secure-os.org
ENFRESDEITPT
Tutte le guideQubes OSTailsWhonixLinux rafforzatoCrittografia del discoModello di minaccia
phishing

Cos'è il phishing? Come individuarlo e fermarlo (2026)

secure-os· Aggiornato 19 giugno 2026· 5 min di lettura #phishing#security#email#social-engineering#passwords
Un simbolo dipinto di un pesce e un amo su un segnale circolare incastonato nel selciato

Il phishing è il modo più comune in cui le persone comuni vengono hackerate — e non attacca il tuo software, attacca te. Invece di violare la crittografia, un aggressore ti induce semplicemente a consegnare una password o a cliccare un link dannoso. Questa guida spiega cos’è il phishing, i tipi principali, i segnali d’allarme e le difese che riducono davvero il rischio.

La definizione breve

Il phishing è un attacco di ingegneria sociale che impersona una persona o un’organizzazione di cui ti fidi per indurti a rivelare informazioni sensibili — password, numeri di carta, codici — o a installare malware. Di solito arriva come un’email, un SMS o un messaggio falso che sembra legittimo e ti spinge ad agire in fretta. Il nome è un gioco di parole con „fishing” (pescare): l’aggressore lancia l’esca e aspetta che qualcuno abbocchi.

Come funziona un attacco di phishing

Lo schema è quasi sempre lo stesso:

  1. L’esca. Un messaggio che impersona la tua banca, un datore di lavoro, un servizio di consegna o un’app popolare, spesso con un gancio urgente o spaventoso („il tuo account verrà sospeso”, „conferma questo pagamento”).
  2. L’amo. Un link a un sito web sosia, o un allegato. Il sito è una copia quasi perfetta della vera pagina di login.
  3. La cattura. Inserisci il tuo nome utente e la tua password — direttamente nelle mani dell’aggressore. Spesso la pagina falsa ti reindirizza poi al sito reale, così niente sembra sospetto.

Poiché si basa sulla fiducia e sull’urgenza, il phishing funziona anche con le persone attente — non solo con i distratti.

Un portatile che mostra una schermata di login dell'home banking con i campi nome utente e password, accanto un telefono su un tavolo di legno — le pagine di phishing imitano i veri login come questo per catturare le tue credenziali.

I tipi principali

  • Phishing via email — email di massa che impersonano un marchio, inviate a elenchi enormi sperando che una frazione abbocchi.
  • Spear phishing — mirato a una persona specifica, usando dettagli reali su di te per sembrare credibile. Molto più convincente.
  • Whaling — spear phishing rivolto a dirigenti o bersagli di alto valore.
  • Smishing — phishing via SMS (falsi messaggi di consegna o della banca).
  • Vishing — phishing tramite telefonata, spesso impersonando l’assistenza o la tua banca.
  • Clone phishing — una copia di un’email reale che hai ricevuto, con i link sostituiti da altri dannosi.

I segnali d’allarme

La maggior parte del phishing si tradisce se rallenti e osservi:

  • Urgenza o minacce — „agisci subito o il tuo account verrà bloccato”. La pressione è il punto.
  • Link non corrispondenti o sosia — passa il mouse prima di cliccare; il testo visibile e l’URL reale differiscono, oppure il dominio è subdolamente sbagliato (paypaI con una i maiuscola, parole extra prima del dominio reale).
  • Saluti generici — „Gentile cliente” invece del tuo nome (meno affidabile per lo spear phishing).
  • Richieste di credenziali o codici — i servizi reali non chiedono la tua password o il tuo codice 2FA via email.
  • Allegati inattesi — soprattutto documenti che ti chiedono di „abilitare il contenuto”.
  • Un indirizzo del mittente che non corrisponde all’organizzazione, anche se il nome visualizzato sembra giusto.

Come proteggerti

Nessun singolo trucco basta; ciò che funziona sono gli strati:

  • Non cliccare i link nei messaggi non richiesti. Vai al sito direttamente digitando l’indirizzo o usando un segnalibro, poi accedi lì.
  • Attiva l’autenticazione a due fattori (2FA). Se la tua password viene carpita con il phishing, un secondo fattore può comunque bloccare l’accesso. Le chiavi basate su app o hardware sono più forti dell’SMS.
  • Usa un gestore di password. Oltre a password forti e uniche, aggiunge un silenzioso strato anti-phishing — vedi sotto.
  • Verifica per un canale diverso. Se la tua „banca” ti scrive, chiama il numero sulla tua carta, non uno presente nel messaggio.
  • Mantieni il software aggiornato così che gli allegati dannosi abbiano meno falle da sfruttare, e segnala il phishing al tuo provider.

Un gestore di password è un anti-phishing silenzioso

Questa è la difesa sottovalutata. Un gestore di password lega ogni login salvato al dominio reale a cui appartiene. Su una pagina di phishing sosia, il gestore semplicemente non si offrirà di compilare automaticamente le tue credenziali — perché il dominio non corrisponde. Quel rifiuto silenzioso è spesso il primo segnale chiaro che una „pagina di login” è falsa, e ti impedisce di incollare la tua password nel posto sbagliato.

La conclusione onesta

Il phishing prende di mira la fiducia umana, non i difetti del software, ed è per questo che persino gli esperti occasionalmente cadono in un messaggio di spear phishing ben confezionato. Non puoi affidarti a non commettere mai un errore — ti affidi alla difesa in profondità: rallenta davanti ai messaggi urgenti, vai ai siti direttamente e metti la 2FA e un gestore di password tra un singolo passo falso e un account rubato. Quegli strati trasformano un phishing riuscito in un quasi-incidente evitato.