Oggi il phishing è un problema che riguarda tutti, non solo che gestisce dati aziendali. Chi paga le bollette dal telefono, chi acquista online e anche chi confronta servizi digitali come i casinò con la migliore esperienza utente deve sapersi tutelare da questa minaccia. Basta un messaggio scritto bene, arrivato nel momento giusto, per far sembrare affidabile un link che non lo è affatto. Nel primo semestre del 2025 l’Agenzia per la Cybersicurezza Nazionale ha rilevato 1.530 URL di phishing.
Perché il phishing continua a funzionare anche quando pensiamo di conoscerlo
Il phishing continua a colpire perché ci coglie proprio dove siamo più vulnerabili, cioè tocca le nostre abitudini. Si presenta con il tono giusto, usa nomi familiari e ti spinge a reagire subito: pagare, aggiornare un profilo, confermare un accesso o sbloccare un servizio. Gli obiettivi ricorrenti sono le credenziali bancarie, gli accessi webmail e i dati delle carte. A rendere il phishing così efficace è soprattutto il contesto. Il messaggio giusto, al momento giusto. Succede mentre aspetti una consegna, controlli un rimborso o stai leggendo qualcosa di totalmente diverso, perfino una pagina sulle probabilità blackjack. La logica è sempre la stessa: creare fretta, dare l’idea di un problema imminente e farti cliccare prima ancora di pensare.
I dettagli che tradiscono quasi sempre un messaggio costruito per ingannarti
Molti tentativi di phishing si riconoscono da segnali piccoli ma ripetuti. Il mittente sembra quasi corretto ma non del tutto, il testo chiede dati personali o bancari, il tono è urgente, magari con la promessa che l’importo salirà se non paghi subito. PagoPA spiega in modo molto chiaro che non invia direttamente richieste di pagamento via email e invita a diffidare di messaggi che chiedono password, dati o altre informazioni sensibili. Anche gli errori grammaticali, le formule un po’ strane e le incongruenze nel nome del mittente sono degli indizi utili.
Una pagina falsa può sembrare identica a quella vera, ma l’indirizzo spesso cambia di poco. Per questo pagoPA suggerisce di non aprire link sospetti e di entrare nei portali ufficiali digitando l’indirizzo nel browser o passando dal sito dell’ente. Quando il pagamento è reale, la verifica dai canali ufficiali riduce molto il margine di errore, soprattutto se l’accesso avviene con lo SPID o la CIE invece che da un link ricevuto in una mail o in un SMS.
Le abitudini semplici che ti permettono di proteggerti
Proteggersi dal phishing significa inserire una pausa tra il messaggio ricevuto e l’azione. Prima di cliccare, conviene chiedersi se quella richiesta era prevista, se arriva davvero dal canale giusto e se può essere verificata in un altro modo. Per i pagamenti, la strada più solida resta quella indicata anche da pagoPA: controllo dal sito ufficiale dell’ente, accesso con identità digitale e conferma che l’importo sia davvero dovuto. In Italia i tentativi di phishing più diffusi sono false multe PagoPA, email su SPID e campagne costruite attorno a marchi e servizi molto conosciuti. Però la difesa più utile è sorprendentemente semplice: controllare meglio il mittente, evitare i link arrivati nei messaggi e passare sempre dai canali ufficiali.