Ogni giorno, centinaia di PMI italiane ricevono email di phishing. Alcune sono rozze e facilmente riconoscibili. Altre sono così ben fatte che ingannano anche dipendenti esperti. Il risultato? Credenziali rubate, soldi trasferiti a truffatori, ransomware installati.
In questo articolo ti mostrerò 5 esempi reali di phishing che abbiamo visto colpire aziende del veronese, e ti darò una checklist in 10 punti per verificare se un'email è legittima.
Statistiche allarmanti: Il 91% degli attacchi informatici inizia con un'email di phishing. Il costo medio per una PMI che cade vittima? 25.000€ tra danni diretti, tempo perso e reputazione.
COS'È IL PHISHING E PERCHÉ FUNZIONA
Il phishing è una tecnica di truffa che usa email (o SMS, telefonate) per indurti a:
- Inserire credenziali su siti falsi (che sembrano veri)
- Aprire allegati che installano malware
- Trasferire soldi su conti controllati dai truffatori
- Fornire informazioni riservate (dati bancari, codici, ecc.)
Funziona perché sfrutta l'urgenza, la paura e la fiducia. Un'email che sembra arrivare dalla tua banca, che ti dice che il conto sarà bloccato se non agisci subito, attiva una risposta emotiva che bypassa il pensiero critico.
5 ESEMPI REALI DI PHISHING
Ecco alcuni tentativi di phishing reali che abbiamo intercettato per i nostri clienti. Imparare a riconoscerli può salvarti da grossi guai.
Oggetto: URGENTE: Attività sospetta sul tuo conto
Gentile Cliente,
Abbiamo rilevato un accesso non autorizzato al tuo conto. Per proteggere i tuoi fondi, clicca qui e verifica la tua identità entro 24 ore, altrimenti il conto verrà bloccato.
Cordiali saluti,
Servizio Sicurezza Intesa Sanpaolo
- Dominio falso: "intesasanpa0l0.com" (zero al posto della O)
- Urgenza artificiale: "entro 24 ore"
- Link generico invece che accesso al tuo home banking
- La banca non chiede MAI di cliccare link per verificare l'identità
Oggetto: Fattura N. 2026-0892 in scadenza
Gentile Cliente,
In allegato la fattura relativa al periodo Febbraio 2026. L'importo di €847,50 è in scadenza il 20/03/2026.
📎 Allegato: Fattura_Enel_2026-0892.pdf.exe
- Dominio sospetto: sottodominio di "servizi-online.com", non enel.it
- Allegato con doppia estensione: .pdf.exe (è un virus!)
- Importo specifico per sembrare credibile, ma non corrisponde a bollette reali
- Se non sei cliente Enel, è ovviamente falsa
Oggetto: [DHL] Pacco in attesa - Spese doganali da saldare
Il tuo pacco è fermo in dogana. Per procedere alla consegna, è necessario pagare €4,99 di spese doganali.
PAGA ORA → [link a sito clone di DHL]
- Dominio fake: "dhl-delivery-service.com" non è dhl.com
- Importo basso (€4,99) per sembrare innocuo e farti abbassare la guardia
- Non hai ordinato nulla? Allora non c'è nessun pacco
- DHL/BRT/GLS non chiedono pagamenti via email in questo modo
Oggetto: Azione richiesta: La tua licenza Office scade oggi
Gentile Utente,
La tua licenza Microsoft 365 scade oggi. Per evitare interruzioni, rinnova subito cliccando sul link seguente e inserendo le tue credenziali.
Se non rinnovi entro le 23:59, perderai l'accesso a tutti i documenti.
- Dominio non ufficiale Microsoft (microsoft.com, non microsoft-team.com)
- Le licenze non "scadono oggi" senza preavviso
- Microsoft non chiede di reinserire credenziali via email
- Minaccia di perdere documenti per creare panico
Oggetto: Urgente - Bonifico riservato
Ciao,
Sono in riunione e non posso telefonare. Ho bisogno che tu faccia un bonifico urgente di €12.500 a questo IBAN: IT00X0000000000000000000.
È per chiudere un'acquisizione riservata. Non ne parlare con nessuno fino a quando non ti richiamo.
Grazie,
Mario Rossi
- Email da Gmail, non dall'indirizzo aziendale
- Richiesta di segretezza ("non ne parlare con nessuno")
- Urgenza + impossibilità di verificare telefonicamente
- Il tuo capo non ti chiederebbe MAI un bonifico via Gmail
LA CHECKLIST ANTI-PHISHING IN 10 PUNTI
Quando ricevi un'email sospetta, passa attraverso questi 10 controlli prima di fare qualsiasi cosa:
- Controlla il mittente reale — Clicca sul nome per vedere l'indirizzo email completo. Il dominio corrisponde all'azienda ufficiale?
- Cerca errori di ortografia — Nei domini (es. "amaz0n" con zero), nel testo, nelle immagini di scarsa qualità.
- Valuta l'urgenza — "Entro 24 ore", "immediato", "il tuo account sarà bloccato" sono segnali di phishing.
- Non cliccare i link — Passa il mouse sopra per vedere l'URL reale. Va dove dice di andare?
- Diffida degli allegati — Soprattutto .exe, .zip, .js, o file Office che chiedono di abilitare macro.
- Verifica il contesto — Ti aspettavi questa email? Hai un conto in quella banca? Hai ordinato qualcosa?
- Non fornire credenziali — Nessuna azienda seria chiede username e password via email.
- Chiama per confermare — Se l'email sembra provenire da un collega o fornitore, telefona per verificare.
- Controlla con l'IT — Nel dubbio, inoltra l'email al tuo reparto IT o al tuo fornitore di assistenza.
- Segnala il phishing — Usa i pulsanti di segnalazione di Gmail/Outlook per migliorare i filtri.
COSA FARE SE HAI CLICCATO
Hai cliccato un link sospetto o aperto un allegato? Agisci subito:
- Scollega il computer dalla rete (togli il cavo ethernet o disattiva il Wi-Fi)
- Non spegnere il PC (potrebbe servire per l'analisi forense)
- Cambia immediatamente le password degli account che potrebbero essere compromessi, da un altro dispositivo
- Contatta il tuo IT o fornitore di assistenza (come Digital Combines)
- Se hai inserito credenziali bancarie, chiama la banca e blocca le operazioni
- Documenta tutto: screenshot dell'email, cosa hai fatto, quando
COME PROTEGGERE L'AZIENDA
La difesa migliore è un approccio su più livelli:
- Formazione dipendenti: La tecnologia non basta se le persone non sanno riconoscere le minacce
- Filtri email avanzati: Soluzioni come Bitdefender GravityZone bloccano il 99% del phishing prima che arrivi
- MFA ovunque: Anche se rubano la password, senza il secondo fattore non entrano
- Configurazione SPF/DKIM/DMARC: Protegge la tua azienda dallo spoofing (email false a tuo nome)
- Policy chiare: Nessun bonifico senza conferma telefonica, nessuna password condivisa via email
Con il nostro servizio di Email Sicura configuriamo protezioni anti-phishing avanzate e formiamo il tuo team a riconoscere le minacce.
Ricorda: Il phishing funziona solo se tu (o un tuo dipendente) abbocchi. Una cultura della sicurezza, unita a strumenti adeguati, rende la tua azienda un bersaglio molto più difficile.
Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Buttapietra, Negrar di Valpolicella, Legnago, Villafranca di Verona, Malcesine e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.