Tavola periodica finanziaria

Cybersicurezza · elemento 60

Phishing

Verifica prima di cliccare

In una frase

Il phishing è il tentativo di ingannarti perché tu consegni dati sensibili —password, codici, numero di carta o accesso al conto— fingendosi la tua banca, un'azienda o un'amministrazione. La difesa principale è semplice: fermati e verifica per conto tuo prima di cliccare o rispondere.

Cosa significa

Il phishing è una tecnica di ingegneria sociale: non cerca di forzare una password con la forza bruta, ma di convincerti a darla tu.

Può arrivare da canali diversi:

CanaleNome abituale
EmailPhishing
SMSSmishing
TelefonataVishing
WhatsApp o messaggisticaFurto d'identità o frode via messaggistica
SocialProfili o annunci falsi
Motori di ricercaSiti falsi posizionati come se fossero ufficiali

Il messaggio di solito imita un ente di fiducia: banca, Agenzia delle Entrate, INPS, Poste Italiane, un corriere, una piattaforma di compravendita o un servizio di investimento.

Normalmente cerca una di queste cose:

  • Che tu clicchi su un link falso.
  • Che tu inserisca utente e password.
  • Che tu dia il numero della carta.
  • Che tu fornisca un codice di verifica.
  • Che tu installi un'app o un programma.
  • Che tu faccia un bonifico.
  • Che tu autorizzi un'operazione pensando di annullarla.

Segnali d'allarme

SegnaleEsempio
Urgenza"Il tuo conto sarà bloccato oggi"
Paura"Abbiamo rilevato un'operazione sospetta"
Premio o rimborso"Hai un rimborso in sospeso"
Link stranoIl testo sembra ufficiale, ma il dominio non torna
Richiesta di codiciTi chiedono OTP, 2FA o codici dispositivi
Mittente sospettoL'indirizzo non è il dominio ufficiale
Allegati inattesiFatture, multe o avvisi che non aspettavi
Telefonata molto convincenteDicono di essere della banca e hanno già alcuni tuoi dati
Fretta di agireVogliono che tu decida prima di pensare

Il problema è che sono sempre più curati. Con l'IA, modelli grafici reali e dati trapelati, molti messaggi non hanno più errori evidenti. Per questo la difesa va oltre il "guardare se sembra falso": la difesa è verificare da un canale indipendente.

Perché è importante

Conta perché è una delle porte d'ingresso più comuni della frode finanziaria.

Un attacco può iniziare con un SMS che sembra della banca, una telefonata che falsifica il numero dell'istituto, un WhatsApp su una consegna in sospeso o un annuncio di investimento con un volto noto.

Il phishing funziona perché gioca con emozioni molto umane: paura di perdere soldi, urgenza, avversione alle perdite, curiosità o fiducia in un marchio conosciuto.

È pericoloso anche perché email e telefono sono la porta d'ingresso di molti servizi. Se qualcuno riesce ad accedere alla tua posta, può provare a recuperare le password di altri account. Se ottiene un codice usa e getta, può autorizzare operazioni in quel momento.

La regola d'oro: verifica per conto tuo

Davanti a qualsiasi messaggio che chieda un'azione urgente legata ai soldi:

  1. Non cliccare sul link.
  2. Non rispondere al messaggio.
  3. Non dare codici né password.
  4. Non chiamare il numero che compare nel messaggio.
  5. Entra tu stesso nell'app o nel sito ufficiale.
  6. Se serve, chiama il numero ufficiale dell'istituto, per esempio quello dietro la carta.

Se il problema è reale, lo vedrai entrando per conto tuo. Se esiste solo dentro il messaggio, probabilmente era la truffa.

Truffe finanziarie comuni

TruffaCome funziona
SMS falso della banca"Carta bloccata" oppure "operazione sospetta" con link a un sito falso
Telefonata dell'"ufficio antifrode"Ti chiedono codici per "annullare" un'operazione che stanno facendo loro stessi
Rimborso dell'Agenzia delle EntratePromettono un rimborso e chiedono carta o dati bancari
Pacco in giacenzaTi fanno pagare una piccola cifra per ottenere i dati della carta
Falso supporto tecnicoDicono che hai un virus e chiedono l'accesso remoto
Investimento miracolosoPromettono rendimenti alti e rapidi con un falso intermediario
Falso familiare su WhatsApp"Sono tuo figlio, ho cambiato numero, mi servono soldi"
Falso bonifico istantaneo o compravenditaTi fanno accettare una richiesta pensando di incassare, ma in realtà paghi

Come applicarlo oggi

  1. Attiva gli avvisi dei movimenti in banca. Ti permettono di individuare subito addebiti strani.
  2. Salva sul telefono il numero ufficiale della tua banca o consultalo sempre dall'app o dalla carta.
  3. Entra in banca solo dall'app ufficiale o scrivendo tu l'indirizzo. Mai da link ricevuti.
  4. Attiva l'autenticazione a due fattori sugli account importanti.
  5. Usa un password manager. Se il manager non compila la password in una pagina che sembra della tua banca, può essere un sito falso.
  6. Diffida di qualsiasi messaggio che ti faccia agire di fretta. La fretta fa parte dell'attacco.

Se ci sei già cascato

Agisci in fretta:

  1. Chiama subito la banca al numero ufficiale.
  2. Blocca carte o conti se serve.
  3. Cambia la password del servizio colpito.
  4. Cambia anche quella della posta se hai inserito dati o hai dubbi.
  5. Revoca le sessioni aperte e i dispositivi sconosciuti.
  6. Conserva screenshot, SMS, email e numeri di telefono.
  7. Segnala alla Polizia Postale (anche online, sul commissariatodips.it).
  8. Denuncia se c'è una perdita economica o un furto d'identità.

Nelle frodi con carta o banca digitale, il tempo conta: prima avvisi l'istituto, più possibilità hai di limitare il danno.

Errori comuni

  • Cliccare perché "sembrava della banca".
  • Dare codici 2FA o OTP al telefono.
  • Pensare che una telefonata sia sicura perché compare il numero della banca (si può falsificare).
  • Entrare in banca da un link di un SMS.
  • Fidarsi di un messaggio perché non ha errori di ortografia.
  • Agire di fretta perché il messaggio fa paura.
  • Non avvisare subito la banca quando sospetti di esserci cascato.
  • Pensare "a me non succederà". Le truffe funzionano proprio perché sono progettate per beccarti in un momento sbagliato.

Collegato con

Risorse

📚 Polizia Postale — Commissariato di PS online. Il canale ufficiale per segnalare phishing, smishing e frodi online, con esempi reali e consigli di prevenzione.

📚 ACN — Agenzia per la Cybersicurezza Nazionale. Le guide ufficiali italiane sulle minacce informatiche più comuni.

📚 Banca d'Italia — Truffe e sicurezza. Ricorda che queste truffe cercano dati bancari, codici usa e getta o OTP, e che nessun istituto li chiede per canali non sicuri.

📚 CONSOB — Segnalazioni e abusivi. La lista degli intermediari non autorizzati e gli avvisi sulle truffe di investimento.


Davanti alla fretta di cliccare, fermati e verifica per conto tuo.


← Torna alla tavola