secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
phishing

Come riconoscere un'email di phishing: 7 segnali da controllare (2026)

secure-os· Aggiornato 20 giugno 2026· 7 min di lettura #phishing#security#email#social-engineering#passwords
Un lucchetto aperto appoggiato su una tastiera di laptop illuminata di rosso e verde — una password sottratta con il phishing lascia un account sbloccato

Un’email di phishing è un messaggio falso costruito per sembrare proveniente da qualcuno di cui ti fidi, così da farti cliccare un link, aprire un allegato o digitare una password dove l’aggressore può leggerla. La buona notizia: la maggior parte di esse si tradisce da sola se sai esattamente cosa guardare. Questa è una lista di controllo pratica, segnale per segnale, per riconoscere un’email di phishing prima che ti costi qualcosa. (Per il quadro più ampio, vedi cos’è il phishing.)

La mentalità: rallenta prima di cliccare

Il phishing fa leva sull’attenzione, non sull’intelligenza. I messaggi sono progettati per farti agire nel mezzo secondo prima di pensare — una scadenza, una minaccia, una ricompensa troppo bella. L’abitudine più utile in assoluto è semplicemente fermarsi davanti a qualsiasi email che vuole che tu agisca immediatamente, poi passare in rassegna i segnali qui sotto. Nessuno di essi è una prova da solo, ma due o tre insieme sono un segnale forte per fermarsi.

1. L’indirizzo del mittente non corrisponde al marchio

Il nome visualizzato è banale da falsificare. Ciò che è più difficile da falsificare è l’indirizzo reale che vi sta dietro. Controlla la parte dopo la @: un messaggio reale di una banca o di un servizio proviene dal suo dominio (per esempio @latuabanca.com), non da una casella gratuita come @gmail.com, non da un imitatore (@latuabanca-secure.com, @latuabanca.support) e non da una stringa di caratteri casuali. Su mobile, tocca il nome del mittente per espandere l’indirizzo completo — molte email di phishing contano sul fatto che tu non lo faccia mai.

2. Il saluto e il tono suonano strani

Il phishing di massa viene inviato a liste enormi, quindi spesso si apre con un saluto generico — “Gentile Cliente”, “Caro utente” o il tuo indirizzo email al posto del tuo nome. Un’azienda con cui hai davvero un account di solito conosce il tuo nome. (Lo spear phishing mirato può azzeccarlo, quindi un saluto personale non è un certificato di buona salute — toglie solo un campanello d’allarme.)

3. Crea ad arte urgenza o paura

È il motore di quasi ogni email di phishing: un motivo per cui devi agire subito. “Il tuo account sarà sospeso entro 24 ore.” “Accesso sospetto — verifica immediatamente.” “Il tuo pagamento è fallito, aggiorna i tuoi dati per evitare la cancellazione.” Le organizzazioni legittime raramente minacciano la chiusura dell’account via email con un conto alla rovescia. Tratta la pressione temporale artificiale come un segnale d’allarme di per sé.

Una persona in un bar che usa un laptop con aperta una casella di messaggi mentre tiene uno smartphone nell'altra mano — controlla chi ha davvero inviato un messaggio, su entrambi gli schermi, prima di agire.

È l’indizio che intercetta più phishing. Passa il cursore sopra un link (su desktop) o premilo e tienilo premuto (su mobile) per vedere in anteprima la vera destinazione prima di cliccare. Fai attenzione a:

  • Un testo visibile che dice una cosa mentre l’URL reale punta tutt’altrove.
  • Un dominio imitatore — parole extra prima di quello vero (paypal.com.secure-login.net), caratteri scambiati (paypa1.com, rnicrosoft.com) o un suffisso di Paese poco familiare.
  • Accorciatori di link che nascondono l’indirizzo finale.

Nel dubbio, non cliccare affatto il link. Apri una nuova scheda e digita tu stesso l’indirizzo del sito, oppure usa un tuo segnalibro, poi accedi lì.

5. Spinge un allegato inatteso

Una fattura reale, un avviso di consegna o un “messaggio vocale” che non aspettavi è un classico metodo di consegna del phishing. Diffida in particolare degli allegati che ti chiedono di “abilitare il contenuto”, “abilitare le macro” o “abilitare la modifica” — quella richiesta esiste per eseguire codice sulla tua macchina. Documenti Office, file .html e archivi .zip da un mittente sconosciuto sono ad alto rischio. Se non l’hai richiesto, non aprirlo. (Gli allegati sono anche il modo in cui entra molto malware.)

6. Chiede credenziali, codici o dati di pagamento

Nessun servizio legittimo ti invierà un’email chiedendoti la tua password, il numero completo della carta o il codice a due fattori. La tua banca non avrà mai bisogno del tuo accesso via risposta. Un messaggio che ti chiede di “confermare” questi dati — o di spostare denaro “per metterlo al sicuro” — è phishing fino a prova contraria. Lo stesso vale per i codici monouso: un aggressore che ha già la tua password ha solo bisogno che tu gli legga il codice ad alta voce.

7. Il testo ha piccoli indizi

Il phishing moderno può essere curato, quindi questo è il segnale più debole — ma aiuta comunque. Fai attenzione a frasi leggermente goffe, branding incoerente, loghi che sembrano stirati o a bassa risoluzione, piè di pagina non corrispondenti o un’email che mescola linguaggio formale e maldestro. Uno solo di questi, accanto a un altro campanello d’allarme, fa pendere la bilancia verso “elimina”.

Una rapida lista di controllo

Prima di cliccare qualsiasi cosa in un’email che vuole un’azione, chiediti:

  1. L’indirizzo reale del mittente è il dominio del marchio?
  2. È un saluto generico invece del mio nome?
  3. Sta spingendo urgenza o una minaccia?
  4. Dove puntano davvero i link quando ci passo sopra?
  5. C’è un allegato inatteso che mi chiede di abilitare qualcosa?
  6. Chiede una password, un codice o un dato di pagamento?
  7. Ci sono frasi, loghi o piè di pagina strani?

Due o più risposte “sì” significano fermarsi e verificare tramite un canale di cui ti fidi.

Cosa fare quando ne individui una

  • Non cliccare, non rispondere, non aprire allegati. Rispondere conferma che il tuo indirizzo è attivo.
  • Verifica fuori canale. Se afferma di essere la tua banca, chiama il numero sulla tua carta — mai un numero del messaggio.
  • Segnalala, poi eliminala. La maggior parte delle app di posta ha un pulsante “Segnala phishing”; segnalare aiuta il provider a bloccare la campagna anche per gli altri.
  • Se hai già cliccato o inserito una password, cambia subito quella password sul sito reale e su qualsiasi altro account in cui l’hai riutilizzata.

Anche un lettore attento può essere ingannato da una pagina imitatrice perfetta. È qui che un gestore di password si guadagna silenziosamente il suo posto. Lega ogni accesso salvato al dominio reale esatto a cui appartiene — così su una pagina di phishing ospitata a un indirizzo diverso semplicemente non proporrà di compilare automaticamente le tue credenziali. Quel silenzioso mancato riempimento è spesso il segnale più chiaro che una “pagina di accesso” è falsa, e ti impedisce di digitare la tua password nel posto sbagliato.

E un secondo fattore ferma la password rubata

Riconoscere il phishing è la tua prima linea di difesa, ma non sarai mai perfetto — quindi costruisci una riserva. Con l’autenticazione a due fattori attivata, una password che un aggressore ti sottrae con il phishing non basta da sola per entrare; gli servirebbe anche il tuo secondo fattore. I codici basati su app o una chiave hardware sono più forti degli SMS, che a loro volta possono essere intercettati.

La conclusione onesta

Non individui il phishing con un singolo indizio magico — lo individui rallentando e seguendo una breve lista di controllo: chi l’ha davvero inviata, a cosa ti sta spingendo, dove portano i suoi link e cosa ti sta chiedendo. Imposta bene queste abitudini, poi metti dietro un gestore di password e l’autenticazione a due fattori, e un’email di phishing convincente si trasforma in un mancato incidente anziché in un account rubato.