Riconoscere email di spam e phishing: guida pratica con esempi reali

Ogni giorno riceviamo decine di messaggi nella nostra casella di posta elettronica. Tra newsletter, comunicazioni legittime e promozioni, si nascondono anche email di spam o tentativi di phishing, spesso difficili da riconoscere a prima vista. Per un’attività locale — un hotel, uno studio professionale, un negozio — cadere in una di queste trappole può significare perdere l’accesso agli account aziendali, esporre dati dei clienti o trasferire denaro a truffatori.

Le truffe via email sono in aumento costante, e colpiscono non solo i privati, ma anche aziende, liberi professionisti e attività locali. In Italia, molti attacchi simulano comunicazioni ufficiali da provider molto usati come Aruba, Gmail, Outlook o Poste Italiane. La sofisticazione di questi messaggi è cresciuta enormemente: oggi un’email di phishing ben costruita è quasi indistinguibile da una comunicazione autentica.

Cos’è una email di spam (e come si distingue dal phishing)

È importante distinguere tra spam e phishing, perché anche se entrambi arrivano via email, hanno scopi e livelli di pericolosità molto diversi:

• Email di spam: messaggi promozionali o indesiderati, spesso inviati in massa. Non sempre sono pericolosi, ma possono contenere link sospetti o pubblicità ingannevoli. Il filtro antispam del tuo provider li intercetta nella maggior parte dei casi.
• Email di phishing: tentativi di truffa via email in cui il mittente finge di essere un’azienda o un servizio conosciuto, con l’obiettivo di rubare password, dati bancari o altre informazioni sensibili. Sono progettate per sembrare ufficiali e spesso superano i filtri automatici.
• Spear phishing: una variante più pericolosa in cui il messaggio è personalizzato con il tuo nome, la tua azienda o dettagli specifici, raccolti da LinkedIn o dai social media. Il tasso di successo è molto più alto rispetto al phishing generico.

Come riconoscere una email sospetta: i segnali principali

Anche se un’email falsa può sembrare legittima, ci sono segnali ricorrenti che ti aiutano a identificarla prima di fare clic su qualsiasi cosa:

• Mittente sospetto: controlla l’indirizzo email reale, non solo il nome visualizzato. Il nome può mostrare "Supporto Aruba" ma l’indirizzo reale potrebbe essere support@aruba-update.com invece di support@aruba.it. Questa discrepanza è il segnale più affidabile.
• Oggetto allarmante o urgente: frasi come "URGENZA: blocco account imminente" o "Verifica entro 24 ore o perdi l’accesso" sono costruite per farti agire d’impulso, senza pensare. L’urgenza artificiale è una tecnica di manipolazione classica.
• Link non coerenti con il mittente: passa il cursore sui link senza cliccare per vedere l’URL reale nel tooltip. Se l’email viene da Poste Italiane ma il link porta su posteit-verifica.net, è una truffa.
• Allegati non richiesti: file con estensioni .zip, .exe, .docm, .xlsm possono contenere malware o ransomware. Non aprire mai allegati che non hai esplicitamente richiesto, anche se il mittente sembra conosciuto.
• Linguaggio generico o sgrammaticato: errori di grammatica, formule impersonali come "Gentile Cliente" invece del tuo nome, o traduzioni machine-generated sono campanelli d’allarme — anche se le email di phishing più sofisticate oggi sono grammaticalmente perfette.
• Richiesta di credenziali o dati sensibili: nessuna azienda legittima ti chiederà mai password, numero di carta di credito o codice fiscale via email. Mai, in nessun caso.

Esempi reali: finte email da Aruba, Gmail e Outlook

Vediamo alcuni esempi concreti di phishing che simulano comunicazioni ufficiali, basati sui casi più segnalati in Italia negli ultimi mesi:

• Finta email da Aruba: messaggio che avvisa della scadenza imminente del dominio con link a una pagina di pagamento non ufficiale. Il dominio nell’email ha una lettera in più o uno trattino aggiunto. L’obiettivo è ottenere i dati della tua carta.
• Finta email da Gmail o Google: notifica di "accesso sospetto" con link per "verificare" l’account su un dominio che non è google.com. Una volta inserite le credenziali, l’account viene immediatamente compromesso.
• Email truffa da Outlook o Microsoft 365: annuncio di sospensione dell’account per "attività insolita", con richiesta di aggiornare le credenziali entro poche ore. Molto diffusa nelle PMI che usano Microsoft 365 per il lavoro.
• Finta fattura da un fornitore: una delle truffe più pericolose per le aziende. Arriva un’email con una fattura PDF che sembra provenire da un fornitore reale — ma con un IBAN diverso su cui versare il pagamento. Verificare sempre telefonicamente le coordinate bancarie cambiate via email.

Cosa fare se hai già cliccato su un link sospetto

Se hai cliccato per errore su un link di phishing o hai inserito le tue credenziali, agisci subito — ogni minuto conta:

• Cambia immediatamente la password dell’account compromesso e di tutti quelli dove usi la stessa password.
• Attiva l’autenticazione a due fattori (2FA) se non è già attiva — blocca l’accesso anche se la password è nota.
• Controlla i dispositivi connessi all’account e termina tutte le sessioni non riconosciute.
• Se hai inserito dati bancari, contatta subito la tua banca per bloccare la carta e segnalare la frode.
• Segnala l’email alla Polizia Postale tramite il portale commissariatodips.it — aiuta a tracciare le campagne di phishing attive.

Come proteggere la tua attività: le regole fondamentali

• Autenticazione a due fattori (2FA) ovunque: attivala su email aziendale, gestionale, home banking, social media aziendali e qualsiasi altro account critico. Usa un’app come Google Authenticator o Authy invece degli SMS, più vulnerabili al SIM swapping.
• Password manager: usa password uniche e complesse per ogni servizio. Un password manager come Bitwarden (gratuito e open source) le genera e memorizza per te.
• Verifica sempre fuori dal canale email: se ricevi una richiesta insolita — un pagamento, un cambio IBAN, una verifica urgente — chiama direttamente il mittente su un numero che già conosci, non quello indicato nell’email.
• Formazione del team: il 90% degli attacchi informatici alle PMI passa da un dipendente che clicca su un link sbagliato. Un’ora di formazione pratica per il personale può valere più di qualsiasi software di sicurezza.
• Backup regolari dei dati: in caso di ransomware — malware che cifra i tuoi file e chiede un riscatto — un backup aggiornato e offline è l’unica vera protezione.

La sicurezza informatica per le piccole imprese non è questione di budget: è questione di abitudini. Gli attacchi più devastanti che vediamo in Sardegna non colpiscono chi non ha un firewall costoso — colpiscono chi non ha verificato un IBAN cambiato via email o chi usava la stessa password su dieci servizi diversi.

I segnali tecnici che smascherano un'email fraudolenta

Oltre all'istinto, esistono controlli concreti che rivelano quasi sempre un tentativo di phishing. Primo: l'indirizzo reale del mittente. Il nome visualizzato può essere qualsiasi cosa, ma l'indirizzo vero — quello tra parentesi angolari — spesso appartiene a un dominio sospetto o leggermente storpiato (aruba-clienti.net invece di aruba.it). Secondo: i link. Passa il mouse sopra senza cliccare e guarda la destinazione reale in basso: se non corrisponde al dominio ufficiale, è una truffa. Terzo: gli errori. Grammatica approssimativa, loghi sgranati e formattazione incoerente sono tipici delle campagne di phishing di massa.

Un quarto segnale è il tono: le email fraudolente creano urgenza artificiale (“il tuo account sarà sospeso entro 24 ore”) per spingerti ad agire senza riflettere. Nessun provider serio — Aruba, la tua banca, Microsoft — ti chiederà mai password o dati di pagamento via email. Quando la richiesta riguarda credenziali o denaro, la regola è una sola: non cliccare, accedi al servizio digitando tu stesso l'indirizzo nel browser.

Smishing e vishing: il phishing che arriva da SMS e telefono

Il phishing non vive solo nella posta elettronica. Lo smishing usa gli SMS — un finto avviso di consegna pacco, un rimborso fiscale, un movimento sospetto sul conto — con un link che porta a una pagina-clone. Il vishing sfrutta invece la telefonata: un sedicente operatore della banca o dell'assistenza tecnica ti guida a “verificare” i tuoi dati o a installare un software di controllo remoto. Per le piccole imprese il rischio è concreto, perché spesso chi risponde al telefono o gestisce gli ordini non è formato a riconoscere questi tentativi.

La difesa è la stessa: diffidare di qualsiasi richiesta non sollecitata, non comunicare mai i codici ricevuti via SMS (sono spesso proprio i codici di accesso che il truffatore ti sta facendo dettare) e verificare sempre tramite i canali ufficiali, mai tramite i contatti forniti nel messaggio sospetto.

Hai dubbi sulla sicurezza della posta elettronica della tua attività o hai ricevuto un’email sospetta? Contattaci: facciamo una verifica rapida e ti diciamo cosa fare.