Cybersicurezza · elemento 60
Phishing
Verifica prima di cliccare
In una frase
Il phishing è il tentativo di ingannarti perché tu consegni dati sensibili —password, codici, numero di carta o accesso al conto— fingendosi la tua banca, un'azienda o un'amministrazione. La difesa principale è semplice: fermati e verifica per conto tuo prima di cliccare o rispondere.
Cosa significa
Il phishing è una tecnica di ingegneria sociale: non cerca di forzare una password con la forza bruta, ma di convincerti a darla tu.
Può arrivare da canali diversi:
| Canale | Nome abituale |
|---|---|
| Phishing | |
| SMS | Smishing |
| Telefonata | Vishing |
| WhatsApp o messaggistica | Furto d'identità o frode via messaggistica |
| Social | Profili o annunci falsi |
| Motori di ricerca | Siti falsi posizionati come se fossero ufficiali |
Il messaggio di solito imita un ente di fiducia: banca, Agenzia delle Entrate, INPS, Poste Italiane, un corriere, una piattaforma di compravendita o un servizio di investimento.
Normalmente cerca una di queste cose:
- Che tu clicchi su un link falso.
- Che tu inserisca utente e password.
- Che tu dia il numero della carta.
- Che tu fornisca un codice di verifica.
- Che tu installi un'app o un programma.
- Che tu faccia un bonifico.
- Che tu autorizzi un'operazione pensando di annullarla.
Segnali d'allarme
| Segnale | Esempio |
|---|---|
| Urgenza | "Il tuo conto sarà bloccato oggi" |
| Paura | "Abbiamo rilevato un'operazione sospetta" |
| Premio o rimborso | "Hai un rimborso in sospeso" |
| Link strano | Il testo sembra ufficiale, ma il dominio non torna |
| Richiesta di codici | Ti chiedono OTP, 2FA o codici dispositivi |
| Mittente sospetto | L'indirizzo non è il dominio ufficiale |
| Allegati inattesi | Fatture, multe o avvisi che non aspettavi |
| Telefonata molto convincente | Dicono di essere della banca e hanno già alcuni tuoi dati |
| Fretta di agire | Vogliono che tu decida prima di pensare |
Il problema è che sono sempre più curati. Con l'IA, modelli grafici reali e dati trapelati, molti messaggi non hanno più errori evidenti. Per questo la difesa va oltre il "guardare se sembra falso": la difesa è verificare da un canale indipendente.
Perché è importante
Conta perché è una delle porte d'ingresso più comuni della frode finanziaria.
Un attacco può iniziare con un SMS che sembra della banca, una telefonata che falsifica il numero dell'istituto, un WhatsApp su una consegna in sospeso o un annuncio di investimento con un volto noto.
Il phishing funziona perché gioca con emozioni molto umane: paura di perdere soldi, urgenza, avversione alle perdite, curiosità o fiducia in un marchio conosciuto.
È pericoloso anche perché email e telefono sono la porta d'ingresso di molti servizi. Se qualcuno riesce ad accedere alla tua posta, può provare a recuperare le password di altri account. Se ottiene un codice usa e getta, può autorizzare operazioni in quel momento.
La regola d'oro: verifica per conto tuo
Davanti a qualsiasi messaggio che chieda un'azione urgente legata ai soldi:
- Non cliccare sul link.
- Non rispondere al messaggio.
- Non dare codici né password.
- Non chiamare il numero che compare nel messaggio.
- Entra tu stesso nell'app o nel sito ufficiale.
- Se serve, chiama il numero ufficiale dell'istituto, per esempio quello dietro la carta.
Se il problema è reale, lo vedrai entrando per conto tuo. Se esiste solo dentro il messaggio, probabilmente era la truffa.
Truffe finanziarie comuni
| Truffa | Come funziona |
|---|---|
| SMS falso della banca | "Carta bloccata" oppure "operazione sospetta" con link a un sito falso |
| Telefonata dell'"ufficio antifrode" | Ti chiedono codici per "annullare" un'operazione che stanno facendo loro stessi |
| Rimborso dell'Agenzia delle Entrate | Promettono un rimborso e chiedono carta o dati bancari |
| Pacco in giacenza | Ti fanno pagare una piccola cifra per ottenere i dati della carta |
| Falso supporto tecnico | Dicono che hai un virus e chiedono l'accesso remoto |
| Investimento miracoloso | Promettono rendimenti alti e rapidi con un falso intermediario |
| Falso familiare su WhatsApp | "Sono tuo figlio, ho cambiato numero, mi servono soldi" |
| Falso bonifico istantaneo o compravendita | Ti fanno accettare una richiesta pensando di incassare, ma in realtà paghi |
Come applicarlo oggi
- Attiva gli avvisi dei movimenti in banca. Ti permettono di individuare subito addebiti strani.
- Salva sul telefono il numero ufficiale della tua banca o consultalo sempre dall'app o dalla carta.
- Entra in banca solo dall'app ufficiale o scrivendo tu l'indirizzo. Mai da link ricevuti.
- Attiva l'autenticazione a due fattori sugli account importanti.
- Usa un password manager. Se il manager non compila la password in una pagina che sembra della tua banca, può essere un sito falso.
- Diffida di qualsiasi messaggio che ti faccia agire di fretta. La fretta fa parte dell'attacco.
Se ci sei già cascato
Agisci in fretta:
- Chiama subito la banca al numero ufficiale.
- Blocca carte o conti se serve.
- Cambia la password del servizio colpito.
- Cambia anche quella della posta se hai inserito dati o hai dubbi.
- Revoca le sessioni aperte e i dispositivi sconosciuti.
- Conserva screenshot, SMS, email e numeri di telefono.
- Segnala alla Polizia Postale (anche online, sul commissariatodips.it).
- Denuncia se c'è una perdita economica o un furto d'identità.
Nelle frodi con carta o banca digitale, il tempo conta: prima avvisi l'istituto, più possibilità hai di limitare il danno.
Errori comuni
- Cliccare perché "sembrava della banca".
- Dare codici 2FA o OTP al telefono.
- Pensare che una telefonata sia sicura perché compare il numero della banca (si può falsificare).
- Entrare in banca da un link di un SMS.
- Fidarsi di un messaggio perché non ha errori di ortografia.
- Agire di fretta perché il messaggio fa paura.
- Non avvisare subito la banca quando sospetti di esserci cascato.
- Pensare "a me non succederà". Le truffe funzionano proprio perché sono progettate per beccarti in un momento sbagliato.
Collegato con
- 2FA — Doppio fattore attivo
- Password manager
- Backup 3-2-1
- Sconto iperbolico
- Le perdite pesano di più
Risorse
📚 Polizia Postale — Commissariato di PS online. Il canale ufficiale per segnalare phishing, smishing e frodi online, con esempi reali e consigli di prevenzione.
📚 ACN — Agenzia per la Cybersicurezza Nazionale. Le guide ufficiali italiane sulle minacce informatiche più comuni.
📚 Banca d'Italia — Truffe e sicurezza. Ricorda che queste truffe cercano dati bancari, codici usa e getta o OTP, e che nessun istituto li chiede per canali non sicuri.
📚 CONSOB — Segnalazioni e abusivi. La lista degli intermediari non autorizzati e gli avvisi sulle truffe di investimento.
Davanti alla fretta di cliccare, fermati e verifica per conto tuo.
← Torna alla tavola