Guida al phishing: come riconoscerlo e cosa fare in sicurezza

# Guida al phishing: come riconoscerlo e cosa fare in sicurezza

Il phishing non è una singola truffa, ma una famiglia di attacchi che prova a farti cliccare, inserire dati o autorizzare qualcosa sfruttando fiducia, urgenza e apparenza di normalità.

Oggi il phishing non passa solo dalle email. Può arrivare via SMS, QR code, pagine di login false, richieste di OTP o campagne che imitano SPID, INPS e pagoPA.

Cos'è il phishing

Il phishing è un tentativo di impersonare un soggetto affidabile per convincerti a fare un'azione rischiosa. Il soggetto imitato può essere una banca, un ente pubblico, un corriere, un provider SPID, un servizio di pagamento o un brand noto.

L'obiettivo può cambiare:

• rubare credenziali
• raccogliere dati personali
• ottenere codici OTP
• prendere il controllo di un account
• farti eseguire un pagamento

Quello che resta uguale è il metodo: spingerti a reagire prima di verificare.

Dove si presenta oggi

Il phishing moderno usa più canali e spesso li combina.

Email phishing

Resta una delle forme più diffuse, soprattutto quando serve imitare un tono formale o allegare documenti. Per vedere casi concreti puoi leggere email phishing: esempi reali.

SMS phishing o smishing

L'SMS viene usato quando il truffatore vuole colpirti in modo rapido e diretto. È comune nei casi che imitano enti, banche o pagamenti urgenti.

Link sospetti

Molte truffe convergono nello stesso punto: il clic su un URL che sembra legittimo. Per questo conviene sempre partire dai controlli da fare prima di cliccare un link sospetto.

QR phishing o quishing

Qui il link è nascosto dentro un QR code. Il rischio aumenta perché il controllo visivo del dominio avviene solo dopo la scansione. Se vuoi capire meglio il meccanismo, trovi una guida dedicata al quishing e alla truffa del QR code.

Furto di OTP

In molte campagne il clic è solo l'inizio. Il vero obiettivo finale è ottenere un codice di sicurezza. Questo passaggio è spiegato nella guida su phishing OTP: cos'è.

Varianti principali

Questi sono alcuni dei casi più utili per orientarti nelle principali sottocategorie:

• Email phishing: esempi reali
• Link sospetto: controlli prima di cliccare
• Truffa INPS via SMS o email
• Truffa SPID sospeso con documenti e video
• Phishing OTP: cos'è
• Quishing: truffa del QR code
• Falso messaggio pagoPA per multa

Segnali da controllare

• urgenza artificiale: "ultimo avviso", "agisci ora", "scade oggi"
• link con dominio strano o simile all'originale
• richiesta di credenziali, codici o dati subito dopo il clic
• mittente o contesto che sembrano autorevoli ma non reggono ai controlli
• promesse di rimborsi, bonus, multe, sospensioni o verifiche improvvise
• richiesta di compiere più passaggi di seguito senza fermarti

Il phishing spesso vince per accumulo di piccoli segnali. Nessuno da solo è sempre decisivo, ma il quadro complessivo conta molto.

Email, SMS e QR: cosa cambia per chi legge

Dal punto di vista dell'utente, il phishing cambia molto a seconda del canale.

Con l'email il truffatore punta spesso sulla forma: logo, firma, allegati, testo lungo. Con l'SMS punta sulla rapidità: poche righe, urgenza, link pronto da aprire. Con il QR code punta a spostare il problema fuori dalla vista immediata dell'URL.

Capire questa differenza aiuta a reagire meglio:

• con l'email conviene fermarsi su mittente, allegati e URL
• con l'SMS conviene trattare l'urgenza come un segnale di rischio
• con il QR conviene controllare la destinazione prima di fare qualsiasi inserimento

Per questo la guida su link sospetto: 7 controlli essenziali resta utile trasversalmente, anche quando il link non appare subito in modo classico.

SPID, INPS e pagoPA: i temi più imitati

Le campagne che imitano servizi pubblici digitali sono particolarmente insidiose perché fanno leva su autorevolezza e paura.

Tra i casi più ricorrenti:

• false comunicazioni su bonus o rimborsi INPS
• email su SPID sospeso o documenti da aggiornare
• messaggi pagoPA che parlano di multa o sanzione

Per approfondire:

• Truffa INPS via SMS o email
• Truffa SPID sospeso con documenti e video
• Falso messaggio pagoPA per multa

OTP e codici: il phishing non finisce al primo clic

Molte campagne non si chiudono quando apri la pagina falsa. Il vero obiettivo finale può essere il codice OTP che arriva subito dopo. Questo rende il phishing molto più pericoloso di quanto sembri a chi pensa di dover controllare solo il link.

Il percorso tipico è:

1. messaggio credibile 2. clic o apertura della pagina 3. richiesta di dati o login 4. richiesta di OTP per "confermare"

Se vuoi capire meglio questo passaggio, il riferimento più utile è phishing OTP: cos'è. È una pagina importante perché spiega il punto in cui la manipolazione diventa autorizzazione concreta.

Come verificare in sicurezza

La regola più utile è semplice: verifica fuori dal messaggio.

In pratica:

• non cliccare il link ricevuto
• apri manualmente il sito o l'app ufficiale
• controlla il dominio reale
• non condividere OTP
• non inserire dati se non hai ricostruito il contesto

Se il dubbio riguarda un QR code, trattalo come un link. Se riguarda una mail, controlla mittente, URL e richiesta. Se riguarda un SMS, considera l'urgenza come un segnale in più, non come una prova.

Dopo il clic o dopo l'inserimento dati

Se hai già aperto la pagina ma non hai fatto altro, il danno può essere limitato. Se invece hai inserito credenziali, dati personali o codici, non serve aspettare di capire se il sito fosse davvero falso. Conviene comportarsi come se il rischio fosse concreto e ridurre subito il danno.

In pratica:

• cambia password
• esci dalle sessioni aperte se possibile
• attiva protezioni aggiuntive
• controlla operazioni, notifiche e accessi
• blocca carta o metodo di pagamento se necessario
• contatta il servizio coinvolto solo dai canali ufficiali

Questo è particolarmente importante nei casi che imitano servizi pubblici digitali o pagamenti, dove il danno non è solo economico ma può riguardare identità e accessi.

Cosa fare subito

• fermati prima di cliccare
• salva testo e screenshot
• confronta il messaggio con casi simili
• cambia credenziali se hai già inserito dati
• contatta il servizio coinvolto solo dai canali ufficiali

Cosa NON fare

• non fidarti dell'aspetto grafico
• non considerare autentico un messaggio solo perché parla di enti pubblici
• non condividere codici ricevuti sul telefono
• non usare il link o il numero contenuto nel messaggio per verificare
• non pensare che una cifra piccola o un passaggio semplice rendano la situazione sicura

Controlla il contenuto prima di reagire

Il phishing funziona bene quando ti fa credere che non ci sia tempo. In realtà pochi minuti di verifica possono evitare conseguenze molto più pesanti.

Se vuoi fare un controllo rapido su testo, email o screenshot, puoi partire dalla home di ControllaTruffa.