Il phishing causa 90%+ delle violazioni. L’AI lo ha reso più difficile da individuare perché gli errori di grammatica sono spariti. Ma 5 segnali funzionano ancora nel 2026. Memorizzali.

Cosa è cambiato nel 2026

Pre-2023 il phishing era facile da individuare:

  • Grammatica sbagliata (“Il tuo account è stato compromiso”)
  • Formattazione strana (caps random, font misti)
  • Typo evidenti nei domini (paypa1.com)

Nel 2026, gli attaccanti usano ChatGPT/Claude per scrivere email di phishing perfette. La grammatica è un non-segnale ormai.

5 segnali che funzionano sempre

1. Verifica dominio mittente (zoom in)

Reale: support@netflix.com Falso: support@netf1ix.com (typo con 1 invece di l) Falso: support@netflix.support-team.com (sottodominio falso)

Azione: in dubbio, naviga manualmente. Non fidarti del nome visualizzato. Su mobile, tieni premuto sul mittente per vedere dominio completo.

2. Verifica URL con hover/long-press

Le email di phishing contengono link che sembrano giusti (“Clicca qui per aggiornare account”) ma vanno altrove.

Azione:

  • Desktop: passa il mouse sul link, guarda URL bar in basso a sinistra
  • Mobile: tieni premuto link per vedere URL destinazione
  • In dubbio: non cliccare, naviga manualmente al sito ufficiale

3. Pressione di urgenza / paura

Organizzazioni legittime NON:

  • Minacciano “il tuo account sarà cancellato in 24 ore”
  • Richiedono “verifica entro 1 ora o perdi accesso”
  • Usano “URGENTE” / “AZIONE IMMEDIATA RICHIESTA” ripetutamente

Banche reali, agenzie governative, datori di lavoro danno tempistiche realistiche (giorni/settimane) e mai minacciano solo via email.

4. Tipo di richiesta che non ha senso

Cose che le organizzazioni legittime NON chiedono mai via email:

  • La tua password (nessun IT la chiede)
  • Numero completo carta di credito (la banca lo conosce)
  • Codice fiscale (lo sa già)
  • Codici 2FA (i codici sono PER TE, da inserire, non condividere)
  • Pagamento in Bitcoin (nessun governo, datore, vendor accetta BTC per tasse/fatture)

Se la richiesta è in questa lista, è phishing.

5. Pretesto che non corrisponde alla relazione

Se la tua banca ti scrive di una consegna pacco, è phishing. Se FedEx ti scrive del conto bancario, è phishing. Se “Agenzia Entrate” scrive email (vs lettera raccomandata), quasi sempre è phishing.

Abbina il canale di comunicazione atteso al pretesto.

Esempi reali di phishing 2026

Esempio 1: phishing bancario generato da AI

Da: sicurezza@unicredit.verifica-conto.com
Oggetto: Azione richiesta: Attività sospetta sul tuo conto

Gentile cliente,

Abbiamo rilevato tentativi di accesso non autorizzati al suo conto
Unicredit da IP 192.168.x.x situato in [tua città]. Per prevenire la
sospensione del conto, verifichi la sua identità entro 24 ore.

[Verifica identità ora]

Grazie per aver scelto Unicredit.

Segnali:

  • Dominio: unicredit.verifica-conto.com (NON unicredit.it)
  • Urgenza: “24 ore”
  • Azione richiesta: “verifica” esterna
  • Grammatica AI perfetta (non-segnale nel 2026)

Esempio 2: impersonazione CEO generata da AI (BEC)

Da: ad@tua-azienda-nome.it
Oggetto: Compito veloce

Ciao -- mi serve il tuo aiuto.

Sono in riunione e non posso rispondere alle chiamate. Puoi fare un
bonifico di 5.000 EUR a [nome fornitore] per fattura urgente? Ti
spiego appena uscito.

Non coinvolgere la contabilità, me ne occupo io.

Inviato dal mio iPhone

Segnali:

  • Richiesta fuori-canale (bonifico urgente via email, non telefono)
  • Pressione a bypassare procedura normale (“non coinvolgere contabilita”)
  • Pretesto vago (“fattura fornitore”)
  • Inviato durante riunione (urgenza)

Esempio 3: supporto tecnico generato da AI

Da: noreply@apple-id.support
Oggetto: Il tuo Apple ID è stato disabilitato

Abbiamo temporaneamente disabilitato il tuo Apple ID per motivi di
sicurezza. Per riattivarlo entro 24 ore, accedi:

[Ripristina Apple ID]

Apple Support

Segnali:

  • Dominio: apple-id.support (NON apple.com)
  • Urgenza: “24 ore”
  • Azione: link a sito esterno (Apple manda a apple.com)

Cosa fare se hai cliccato

Niente panico. La maggior parte del danno è dall’inserimento credenziali, non dal click stesso.

  1. Non inserire credenziali se realizzi dopo aver cliccato
  2. Se hai inserito credenziali: cambia password subito sul sito reale + abilita 2FA
  3. Verifica su Have I Been Pwned: controlla se la credenziale è stata violata
  4. Esegui scansione antivirus: Bitdefender, Malwarebytes, o Windows Defender
  5. Segnala: inoltra ad autorità anti-phishing + tuo IT/email provider
  6. Monitora: estratti conto bancari + relazioni creditizie per 30 giorni

Difese phishing-resistant

Queste prevengono danno phishing anche se clicchi:

  • Password manager: autofill non funziona su dominio falso (red flag)
  • 2FA chiave hardware (YubiKey): autenticazione a prova di phishing
  • Bookmark: naviga a siti importanti via bookmark, mai link email
  • Filtri inbox: abilita filtri phishing (Gmail, ProtonMail, Outlook lo fanno)

Verdetto

Il phishing nel 2026 sembra legittimo. Non fidarti di grammatica o formattazione. Usa i 5 segnali + password manager + 2FA. In dubbio: naviga manualmente, mai cliccare link email.