Il phishing è un tipo di attacco di social engineering in cui un truffatore si finge una persona o un'organizzazione fidata — la tua banca, un datore di lavoro, un servizio popolare — per indurti a rivelare informazioni sensibili o credenziali, oppure a installare malware. Di solito arriva come messaggio (e-mail, SMS o chat) che crea urgenza e ti spinge a cliccare un link verso una pagina di login falsa o a rispondere con dati personali. Il nome gioca su „fishing“ (pescare): l'aggressore esca molti bersagli e aspetta che qualcuno abbocchi.

Quali sono i tipi principali di phishing?

Diversi. Il phishing via e-mail è la classica versione di massa. Lo spear phishing prende di mira una persona specifica con dettagli personalizzati, rendendolo molto più convincente. Il whaling prende di mira i dirigenti. Lo smishing è phishing via SMS/messaggio, e il vishing è via chiamata vocale (spesso un falso agente di „supporto“ o „banca“). Il clone phishing copia un messaggio reale che hai già visto ma vi sostituisce un link malevolo. Condividono un obiettivo: farti agire — cliccare, accedere, pagare o condividere — prima che ti fermi a verificare.

Come riconosco un tentativo di phishing?

Fai attenzione a: un senso di urgenza o minaccia („il tuo account verrà chiuso“), un indirizzo del mittente leggermente sbagliato, link la cui vera destinazione (passaci sopra il mouse per controllare) non corrisponde al sito dichiarato, richieste di password o codici che i servizi legittimi non chiedono mai, saluti generici e allegati inattesi. Su mobile i link sono più difficili da ispezionare — sii ancora più cauto. Nel dubbio, non cliccare; vai direttamente al sito digitando tu stesso l'indirizzo e contatta l'organizzazione tramite un numero o un'app di cui ti fidi già.

Come mi proteggo dal phishing?

Stratifica le difese. Non cliccare mai link in messaggi inattesi — vai direttamente ai siti. Attiva l'autenticazione a due fattori così che una password rubata da sola non basti; i fattori resistenti al phishing come le passkey o le chiavi hardware sono i migliori perché non si autenticano su un dominio falso. Usa un password manager: compila automaticamente solo sul dominio autentico, quindi se si rifiuta di compilare, è un campanello d'allarme che il sito è falso. Mantieni il software aggiornato e verifica ogni richiesta „urgente“ tramite un canale separato e fidato.

Perché passkey e password manager aiutano contro il phishing?

Perché si legano al dominio del sito reale. Un password manager compila automaticamente le credenziali solo sull'esatto dominio legittimo per cui le ha salvate — quindi su una pagina di phishing sosia semplicemente non compila, il che ti avverte. Le passkey (e le chiavi di sicurezza hardware che usano FIDO2/WebAuthn) vanno oltre: il login crittografico è legato all'origine del sito reale, quindi anche se vieni ingannato e visiti una pagina falsa, la passkey non si autenticherà lì. Questo legame con l'origine è ciò che le rende davvero resistenti al phishing, a differenza di una password che ti possono indurre a digitare ovunque.

Cos'è il Phishing? Come riconoscerlo e fermarlo (2026)

Ricevi un SMS: „Il tuo pacco è in giacenza — conferma qui i tuoi dati.“ Oppure un'e-mail identica a quella della tua banca, che avverte che il tuo account verrà bloccato. Quello è phishing — ed è il modo più comune con cui nel 2026 le persone comuni si fanno rubare account e denaro. Non rompe la crittografia né indovina le password; induce te a consegnarle. Questa guida spiega cos'è il phishing, i tipi da riconoscere, come individuarlo e le difese che funzionano davvero.

Cos'è il phishing

Il phishing è un attacco di social engineering: un truffatore si finge qualcuno di cui ti fidi per indurti a rivelare credenziali o dati, o a installare malware. Di solito arriva come messaggio che fabbrica urgenza („agisci ora o perdi l'accesso“) e ti spinge verso una pagina di login falsa o una risposta con dati personali.

L'attacco prende di mira il giudizio umano, non la tecnologia. Ecco perché funziona anche contro password forti — vieni convinto a digitarle tu stesso nella pagina dell'aggressore.

I tipi principali

Phishing via e-mail — la classica campagna di massa.
Spear phishing — personalizzato su un bersaglio specifico, molto più convincente.
Whaling — rivolto ai dirigenti.
Smishing — via SMS/messaggio; vishing — via chiamata vocale (falso „supporto“ o „banca“).
Clone phishing — copia un messaggio reale ma vi sostituisce un link malevolo.

Condividono tutti un obiettivo: farti agire prima di verificare.

Come riconoscerlo

Urgenza o minacce — „il tuo account verrà chiuso.“
Un indirizzo del mittente leggermente sbagliato — guarda attentamente il dominio.
Link non corrispondenti — passaci sopra il mouse per vedere la vera destinazione; non corrisponderà al sito dichiarato.
Richieste di password o codici — i servizi legittimi non li chiedono mai.
Saluti generici e allegati inattesi.

Su mobile i link sono più difficili da ispezionare — sii particolarmente attento. Nel dubbio, non cliccare: digita tu stesso l'indirizzo o usa l'app ufficiale.

Un messaggio di phishing, sezionato

Immagina un SMS: „NETFLIX: Il tuo pagamento è fallito. Aggiorna la tua carta entro 24h o il tuo account verrà sospeso: netflix-billing-secure.com/verify“. Quattro campanelli d'allarme sono impilati in una sola riga:

Urgenza fabbricata — „entro 24h… sospeso“ ti spinge ad agire prima di pensare.
Un dominio sosia — netflix-billing-secure.com non è netflix.com; il marchio reale è solo un prefisso. Gli aggressori adorano sottodomini e trattini (paypal.account-verify.io) perché la parola fidata appare comunque.
Un canale inatteso — un vero problema di fatturazione compare nell'app, non in un SMS casuale con link.
Una richiesta di „aggiornare“ il pagamento tramite il link — i servizi legittimi ti dicono di accedere normalmente, mai tramite un URL inviato via SMS.

Allenati a leggere il dominio da destra a sinistra: il sito vero è la parte subito prima della prima barra singola (qui netflix-billing-secure.com), non il nome del marchio che appare prima nell'URL.

Come fermarlo

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Un password manager non compila su un sito falso → NordPassCompila automaticamente solo sul dominio autentico · Cassaforte zero-knowledge · Scanner di violazioni integrato→

Non cliccare mai link in messaggi inattesi. Vai direttamente ai siti.
Attiva l'autenticazione a due fattori così che una password rubata da sola non basti — e preferisci fattori resistenti al phishing.
Usa un password manager. Compila automaticamente solo sul dominio autentico; se si rifiuta di compilare, il sito è probabilmente falso — un avviso integrato. (Vedi perché i password manager sono sicuri.)
Verifica le richieste „urgenti“ tramite un canale separato e fidato.

Cosa fare se hai già cliccato

Cadere in un phishing non è la fine — la rapidità limita i danni. Se hai inserito credenziali su una pagina falsa:

Cambia subito quella password, sul sito reale e ovunque l'abbia riutilizzata. Il riutilizzo è ciò che trasforma un phishing in molti account compromessi.
Controlla la 2FA sull'account interessato: verifica che non sia stato aggiunto alcun secondo fattore o e-mail di recupero sconosciuti, e disconnetti tutte le sessioni attive.
Attenzione al seguito. Gli aggressori spesso concatenano un phishing con una falsa chiamata di „supporto“ (vishing) per estrarre il tuo codice 2FA — non leggere mai un codice ad alta voce a nessuno.
Se era un account di lavoro, avvisa subito l'IT. Segnalare presto limita una violazione molto più che nascondere l'errore.
Se hai inserito i dati della carta, contatta la banca per bloccarla o riemetterla e controlla gli estratti conto.

Più rapidamente cambi la password e revochi le sessioni, più piccola è la finestra a disposizione dell'aggressore — vedi cosa fare se un account è stato violato per la checklist completa.

Perché passkey e manager sono resistenti al phishing

Entrambi si legano al dominio reale. Un password manager compila automaticamente solo sull'esatto sito legittimo, quindi una pagina sosia non ottiene nulla. Le passkey e le chiavi hardware (FIDO2/WebAuthn) vanno oltre: il login è crittograficamente legato all'origine del sito reale, quindi anche se atterri su una pagina falsa, non si autenticherà. Questo legame con l'origine è la vera difesa — vedi la nostra guida alle migliori app authenticator, e se pensi di essere già stato colto, cosa fare se un account è stato violato.

In sintesi

Il phishing ti induce a cedere le credenziali tramite messaggi e pagine di login falsi — batte le password forti perché prende di mira te, non la tua crittografia. Riconoscilo dall'urgenza, dal mittente sbagliato e dai link non corrispondenti; fermalo non cliccando mai link inattesi, attivando la 2FA resistente al phishing e lasciando che un password manager si rifiuti di compilare sui falsi. L'abitudine di verificare prima di agire è l'intera difesa.

Guida editoriale basata su tecniche di phishing documentate (e-mail/spear/smishing/vishing) e difese standard (2FA, passkey, legame al dominio del password manager). I link commerciali riportano l'attributo rel="sponsored nofollow"; può essere applicata una commissione di affiliazione senza costi aggiuntivi per te.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Blinda i tuoi account → NordPassPassword forti e uniche · scanner di violazioni · piano gratuito→