Phishing: esempi reali di email fraudolente

Il phishing (truffa via email) è la minaccia informatica più diffusa in Italia. Nel 2024 rappresentava il 37% di tutte le segnalazioni al CNAIPIC (fonte: rapporto di attività della Polizia Postale, marzo 2025). Questa guida vi mostra, con esempi concreti, come riconoscere queste false email prima di cadere nella trappola.

Quando si riceve un’email che assomiglia in modo sorprendente a un messaggio della propria banca, dell’INPS o dell’Agenzia delle Entrate, è normale essere tentati di cliccare. I truffatori investono molto tempo per rendere i loro messaggi convincenti. La buona notizia: esistono indizi affidabili per individuarli, e una volta che li conoscete, le false email diventano facili da identificare.

Come funziona il phishing

Il meccanismo in 4 fasi

1. Il truffatore invia un’email imitando un organismo di fiducia. L’email riprende il logo, i colori e lo stile di comunicazione dell’organismo.

2. Il messaggio crea urgenza o opportunità. “Il vostro conto verrà bloccato”, “Un rimborso vi aspetta”, “Aggiornate i vostri dati entro il…”

3. Cliccate sul link. Vi porta verso un sito falso che riproduce l’aspetto del sito ufficiale.

4. Inserite le vostre informazioni. Credenziali, password, dati bancari… tutto viene catturato dal truffatore.

I numeri del phishing in Italia

Secondo il rapporto 2024 della Polizia Postale:

• 37% delle segnalazioni riguardano il phishing, lontano dalle altre minacce
• Le persone over 60 rappresentano 33% delle vittime
• Il danno medio per vittima di phishing bancario è di 3.800 euro

L’Agenzia per la Cybersicurezza Nazionale stima che più di 400.000 tentativi di phishing vengano inviati ogni giorno in Italia (fonte: rapporto ACN 2024).

Esempio 1: la falsa email della banca

Come appare

Oggetto: “Allarme sicurezza: attività insolita sul vostro conto”

Contenuto tipo: L’email mostra il logo della vostra banca (Intesa Sanpaolo, UniCredit, Poste Italiane, ecc.). Indica che è stata rilevata un’attività sospetta sul vostro conto e vi chiede di “verificare la vostra identità” cliccando su un link “sicuro”.

Mittente visualizzato: “Servizio Sicurezza Intesa Sanpaolo” Indirizzo reale: sicurezza-is@intesasanpaolo-avvisi.net

Gli indizi che tradiscono la truffa

1. L’indirizzo email del mittente non termina con @intesasanpaolo.com. Il dominio intesasanpaolo-avvisi.net non è un dominio ufficiale.

2. L’urgenza artificiale: “Avete 24 ore per mettere in sicurezza il vostro conto.” La vostra banca non procede mai in questo modo.

3. Il link nell’email non porta verso intesasanpaolo.com. Passando il cursore sopra il link (senza cliccare), potete vedere l’indirizzo reale che appare in basso nel vostro schermo o in un fumetto.

4. La richiesta di informazioni sensibili: la vostra banca non vi chiederà mai la vostra password, il vostro codice carta o il vostro codice di validazione via email.

Testimonianza: Ettore, 70 anni, Bologna, gennaio 2026: “L’email era così ben fatta che stavo quasi per cliccare. È mia moglie che ha notato che l’indirizzo del mittente non era quello giusto. Abbiamo chiamato la banca: ci hanno confermato che non avevano inviato nulla.” (fonte: associazione Vittime di Truffa, testimonianza anonimizzata)

Cosa fa davvero la vostra banca

La vostra banca:

• Non vi invia mai un’email che chiede la vostra password
• Non vi mette mai in mora di agire entro 24 ore via email
• Comunica gli avvisi di sicurezza tramite la sua applicazione ufficiale o per raccomandata per le questioni gravi
• Vi invita a chiamare il numero sul retro della vostra carta in caso di dubbio

Esempio 2: la falsa email dell’INPS

Come appare

Oggetto: “INPS: rimborso di 312,60 € in attesa”

Contenuto tipo: L’email mostra il logo dell’INPS e menziona che un rimborso è in attesa. Per riceverlo, bisogna “aggiornare le vostre coordinate bancarie” tramite un link.

Mittente visualizzato: “INPS - Istituto Nazionale Previdenza Sociale” Indirizzo reale: non-rispondere@inps-rimborsi.com

Gli indizi che tradiscono la truffa

1. Il dominio del mittente: l’indirizzo ufficiale dell’INPS è @inps.it, non @inps-rimborsi.com.

2. La richiesta di IBAN via email: l’INPS conosce già le vostre coordinate bancarie se siete registrati. L’INPS non chiede mai di “aggiornare” il vostro IBAN via email.

3. L’importo preciso menzionato nell’oggetto (312,60 €) è una tecnica per sembrare credibili.

4. Errori sottili: le email di phishing contengono a volte errori di punteggiatura, spaziatura o formulazione che non si troverebbero in un’email ufficiale. Attenzione però: con l’IA, i truffatori fanno sempre meno errori.

Testimonianza: Giuseppina, 76 anni, Napoli, marzo 2026: “Ho ricevuto l’email subito dopo una visita dal medico. Poiché aspettavo un rimborso, era tempestivo. Ho cliccato e ho iniziato a compilare il modulo. Per fortuna mi chiedevano il numero di carta di credito, cosa che mi è sembrata strana per un rimborso. Mi sono fermata.” (fonte: Polizia Postale, testimonianze anonimizzate)

Esempio 3: la falsa email dell’Agenzia delle Entrate

Come appare

Oggetto: “Agenzia delle Entrate: il vostro rimborso fiscale è disponibile”

Contenuto tipo: Un’email dal design ufficiale, con i colori dell’Agenzia delle Entrate, vi informa che è stato calcolato un eccesso di versamento e che un rimborso di 197,40 € sarà versato entro 5 giorni lavorativi se confermate le vostre coordinate bancarie.

Mittente visualizzato: “Agenzia delle Entrate” Indirizzo reale: rimborso@agenziaentrate-servizi.org

Gli indizi che tradiscono la truffa

1. Il dominio: l’Agenzia delle Entrate usa solo indirizzi in @agenziaentrate.it.

2. Un rimborso condizionato a un’azione da parte vostra: i rimborsi fiscali vengono effettuati automaticamente per accredito sul conto conosciuto dall’amministrazione. Non è necessaria nessuna conferma.

3. L’indirizzo del link non porta verso agenziaentrate.gov.it.

Esempio 4: la falsa email di consegna (Poste Italiane, BRT, DHL)

Come appare

Oggetto: “Il vostro pacco è in attesa di consegna — azione richiesta”

Contenuto tipo: Un’email con il logo di Poste Italiane o BRT indica che un pacco non ha potuto essere consegnato e vi chiede di pagare spese di rispedizione (generalmente tra 1 e 3 euro) per sbloccare la consegna.

Gli indizi che tradiscono la truffa

1. Spese di rispedizione via email: Poste Italiane e BRT non chiedono mai pagamenti via email per una rispedizione.

2. Nessun numero di tracciamento verificabile: il numero di pacco menzionato nell’email non corrisponde a nulla se lo verificate sul vero sito poste.it.

3. L’importo basso (1,99 €): è deliberato. Un piccolo importo vi sembra banale, ma in realtà i truffatori recuperano le vostre coordinate bancarie complete.

Esempio 5: la falsa email di Netflix, Amazon o PayPal

Come appare

Oggetto: “Il vostro abbonamento Netflix verrà sospeso” o “Problema di pagamento sul vostro account Amazon”

Contenuto tipo: L’email vi informa che il vostro metodo di pagamento è scaduto e che dovete aggiornare le vostre informazioni pena la perdita del vostro accesso.

Gli indizi che tradiscono la truffa

1. L’indirizzo del mittente non corrisponde al dominio ufficiale (@netflix.com, @amazon.it, @paypal.com).

2. La formulazione generica: “Gentile cliente” invece del vostro nome. Le vere email di Netflix e Amazon usano il vostro nome.

3. Il link punta verso un sito falso con un URL che imita l’originale (netf1ix.com invece di netflix.com).

Il metodo in 5 punti per analizzare qualsiasi email sospetta

Ecco un metodo sistematico che potete applicare a ogni email che vi sembra sospetta:

Punto 1: L’indirizzo del mittente

Non guardate il nome visualizzato (“Servizio Clienti INPS”), ma l’indirizzo email tecnico. Sulla maggior parte dei servizi di posta:

• Gmail: cliccate sulla piccola freccia accanto al nome del mittente
• Outlook: cliccate sul nome del mittente
• Libero Mail: l’indirizzo completo è spesso mostrato direttamente

I domini ufficiali degli organismi italiani:

• Banche: @intesasanpaolo.com, @unicredit.it, @bancamediolanum.it, ecc.
• INPS: @inps.it
• Agenzia delle Entrate: @agenziaentrate.it
• INAIL: @inail.it

Punto 2: Il link nell’email

Non cliccate. Passate il cursore sopra il link con il vostro mouse (senza cliccare) per vedere l’indirizzo di destinazione. Appare in basso a sinistra del vostro schermo o in un fumetto.

Su un telefono o tablet: premete a lungo sul link (senza rilasciare) per vedere l’indirizzo apparire.

Se l’indirizzo non corrisponde al sito ufficiale, non cliccate.

Punto 3: Il tono del messaggio

Le email di phishing usano quasi sempre:

• L’urgenza: “Il vostro conto verrà bloccato entro 24 ore”
• La paura: “Attività sospetta rilevata”
• L’esca del guadagno: “Rimborso di 312,60 € in attesa”

Un organismo ufficiale non vi mette mai in mora di agire con urgenza via email.

Punto 4: Le richieste insolite

Nessun organismo ufficiale vi chiederà via email:

• La vostra password
• Il vostro codice di carta bancaria (numero, data di scadenza, codice CVV)
• Il vostro codice PIN
• Di scaricare un software

Punto 5: La qualità del testo

Anche se le email di phishing sono sempre meglio redatte grazie all’IA, alcune presentano ancora anomalie:

• Errori di ortografia o di grammatica insoliti
• Layout leggermente diverso dalle vere email
• Immagini sfuocate o di scarsa qualità
• Indirizzo postale o numero di telefono assente dal piè di pagina

Cosa fare quando ricevete un’email sospetta

Se non avete cliccato

1. Non cliccate su nulla nell’email
2. Segnalate l’email al Commissariato di Polizia Postale su commissariatodips.it
3. Cancellate l’email o spostatela nella vostra cartella spam
4. Avvertite i vostri cari se la stessa email può prenderli di mira

Se avete cliccato sul link ma non inserito nulla

Il rischio è limitato. Chiudete la pagina immediatamente. Per precauzione:

• Avviate un’analisi antivirus se ne avete uno
• Svuotate la cache del vostro browser

Se avete inserito le vostre credenziali o dati bancari

Agite immediatamente:

1. Cambiate la vostra password sul vero sito dell’organismo in questione
2. Chiamate la vostra banca se avete inserito dati bancari (numero sul retro della vostra carta)
3. Presentate denuncia al Commissariato di Polizia Postale online o al commissariato di zona
4. Segnalate al CNAIPIC su cnaipic.poliziadistato.it per ottenere assistenza

Come configurare la vostra posta elettronica per filtrare meglio

Attivate il filtro anti-spam

La maggior parte dei servizi di posta (Gmail, Outlook, Libero Mail, Yahoo) ha un filtro anti-spam integrato. Verificate che sia attivato nelle vostre impostazioni.

Segnalate le email di phishing come spam

Quando ricevete un’email fraudolenta, non cancellatela semplicemente: segnalatela come spam o indesiderata. Questo permette al vostro servizio di posta di “imparare” e filtrare meglio le future email simili.

Su Gmail

Aprite l’email → cliccate sui tre punti in alto a destra → “Segnala come phishing”

Su Outlook

Aprite l’email → cliccate su “Posta indesiderata” → “Phishing”

Su Libero Mail

Aprite l’email → cliccate su “Spam”

Gli strumenti per proteggervi

Commissariato di Polizia Postale

Il sito commissariatodips.it permette di segnalare le email fraudolente e i siti ingannevoli. Gli investigatori possono richiedere la chiusura di questi siti (fonte: Polizia Postale).

Filtro anti-phishing del vostro browser

Chrome, Firefox, Safari ed Edge includono un filtro che vi avvisa se tentate di accedere a un sito di phishing noto. Verificate che la “Navigazione sicura” sia attivata nelle impostazioni del vostro browser.

Perché il phishing evolve e rimane pericoloso

Secondo l’ACN, le campagne di phishing sono sempre più sofisticate grazie all’uso di strumenti di intelligenza artificiale generativa (fonte: panoramica della minaccia informatica, ACN, febbraio 2025). Le email generate dall’IA sono:

• Senza errori di ortografia
• Personalizzate con il vostro nome e a volte il vostro indirizzo
• Inviate da indirizzi che imitano molto da vicino i domini ufficiali

È per questo che la verifica dell’indirizzo del mittente e del link rimane il riflesso più affidabile, molto più che la qualità visiva del messaggio.

Testimonianza: Caterina, 63 anni, Roma, febbraio 2026: “Ho ricevuto un’email dalla mia banca che era impeccabile. Nemmeno un errore. Ma quando ho guardato l’indirizzo del mittente, era @intesasanpaolo-servizi.com invece di @intesasanpaolo.com. Senza quel riflesso imparato a un laboratorio, avrei cliccato.” (fonte: laboratorio digitale EPN Roma)

I numeri e siti utili

Risorsa	Contatto	Utilizzo
Commissariato PS Online	commissariatodips.it	Segnalare un’email fraudolenta
CNAIPIC	cnaipic.poliziadistato.it	Segnalare un sito fraudolento
Numero Antitruffa	800 182 547 (gratuito)	Consigli e orientamento
Sportello dei diritti	sportellodeidiritti.org	Assistenza alle vittime
La vostra banca	Numero sul retro della carta	Opposizione e segnalazione

Conclusione: siete capaci di riconoscere il phishing

Il phishing si basa sull’inganno visivo e sulla manipolazione emotiva. Ma ora che conoscete gli indizi, avete gli strumenti per proteggervi.

Ricordate questa regola semplice: non cliccate mai su un link in un’email che vi chiede informazioni personali o bancarie. Andate sempre direttamente sul sito ufficiale digitando voi stessi l’indirizzo.

E se un’email vi fa dubitare, prendetevi il tempo di parlarne a un familiare o di chiamare l’organismo in questione. Vale sempre la pena perdere cinque minuti a verificare piuttosto che migliaia di euro cliccando troppo in fretta.

---

Nota editoriale

Fonti consultate: Rapporto di attività della Polizia Postale 2024 (pubblicato marzo 2025), panoramica della minaccia informatica ACN (febbraio 2025), rapporto DGCCRF 2024, commissariatodips.it, laboratori digitali EPN, forum segnala-truffe.it, associazione Vittime di Truffa.

Limiti di questa guida: Gli esempi presentati sono basati su segnalazioni reali ma le formulazioni esatte delle email di phishing cambiano continuamente. I truffatori adattano le loro tecniche al contesto (attualità fiscale, crisi sanitarie, ecc.). Non abbiamo potuto riprodurre gli screenshot delle false email per ragioni di diritto; le descrizioni sono basate sulle segnalazioni pubbliche.

Data di verifica: 26 marzo 2026

Conflitti di interesse: nessuno

Questions fréquentes

Cos'è esattamente il phishing? ▼

Come verificare se un'email viene davvero dalla mia banca? ▼

Cosa fare se ho cliccato su un link di phishing e inserito le mie credenziali? ▼

Il mio antivirus mi protegge dal phishing? ▼

Perché le email di phishing sono sempre più convincenti? ▼