempi tipici:

“Il tuo account verrà sospeso entro 24 ore.”
“Hai ricevuto una fattura da scaricare.”
“Conferma subito le tue credenziali.”
“Il pacco non può essere consegnato.”
“Abbiamo rilevato un accesso sospetto.”
“Apri il documento condiviso.”

Il messaggio può contenere logo, firma, colori aziendali e un linguaggio apparentemente professionale. Per questo non bisogna fidarsi solo dell’aspetto grafico.

4. I segnali di allarme

Una mail sospetta spesso contiene uno o più segnali riconoscibili.

Mittente strano o simile al vero

Il nome può sembrare corretto, ma l’indirizzo email può essere diverso.

Esempio:

  • vero: assistenza@azienda.it
  • falso: assistenza@azlenda.it
  • falso: supporto.azienda@gmail.com

Attenzione: non basta leggere il nome visualizzato. Bisogna guardare l’indirizzo completo.

Urgenza e pressione

Molte email di phishing cercano di farti agire in fretta.

Frasi tipiche:

  • “entro oggi”;
  • “subito”;
  • “ultimo avviso”;
  • “account bloccato”;
  • “pagamento urgente”;
  • “azione richiesta immediata”.

L’urgenza serve a ridurre la tua capacità di ragionare.

Link sospetti

Il testo del link può sembrare legittimo, ma portare altrove.

Esempio: vedi scritto “Accedi a Microsoft 365”, ma il collegamento porta a un dominio sconosciuto.

Regola pratica: prima di cliccare, passa il mouse sul link e osserva l’indirizzo reale. Da smartphone, invece, è più difficile: per questo bisogna essere ancora più prudenti.

Allegati inattesi

Un allegato non richiesto è sempre da trattare con cautela.

File rischiosi possono essere:

  • .zip;
  • .exe;
  • .js;
  • .html;
  • documenti Word o Excel con macro;
  • PDF provenienti da mittenti non verificati.

Non significa che ogni allegato sia pericoloso, ma se non te lo aspettavi devi fermarti e verificare.

Richiesta di credenziali

Una mail che chiede di inserire password, PIN, codici temporanei o dati di accesso deve essere considerata sospetta.

Le aziende serie non dovrebbero chiedere password via email.

Tono insolito

A volte il mittente sembra reale, ma il messaggio è strano.

Per esempio:

  • il collega scrive in modo diverso dal solito;
  • la richiesta è fuori procedura;
  • c’è una pressione insolita;
  • il messaggio contiene errori strani;
  • l’orario è insolito;
  • viene chiesto di non parlare con nessuno.

In questi casi è bene verificare su un altro canale.

5. Perché oggi il phishing è più difficile da riconoscere

Un tempo molte email di phishing erano piene di errori grammaticali. Oggi non è più sempre così.

Con strumenti di intelligenza artificiale, traduttori automatici e kit già pronti, i criminali possono creare messaggi molto più credibili.

Questo significa che non possiamo basarci solo su frasi come:

“Se ci sono errori grammaticali, è phishing.”

È vero che gli errori possono essere un segnale, ma una mail senza errori può comunque essere falsa.

La regola migliore è osservare il contesto: mi aspettavo questa comunicazione? Il mittente è corretto? Il link porta al sito giusto? La richiesta è coerente? Mi stanno mettendo fretta?

6. Esempio pratico

Email ricevuta

Oggetto: URGENTE: password in scadenza

Testo:

Gentile utente,
la tua password aziendale scadrà entro 2 ore.
Per evitare il blocco dell’account, clicca subito sul link seguente e conferma le credenziali.

Accedi ora

Analisi

Questa email contiene diversi segnali di rischio:

  • usa urgenza;
  • minaccia il blocco dell’account;
  • chiede di cliccare;
  • chiede credenziali;
  • non spiega una procedura aziendale chiara;
  • potrebbe rimandare a una pagina falsa.

Comportamento corretto

Non cliccare.
Non inserire credenziali.
Controllare il mittente.
Avvisare l’IT o il referente aziendale.
Accedere eventualmente al servizio digitando manualmente l’indirizzo ufficiale nel browser.

7. Cosa fare quando ricevi una mail sospetta

La regola è semplice:

Fermati → Controlla → Verifica → Segnala

Fermati

Non cliccare subito. Il phishing vive sulla fretta.

Controlla

Guarda mittente, link, allegati, tono e richiesta.

Verifica

Se il messaggio sembra arrivare da un collega, da un fornitore o dal capo, usa un altro canale: telefono, chat interna, contatto noto.

Non rispondere direttamente alla mail sospetta.

Segnala

Avvisa il referente IT o usa il canale previsto dall’azienda. CISA raccomanda di formare i dipendenti affinché sappiano riconoscere e segnalare i tentativi di phishing.

8. Cosa fare se hai già cliccato

Se hai cliccato su un link sospetto, non farti prendere dal panico.

La cosa più importante è non nascondere l’errore.

Se hai solo cliccato

  • Chiudi la pagina.
  • Non inserire dati.
  • Avvisa l’IT.
  • Segui le procedure aziendali.

Se hai inserito username e password

  • Avvisa immediatamente l’IT.
  • Cambia la password, se autorizzato dalla procedura aziendale.
  • Non usare più quella password altrove.
  • Verifica eventuali accessi sospetti.
  • Controlla se sono state inviate email dal tuo account.

Se hai aperto un allegato

  • Non continuare a lavorare come se nulla fosse.
  • Avvisa subito l’IT.
  • Non inoltrare il file ad altri colleghi.
  • Segui le istruzioni ricevute.

Il punto fondamentale è la tempestività. Prima si segnala, più è facile limitare il danno.

9. Errori comuni da evitare

“Sembrava proprio una mail vera”

Il fatto che una mail sembri vera non significa che lo sia.

“Conosceva il mio nome”

Conoscere nome, ruolo o azienda non rende il messaggio affidabile. Molte informazioni sono pubbliche o facilmente reperibili.

“Arrivava da un collega”

Anche l’account di un collega può essere stato compromesso.

“Aveva il logo corretto”

I loghi si copiano facilmente.

“Avevo fretta”

La fretta è esattamente ciò su cui punta l’attaccante.

10. Checklist anti-phishing

Prima di cliccare, chiediti:

  • Mi aspettavo questa email?
  • Il mittente è davvero corretto?
  • L’indirizzo email è coerente?
  • Il messaggio mi mette fretta?
  • Mi chiede credenziali, codici o dati riservati?
  • Il link porta davvero al sito ufficiale?
  • L’allegato era atteso?
  • La richiesta è normale per il mio lavoro?
  • Posso verificare su un altro canale?
  • Ho dubbi? Allora segnalo.

11. Regole d’oro

  1. Non cliccare se hai dubbi.
  2. Non inserire password da link ricevuti via email.
  3. Non aprire allegati inattesi.
  4. Controlla sempre il mittente reale.
  5. Diffida dell’urgenza.
  6. Verifica le richieste anomale su un altro canale.
  7. Non vergognarti di segnalare.
  8. Se hai sbagliato, avvisa subito.
  9. Usa MFA dove disponibile.
  10. Ricorda: meglio una segnalazione in più che un incidente non gestito.

Conclusione

Il phishing è pericoloso perché sembra normale. Non richiede grandi competenze tecniche da parte dell’attaccante: spesso basta costruire un messaggio credibile e aspettare che qualcuno clicchi.

La difesa migliore non è la paranoia, ma l’abitudine alla verifica.

Quando una mail ti chiede di agire in fretta, inserire dati, aprire allegati o fare qualcosa di insolito, fermati. Controlla. Verifica. Segnala.

In cyber security, un dubbio segnalato in tempo può evitare un danno enorme.

Fonti e approfondimenti:

Phishing Guidance – Stopping the Attack Cycle
https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one

Cybersecurity Best Practices
https://www.cisa.gov/topics/cybersecurity-best-practices

Teach Employees to Avoid Phishing
https://www.cisa.gov/audiences/small-and-medium-businesses/secure-your-business/teach-employees-avoid-phishing

Require Multi-Factor Authentication
https://www.cisa.gov/audiences/small-and-medium-businesses/secure-your-business/require-multifactor-authentication

Creating and Managing Strong Passwords
https://www.cisa.gov/news-events/alerts/2018/03/27/creating-and-managing-strong-passwords

2025 Data Breach Investigations Report (DBIR)
https://www.verizon.com/business/resources/T16f/reports/2025-dbir-data-breach-investigations-report.pdf

ENISA Threat Landscape 2023
https://www.enisa.europa.eu/sites/default/files/publications/ENISA%20Threat%20Landscape%202023.pdf

ENISA Threat Landscape 2025
https://www.enisa.europa.eu/sites/default/files/2025-11/ENISA%20Threat%20Landscape%202025.pdf

NIST Cybersecurity Framework 2.0
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

NIST Phish Scale (overview)
https://www.nist.gov/programs-projects/phish-scale