Il Phishing è una delle truffe online più diffuse e infami. Può colpire chiunque: privati, aziende, PA. Col tempo si continua a evolvere e ad assumere più forme. Secondo l’ENISA (una delle maggiori agenzie di cybersecurity europea) il Phishing è:
“una minaccia trasversale, persistente e in continua evoluzione”
Infatti ormai questo inganno non si ferma alle e-mail sospette. Campagne fraudolente arrivano anche via SMS (smishing), telefonate (vishing) e persino attraverso QR code (quishing). Oggi piace tanto fare tassonomie specifiche, ma la sostanza rimane la stessa: sono truffe che sfruttano sempre di più ingegneria sociale e personalizzazione dei messaggi.
Ma come diceva Lucio Dalla ne La sera dei miracoli:
“... ci sono anche i delinquenti: non bisogna aver paura, ma stare un poco attenti… ”
Ecco: per fare attenzione informati. Vedrai che dopo aver letto questo articolo riconoscerai subito il Phishing, ben prima di cascarci: oppure sei qui perché ti ha già ingannato una truffa online? Basta cliccare sulla domanda per trovare risposte.
Altrimenti, continua a cercarle qui.

Indice dei contenuti
Perché si cade nel Phishing?
Se pensi che il Phishing sia roba per pochi analfabeti digitali, ricrediti subito. Perché queste truffe online puntano all’emotività: quindi anche una persona informata potrebbe cascarci, specialmente se si considera il flusso di informazioni e di notifiche costante a cui siamo sottoposti.
Immagina (neanche con troppo sforzo) di lavorare 8 ore al giorno: di vagliare mail, messaggi, lavorazioni e soprattutto distrazioni. Ogni tanto l’attenzione può calare, ed è proprio lì che il Phishing colpisce: perché una campagna truffaldina fatta bene propone elementi credibili, come loghi, siti web, link e nominativi. L’urgenza propria di questi messaggi, a una persona sovraccaricata o distratta, possono passare automaticamente come comandi:
“Clicca qui per risolvere i tuoi problemi“.
Può passare un messaggio del genere nel nostro cervello, in una frazione di secondo. E a volte le dinamiche della vita personale e lavorativa, combinate ai nostri umori, possono accompagnarci verso queste scelte superficiali ed errate.
Quindi si cade nel Phishing quando non si è abbastanza informati ma soprattutto quando si è stanchi e distratti.
Ci sei o già ti stai distraendo?
Quanto è diffuso il Phishing in Italia oggi
Abbiamo due report del CERT-AGID (l’Agenzia per l’Italia Digitale) che ci offrono dati piuttosto allarmanti. L’anno scorso (fonte report 2024) si è chiuso contando ben 1.128 campagne di Phishing (ogni campagna può colpire migliaia di persone) e oltre 13.000 indicatori di compromissione (prove digitali che indicano un’attività malevola o un’intrusione in un sistema informatico).
E questi dati riguardano soltanto le Pubbliche Amministrazioni nello specifico. Ed è molto importante sottolinearlo, per rendere l’idea di quanto il Phishing non sia limitato a persone vulnerabili.
Ritornando al 2025 (fonte avviso 2025) vediamo un aumento delle campagne a tema PagoPA e INPS, spesso diffuse addirittura via PEC.
Quali sono i settori più colpiti?
- Servizi finanziari e di pagamenti digitali
- SaaS/Webmail
- E-commerce e retail
- PA e istruzione.
La truffa del QR code
Te lo abbiamo anticipato prima e qui lo ribadiamo: oggi anche i QR code sono un rischio. Addirittura sono ottimi strumenti per aggirare filtri di sicurezza.
Quindi da adesso in poi tratta ogni QR proprio come se fosse un link sconosciuto. E come si tratta un link sconosciuto? Non cliccarci prima di verificare contesto e fonte.
Come riconoscere e combattere il Phishing in 10 mosse
1) Controlla bene il mittente
Guarda sempre l’indirizzo completo dopo la “@”. I truffatori imitano nomi reali ma usano domini falsi o leggermente modificati. In questo caso quindi basta verificare indirizzo ufficiale dell’ente che i truffatori vogliono imitare.
Indirizzi generici e poco coerenti con l’ente quindi sono un campanello d’allarme inequivocabile.
2) Tono urgente, minaccioso o troppo allettante? Si tratta di Phishing
Se il linguaggio è urgente o minaccioso o se al contrario è troppo allettante, non farti spaventare né sedurre. Nulla è sicuro nella vita… ma questi segnali sono praticamente una certezza di Phishing.
3) Passa il mouse sui link senza cliccare
I link malevoli mostrano indirizzi diversi da quelli ufficiali e lo scopri proprio così: passando con il mouse sui link senza cliccare.
4) Attenzione agli allegati
Non aprire file .zip, .exe, .docm, .xlsm o allegati che richiedono macro: tutti possono contenere malware o ransomware. Tieni presente che gli enti ufficiali inviano documenti solo tramite aree riservate o PEC (e anche lì tocca fare attenzione).
5) Verifica la coerenza del messaggio
Controlla logo, grafica e firma: spesso sono imitazioni grossolane degli originali. Confronta il messaggio con altri ufficiali ricevuti in passato: differenze nel layout e nello stile sono segnali sospetti. Infine controlla se ci sono errori grammaticali o di traduzione: in questo caso hai avuto la fortuna di beccare truffatori approssimativi. Mantieni la calma e segnala.
6) Occhio allo Smishing, al Vishing e al Quishing
- Smishing=SMS che imitano banche o corrieri con link brevi
- Vishing=telefonate in cui il truffatore si finge operatore e chiede OTP (anche con IA).
- Quishing=QR code che portano a siti fasulli
7) Diffida di richieste con dati o codici: se qualcuno te li chiede è Phishing
Nessuna banca, PA o servizio chiede PIN, OTP, password o dati personali via SMS, telefono o mail. Nemmeno tramite PEC.
Questo stampatelo bene in testa: è la cosa più importante da ricordare.
8) Confronta con i canali ufficiali
Se noti questi segnali ma hai ancora dubbi, ti basta fare una breve ricerca per trovare il sito o l’app ufficiale dell’ente imitato dai truffatori.
9) Hai dubbi che sia Phishing? Segnala
Non rispondere e non cliccare su nulla. Segnala l’SMS alla Polizia Postale (qui) e conserva tutte le prove (screenshot, header, URL… )
10) Contro il Phishing, usa la regola dei 3 secondi
Seguire la pancia nella vita a volte fa bene. Ma non in questo caso.
Se il messaggio:
- ti spinge ad agire in fretta,
- ti chiede dati o codici,
- e contiene link sospetti,
prenditi 3 secondi, fai un nel respiro e ripeti con me: “è Phishing”.
Qualche trucco per prevenire il Phishing
Riconoscere i segnali ti porta già a evitare di farti truffare: ma come si fa a evitare il più possibile che ti arrivino messaggi truffaldini?
- Usa l’autenticazione multi-fattore.
- Mantieni browser, sistema operativo e antivirus sempre aggiornati.
- E, di nuovo: mantieni la calma!
… ma te l’abbiamo già detto di mantenere la calma?
La calma è la virtù dei forti ed è l’arma più potente per combattere il Phishing. Ogni messaggio che crea urgenza o promette vantaggi immediati è un tentativo di infrangere le tue barriere psicologiche ed emotive. Un tentativo di manipolarti e di spennarti come una povera gallinella.
Nessuno ti regala niente dal nulla.
In certi momenti della vita o della giornata questo può essere difficile da capire ma devi fare uno sforzo e ricordartelo. Non farti disturbare dalle mosche, non farti spaventare da tigri di carta.
Continua a informarti e a mantenere la razionalità: ciò va a vantaggio tuo e delle persone accanto a te.
Per sapere ancora di più sulle truffe online, continua a seguire il nostro blog.