Cos’è il Phishing? Tipi, Esempi, Segnali di Allarme e Come Proteggerti

Introduzione

Ogni 11 secondi, da qualche parte nel mondo, un'azienda cade vittima di un attacco informatico — e il phishing è il modo più comune con cui questi attacchi iniziano. Nel 2026, il phishing rimane la minaccia di ingegneria sociale più diffusa, costando miliardi di euro ogni anno a organizzazioni e privati. Ma cos'è esattamente il phishing? In parole semplici, è un tipo di crimine informatico in cui un malintenzionato finge di essere una persona o un'organizzazione di cui ti fidi, inducendoti a consegnare informazioni sensibili come password, dati di pagamento o dati personali.

Nonostante decenni di campagne di sensibilizzazione, il phishing funziona ancora. Il motivo è semplice: prende di mira le persone, non i software. Non importa quanto sia potente il tuo firewall o il tuo antivirus: un messaggio convincente che fa leva su urgenza, paura o curiosità può aggirare qualsiasi difesa tecnica in pochi secondi. E con la diffusione dei contenuti generati dall'intelligenza artificiale, delle telefonate deepfake e delle truffe con codici QR, il phishing del 2026 non somiglia per niente alle rozze email di spam dei primi anni 2000.

Questa guida copre tutto quello che devi sapere: cos'è il phishing, come funziona, ogni tipo di attacco (dal spear phishing e smishing fino al phishing tramite AI e quishing), esempi reali che hanno causato perdite milionarie, i segnali d'allarme che tradiscono gli attaccanti, e i passi concreti che puoi fare per proteggere te stesso e la tua organizzazione. Che tu gestisca le finanze di un'azienda o voglia semplicemente tenere al sicuro i tuoi conti personali, questo articolo fa per te. E poiché il phishing prende sempre più di mira i conti finanziari e i wallet crypto, parleremo anche di come gli strumenti self-custodial come Bleap — che ti dà il pieno controllo dei tuoi fondi senza dipendere da terze parti centralizzate — aggiungano un livello di protezione concreto alla tua vita finanziaria.

Partiamo dall'inizio.

Il phishing è il modo numero 1 in cui le persone perdono soldi online. Come gestisci le tue finanze fa la differenza. La Mastercard self-custodial di Bleap significa nessun conto centralizzato da svuotare per gli attaccanti, più 0% di commissioni sul cambio valuta e fino al 20% di cashback sulle spese quotidiane. Scopri di più su Bleap →

1. Breve storia del phishing: dalle truffe su AOL agli attacchi potenziati dall'IA

Il phishing esiste quasi da quando esiste internet. Il termine è stato coniato a metà degli anni '90, quando alcuni malintenzionati su America Online (AOL) usavano messaggi istantanei ed email per "pescare" password e numeri di carte di credito degli utenti. Queste prime truffe erano rozze ma efficaci: convincevano gli utenti AOL a cedere le proprie credenziali, permettendo agli attaccanti di prendere il controllo degli account e rubare i dati di pagamento. La metafora è rimasta: proprio come il pescatore usa un'esca, i phisher usano messaggi falsi progettati per agganciare vittime ignare.

Nei primi anni 2000, il phishing era già passato dagli scherzi nelle chatroom a vere e proprie campagne email su larga scala, prendendo di mira i clienti delle banche. Email false che si spacciavano per grandi istituti finanziari come PayPal, eBay e le principali banche hanno inondato le caselle di posta di tutto il mondo. I messaggi erano generici, la grammatica spesso lasciava a desiderare e i siti web contraffatti erano approssimativi, eppure milioni di persone ci cascavano lo stesso.

Gli anni 2010 hanno portato un cambiamento importante. Gli attaccanti hanno abbandonato l'approccio "a tappeto" — con milioni di email identiche — per passare allo spear phishing mirato, studiando le singole vittime e costruendo messaggi personalizzati. Anche gli attori legati a governi stranieri sono entrati in gioco, usando il phishing come strumento principale per lo spionaggio e il sabotaggio delle infrastrutture.

Dal 2020 in poi, il panorama è cambiato di nuovo. La pandemia di COVID-19 ha spinto moltissime persone a lavorare da remoto, ampliando notevolmente la superficie d'attacco. Il phishing via mobile (smishing e vishing) è esploso. La truffa della Business Email Compromise (BEC) è diventata la categoria di crimine informatico più costosa in termini economici. E, più di recente, gli strumenti di phishing basati sull'IA hanno reso possibile generare messaggi impeccabili e personalizzati su scala massiva, eliminando quella "grammatica storta" che un tempo aiutava gli utenti a riconoscere le truffe.

Il filo conduttore è chiaro: il phishing si è evoluto da rozze email di massa ad attacchi sofisticati, personalizzati e multicanale. Capire questa evoluzione è fondamentale per difendersi dalle minacce di oggi.

2. Cos'è il phishing e come funziona?

2.1 La definizione di base

Il phishing è una forma di crimine informatico in cui un attaccante si spaccia per un'entità di cui ti fidi — una banca, un datore di lavoro, un corriere o un ente governativo — per indurti a rivelare informazioni sensibili, cliccare su un link dannoso o compiere un'azione rischiosa, come un bonifico.

Ciò che distingue il phishing da altre minacce informatiche come l'iniezione di malware o gli attacchi brute-force è che colpisce la psicologia umana, non le vulnerabilità del software. L'attaccante non deve abbattere un firewall né sfruttare un bug del codice. Gli basta convincere 1 persona a fare 1 cosa.

Gli obiettivi principali degli attacchi di phishing sono:

• Furto di credenziali: sottrarre username, password e dati di accesso per entrare negli account.
• Frode finanziaria: indurre la vittima a effettuare pagamenti o a fornire i dati della carta.
• Distribuzione di malware: convincere la vittima a scaricare un software che dà agli attaccanti accesso continuo al dispositivo o cifra i file chiedendo un riscatto.
• Accesso non autorizzato: usare le credenziali rubate per muoversi all'interno della rete aziendale.

2.2 L'anatomia di un attacco di phishing (passo dopo passo)

Capire come si sviluppa un attacco di phishing rende molto più facile riconoscerlo quando è in corso. Ecco il ciclo tipico:

Passo 1. Raccolta di informazioni. L'attaccante raccoglie dati sul bersaglio. Nel phishing di massa, può bastare procurarsi una lista di indirizzi email. Negli attacchi mirati (spear phishing, whaling), l'attaccante studia i profili sui social media, i siti aziendali, i comunicati stampa e persino gli organigrammi su LinkedIn per scoprire nomi, ruoli, gerarchie e attività recenti.

Fase 2. Creazione dell'esca. L'attaccante costruisce un messaggio o un sito web convincente, studiato per sembrare autentico. Questo include la contraffazione degli indirizzi email del mittente, la clonazione pixel per pixel di siti reali e la scrittura di testi che rispecchiano il tono dell'organizzazione impersonata. Nel 2026, gli strumenti di intelligenza artificiale riescono a generare contenuti di phishing quasi perfetti in pochi secondi.

Fase 3. Consegna. L'esca viene inviata attraverso il canale scelto: email, SMS, telefonata, codice QR, messaggio sui social media o persino una piattaforma di collaborazione come Slack o Microsoft Teams.

Fase 4. L'amo. La vittima interagisce con l'esca. Clicca su un link, apre un allegato, scansiona un codice QR o fornisce informazioni per telefono. È il momento cruciale attorno al quale l'attaccante ha costruito tutto.

Fase 5. Sfruttamento. Una volta che la vittima ha abboccato, l'attaccante raccoglie le credenziali rubate, installa malware o avvia una transazione fraudolenta.

Fase 6. Monetizzazione. L'attaccante converte l'accesso in denaro. Questo può significare svuotare un conto bancario, vendere dati rubati nel dark web, distribuire ransomware o muoversi lateralmente all'interno di una rete aziendale per accedere a sistemi di maggior valore.

2.3 La Psicologia del Phishing

Il phishing funziona perché sfrutta schemi cognitivi radicati nella nostra mente. I trigger psicologici più comuni usati dagli attaccanti includono:

• Urgenza: "Il tuo account verrà bloccato entro 24 ore." L'urgenza cortocircuita il pensiero razionale e spinge le vittime ad agire prima di analizzare la situazione.
• Paura: "Rilevato accesso non autorizzato al tuo account." La paura attiva una risposta di attacco o fuga, rendendo meno probabile una valutazione attenta.
• Autorità: "Questo messaggio viene dal tuo CEO" oppure "Questo è l'Agenzia delle Entrate." Le persone sono condizionate a seguire le istruzioni di figure autorevoli.
• Curiosità: "Hai ricevuto un documento" o "Qualcuno ha condiviso una tua foto." La curiosità è una motivazione potentissima che spesso prende il sopravvento sulla prudenza.
• Scarsità: "Hai solo 2 ore per richiedere il rimborso." La scarsità genera la paura di perdersi qualcosa e spinge ad agire d'impulso.

Anche le persone più esperte di tecnologia cadono nel phishing. I bias cognitivi, il multitasking, la stanchezza e i continui cambi di contesto riducono l'attenzione che dedichiamo a ogni messaggio. Un ingegnere software che in una giornata tranquilla riconoscerebbe subito una truffa, potrebbe cliccare su un link malevolo mentre corre da una riunione all'altra con il telefono in mano. Il social engineering è alla base di ogni variante di phishing, indipendentemente dal canale di consegna o dalla sofisticazione tecnica.

3. Tipi comuni di attacchi di phishing

Il phishing è un termine generico che copre una vasta gamma di vettori d'attacco. Ogni tipo usa un metodo di consegna diverso, prende di mira vittime diverse e richiede una strategia di consapevolezza diversa. Ecco le forme più comuni che devi conoscere nel 2026.

3.1 Email phishing (phishing ingannevole)

Il phishing via email, a volte chiamato phishing ingannevole, è la forma più diffusa. Gli aggressori inviano email di massa progettate per sembrare provenienti da organizzazioni affidabili. I messaggi lanciano una rete molto ampia e il successo della campagna dipende dal volume puro: se lo 0,1% di 10 milioni di destinatari clicca, si tratta di 10.000 vittime compromesse.

I temi più comuni nelle email di phishing ingannevole includono:

• Avvisi di sospensione dell'account ("Il tuo account PayPal è stato limitato")
• Aggiornamenti sulla consegna dei pacchi ("Il tuo pacco è in attesa di ritiro")
• Richieste di fatture o pagamenti ("Fattura n. 29481 allegata")
• Avvisi di sicurezza ("Attività di accesso insolita sul tuo account")

Gli aggressori falsificano gli indirizzi del mittente manipolando le intestazioni delle email, registrando domini simili a quelli originali (come "amaz0n-support.com") o compromettendo account email legittimi. Molte di queste email includono link a pagine di accesso false visivamente identiche all'originale.

3.2 Spear phishing

Lo spear phishing è una forma mirata di phishing via email rivolta a un individuo specifico o a un piccolo gruppo all'interno di un'organizzazione. A differenza del phishing di massa, le email di spear phishing sono studiate con cura e personalizzate. L'aggressore può usare il vero nome della vittima, fare riferimento al suo ruolo lavorativo, menzionare i colleghi per nome o citare progetti o eventi recenti.

Questa personalizzazione aumenta drasticamente il tasso di successo. Mentre le email di phishing di massa possono raggiungere un tasso di clic del 3-5%, le campagne di spear phishing superano regolarmente il 20-30%.

I bersagli più comuni dello spear phishing includono:

• Personale finanziario: Preso di mira con false richieste di fatture o reindirizzamenti di pagamento.
• Dirigenti: Presi di mira con email che impersonano membri del consiglio, enti regolatori o consulenti legali.
• Risorse umane: Prese di mira con richieste di dati sui dipendenti, moduli fiscali o informazioni sulle buste paga.
• Amministratori IT: Presi di mira con false notifiche di sicurezza o comunicazioni da fornitori.

Lo spear phishing è la porta d'ingresso a molte delle più grandi violazioni di dati della storia. Quando un attaccante riesce a fingersi in modo convincente un collega fidato, anche i professionisti più esperti possono essere ingannati.

3.3 Attacchi Whaling

Un attacco whaling è una forma specializzata di spear phishing che prende di mira esclusivamente i dirigenti di alto livello come CEO, CFO e CISO. La posta in gioco è più alta e il guadagno per l'attaccante è di conseguenza molto più grande.

In un tipico attacco whaling, l'attaccante si spaccia per un membro del consiglio, un regolatore, un consulente legale esterno o un altro dirigente, richiedendo un bonifico urgente, un documento riservato o informazioni aziendali confidenziali.

Alcuni episodi di whaling rimasti nella storia:

• Snapchat (2016): Un dipendente ricevette un'email che si spacciava per il CEO e consegnò le informazioni sulle buste paga dei dipendenti attuali ed ex.
• Mattel (2015): Un dirigente finanziario ricevette un'email whaling che impersonava il nuovo CEO e autorizzò un bonifico da 3 milioni di euro verso un conto fraudolento in Cina. (I fondi furono alla fine recuperati grazie alla coincidenza con un giorno festivo bancario.)

Quello che rende il whaling così difficile da individuare è che le email sono costruite con cura maniacale, le richieste sembrano del tutto plausibili nel contesto delle comunicazioni tra dirigenti, e i bersagli sono figure abbastanza senior da non essere soggette allo stesso livello di controllo IT degli altri dipendenti.

3.4 Clone Phishing

Il clone phishing è una tecnica particolarmente insidiosa in cui l'attaccante prende un'email legittima già ricevuta dalla vittima, la duplica e sostituisce i link o gli allegati originali con versioni malevole. L'email clonata viene poi reinviata, spesso da un indirizzo contraffatto che imita il mittente originale.

Questo metodo funziona perché la vittima ha già visto il messaggio originale e ne riconosce il contenuto, il layout e il contesto. La familiarità abbassa la guardia.

Gli attaccanti riescono a recuperare le email originali attraverso caselle di posta compromesse, intercettazioni man-in-the-middle, oppure semplicemente osservando le comunicazioni aziendali più comuni (come fatture mensili o notifiche di aggiornamento software) e replicandole.

3.5 Business Email Compromise (BEC) Fraud

La Business Email Compromise è una delle forme di phishing più devastanti dal punto di vista economico. In un attacco BEC, l'attaccante si finge un dirigente aziendale, un fornitore o un partner commerciale per convincere un dipendente a dirottare un pagamento legittimo o a trasferire fondi su un conto fraudolento.

La BEC è costantemente la categoria di crimine informatico più costosa in termini di valore totale. Secondo i dati dell'FBI Internet Crime Complaint Center (IC3), negli ultimi dieci anni la BEC ha causato decine di miliardi di euro di perdite a livello globale.

Gli scenari BEC più comuni includono:

• CEO fraud: Un'email che si spaccia per il CEO dà istruzioni al CFO o al team finanziario di trasferire urgentemente fondi su un nuovo conto.
• Frode su fatture dei fornitori: Un attaccante intercetta o falsifica le email di un fornitore e modifica le coordinate bancarie su una fattura legittima.
• Reindirizzamento del payroll: Un attaccante si finge un dipendente e chiede di modificare il conto su cui accreditare lo stipendio.

Ciò che rende il BEC particolarmente pericoloso è che molte di queste email non contengono link malevoli, allegati o malware. Si basano interamente sull'ingegneria sociale, il che le rende invisibili alla maggior parte dei filtri di sicurezza email.

3.6 Smishing (phishing via SMS)

Lo smishing è il phishing via messaggio di testo (SMS). L'attaccante invia un SMS fraudolento fingendo di essere una banca, un corriere, un ente governativo o una società di servizi, di solito con un link a un sito fasullo o un numero di telefono da chiamare.

Lo smishing è cresciuto rapidamente negli ultimi anni per diversi motivi:

• Gli SMS hanno un tasso di apertura nettamente superiore a quello delle email (oltre il 90% dei messaggi viene letto entro 3 minuti).
• I dispositivi mobili offrono meno spazio sullo schermo per controllare URL e dettagli del mittente.
• Gli strumenti di sicurezza mobile sono meno maturi rispetto ai filtri email.

Le esche smishing più comuni includono:

• "Il tuo pacco è fermo al deposito. Conferma la consegna: [link]"
• "Rilevata attività insolita sul tuo conto. Verifica subito: [link]"
• Truffe per rimborsi fiscali: "Agenzia delle Entrate: hai diritto a un rimborso di 438,20€. Richiedilo qui: [link]"

I link negli SMS di smishing portano in genere a pagine di raccolta credenziali o moduli di pagamento che catturano i dati della carta.

3.7 Vishing (phishing vocale)

Il vishing sfrutta le telefonate — sia con operatori in carne e ossa che con robocall automatizzate — per fingersi organizzazioni affidabili e convincere le vittime a fornire informazioni sensibili o a compiere azioni dannose.

Gli scenari di vishing più comuni includono:

• Truffe del supporto tecnico: il chiamante afferma di essere di Microsoft o Apple, dicendo che il computer della vittima è infetto e che ha bisogno di accesso remoto immediato.
• Avvisi di frode bancaria: il chiamante finge di essere della banca della vittima, segnala un'attività sospetta e chiede di verificare il conto o di fornire i dati della carta.
• Impersonificazione di enti governativi: Il truffatore finge di essere un operatore dell'Agenzia delle Entrate, della polizia o di altri enti pubblici, minacciando arresti o multe se non si paga subito.

I truffatori usano lo spoofing del caller ID per far sembrare che la chiamata provenga da un numero legittimo, come quello della vera banca della vittima. Questo rende il vishing estremamente convincente, soprattutto per chi non sa che il numero visualizzato può essere falsificato.

4. Tecniche di phishing emergenti: le novità del 2025-2026

I criminali informatici non stanno mai fermi. Man mano che le difese migliorano, gli attaccanti adottano nuove tecnologie e sfruttano nuovi canali. In questa sezione vediamo le tecniche di phishing emergenti più pericolose di cui dovresti essere consapevole nel 2026.

4.1 Phishing generato dall'IA

Il cambiamento più significativo nel panorama del phishing degli ultimi 2 anni è stato l'uso diffuso dell'intelligenza artificiale da parte degli attaccanti. I modelli linguistici di grandi dimensioni permettono ora a chiunque — anche a chi non sa scrivere bene o non conosce la lingua del bersaglio — di produrre email di phishing grammaticalmente perfette, personalizzate in base al contesto e generate su larga scala.

Questo sviluppo ha di fatto eliminato uno dei segnali d'allarme più classici del phishing: gli errori grammaticali e ortografici. Nel 2026, i messaggi di phishing generati dall'IA sono spesso indistinguibili dalle normali comunicazioni aziendali.

Ma il phishing basato sull'IA va ben oltre il testo. Gli attaccanti usano anche:

• Clonazione vocale deepfake: usando pochi secondi di audio disponibile pubblicamente (da un intervento a una conferenza, un video YouTube o un podcast), gli attaccanti possono clonare la voce di una persona e usarla nelle chiamate di vishing. Sono stati documentati casi in cui gli attaccanti hanno impersonato amministratori delegati al telefono per autorizzare bonifici a sei cifre.
• Video deepfake: negli attacchi più sofisticati, i video deepfake vengono utilizzati durante videochiamate per impersonare dirigenti o colleghi. Un episodio ampiamente riportato nel 2024 ha coinvolto un impiegato finanziario a Hong Kong, ingannato e indotto a trasferire circa 23 milioni di euro dopo aver partecipato a una videochiamata in cui tutti gli altri partecipanti erano deepfake.
• Phishing-as-a-Service (PhaaS): le piattaforme del mercato nero offrono ora kit di phishing basati sull'IA come servizio in abbonamento, completi di template email, hosting e infrastrutture per il furto delle credenziali. Tutto questo abbassa drasticamente la soglia d'accesso al crimine informatico.

4.2 Quishing (phishing tramite codice QR)

Il quishing consiste nell'incorporare URL malevoli all'interno di codici QR. Quando la vittima scansiona il codice, viene reindirizzata a un sito di phishing progettato per rubare credenziali o installare malware.

Il quishing funziona per un motivo preciso: la maggior parte degli strumenti di sicurezza email analizza i link nel corpo del messaggio, ma non riesce facilmente a leggere l'URL codificato all'interno dell'immagine di un QR code. Questo permette agli attaccanti di aggirare i filtri che bloccherebbero un link malevolo in chiaro.

I metodi di distribuzione più comuni del quishing includono:

• Codici QR incorporati in allegati email (false fatture, avvisi di consegna o istruzioni per la configurazione dell'MFA)
• Adesivi con codici QR falsi applicati sopra quelli legittimi su parcometri, menu di ristoranti o segnaletica pubblica
• Attacchi di MFA fatigue in cui le vittime ricevono codici QR per "ri-autenticarsi" al proprio account

Le grandi campagne di quishing del 2025 hanno preso di mira le credenziali Microsoft 365: gli attaccanti inviavano email con codici QR che portavano le vittime a repliche convincenti delle pagine di accesso Microsoft.

4.3 Hybrid Vishing (Callback Phishing)

Il vishing ibrido, noto anche come callback phishing, è un attacco a più fasi che combina email e telefonate per aggirare le difese automatizzate.

Il flusso tipico funziona così:

1. La vittima riceve un'email riguardante un falso addebito in abbonamento, una fattura o un avviso di sicurezza.
2. L'email non contiene link o allegati malevoli, quindi supera senza problemi i filtri di sicurezza email.
3. Al contrario, l'email invita la vittima a chiamare un numero di telefono per "risolvere" il problema.
4. Quando la vittima chiama, trova dall'altra parte un operatore in carne e ossa che la guida nel scaricare malware (spacciato per uno "strumento di cancellazione" o una "correzione di sicurezza") o nel fornire le proprie credenziali.

Campagne come BazaCall hanno aperto la strada a questa tecnica, che è stata poi adottata su larga scala perché sfrutta un punto cieco: gli strumenti di sicurezza scansionano link e allegati, ma non riescono a rilevare un numero di telefono che porta a un social engineer.

4.4 Phishing Adversary-in-the-Middle (AiTM)

Il phishing Adversary-in-the-Middle è una tecnica che aggira la tradizionale autenticazione a più fattori (MFA). In un attacco AiTM, il sito di phishing funge da proxy trasparente tra la vittima e il sito reale.

Ecco come funziona:

1. La vittima clicca su un link di phishing e atterra su una pagina di login falsa.
2. La pagina falsa trasmette in tempo reale nome utente e password della vittima al sito reale.
3. Quando il sito reale invia una richiesta MFA, questa passa attraverso il proxy fino alla vittima, che la completa.
4. Il proxy cattura il cookie di sessione autenticato che il sito reale rilascia dopo il login avvenuto con successo.
5. L'attaccante usa quel cookie di sessione per accedere all'account della vittima, bypassando completamente l'MFA.

Toolkit di phishing open source come Evilginx e Modlishka hanno reso gli attacchi AiTM accessibili anche ad attaccanti meno esperti. Questo significa che l'MFA via SMS e persino i codici delle app di autenticazione non sono più una difesa garantita. I metodi resistenti al phishing come le chiavi hardware FIDO2 e le passkey sono la contromisura più efficace contro gli attacchi AiTM.

4.5 Phishing sui Social Media e sulle Piattaforme di Collaborazione

L'email non è più l'unico canale di phishing. Gli attaccanti usano sempre più spesso i social media e gli strumenti di collaborazione aziendale per veicolare le loro esche di phishing.

I canali più comuni includono:

• LinkedIn InMail: Messaggi da finti recruiter o proposte di lavoro contenenti link a pagine di raccolta credenziali.
• WhatsApp e Telegram: Messaggi che si spacciano per banche, servizi di consegna o colleghi, spesso con link abbreviati.
• Slack e Microsoft Teams: Messaggi di phishing inviati all'interno di workspace collaborativi, sia da account interni compromessi che da account guest esterni.

Questi canali destano meno sospetti rispetto all'email, perché le persone tendono a fidarsi più facilmente dei messaggi ricevuti tramite piattaforme lavorative o social. Anche gli strumenti di sicurezza su queste piattaforme sono generalmente meno robusti rispetto ai filtri email aziendali.

Proteggere le tue finanze inizia dal controllo diretto dei tuoi fondi. La Mastercard self-custodial di Bleap ti lascia il pieno controllo, senza nessun conto centralizzato che gli attaccanti di phishing possono compromettere. 0% di commissioni FX e fino al 20% di cashback inclusi di serie. Ottieni la carta Bleap →

5. Esempi reali di phishing e casi studio

Le minacce astratte diventano concrete quando vedi i danni reali causati dagli attacchi di phishing. Questi casi studio riguardano grandi aziende, infrastrutture critiche e utenti comuni.

5.1 La truffa Bitcoin di Twitter/X (2020)

Nel luglio 2020, alcuni attaccanti hanno usato lo spear phishing telefonico per colpire i dipendenti di Twitter, convincendoli a fornire accesso agli strumenti di amministrazione interni. Con quell'accesso, sono riusciti a prendere il controllo di account di alto profilo appartenenti a Barack Obama, Elon Musk, Bill Gates, Apple e altri, pubblicando messaggi che promuovevano una truffa in Bitcoin.

Il danno economico è stato relativamente contenuto (circa 110.000€ in Bitcoin rubati), ma l'impatto reputazionale è stato enorme. L'episodio ha dimostrato che bastava fare phishing a una manciata di dipendenti per compromettere un'intera piattaforma globale.

Lezione: Il phishing mirato ai dipendenti può dare agli attaccanti le chiavi di sistemi molto più preziosi dei singoli account. È anche per questo che gli strumenti finanziari self-custodial sono importanti. Quando tieni i tuoi fondi in autonomia — come con un conto self-custodial Bleap — non c'è nessuna piattaforma centralizzata che un singolo dipendente compromesso può sbloccare.

5.2 L'attacco a Colonial Pipeline (2021)

Nel maggio 2021, Colonial Pipeline — che fornisce quasi la metà del carburante consumato sulla costa est degli Stati Uniti — è stata costretta a fermarsi dopo un attacco ransomware. Il punto di ingresso iniziale era una singola credenziale VPN compromessa, ottenuta presumibilmente tramite phishing o credential stuffing.

Le conseguenze sono state pesanti: carenza di carburante, acquisti di panico e un pagamento di riscatto di circa 4 milioni di euro.

Lezione: 1 credenziale rubata, ottenuta con 1 email di phishing, può scatenare un fallimento infrastrutturale catastrofico. L'igiene delle credenziali e l'MFA resistente al phishing non sono opzionali per i sistemi critici.

5.3 La truffa CEO di FACC AG (2016)

FACC, un produttore austriaco di componenti aerospaziali, ha perso circa 50 milioni di euro quando un dipendente del reparto finanziario ha ricevuto un'email che si spacciava per il CEO dell'azienda, con istruzioni di trasferire fondi per un falso progetto di acquisizione. Il dipendente ha eseguito l'ordine e il denaro è stato inviato su conti controllati dagli aggressori.

Lezione: Anche le grandi aziende con strutture sofisticate possono cadere vittime del social engineering quando non vengono applicate procedure di verifica adeguate per le transazioni di alto valore.

5.4 Un esempio di phishing quotidiano ai danni dei consumatori

Il phishing non è un problema solo delle aziende. Ecco com'è fatta, nella pratica, una classica email di phishing bancario:

1. L'email arriva nella tua casella di posta da "security@your-bank-alerts.com" (non il dominio reale della banca).
2. L'oggetto recita: "Urgente: rilevata attività di accesso anomala sul tuo conto."
3. Il corpo del messaggio include il logo della banca, un layout professionale e un avviso che dice che il tuo conto verrà bloccato se non verifichi la tua identità entro 24 ore.
4. Il pulsante dice "Verifica la mia identità" e rimanda a un sito identico alla pagina di login della tua banca, ma l'URL è "your-bank-verify.com" invece del dominio reale.
5. Inserisci le tue credenziali e la pagina mostra un errore oppure ti reindirizza al sito reale della banca. Nel frattempo, l'aggressore ha già il tuo nome utente e la tua password.
6. In pochi minuti, l'aggressore effettua l'accesso e avvia bonifici o modifica i tuoi dati di contatto.

Quello che vedi: un avviso di sicurezza dall'aspetto legittimo. Quello che sta succedendo davvero: un furto di credenziali orchestrato nei minimi dettagli.

5.5 Esempio di smishing: la truffa del pacco non consegnato

La truffa smishing del "pacco mancato" è uno degli attacchi di phishing ai danni dei consumatori più diffusi al mondo. Ecco come funziona:

1. Ricevi un SMS: "Royal Mail: Non è stato possibile consegnare il tuo pacco. Riprogramma la consegna: [link abbreviato]"
2. Clicchi sul link, che apre una copia convincente del sito di Royal Mail.
3. Ti viene chiesto di pagare una piccola "quota di riconsegna" (1,50 € o simile) e di inserire i dati della tua carta.
4. Gli aggressori ora hanno il tuo nome, indirizzo e tutti i dati della carta, che usano per acquisti fraudolenti o rivendono sul dark web.

Nelle versioni più sofisticate, il sito falso chiede anche le credenziali del tuo home banking, dando agli aggressori accesso diretto al tuo conto.

6. Perché il Phishing È Così Pericoloso: Le Conseguenze Reali

6.1 Perdite Economiche

L'impatto economico del phishing è impressionante. Secondo il Cost of a Data Breach Report di IBM, il phishing è costantemente tra i vettori d'attacco più costosi, con un costo medio per violazione dei dati legata al phishing che si aggira nell'ordine dei milioni di euro. Il rapporto annuale IC3 dell'FBI colloca regolarmente le perdite da phishing e BEC nell'ordine delle decine di miliardi a livello globale.

Per i singoli utenti, le perdite dovute alle truffe di phishing vanno da qualche centinaio di euro fino ai risparmi di una vita, a seconda del tipo di attacco e di quanto velocemente la vittima riesce a reagire.

6.2 Violazioni dei Dati e Sanzioni Normative

Le credenziali sottratte tramite phishing sono spesso il primo anello di una catena che porta a violazioni dei dati su larga scala. Una volta che un attaccante ottiene un nome utente e una password validi, può accedere ai sistemi interni, sottrarre dati dei clienti e potenzialmente compromettere interi database.

Con normative come il GDPR e il CCPA, le organizzazioni che subiscono una violazione dei dati rischiano multe salatissime, spesso nell'ordine dei milioni. Ma oltre alle sanzioni normative, i danni alla reputazione e la perdita di clienti che ne derivano possono superare di gran lunga il costo economico diretto.

6.3 Distribuzione di Ransomware

Il phishing è il principale vettore di accesso iniziale usato dai gruppi ransomware. La catena tipica è piuttosto lineare: un'email di phishing porta al furto di credenziali o all'installazione di malware, che porta all'accesso alla rete, che porta alla distribuzione del ransomware.

Negli scenari di doppia estorsione, gli attaccanti non solo cifrano i dati della vittima, ma minacciano anche di pubblicarli se non viene pagato un riscatto, moltiplicando la pressione sull'organizzazione.

6.4 Interruzione dell'Attività e Impatto Operativo

Oltre alle perdite finanziarie dirette, gli attacchi di phishing causano gravi interruzioni operative. I tempi di inattività dei sistemi durante le indagini e il ripristino possono durare giorni o settimane. La produttività crolla mentre i dipendenti vengono bloccati fuori dai sistemi. I team IT vengono completamente assorbiti dalla gestione dell'incidente. E il danno alla fiducia nel lungo periodo — con clienti, partner e consumatori — può richiedere anni per essere recuperato.

7. Chi viene preso di mira? I settori più colpiti e i profili delle vittime

7.1 I settori più a rischio

Alcuni settori vengono colpiti dal phishing in modo sproporzionato rispetto ad altri:

• Servizi finanziari e bancari: Il bersaglio più ovvio per il furto di credenziali e le frodi BEC. Le email di phishing che imitano le banche restano la categoria più diffusa di esche.
• Sanità: Ospedali e cliniche sono tra i principali obiettivi dei ransomware, e i dati dei pazienti hanno un valore altissimo sul dark web.
• Aziende tecnologiche: Gli attaccanti prendono di mira le aziende tech per accedere alla supply chain, sapendo che compromettere un fornitore software può aprire le porte a migliaia di clienti a valle.
• Pubblica amministrazione e difesa: Le campagne di phishing state-sponsored colpiscono i dipendenti pubblici per scopi di spionaggio e per destabilizzare infrastrutture critiche.
• Istruzione e no-profit: Queste organizzazioni hanno in genere budget ridotti per la sicurezza e difese meno strutturate, il che le rende bersagli facili e appetibili.
• Retail ed e-commerce: Il vero obiettivo sono i dati delle carte di pagamento, con attacchi di phishing rivolti sia ai clienti che al personale interno.

7.2 I profili delle vittime individuali

All'interno delle organizzazioni, alcuni ruoli vengono colpiti dal phishing più frequentemente di altri:

• Personale di finanza e contabilità fornitori: Nel mirino per frodi BEC con bonifici e schemi di fatture false.
• HR e addetti alle paghe: Presi di mira per il furto di dati dei dipendenti, truffe sui moduli fiscali e frodi per il reindirizzamento degli stipendi.
• Top management (C-suite): Obiettivo degli attacchi whaling, pensati per ottenere trasferimenti di denaro ingenti o informazioni strategiche riservate.
• Nuovi dipendenti: Particolarmente vulnerabili perché non conoscono ancora i processi interni, tendono a rispettare le richieste senza fare domande e difficilmente mettono in discussione l'autorità.
• Lavoratori da remoto: Minore supervisione sulla sicurezza, uso di dispositivi personali e dipendenza dalla comunicazione digitale creano vulnerabilità aggiuntive.

7.3 Perché Nessuno È al Sicuro

Le statistiche dimostrano costantemente che il phishing colpisce persone di ogni fascia demografica e livello di competenza tecnica. Ricercatori di sicurezza, professionisti IT e dirigenti della cybersecurity sono stati tutti vittime di attacchi phishing ben orchestrati. Il ruolo della stanchezza, della distrazione e del multitasking nel tasso di clic è fondamentale e non va sottovalutato. Uno studio della Stanford University ha scoperto che quasi l'88% delle violazioni di dati è causato da errori umani, con il phishing come causa principale.

Nessun livello di competenza tecnica rende una persona immune. La migliore difesa è una combinazione di consapevolezza, sano scetticismo e controlli tecnici.

8. Come Riconoscere un Tentativo di Phishing: I Segnali da Non Ignorare

La tua prima linea di difesa è sapere cosa cercare. Questi segnali di allarme valgono per email, SMS e telefonate.

8.1 I Segnali di un'Email di Phishing

Indirizzo mittente sospetto o falsificato. Controlla sempre l'indirizzo email completo, non solo il nome visualizzato. Fai attenzione a domini che non tornano (un'email da "Amazon" che arriva da "amazon-security@mail.ru"), caratteri extra, o attacchi omoglifici in cui le lettere vengono sostituite con caratteri visivamente simili (la combinazione "rn" al posto di "m", oppure una "а" cirillica al posto di una "a" latina).

Saluti generici. Le aziende legittime che hanno il tuo account di solito ti chiamano per nome. Email che iniziano con "Gentile Cliente," "Gentile Utente," o "Gentile Titolare del Conto" dovrebbero farti drizzare le antenne all'istante.

Linguaggio urgente o minaccioso. "Il tuo account verrà sospeso entro 24 ore," "Azione immediata richiesta," oppure "La mancata risposta comporterà la chiusura dell'account." Gli attaccanti usano l'urgenza per bypassare il tuo senso critico.

Allegati inaspettati. Fai molta attenzione ai file con estensioni come .zip, .exe, .docm e .html. Anche i file .pdf possono contenere link dannosi. Se non stavi aspettando un allegato, verifica con il mittente tramite un canale separato prima di aprirlo.

Richieste di informazioni sensibili. Nessuna banca, ente governativo o fornitore di servizi legittimo ti chiederà mai password, PIN, numeri di carta completi o codici monouso via email.

Grammatica e ortografia scadenti. Resta comunque un segnale di allarme, anche se l'intelligenza artificiale sta rapidamente erodendone l'affidabilità. Nel 2026, molte email di phishing sono grammaticalmente perfette, quindi l'assenza di errori non significa che un'email sia sicura.

8.2 Link e URL Sospetti

Passa il mouse prima di cliccare. Su desktop, passa il cursore su qualsiasi link per vedere l'URL di destinazione reale nella barra di stato del browser. Su mobile, tieni premuto il link per visualizzare l'anteprima dell'URL.

Segnali d'allarme negli URL a cui fare attenzione:

• Domini con errori ortografici: "paypa1.com" (con il numero 1 al posto della lettera l)
• Sottodomini sospetti: "paypal.com.sito-malevolo.com" (il dominio reale qui è sito-malevolo.com)
• URL abbreviati (bit.ly, t.co) nelle email, dove il mittente dovrebbe linkare direttamente al proprio sito
• Domini dall'aspetto casuale: "secure-login-8xk3f.com"

HTTPS non significa sicuro. I siti di phishing usano abitualmente certificati SSL, quindi il lucchetto nella barra degli indirizzi del browser ti dice solo che la connessione è cifrata, non che il sito sia legittimo.

I codici QR meritano la stessa attenzione dei link. Tratta ogni codice QR come un link sconosciuto. Se ne scansioni uno, controlla l'URL che apre prima di inserire qualsiasi informazione.

8.3 Segnali d'allarme negli SMS

• Messaggi inaspettati da numeri sconosciuti che fanno riferimento a brand noti (la tua banca, un corriere, un ente governativo)
• URL abbreviati senza contesto o spiegazioni
• Richieste di chiamare un numero o "verificare" informazioni con urgenza
• Messaggi che creano panico: "La tua carta è stata bloccata" o "Rilevata una transazione sospetta"

8.4 Vishing e segnali d'allarme nelle telefonate

• Il chiamante afferma di essere la tua banca, l'Agenzia delle Entrate, Microsoft o le forze dell'ordine
• Crea una pressione estrema perché tu agisca immediatamente e ti scoraggia dall'attaccare o dal richiamare
• Ti chiede password, PIN o codici monouso. Nessuna organizzazione legittima ti chiederà mai queste informazioni per telefono.
• Ti chiede di installare software di accesso remoto come AnyDesk, TeamViewer o Quick Assist
• Ti chiedono di spostare dei soldi su un "conto sicuro" (è sempre una truffa)

8.5 Segnali d'allarme specifici per il phishing sul lavoro

• Richieste insolite di pagamento o bonifico, soprattutto da parte di "dirigenti", in particolare quando arrivano con toni urgenti e ti chiedono di saltare i normali processi di approvazione
• Richieste di modificare i dati bancari di un fornitore su fatture già esistenti
• Email di un collega o del tuo responsabile che sembrano leggermente "strane" nel tono o nello stile, soprattutto se abbinate a una richiesta insolita
• Richieste fuori orario con toni di urgenza ("Ho bisogno che sia fatto prima della riunione del consiglio domani mattina")
• Qualsiasi richiesta di tenere una transazione riservata o di non parlarne con altri

Se hai dubbi, verifica. Prendi il telefono e chiama direttamente la persona usando un numero che hai già, non quello presente nel messaggio sospetto.

9. Come Proteggerti e Proteggere la Tua Organizzazione dal Phishing

Difendersi dal phishing richiede di combinare controlli tecnici e consapevolezza umana. Nessuna soluzione da sola è sufficiente. Ecco una strategia di difesa completa.

9.1 Buone Abitudini Personali

Fermati prima di cliccare. L'abitudine anti-phishing più efficace in assoluto è rallentare. Affronta con scetticismo qualsiasi messaggio inaspettato che ti chiede di fare qualcosa, soprattutto se crea un senso di urgenza. Chiediti: "Mi aspettavo questo messaggio? Ha senso?"

Verifica in modo indipendente. Se ricevi un'email sospetta dalla tua banca, non cliccare il link. Apri il browser e vai direttamente al sito della banca, oppure chiama il numero sul retro della tua carta. Non usare mai indirizzi di risposta o numeri di telefono forniti in un messaggio sospetto.

Non fornire mai password, PIN o codici monouso a chi ti contatta. Questo vale a prescindere da chi dice di essere. Le organizzazioni legittime non li chiedono mai.

Tieni aggiornati software e sistemi operativi. Il phishing prende di mira le persone, ma i malware che diffonde sfruttano le vulnerabilità del software. Mantenere i dispositivi aggiornati riduce i danni nel caso in cui tu clicchi su un link malevolo.

Usa un password manager. Un password manager genera password uniche e complesse per ogni account, eliminando il rischio di riutilizzo delle credenziali. Se un account viene compromesso tramite phishing, gli altri account con password diverse restano al sicuro. I password manager aiutano anche a rilevare il phishing: non compilano automaticamente le credenziali su un sito falso perché il dominio non corrisponde.

9.2 Autenticazione a Più Fattori (MFA)

L'MFA resta fondamentale anche se tecniche avanzate come il phishing AiTM possono aggirare i codici via SMS. Il motivo è semplice: l'MFA blocca comunque la grande maggioranza degli attacchi che si basano solo sulle password rubate.

Però non tutti i metodi di MFA sono uguali:

• Il migliore: MFA resistente al phishing. Le chiavi hardware FIDO2 (come YubiKey) e le passkey sono il massimo. Legano crittograficamente l'autenticazione al dominio del sito legittimo, rendendole immuni agli attacchi proxy AiTM.
• Buono: le app di autenticazione. App come Google Authenticator o Microsoft Authenticator sono decisamente meglio degli SMS, anche se possono comunque essere aggirate da attacchi AiTM in tempo reale.
• Il minimo: OTP via SMS. Meglio di niente, ma è l'opzione più debole a causa dei rischi di SIM swapping e della vulnerabilità agli attacchi AiTM.

Se il servizio che usi supporta le passkey o le chiavi hardware, usale.

9.3 Controlli tecnici per le organizzazioni

Per le organizzazioni, una difesa tecnica a più livelli riduce significativamente il rischio di phishing:

• Gateway di sicurezza per le email con record DMARC, DKIM e SPF configurati correttamente. Questi protocolli autenticano i mittenti legittimi e aiutano a prevenire lo spoofing dei domini.
• Strumenti anti-phishing e filtraggio della reputazione degli URL che analizzano i link nelle email in tempo reale e bloccano i domini malevoli noti.
• Browser isolation e sandboxing che aprono i link sospetti in un ambiente isolato, impedendo ai malware di raggiungere il dispositivo dell'utente.
• Software di endpoint detection and response (EDR) che rileva e isola i malware nel caso in cui un utente clicchi su un link malevolo.
• Filtraggio DNS che blocca le connessioni ai domini malevoli noti a livello di rete.
• Architettura di rete zero-trust che limita i movimenti laterali richiedendo una verifica continua, garantendo che una singola credenziale compromessa non dia agli attaccanti carta bianca all'interno della rete.

9.4 Formazione sulla sicurezza informatica

I controlli tecnici intercettano molte minacce, ma la consapevolezza delle persone fa il resto. Nel 2026, una formazione sulla sicurezza efficace va ben oltre il solito check annuale di conformità:

• Apprendimento continuo e in piccole dosi è più efficace delle sessioni annuali da un'ora. Moduli brevi distribuiti ogni mese o ogni trimestre mantengono alta l'attenzione sul phishing.
• Campagne di phishing simulate mettono alla prova i dipendenti con finte email di phishing realistiche. L'obiettivo non è punire chi ci casca, ma individuare le lacune e offrire una formazione mirata di follow-up.
• Costruire una cultura "security-first" in cui segnalare messaggi sospetti venga premiato, non punito. Se i dipendenti temono di essere incolpati per aver cliccato su un link, nasconderanno gli incidenti invece di segnalarli, ritardando la risposta e aumentando i danni.
• Formazione specifica per ruolo per i gruppi più a rischio: il personale finanziario dovrebbe ricevere formazione specifica sul BEC, i dirigenti dovrebbero essere istruiti sul whaling, e i nuovi assunti dovrebbero seguire un onboarding intensivo sulla consapevolezza del phishing.

9.5 Policy e Processi Organizzativi

I controlli tecnici e la formazione si rafforzano con policy chiare:

• Verifica fuori banda per qualsiasi modifica ai pagamenti o bonifici. Se qualcuno chiede di cambiare le coordinate bancarie, verifica tramite un canale di comunicazione separato (una telefonata a un numero già noto) prima di procedere.
• Percorsi di escalation chiari per le comunicazioni sospette, così i dipendenti sanno esattamente chi contattare e come farlo.
• Controlli di onboarding dei fornitori che validino l'identità dei nuovi vendor e verifichino le coordinate bancarie prima del primo pagamento.
• Piani di risposta agli incidenti che includano esplicitamente gli scenari di phishing, con ruoli definiti, protocolli di comunicazione e procedure di ripristino.
• Valutazioni periodiche del rischio phishing ed esercitazioni simulate che mettano alla prova la preparazione dell'organizzazione di fronte a scenari di phishing realistici.

9.6 Difendersi dallo Smishing e dal Vishing

Smishing e vishing richiedono difese specifiche:

• Iscriviti ai servizi di blocco chiamate come il Telephone Preference Service (TPS) nel Regno Unito o il registro Do Not Call negli Stati Uniti.
• Attiva il filtro antispam a livello di operatore sul tuo cellulare (la maggior parte degli operatori lo offre ormai di default).
• Adotta una policy del "richiama tu". Per qualsiasi chiamata che richieda informazioni sensibili o azioni finanziarie, riaggancia e richiama usando il numero ufficiale dal sito dell'organizzazione. Non usare mai il numero fornito dal chiamante.
• Fai sapere a tutti che nessun operatore legittimo ti chiederà mai il tuo OTP. Questa semplice consapevolezza basta a bloccare una buona fetta degli attacchi di vishing.

Questo tipo di protezione a più livelli vale anche per i tuoi strumenti finanziari. Usare una soluzione finanziaria self-custodial come Bleap significa che non esiste una linea di assistenza clienti centralizzata che un attaccante possa impersonare per accedere ai tuoi fondi. Quando hai il pieno controllo delle tue finanze, la superficie d'attacco si riduce drasticamente.

10. Cosa Fare Se Sei Stato Vittima di Phishing: Passi da Seguire Subito

Agire in fretta dopo un attacco di phishing può limitare enormemente i danni. Ecco esattamente cosa fare.

10.1 Cosa Fare Subito a Livello Personale

1. Non farti prendere dal panico, ma muoviti velocemente. I primi minuti dopo aver capito di essere caduto in una truffa di phishing sono i più importanti. Più sei rapido, meno tempo ha l'attaccante per sfruttare ciò che ha rubato.
2. Disconnetti il dispositivo da internet se hai cliccato su un link o scaricato un file. Questo serve a isolare eventuali malware e impedire che comunichino con i server dell'attaccante o si diffondano ad altri dispositivi sulla tua rete. Disattiva il Wi-Fi e scollega il cavo ethernet.
3. Cambia subito le password dell'account compromesso. Se hai usato la stessa password su altri account (cosa da non fare mai, ma in tanti lo fanno), cambia anche quelle. Usa un password manager per creare password nuove, forti e uniche.
4. Attiva o potenzia l'MFA sull'account compromesso e su qualsiasi account che condivideva la stessa password. Se stavi usando l'MFA via SMS, passa a un'app di autenticazione o a una chiave hardware.
5. Fai una scansione per malware. Esegui una scansione completa con un antivirus/anti-malware sul dispositivo colpito. Se hai scaricato un file o installato un programma come parte dell'attacco, questo passaggio è obbligatorio.
6. Controlla eventuali attività non autorizzate. Accedi ai tuoi conti finanziari e verifica le transazioni recenti. Controlla la tua email per vedere se l'attaccante ha impostato regole di inoltro automatico (una tattica comune per intercettare le email di reset della password). Rivedi le app collegate e le sessioni attive, e revoca tutto ciò che non riconosci.
7. Contatta il tuo istituto finanziario. Se hai fornito i dati della carta o le credenziali bancarie, contatta immediatamente la tua banca per bloccare o sostituire la carta. Se usi un conto self-custodial come Bleap, i tuoi fondi sono sotto il tuo diretto controllo e non esiste un conto centralizzato che un attaccante possa svuotare tramite ingegneria sociale al servizio clienti.

10.2 Segnalare l'Attacco

• Segnala all'organizzazione impersonata. Se l'email di phishing si spacciava per la tua banca, inoltrala all'indirizzo dedicato alle segnalazioni di phishing (la maggior parte delle banche ne ha uno).
• Segnala alle autorità nazionali per la criminalità informatica. Nel Regno Unito, segnala ad Action Fraud. Negli USA, segnala all'IC3 dell'FBI. Nell'UE, segnala al CERT nazionale del tuo paese.
• Segnala al tuo provider email. Contrassegna il messaggio come phishing (non solo come spam) così il provider può bloccarlo anche per gli altri utenti.

10.3 Passi da Seguire a Livello Organizzativo

Se fai parte di un'organizzazione:

1. Segnala subito internamente al tuo team di sicurezza IT o alla persona di riferimento designata. Non cancellare l'email di phishing, perché l'IT ne avrà bisogno per l'analisi.
2. Isola gli account e i sistemi coinvolti finché non possono essere analizzati e ripristinati.
3. Avvisa le parti interessate. Se i dati di clienti o partner potrebbero essere stati compromessi, coinvolgi i team legale e compliance per stabilire gli obblighi di notifica.
4. Fai una revisione post-incidente. Analizza come l'email di phishing ha aggirato i controlli, perché la vittima ha cliccato e quali lacune nei processi o nelle difese tecniche si possono colmare per evitare che si ripeta.
5. Aggiorna la formazione e le difese sulla base delle lezioni apprese.

Il principio fondamentale: tratta ogni incidente di phishing come una potenziale violazione finché non viene escluso. Sottovalutare è molto più pericoloso che esagerare con le precauzioni.

11. Phishing e la tua sicurezza finanziaria: perché il self-custody fa la differenza

Il phishing prende di mira soprattutto i conti finanziari, perché è lì che ci sono i soldi. Che l'attaccante voglia le tue credenziali bancarie, i dati del tuo exchange crypto o i dettagli della tua carta, l'obiettivo finale è quasi sempre rubarti i soldi.

Ed è qui che l'architettura dei tuoi strumenti finanziari fa davvero la differenza. I conti finanziari tradizionali, così come la maggior parte delle piattaforme crypto centralizzate, si basano sulla custodia centralizzata. I tuoi fondi si trovano in un sistema controllato da un'azienda. Se un attaccante riesce a fare phishing a un operatore del servizio clienti, sfrutta uno strumento interno compromesso, o ti inganna facendoti consegnare le credenziali di accesso, può potenzialmente svuotare il tuo conto.

Gli strumenti self-custodial cambiano questa dinamica alla radice. Con la Mastercard self-custodial di Bleap, hai il pieno controllo dei tuoi fondi. Non esiste un deposito centralizzato di fondi dei clienti da prendere di mira, né un agente del supporto che può essere manipolato con il social engineering per ottenere l'accesso al conto.

Questo non ti rende immune al phishing. Devi comunque proteggere le tue credenziali e le tue chiavi private. Ma elimina un'intera categoria di attacchi: quella in cui una violazione a livello aziendale mette a rischio i tuoi fondi personali.

Unisci tutto questo alle commissioni FX allo 0% di Bleap, fino al 20% di cashback sulla spesa quotidiana e al trading crypto senza commissioni, e capisci che non stai sacrificando comodità o convenienza in nome della sicurezza. Le ottieni entrambe.

Se tieni davvero alla protezione delle tue finanze dal phishing, la struttura dei tuoi conti conta tanto quanto le tue abitudini di attenzione.

I tuoi soldi sono sicuri solo quanto il sistema che li custodisce. La Mastercard self-custodial di Bleap mette i tuoi fondi sotto il tuo controllo, non quello di un'azienda. 0% di commissioni sul cambio valuta, fino al 20% di cashback e nessun abbonamento mensile. Apri un conto Bleap →

12. Checklist anti-phishing: riferimento rapido

Usa questa checklist come guida di riferimento rapido, sia per i singoli che per le organizzazioni:

Per i singoli:

• Usa un password manager e non riutilizzare mai le password
• Attiva l'MFA resistente al phishing (chiave hardware FIDO2 o passkey) ovunque sia possibile
• Prima di cliccare su un link, passa sempre il cursore sopra per verificare l'URL di destinazione
• Non fornire mai password, PIN o codici monouso in risposta a comunicazioni in entrata
• Verifica le richieste inaspettate contattando il mittente tramite un canale separato e affidabile
• Tieni aggiornati tutti i dispositivi e i software
• Segnala i tentativi di phishing sospetti al tuo provider email e alle autorità competenti
• Usa strumenti finanziari self-custodial (come Bleap) per ridurre l'impatto di una compromissione delle credenziali

Per le organizzazioni:

• Configura DMARC, DKIM e SPF su tutti i domini email
• Implementa gateway di sicurezza email con filtri sulla reputazione degli URL
• Adotta l'MFA resistente al phishing per tutto il personale, a partire dagli account con privilegi elevati
• Esegui regolarmente campagne di phishing simulato con sessioni di formazione di follow-up
• Imponi la verifica fuori banda per tutte le modifiche ai pagamenti e i bonifici
• Stabilisci procedure chiare di risposta agli incidenti e di escalation per il phishing
• Fornisci formazione specifica per ruolo a finance, HR, dirigenti e nuovi dipendenti
• Rivedi e aggiorna i processi di onboarding dei fornitori e di verifica delle fatture

Stampala, aggiungila ai preferiti, condividila con il tuo team. La consapevolezza sul phishing è una pratica continua, non un evento una tantum.

Conclusione

Il phishing non è una minaccia nuova, ma è in costante evoluzione. Dalle rozze truffe per rubare password AOL degli anni '90 agli attacchi deepfake generati dall'AI nel 2026, il principio di fondo non è mai cambiato: gli attaccanti manipolano la fiducia per sottrarre informazioni e denaro. Quello che è cambiato è la sofisticazione, la scala e il numero di canali attraverso cui il phishing può raggiungerti.

La buona notizia è che i fondamentali della difesa restano solidi. Consapevolezza, sano scetticismo, verifica, MFA robusto, controlli tecnici a più livelli e una cultura che premia chi segnala invece di punirlo fermeranno la stragrande maggioranza degli attacchi di phishing. Nessuno strumento o tecnica da solo è la soluzione definitiva, ma combinarli crea una difesa esponenzialmente più difficile da penetrare.

E l'architettura della tua vita finanziaria conta. Scegliere strumenti self-custodial per i tuoi soldi elimina i punti centrali di vulnerabilità che gli attacchi di phishing sfruttano più spesso. La Mastercard self-custodial di Bleap ti dà il pieno controllo dei tuoi fondi, 0% di commissioni sul cambio valuta, fino al 20% di cashback e trading crypto senza commissioni, il tutto senza abbonamento mensile. Non è una soluzione anti-phishing, ma è una base finanziaria più intelligente che riduce quello che gli attaccanti possono portarti via anche se riuscissero a passare.

Resta scettico. Verifica tutto. E assicurati che gli strumenti che custodiscono i tuoi soldi siano sicuri quanto le tue abitudini.

FAQ

Cos'è il phishing in parole semplici?

Il phishing è un tipo di crimine informatico in cui qualcuno finge di essere un'organizzazione di cui ti fidi (come la tua banca, il tuo datore di lavoro o un corriere) per indurti a rivelare informazioni sensibili come password, dati della carta o dati personali. L'"esca" è di solito un'email, un SMS, una telefonata o un sito web falso.

Quali sono i tipi più comuni di attacchi di phishing?

I tipi più comuni includono il phishing via email (email false inviate in massa), lo spear phishing (email mirate che usano dettagli personali), il whaling (che prende di mira i dirigenti), lo smishing (phishing via SMS), il vishing (phishing via voce/telefono), la truffa BEC (impersonare dirigenti per dirottare pagamenti), il clone phishing (duplicare email reali con link malevoli) e il quishing (phishing tramite codice QR).

Come faccio a capire se un'email è un tentativo di phishing?

Fai attenzione a questi segnali d'allarme: un indirizzo mittente sospetto o che non corrisponde, saluti generici ("Gentile Cliente"), un linguaggio urgente o minaccioso, allegati inaspettati, richieste di password o informazioni personali e link sospetti. Prima di cliccare, passa il mouse sui link per vedere dove portano davvero.

Cosa devo fare se ho cliccato su un link di phishing?

Disconnetti subito il dispositivo da internet. Cambia le password dell'account coinvolto (e di qualsiasi altro account in cui hai usato la stessa password). Attiva o potenzia l'MFA. Esegui una scansione completa per malware. Controlla i tuoi conti finanziari per eventuali transazioni non autorizzate. Segnala l'accaduto al tuo team IT e alle autorità competenti.

Il phishing può aggirare l'autenticazione a più fattori (MFA)?

Sì. Tecniche avanzate come il phishing Adversary-in-the-Middle (AiTM) usano server proxy per intercettare i cookie di sessione in tempo reale, aggirando di fatto l'MFA basato su SMS e quello tramite app di autenticazione. I metodi MFA resistenti al phishing, come le chiavi hardware FIDO2 e le passkey, sono la difesa più efficace.

Qual è la differenza tra phishing e spear phishing?

Il phishing tradizionale usa messaggi generici inviati in massa a migliaia di persone contemporaneamente. Lo spear phishing è invece mirato: sfrutta informazioni personali su un individuo specifico (nome, ruolo, azienda, attività recenti) per costruire un attacco personalizzato e molto convincente. Lo spear phishing ha un tasso di successo decisamente più alto.

Cos'è il phishing con l'IA e perché è pericoloso?

Il phishing con l'IA indica attacchi che utilizzano l'intelligenza artificiale — in particolare i modelli linguistici di grandi dimensioni — per generare messaggi grammaticalmente perfetti e personalizzati su larga scala. L'IA ha eliminato il classico segnale d'allarme degli "errori grammaticali" che un tempo aiutava a riconoscere il phishing. Le forme più avanzate includono anche voci e video deepfake usati negli attacchi di vishing.

Come protegge dal phishing la self-custody?

Gli strumenti finanziari self-custodial, come Bleap, ti danno il controllo diretto sui tuoi fondi senza affidarli a un sistema centralizzato. Questo significa che non esiste una linea di assistenza clienti centrale che gli attaccanti possano manipolare con il social engineering, e nessun singolo dipendente compromesso può sbloccare i tuoi soldi. Non ti rende immune al phishing, ma elimina un vettore di attacco importante.

Cos'è il quishing?

Il quishing è una forma di phishing veicolata tramite codici QR. Gli attaccanti incorporano URL malevoli all'interno dei codici QR, che sfuggono a molti filtri di sicurezza delle email perché non riescono a leggere i link incorporati nelle immagini. Quando scansioni il codice, vieni reindirizzato a un sito di phishing. Controlla sempre l'URL a cui porta un codice QR prima di inserire qualsiasi informazione.

Come si segnala un attacco di phishing?

Segnala le email di phishing al tuo provider di posta contrassegnandole come phishing (non solo come spam). Inoltrале all'indirizzo di segnalazione phishing dell'organizzazione che viene impersonata. Nel Regno Unito, segnala ad Action Fraud. Negli Stati Uniti, segnala all'IC3 dell'FBI. Nell'UE, rivolgiti al CERT nazionale o all'autorità di sicurezza informatica del tuo paese. Se fai parte di un'organizzazione, segnala subito internamente al tuo team di sicurezza IT.