secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
phishing

Come prevenire il phishing nel 2026 — ora che l'IA lo ha reso molto peggiore

secure-os· Aggiornato 21 giugno 2026· 5 min di lettura #phishing#ai#security#scams#passwords
Illustrazione di un truffatore mascherato che inganna un utente inducendolo a inserire la propria password su un sito web falso

Il phishing — ingannarti per farti consegnare una password, un codice o un pagamento su una pagina che sembra soltanto legittima — è da sempre il modo più comune in cui gli account vengono compromessi. Nel 2026 è peggiorato drasticamente, perché l’IA generativa ora scrive esche impeccabili e personalizzate su larga scala. I ricercatori di sicurezza hanno segnalato che il phishing generato dall’IA è aumentato di circa 14× nel 2026, e l’Internet Crime Complaint Center dell’FBI ha registrato 191.561 denunce di phishing e spoofing nel 2025 — più di qualsiasi altra categoria di reato, con perdite dichiarate in crescita del 208% anno su anno.

La buona notizia: le difese non sono cambiate quanto gli attacchi. Una manciata di abitudini ferma ancora la stragrande maggioranza dei tentativi di phishing — devi solo applicarle con costanza, perché ora le email sono molto più difficili da riconoscere a occhio.

Perché il phishing è peggiorato all’improvviso

Per anni, il segnale più facile di un’email di phishing era la scrittura scadente: grammatica goffa, frasi strane, formule di saluto generiche. L’IA generativa ha cancellato quel segnale. Gli aggressori producono ora messaggi scorrevoli e formattati correttamente in qualsiasi lingua, personalizzati con dettagli raccolti da violazioni di dati e social media. Un rapporto ha rilevato che il phishing assistito dall’IA è salito da circa il 4% del phishing segnalato a fine 2025 a un picco di oltre la metà nel giro di poche settimane.

Questo significa che il vecchio consiglio — «cerca i refusi» — non basta più. I segnali affidabili oggi riguardano il contesto e il comportamento, non la qualità linguistica.

Un avviso rosso di allerta di sicurezza sopra righe di codice
L’IA non ha inventato nuovi attacchi — ha reso le solite vecchie esche di phishing scorrevoli, personalizzate e molto più difficili da riconoscere a occhio.

Come riconoscere un tentativo di phishing moderno

Valuta la situazione, non l’ortografia:

  • Urgenza inattesa. «Il tuo account verrà chiuso entro 24 ore», «conferma subito questo pagamento». La pressione temporale artificiale è la manipolazione più comune in assoluto.
  • Un link che vuole le tue credenziali. Qualsiasi messaggio che ti porta a una pagina di login è sospetto. Passa il mouse (o tieni premuto) sul link e leggi il dominio reale — paypa1.com o secure-paypal.account-verify.com non è paypal.com.
  • Una richiesta che aggira i canali normali. Un «CEO» che chiede carte regalo, un «fornitore» che cambia le coordinate bancarie via email, un «collega» che ha bisogno di un codice 2FA — verifica tramite un canale separato e conosciuto.
  • Allegati che non hai richiesto, soprattutto documenti che ti chiedono di «abilitare il contenuto» o di visitare un link per visualizzarli.
  • Mittente che non corrisponde. Il nome visualizzato dice la tua banca; l’indirizzo reale è una Gmail qualunque. Su mobile, tocca per espandere il mittente vero.

Come prevenire il phishing — i passi che funzionano

  • Non inserire mai le credenziali da un’email o dal link di un messaggio. Vai tu stesso al sito, digitando l’indirizzo o usando un segnalibro. Questa singola abitudine sconfigge la maggior parte del phishing.
  • Attiva l’autenticazione a due fattori ovunque, e preferisci un’app di autenticazione o una passkey hardware all’SMS. Anche se una password viene carpita, l’aggressore non riesce comunque ad accedere.
  • Usa password uniche per ogni account, così una credenziale carpita non può sbloccare il resto della tua vita.
  • Rallenta di fronte all’urgenza. Le organizzazioni legittime non chiudono il tuo account perché hai impiegato dieci minuti per verificare.
  • Verifica fuori banda. Quando un messaggio chiede denaro, credenziali o un codice, conferma tramite un numero o un’app di cui ti fidi già — mai i recapiti contenuti nel messaggio stesso.
  • Mantieni aggiornati software e browser, così le pagine di phishing note e gli allegati malevoli vengono intercettati dalle protezioni integrate.

Perché un gestore di password è il tuo strumento anti-phishing più forte

Un buon gestore di password fa una cosa che i tuoi occhi non sanno fare in modo affidabile: controlla il dominio. Il suo riempimento automatico propone la password salvata solo sul sito esatto a cui appartiene, quindi su una pagina di phishing che imita l’originale — dove un essere umano potrebbe non notare app1e.com — il gestore semplicemente rimane in silenzio. Quel silenzio è un avvertimento. Inoltre genera e memorizza una password unica per ogni account, così un singolo phishing riuscito non può propagarsi a tutto il resto.

In sintesi

L’IA ha reso il phishing scorrevole, personalizzato e costante — ma non ha cambiato ciò che lo sconfigge. Non inserire mai le tue credenziali da un link, attiva l’autenticazione a due fattori, dai a ogni account una password unica e rallenta ogni volta che un messaggio fabbrica un senso di urgenza. Gli attacchi sono più intelligenti; le abitudini che li fermano sono ancora semplici, e funzionano ancora.