Ogni giorno riceviamo decine di messaggi nella nostra casella di posta elettronica. Tra newsletter, comunicazioni legittime e promozioni, si nascondono anche email di spam o tentativi di phishing, spesso difficili da riconoscere a prima vista. Per un’attività locale — un hotel, uno studio professionale, un negozio — cadere in una di queste trappole può significare perdere l’accesso agli account aziendali, esporre dati dei clienti o trasferire denaro a truffatori.

Le truffe via email sono in aumento costante, e colpiscono non solo i privati, ma anche aziende, liberi professionisti e attività locali. In Italia, molti attacchi simulano comunicazioni ufficiali da provider molto usati come Aruba, Gmail, Outlook o Poste Italiane. La sofisticazione di questi messaggi è cresciuta enormemente: oggi un’email di phishing ben costruita è quasi indistinguibile da una comunicazione autentica.

Cos’è una email di spam (e come si distingue dal phishing)

È importante distinguere tra spam e phishing, perché anche se entrambi arrivano via email, hanno scopi e livelli di pericolosità molto diversi:

  • Email di spam: messaggi promozionali o indesiderati, spesso inviati in massa. Non sempre sono pericolosi, ma possono contenere link sospetti o pubblicità ingannevoli. Il filtro antispam del tuo provider li intercetta nella maggior parte dei casi.
  • Email di phishing: tentativi di truffa via email in cui il mittente finge di essere un’azienda o un servizio conosciuto, con l’obiettivo di rubare password, dati bancari o altre informazioni sensibili. Sono progettate per sembrare ufficiali e spesso superano i filtri automatici.
  • Spear phishing: una variante più pericolosa in cui il messaggio è personalizzato con il tuo nome, la tua azienda o dettagli specifici, raccolti da LinkedIn o dai social media. Il tasso di successo è molto più alto rispetto al phishing generico.

Come riconoscere una email sospetta: i segnali principali

Anche se un’email falsa può sembrare legittima, ci sono segnali ricorrenti che ti aiutano a identificarla prima di fare clic su qualsiasi cosa:

  • Mittente sospetto: controlla l’indirizzo email reale, non solo il nome visualizzato. Il nome può mostrare "Supporto Aruba" ma l’indirizzo reale potrebbe essere support@aruba-update.com invece di support@aruba.it. Questa discrepanza è il segnale più affidabile.
  • Oggetto allarmante o urgente: frasi come "URGENZA: blocco account imminente" o "Verifica entro 24 ore o perdi l’accesso" sono costruite per farti agire d’impulso, senza pensare. L’urgenza artificiale è una tecnica di manipolazione classica.
  • Link non coerenti con il mittente: passa il cursore sui link senza cliccare per vedere l’URL reale nel tooltip. Se l’email viene da Poste Italiane ma il link porta su posteit-verifica.net, è una truffa.
  • Allegati non richiesti: file con estensioni .zip, .exe, .docm, .xlsm possono contenere malware o ransomware. Non aprire mai allegati che non hai esplicitamente richiesto, anche se il mittente sembra conosciuto.
  • Linguaggio generico o sgrammaticato: errori di grammatica, formule impersonali come "Gentile Cliente" invece del tuo nome, o traduzioni machine-generated sono campanelli d’allarme — anche se le email di phishing più sofisticate oggi sono grammaticalmente perfette.
  • Richiesta di credenziali o dati sensibili: nessuna azienda legittima ti chiederà mai password, numero di carta di credito o codice fiscale via email. Mai, in nessun caso.
Phishing: come riconoscere email pericolose

Esempi reali: finte email da Aruba, Gmail e Outlook

Vediamo alcuni esempi concreti di phishing che simulano comunicazioni ufficiali, basati sui casi più segnalati in Italia negli ultimi mesi:

  • Finta email da Aruba: messaggio che avvisa della scadenza imminente del dominio con link a una pagina di pagamento non ufficiale. Il dominio nell’email ha una lettera in più o uno trattino aggiunto. L’obiettivo è ottenere i dati della tua carta.
  • Finta email da Gmail o Google: notifica di "accesso sospetto" con link per "verificare" l’account su un dominio che non è google.com. Una volta inserite le credenziali, l’account viene immediatamente compromesso.
  • Email truffa da Outlook o Microsoft 365: annuncio di sospensione dell’account per "attività insolita", con richiesta di aggiornare le credenziali entro poche ore. Molto diffusa nelle PMI che usano Microsoft 365 per il lavoro.
  • Finta fattura da un fornitore: una delle truffe più pericolose per le aziende. Arriva un’email con una fattura PDF che sembra provenire da un fornitore reale — ma con un IBAN diverso su cui versare il pagamento. Verificare sempre telefonicamente le coordinate bancarie cambiate via email.

Cosa fare se hai già cliccato su un link sospetto

Se hai cliccato per errore su un link di phishing o hai inserito le tue credenziali, agisci subito — ogni minuto conta:

  • Cambia immediatamente la password dell’account compromesso e di tutti quelli dove usi la stessa password.
  • Attiva l’autenticazione a due fattori (2FA) se non è già attiva — blocca l’accesso anche se la password è nota.
  • Controlla i dispositivi connessi all’account e termina tutte le sessioni non riconosciute.
  • Se hai inserito dati bancari, contatta subito la tua banca per bloccare la carta e segnalare la frode.
  • Segnala l’email alla Polizia Postale tramite il portale commissariatodips.it — aiuta a tracciare le campagne di phishing attive.
Sicurezza informatica: cosa fare dopo un attacco

Come proteggere la tua attività: le regole fondamentali

  • Autenticazione a due fattori (2FA) ovunque: attivala su email aziendale, gestionale, home banking, social media aziendali e qualsiasi altro account critico. Usa un’app come Google Authenticator o Authy invece degli SMS, più vulnerabili al SIM swapping.
  • Password manager: usa password uniche e complesse per ogni servizio. Un password manager come Bitwarden (gratuito e open source) le genera e memorizza per te.
  • Verifica sempre fuori dal canale email: se ricevi una richiesta insolita — un pagamento, un cambio IBAN, una verifica urgente — chiama direttamente il mittente su un numero che già conosci, non quello indicato nell’email.
  • Formazione del team: il 90% degli attacchi informatici alle PMI passa da un dipendente che clicca su un link sbagliato. Un’ora di formazione pratica per il personale può valere più di qualsiasi software di sicurezza.
  • Backup regolari dei dati: in caso di ransomware — malware che cifra i tuoi file e chiede un riscatto — un backup aggiornato e offline è l’unica vera protezione.

La sicurezza informatica per le piccole imprese non è questione di budget: è questione di abitudini. Gli attacchi più devastanti che vediamo in Sardegna non colpiscono chi non ha un firewall costoso — colpiscono chi non ha verificato un IBAN cambiato via email o chi usava la stessa password su dieci servizi diversi.

Hai dubbi sulla sicurezza della posta elettronica della tua attività o hai ricevuto un’email sospetta? Contattaci: facciamo una verifica rapida e ti diciamo cosa fare.