Contattaci
Categorie

Phishing: cos’è, come riconoscerlo e come difendersi

Redazione
30.07.2025 - Tempo di lettura: 6'
Phishing: cos’è, come riconoscerlo e come difendersi

Il phishing rappresenta una delle minacce informatiche più insidiose e diffuse dell’era digitale. È una tecnica di ingegneria sociale che mira a ingannare le vittime (privati cittadini o aziende) per ottenere informazioni sensibili, come credenziali di accesso o dati finanziari. E-mail ingannevoli, SMS, messaggi sui social, finti siti web e telefonate: le tecniche di phishing sono diverse e nel tempo sono diventate sempre più sofisticate. In questa guida scopriamo cos’è il phishing, quando nasce, come riconoscerlo, prevenirlo e difendersi per proteggere i propri dati e la sicurezza informatica.

Che cos’è il phishing: significato

Il termine phishing deriva dalla parola inglesefishing” (pesca), con una variazione ortografica (ph al posto della f) che richiama il concetto di “esca“. In ambito informatico consiste infatti nell’invio di comunicazioni fraudolente (le “esche” a cui “abboccare”), nella maggior parte dei casi e-mail malevole scritte con l’obiettivo di spingere la vittima a cadere in una trappola e ottenere informazioni sensibili spacciandosi per entità affidabili (un istituto finanziario, un gestore di servizi, un parente), che il destinatario già conosce. A caratterizzare il phishing è il senso di urgenza del messaggio: l’intento è quello di ingannare l’utente e spingerlo a condividere password, accessi a conti correnti, dati della carta di credito o altri tipi di informazioni sensibili.

Perché il phishing è una minaccia attuale

In base all’ultimo aggiornamento del Rapporto Clusit (2025) sulla cybersecurity in Italia e nel mondo, negli ultimi cinque anni il numero degli incidenti rilevati è cresciuto notevolmente, con una media mensile passata dai 156 del 2020 ai 295 del 2024.

Un campione significativo di 2.487 piccole e medie imprese italiane ha partecipato a questo studio sulla sicurezza informatica, fornendo un’analisi rappresentativa dello stato della cybersecurity nelle PMI del paese. Il rischio complessivo di sicurezza informatica per queste aziende è stato valutato con una media di 40 su 100, dove 100 rappresenta il massimo livello di rischio. La maggior parte delle aziende si colloca in una fascia di rischio medio, con il 72,4% che evidenzia vulnerabilità rilevanti ma non critiche. Solo una piccola percentuale delle imprese (5,8%) si trova in una situazione di rischio alto, mentre il 21,7% si colloca in una fascia di rischio basso.

Nonostante solo una minoranza si trovi in una condizione critica, il dato globale rivela una preoccupante esposizione alle minacce informatiche. Più del 70% delle aziende non dispone di un livello di sicurezza ottimale, il che le rende vulnerabili ad attacchi potenzialmente dannosi. Questo scenario sottolinea la necessità di intervenire strategicamente per ridurre il rischio medio e migliorare la resilienza complessiva del sistema di sicurezza informatica delle PMI.

Un dato significativo riguarda la frequenza degli attacchi informatici: il 37,8% delle PMI intervistate ha dichiarato di essere stata vittima di attacchi, indicando che oltre un terzo delle imprese è stato colpito da cybercriminali. Tra le varie tipologie di minaccia, il phishing emerge come la principale, con il 31% degli attacchi. Un dato interessante è che circa il 10% degli attacchi avrebbe potuto essere evitato con una migliore formazione del personale. Questo evidenzia come la consapevolezza sulla cybersecurity e la formazione mirata siano strumenti cruciali per rafforzare le difese delle PMI contro le minacce informatiche.

Le tecniche più comuni di phishing

Oggi l’evoluzione delle tecnologie e la crescente digitalizzazione hanno ampliato le modalità e i canali attraverso cui poter organizzare degli attacchi di phishing: si va dai messaggi personalizzati alle telefonate fraudolente passando per i messaggi di testo ingannevoli. Scopriamo nel dettaglio quali sono le tecniche di phishing più diffuse.

Phishing via e-mail

Il metodo più comune di phishing è l’invio di e-mail fraudolente che imitano comunicazioni ufficiali di enti affidabili, come banche o servizi online. In questo caso le e-mail inviate contengono link dannosi, che inducono i destinatari del messaggio a condividere dati sensibili come numeri di carte di credito e password, oppure reindirizzano l’utente su siti web falsi progettati per raccogliere informazioni sensibili. Gli utenti possono essere indotti a cliccare su questi link e inserire dati personali, credendo di interagire con un sito legittimo. Ogni argomento è valido per far abboccare la vittima: messaggi che annunciano premi, rimborsi fiscali, vincite alla lotteria o chiusura di conti bancari.

Smishing, vishing e altre varianti

Oltre alle e-mail, gli hacker oggi hanno a disposizione anche altri canali come gli smartphone, i servizi di messaggistica istantanea o i social, per questo è possibile distinguere ulteriori varianti di phishing.

  • Smishing: invio di SMS fraudolenti (anche tramite Whatsapp o Telegram) che contengono link a siti web malevoli o richieste di informazioni personali. Succede ad esempio con gli SMS che fingono di riguardare la spedizione di un pacco o che annunciano problemi con gli account bancari.
  • Vishing: chiamate telefoniche in cui i cybercriminali si spacciano per i rappresentanti di un’istituzione affidabile per ottenere dati riservati. In genere si presenta con voce robotica con il pretesto di offrire un servizio o un intervento tecnico.
  • Browser-in-the-browser: è il caso del fake login. L’utente visualizza una finestra di login che in realtà è finta; la pagina è solo una copia del sito ufficiale ma, pensando sia autentica, il malcapitato inserirà le proprie credenziali che così finiranno nelle mani degli hacker.

Attacchi mirati: spear phishing e whaling

Gli attacchi di spear phishing si servono di messaggi altamente personalizzati e mirano a individui specifici all’interno di un’organizzazione, spesso utilizzando informazioni pubbliche: il ruolo ricoperto in azienda, l’ambito lavorativo, gli interessi, le informazioni fiscali. Proprio facendo leva su queste informazioni l’hacker riuscirà a essere più credibile e sarà più semplice convincere la vittima ad aprire un allegato infetto o a cliccare su un link. Il whaling è una forma di spear phishing che prende di mira figure di alto profilo, come CEO o dirigenti, con l’obiettivo di ottenere accesso a informazioni aziendali sensibili o di autorizzare pagamenti. Si tratta spesso di operazioni di ingegneria sociale realizzate per indurre la vittima a effettuare trasferimenti di denaro sul conto bancario del truffatore.

Come riconoscere un’e-mail di phishing

Come si fa a riconoscere un’e-mail di phishing? Basta prestare attenzione ad alcuni segnali, vediamo quali.

Qual è il segnale comune di un’e-mail di phishing?

Le e-mail fraudolente presentano quasi sempre la stessa struttura. Ecco un esempio di e-mail phishing.

  • Mittente riconoscibile, ma con link sospetto, contenente URL che non corrispondono al dominio ufficiale dell’organizzazione: gli indirizzi e-mail del mittente imitano perfettamente quello ufficiale ma con leggere variazioni. Ad esempio, il dominio è sconosciuto e non corrisponde a quello ufficiale dell’azienda.
  • Saluti e oggetto dell’e-mail generici: mancanza di personalizzazione dei messaggi e comunicazione generica (“Gentile cliente”), con oggetto della mail contenente spesso il “RE”, ossia l’abbreviazione con cui si indica che il messaggio è la risposta a una mail precedente.
  • Errori grammaticali: testi grammaticalmente scorretti con errori di ortografia, presenza di parole straniere, errori di traduzione.
  • Richieste urgenti: enfasi sulla necessità di agire rapidamente, con frasi come “Il tuo account sarà sospeso“.
  • Invito a cliccare su un tasto o un link.
  • Allegati malevoli: file che all’apparenza sembrano normali allegati, ma che in realtà contengono malware o altri tipi di virus in grado di compromettere l’intero sistema.
  • Link dannosi che rimandano a false pagine web, all’apparenza in tutto e per tutto identici a quelli originali con le stesse immagini e gli stessi loghi e font.

Errori comuni da evitare per difendersi dal phishing

Ecco quali sono allora le azioni da evitare assolutamente se pensiamo di trovarci davanti a una e-mail di phishing.

  • Cliccare sui link o scaricare e aprire gli allegati provenienti da e-mail sospette.
  • Condividere le informazioni personali o i dati finanziari in risposta a e-mail non verificate.
  • Sottovalutare la presenza di errori grammaticali o il tono di urgenza del messaggio.
  • Non verificare l’autenticità del mittente attraverso canali ufficiali.

Come prevenire il phishing in aziende e studi professionali

In un’azienda o in uno studio professionale è necessario, invece, seguire una strategia anti-phishing ben strutturata che comporterà:

  • l’adozione di politiche di sicurezza, implementare politiche aziendali che regolamentano l’uso delle e-mail e la gestione delle informazioni sensibili;
  • l’uso di strumenti specifici come software per la sicurezza informatica;
  • l’esecuzione di backup regolari per prevenire perdite in caso di attacco;
  • il monitoraggio delle comunicazioni: utilizzare strumenti per monitorare e analizzare il traffico e-mail alla ricerca di attività sospette;
  • la formazione continua e la sensibilizzazione del personale, essenziale per difendere la propria attività da attacchi informatici.

Software e soluzioni per difendersi dal phishing

L’utilizzo di software specializzati può aiutare a identificare e bloccare tentativi di phishing. I moderni strumenti di protezione oggi disponibili sul mercato sono in grado, infatti, di analizzare le e-mail in entrata, identificare link sospetti e isolare i messaggi potenzialmente pericolosi.

TeamSystem Cybersecurity rappresenta la soluzione giusta per una protezione completa dalle minacce informatiche come il phishing, in quanto:

  • garantisce controlli automatici e aggiornamenti continui;
  • offre supporto tecnico specializzato per gestire eventuali criticità;
  • permette di effettuare un monitoraggio completo di tutti gli asset digitali;
  • offre la funzionalità di verifica mail che permette di analizzare le credenziali associate all’indirizzo e-mail e scoprire se siano state coinvolte in una violazione dei dati;
  • offre la funzione check dominio base, che permette di tutelare i dati sensibili dell’azienda e garantisce un’esperienza di navigazione sicura e affidabile per i clienti;
  • offre la funzione check dominio avanzato, che fornisce un’analisi in profondità del dominio e di tutti gli asset associati, così da individuare possibili vulnerabilità prima che sia troppo tardi;
  • garantisce il monitoraggio costante e la risposta agli incidenti, per individuare l’origine dell’attacco e ripristinare la sicurezza dei sistemi.
Scopri TeamSystem Cybersecurity
TeamSystem Cybersecurity
Metti al sicuro e verifica in modo semplice i tuoi account e-mail, il sito, le password e tutti i dati della Impresa, del tuo Studio e dei tuoi clienti.
Scopri TeamSystem Cybersecurity

Articoli correlati

Stessa PEC per impresa e amministratore: cosa fare entro il 30 giugno?
Identità digitale
Stessa PEC per impresa e amministratore: cosa fare entro il 30 giugno?
Impresa e amministratore hanno comunicato lo stesso indirizzo PEC? Cosa fare entro il 30 giugno 2025 per evitare irregolarità nel Registro delle Imprese.
12.06.2025 | ReD OPEN
Direttiva NIS 2: le misure di sicurezza da adottare entro ottobre 2026
Identità digitale
Direttiva NIS 2: le misure di sicurezza da adottare entro ottobre 2026
Direttiva NIS 2: entro ottobre 2026 soggetti essenziali e importanti dovranno adottare misure di sicurezza definite da ACN. Ecco cosa fare per essere conformi.
11.06.2025 | Redazione
PEC amministratore di società: come si comunica in Camera di Commercio
Identità digitale
PEC amministratore di società: come si comunica in Camera di Commercio
Dal 2025, gli amministratori di società devono comunicare la propria PEC al Registro delle Imprese. Scopri regole, scadenze e come fare.
03.06.2025 | Redazione
Cybersecurity: le indicazioni dell’ACN per la protezione delle banche dati
Identità digitale
Cybersecurity: le indicazioni dell’ACN per la protezione delle banche dati
Accessi non autorizzati, insider threat e supply chain: le linee guida dell’ACN aiutano le imprese a proteggere le banche dati aziendali.
22.05.2025 | Redazione
Prevenzione attacchi informatici: strategie per la sicurezza di aziende e Professionisti
Identità digitale
Prevenzione attacchi informatici: strategie per la sicurezza di aziende e Professionisti
Guida alla prevenzione degli attacchi informatici: scopri l’importanza della sicurezza digitale e le principali strategie per proteggere dati e sistemi aziendali.
20.05.2025 | Redazione
Direttiva NIS 2: le date da segnare in agenda dopo la registrazione
Identità digitale
Direttiva NIS 2: le date da segnare in agenda dopo la registrazione
Dopo la scadenza per la registrazione al portale ACN, parte una tabella di marcia con adempimenti e scadenze chiave: ecco le prossime date previste dalla direttiva NIS 2.
07.05.2025 | Redazione
Le novità della normativa DORA: cosa cambia per le aziende
Identità digitale
Le novità della normativa DORA: cosa cambia per le aziende
Scopri le novità introdotte dalla normativa DORA, le implicazioni per le aziende e come adeguarsi ai nuovi requisiti e migliorare la resilienza operativa digitale.
08.04.2025 | Redazione
PEC obbligatoria per gli amministratori di società da gennaio 2025
Identità digitale
PEC obbligatoria per gli amministratori di società da gennaio 2025
Dal 2025 la PEC diventa obbligatoria per gli amministratori di società: ecco cosa sapere, come adempiere agli obblighi e le sanzioni previste.
28.03.2025 | Redazione