PHISHING: ESEMPI REALI E CHECKLIST ANTI-TRUFFA

Ogni giorno, centinaia di PMI italiane ricevono email di phishing. Alcune sono rozze e facilmente riconoscibili. Altre sono così ben fatte che ingannano anche dipendenti esperti. Il risultato? Credenziali rubate, soldi trasferiti a truffatori, ransomware installati.

In questo articolo ti mostrerò 5 esempi reali di phishing che abbiamo visto colpire aziende del veronese, e ti darò una checklist in 10 punti per verificare se un'email è legittima.

Statistiche allarmanti: Il 91% degli attacchi informatici inizia con un'email di phishing. Il costo medio per una PMI che cade vittima? 25.000€ tra danni diretti, tempo perso e reputazione.

COS'È IL PHISHING E PERCHÉ FUNZIONA

Il phishing è una tecnica di truffa che usa email (o SMS, telefonate) per indurti a:

  • Inserire credenziali su siti falsi (che sembrano veri)
  • Aprire allegati che installano malware
  • Trasferire soldi su conti controllati dai truffatori
  • Fornire informazioni riservate (dati bancari, codici, ecc.)

Funziona perché sfrutta l'urgenza, la paura e la fiducia. Un'email che sembra arrivare dalla tua banca, che ti dice che il conto sarà bloccato se non agisci subito, attiva una risposta emotiva che bypassa il pensiero critico.

5 ESEMPI REALI DI PHISHING

Ecco alcuni tentativi di phishing reali che abbiamo intercettato per i nostri clienti. Imparare a riconoscerli può salvarti da grossi guai.

🏦
Esempio 1: Finta Email dalla Banca
Da: sicurezza@intesasanpa0l0.com
Oggetto: URGENTE: Attività sospetta sul tuo conto

Gentile Cliente,
Abbiamo rilevato un accesso non autorizzato al tuo conto. Per proteggere i tuoi fondi, clicca qui e verifica la tua identità entro 24 ore, altrimenti il conto verrà bloccato.

Cordiali saluti,
Servizio Sicurezza Intesa Sanpaolo
🚩 Segnali d'allarme:
  • Dominio falso: "intesasanpa0l0.com" (zero al posto della O)
  • Urgenza artificiale: "entro 24 ore"
  • Link generico invece che accesso al tuo home banking
  • La banca non chiede MAI di cliccare link per verificare l'identità
📄
Esempio 2: Fattura Falsa
Da: fatturazione@enel-energia.servizi-online.com
Oggetto: Fattura N. 2026-0892 in scadenza

Gentile Cliente,
In allegato la fattura relativa al periodo Febbraio 2026. L'importo di €847,50 è in scadenza il 20/03/2026.

📎 Allegato: Fattura_Enel_2026-0892.pdf.exe
🚩 Segnali d'allarme:
  • Dominio sospetto: sottodominio di "servizi-online.com", non enel.it
  • Allegato con doppia estensione: .pdf.exe (è un virus!)
  • Importo specifico per sembrare credibile, ma non corrisponde a bollette reali
  • Se non sei cliente Enel, è ovviamente falsa
📦
Esempio 3: Finto Corriere
Da: tracking@dhl-delivery-service.com
Oggetto: [DHL] Pacco in attesa - Spese doganali da saldare

Il tuo pacco è fermo in dogana. Per procedere alla consegna, è necessario pagare €4,99 di spese doganali.

PAGA ORA → [link a sito clone di DHL]
🚩 Segnali d'allarme:
  • Dominio fake: "dhl-delivery-service.com" non è dhl.com
  • Importo basso (€4,99) per sembrare innocuo e farti abbassare la guardia
  • Non hai ordinato nulla? Allora non c'è nessun pacco
  • DHL/BRT/GLS non chiedono pagamenti via email in questo modo
🔧
Esempio 4: Finto Supporto IT
Da: supporto@microsoft-team.com
Oggetto: Azione richiesta: La tua licenza Office scade oggi

Gentile Utente,
La tua licenza Microsoft 365 scade oggi. Per evitare interruzioni, rinnova subito cliccando sul link seguente e inserendo le tue credenziali.

Se non rinnovi entro le 23:59, perderai l'accesso a tutti i documenti.
🚩 Segnali d'allarme:
  • Dominio non ufficiale Microsoft (microsoft.com, non microsoft-team.com)
  • Le licenze non "scadono oggi" senza preavviso
  • Microsoft non chiede di reinserire credenziali via email
  • Minaccia di perdere documenti per creare panico
👔
Esempio 5: CEO Fraud (Truffa del Capo)
Da: mario.rossi.ceo@gmail.com
Oggetto: Urgente - Bonifico riservato

Ciao,
Sono in riunione e non posso telefonare. Ho bisogno che tu faccia un bonifico urgente di €12.500 a questo IBAN: IT00X0000000000000000000.

È per chiudere un'acquisizione riservata. Non ne parlare con nessuno fino a quando non ti richiamo.

Grazie,
Mario Rossi
🚩 Segnali d'allarme:
  • Email da Gmail, non dall'indirizzo aziendale
  • Richiesta di segretezza ("non ne parlare con nessuno")
  • Urgenza + impossibilità di verificare telefonicamente
  • Il tuo capo non ti chiederebbe MAI un bonifico via Gmail

LA CHECKLIST ANTI-PHISHING IN 10 PUNTI

Quando ricevi un'email sospetta, passa attraverso questi 10 controlli prima di fare qualsiasi cosa:

✅ Checklist Verifica Email
  1. Controlla il mittente reale — Clicca sul nome per vedere l'indirizzo email completo. Il dominio corrisponde all'azienda ufficiale?
  2. Cerca errori di ortografia — Nei domini (es. "amaz0n" con zero), nel testo, nelle immagini di scarsa qualità.
  3. Valuta l'urgenza — "Entro 24 ore", "immediato", "il tuo account sarà bloccato" sono segnali di phishing.
  4. Non cliccare i link — Passa il mouse sopra per vedere l'URL reale. Va dove dice di andare?
  5. Diffida degli allegati — Soprattutto .exe, .zip, .js, o file Office che chiedono di abilitare macro.
  6. Verifica il contesto — Ti aspettavi questa email? Hai un conto in quella banca? Hai ordinato qualcosa?
  7. Non fornire credenziali — Nessuna azienda seria chiede username e password via email.
  8. Chiama per confermare — Se l'email sembra provenire da un collega o fornitore, telefona per verificare.
  9. Controlla con l'IT — Nel dubbio, inoltra l'email al tuo reparto IT o al tuo fornitore di assistenza.
  10. Segnala il phishing — Usa i pulsanti di segnalazione di Gmail/Outlook per migliorare i filtri.

COSA FARE SE HAI CLICCATO

Hai cliccato un link sospetto o aperto un allegato? Agisci subito:

  1. Scollega il computer dalla rete (togli il cavo ethernet o disattiva il Wi-Fi)
  2. Non spegnere il PC (potrebbe servire per l'analisi forense)
  3. Cambia immediatamente le password degli account che potrebbero essere compromessi, da un altro dispositivo
  4. Contatta il tuo IT o fornitore di assistenza (come Digital Combines)
  5. Se hai inserito credenziali bancarie, chiama la banca e blocca le operazioni
  6. Documenta tutto: screenshot dell'email, cosa hai fatto, quando

COME PROTEGGERE L'AZIENDA

La difesa migliore è un approccio su più livelli:

  • Formazione dipendenti: La tecnologia non basta se le persone non sanno riconoscere le minacce
  • Filtri email avanzati: Soluzioni come Bitdefender GravityZone bloccano il 99% del phishing prima che arrivi
  • MFA ovunque: Anche se rubano la password, senza il secondo fattore non entrano
  • Configurazione SPF/DKIM/DMARC: Protegge la tua azienda dallo spoofing (email false a tuo nome)
  • Policy chiare: Nessun bonifico senza conferma telefonica, nessuna password condivisa via email

Con il nostro servizio di Email Sicura configuriamo protezioni anti-phishing avanzate e formiamo il tuo team a riconoscere le minacce.

Ricorda: Il phishing funziona solo se tu (o un tuo dipendente) abbocchi. Una cultura della sicurezza, unita a strumenti adeguati, rende la tua azienda un bersaglio molto più difficile.

Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Buttapietra, Negrar di Valpolicella, Legnago, Villafranca di Verona, Malcesine e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.

HAI BISOGNO DI AIUTO?

Vuoi proteggere la tua azienda dal phishing? Offriamo soluzioni di email security e formazione per i dipendenti.

Richiedi Consulenza Scopri Cybersecurity