Come Riconoscere un'Email di Phishing: La Guida Definitiva 2026

Ogni Giorno 3,4 Miliardi di Email di Phishing. Una Potrebbe Arrivare a Te.

Non e' una statistica inventata per fare paura. 3,4 miliardi di email di phishing vengono inviate ogni singolo giorno nel mondo, secondo i dati dell'Anti-Phishing Working Group aggiornati al 2025. Significa che circa l'1,2% di tutte le email in circolazione e' un tentativo di truffa. E l'Italia e' tra i Paesi piu' colpiti in Europa.

Forse stai pensando: "A me non succedera' mai, sono attento." Ed e' esattamente quello che pensava il responsabile amministrativo di una PMI lombarda che, a gennaio 2026, ha cliccato su una finta email dell'Agenzia delle Entrate e ha aperto le porte a un ransomware che ha bloccato l'intera azienda per 4 giorni. Costo? Oltre 85.000 euro tra riscatto (non pagato), consulenti forensi, e fatturato perso.

Il phishing non e' piu' l'email sgrammaticata del "principe nigeriano". Nel 2026, grazie all'AI generativa, le email fraudolente sono grammaticalmente perfette, personalizzate con il tuo nome, il nome della tua azienda, e persino riferimenti a fatture o progetti reali. Distinguerle dalle email legittime e' diventato enormemente piu' difficile.

Questa guida e' diversa da quelle che trovi altrove. Non ti daremo i soliti consigli generici. Ti mostreremo:

• 10 segnali concreti per identificare un'email di phishing, con esempi visivi
• Casi reali italiani del 2026 — Agenzia delle Entrate, INPS, corrieri, fatture false
• 3 tool gratuiti che puoi usare subito per verificare un'email sospetta
• Cosa fare (e NON fare) se hai gia' cliccato su un link malevolo
• Perche' i filtri nativi di Microsoft e Google non bastano — e cosa serve davvero

Che tu sia un impiegato, un IT manager, o il titolare di una PMI, alla fine di questa guida saprai riconoscere il 95% dei tentativi di phishing a colpo d'occhio. Iniziamo.

Cos'e' il Phishing (in 30 Secondi)

Il phishing e' una tecnica di social engineering in cui un attaccante si finge un'entita' affidabile — una banca, un ente pubblico, un collega, un fornitore — per indurti a compiere un'azione dannosa: cliccare un link, scaricare un allegato, inserire credenziali, o effettuare un pagamento.

Il nome viene dall'inglese "fishing" (pescare): il criminale lancia un'esca e aspetta che qualcuno abbocchi. L'esca e' l'email. L'amo e' il link o l'allegato. E il pesce? Sei tu, se non sai cosa cercare.

I 5 Tipi Principali di Phishing

1. Mass phishing — Email identiche inviate a milioni di destinatari. La "rete a strascico" del cybercrime. Qualita' bassa, ma con 3,4 miliardi di tentativi al giorno, qualcuno abbocca sempre.
2. Spear phishing — Attacco mirato a una persona specifica, con informazioni personalizzate. Molto piu' pericoloso perche' sembra legittimo.
3. Whaling — Spear phishing diretto ai "pesci grossi": CEO, CFO, dirigenti. Spesso coinvolge richieste di bonifici urgenti.
4. Smishing — Phishing via SMS. "Il tuo pacco e' in giacenza, clicca qui per €1,99."
5. Vishing — Phishing vocale, via telefono. "Sono la sua banca, ci risulta un'operazione sospetta..."

Per una definizione completa, consulta il nostro glossario sul phishing. In questa guida ci concentriamo sul phishing via email, che resta il vettore d'attacco numero uno per le aziende italiane.

I 10 Segnali di un'Email di Phishing

Ecco i segnali che devi controllare ogni volta che un'email ti sembra anche solo vagamente strana. Nessuno di questi, preso singolarmente, e' una prova certa. Ma se ne trovi 2 o 3 insieme, stai quasi sicuramente guardando un tentativo di phishing.

1. Mittente Sospetto (il Dominio Non Torna)

Il primo controllo e' il piu' importante: guarda l'indirizzo email completo del mittente, non solo il nome visualizzato.

Un'email puo' mostrare "Intesa Sanpaolo" come nome, ma l'indirizzo reale potrebbe essere assistenza@banca-intesa.com invece di assistenza@intesasanpaolo.com. Nota la differenza? Un trattino in piu'. Ed e' sufficiente per ingannare il 60% delle persone.

Come verificare: clicca sul nome del mittente per espandere l'indirizzo completo. Se hai dubbi, usa il nostro analizzatore di header email per scoprire da dove e' partita davvero l'email. Puoi anche controllare l'autenticazione del dominio con il nostro tool di verifica SPF/DKIM/DMARC.

2. Urgenza Eccessiva ("Agisci Subito o Perdi Tutto")

"Il tuo conto verra' bloccato entro 24 ore." "Ultima possibilita' per evitare la sanzione." "Rispondi immediatamente per non perdere l'accesso."

Il phishing sfrutta la pressione temporale per impedirti di ragionare. Se un'email ti mette ansia e ti chiede di agire "subito", "immediatamente", "entro oggi" — fermati. Le comunicazioni legittime di banche, enti pubblici e fornitori ti danno sempre tempo ragionevole (settimane, non ore).

3. Link Mascherati (Dove Porta Davvero quel Bottone?)

Il testo del link dice "Accedi al tuo conto" ma l'URL reale punta a http://bancaintesa-verifica.xyz/login. Questa e' la tecnica piu' comune e piu' pericolosa.

Come verificare: passa il mouse sopra il link senza cliccare e leggi l'URL che appare in basso a sinistra nel browser (o nel tooltip dell'app di posta). Se il dominio non corrisponde al sito ufficiale, e' phishing. Attenzione anche ai domini con caratteri simili (l minuscola vs I maiuscola, 0 vs O).

4. Allegati Inattesi

Ricevi una "fattura" da un fornitore con cui non hai rapporti? Un "documento da firmare" in formato .zip o .docm? Un PDF che ti chiede di "abilitare le macro"?

I formati pericolosi da trattare sempre con sospetto: .exe, .scr, .zip, .rar, .docm, .xlsm, .iso, .js. Anche un semplice PDF puo' contenere link malevoli. Se non aspettavi quell'allegato, non aprirlo. Punto.

5. Errori Grammaticali e di Formattazione

E' vero: con l'AI generativa, le email di phishing del 2026 sono molto piu' curate rispetto al passato. Ma gli errori ci sono ancora, specialmente nelle campagne di massa. Cerca:

• Accenti sbagliati o mancanti ("perche" invece di "perche'")
• Traduzioni letterali dall'inglese ("Caro utente stimato")
• Formattazione incoerente (font diversi, spaziature strane)
• Logo sfocato o leggermente diverso dall'originale

6. Richiesta di Dati Sensibili

Nessuna banca, nessun ente pubblico, nessun fornitore serio ti chiedera' mai via email la tua password, il PIN, il numero completo della carta di credito, o il codice OTP.

Se un'email ti chiede di "verificare le tue credenziali" o "aggiornare i dati di pagamento" cliccando su un link, e' phishing. Sempre. Senza eccezioni. Per qualsiasi dubbio, accedi al servizio digitando tu stesso l'URL nel browser.

7. Saluto Generico

"Gentile Cliente", "Caro Utente", "Egregio Titolare del Conto". Se la tua banca ti scrive, usa il tuo nome. Se il tuo fornitore ti fattura, sa come ti chiami. Un saluto generico e' un segnale che l'email e' stata inviata a migliaia di persone.

Attenzione pero': nello spear phishing, il tuo nome viene usato. Quindi il saluto personalizzato non e' garanzia di legittimita' — e' solo l'assenza di saluto personalizzato ad essere un campanello d'allarme.

8. Indirizzo Reply-To Diverso dal Mittente

Questa e' una chicca tecnica che pochi controllano. L'email arriva da fatture@fornitore-esempio.it, ma se rispondi, la risposta va a pagamenti.urgenti@gmail.com. Questo e' un segnale fortissimo di compromissione o spoofing.

Per verificarlo, il nostro analizzatore di header email ti mostra sia il campo From che il Reply-To, evidenziando eventuali discrepanze.

9. Troppo Bello per Essere Vero

"Hai vinto un iPhone 16!" "Rimborso fiscale di €847,63 in tuo favore." "Eredita' di €2.500.000 da un parente lontano in Nigeria."

Se suona troppo bello per essere vero, non e' vero. I rimborsi dell'Agenzia delle Entrate non arrivano via email con un link. I premi non si vincono senza partecipare a concorsi. E no, non hai parenti ricchi in Africa.

10. Pressione Emotiva (Paura, Curiosita', Avidita')

Il phishing funziona perche' bypassa il pensiero razionale e colpisce le emozioni:

• Paura: "Il tuo account e' stato compromesso"
• Curiosita': "Guarda chi ha visitato il tuo profilo"
• Avidita': "Bonus di €500 per i primi 100 che rispondono"
• Senso di colpa: "Fattura scaduta — evita le penali"
• Autorita': "Richiesta urgente dal CEO" (classico attacco BEC)

Quando senti una di queste emozioni dopo aver letto un'email, fermati. Respira. E applica i 9 controlli precedenti prima di fare qualsiasi cosa.

Esempi Reali di Phishing Italiano 2026

Non parliamo di teoria. Ecco quattro campagne di phishing che hanno colpito migliaia di italiani nei primi mesi del 2026.

Finta Agenzia delle Entrate (Rimborso Fiscale)

Oggetto: "Avviso di rimborso fiscale — Azione richiesta entro 48h"

L'email replica perfettamente il layout dell'Agenzia delle Entrate, completa di logo, numero di protocollo inventato, e importo specifico (€847,63 — gli importi precisi danno un senso di legittimita'). Il link porta a un sito clone agenziaentrate-gov.it (nota: il dominio reale e' agenziaentrate.gov.it, senza il trattino). La pagina chiede codice fiscale, IBAN e credenziali SPID.

Questa campagna ha colpito oltre 50.000 italiani solo nel mese di febbraio 2026. Per un'analisi dettagliata, leggi il nostro articolo dedicato: Truffe Email Agenzia delle Entrate 2026.

Finta PEC dall'INPS

Oggetto: "INPS — Aggiornamento obbligatorio dati previdenziali"

Arriva via PEC (o almeno cosi' sembra). Molti italiani credono che la PEC sia "sicura per definizione", ma non e' cosi': un indirizzo PEC puo' essere spoofato o compromesso come qualsiasi altro indirizzo email. L'email chiede di aggiornare i dati previdenziali tramite un link che porta a un form che raccoglie dati personali e documenti d'identita'.

Finto Corriere BRT/SDA (Pacco in Giacenza)

Oggetto: "Tentativo di consegna fallito — €1,99 per riprogrammare"

Questa e' la campagna piu' diffusa in assoluto: "Il tuo pacco e' in giacenza. Paga €1,99 per sbloccarlo." L'importo basso (meno di 2 euro) fa abbassare la guardia: "Cosa vuoi che sia?" Ma il form di pagamento ruba i dati completi della carta di credito. In varianti piu' aggressive, il link scarica un trojan bancario.

Finta Fattura dal Fornitore (BEC)

Oggetto: "Fattura #2026-0847 — Pagamento urgente"

Questo e' il piu' sofisticato: un attacco Business Email Compromise (BEC). L'attaccante ha precedentemente compromesso la casella email di un vero fornitore (o ne ha registrato una quasi identica) e invia una fattura con IBAN modificato. La fattura sembra autentica perche' riprende il layout del fornitore reale. Questo tipo di attacco costa alle aziende italiane milioni di euro ogni anno.

Cosa Fare se Ricevi un'Email Sospetta

Hai trovato 2-3 segnali sospetti? Ecco il protocollo da seguire.

Se NON Hai Ancora Cliccato

1. NON cliccare su nessun link contenuto nell'email
2. NON scaricare e NON aprire allegati
3. NON rispondere all'email (nemmeno per insultare il truffatore — confermeresti che il tuo indirizzo e' attivo)
4. Verifica il mittente: usa il nostro analizzatore di header email per controllare da dove arriva davvero l'email. Incolla gli header e in pochi secondi saprai se il messaggio e' autentico o spoofato
5. Segnala al reparto IT della tua azienda. Ogni segnalazione aiuta a bloccare la campagna per tutti
6. Contrassegna come spam/phishing nel tuo client di posta. Questo migliora i filtri per tutti gli utenti del dominio

Se Hai Gia' Cliccato (Niente Panico)

1. Disconnetti il dispositivo dalla rete (Wi-Fi off, cavo ethernet staccato) — questo limita eventuali movimenti laterali del malware
2. Cambia IMMEDIATAMENTE le password di tutti gli account dove usi le stesse credenziali. Si', tutte. Da un altro dispositivo.
3. Attiva l'autenticazione a due fattori (MFA) su tutti i servizi critici — email, banca, cloud
4. Contatta il reparto IT o il tuo provider di sicurezza. Se sei un cliente MailSniper, il nostro supporto ti guida nella bonifica
5. Controlla i movimenti bancari se hai inserito dati finanziari
6. Documenta tutto: screenshot dell'email, URL cliccato, orario. Servira' per l'eventuale denuncia

Per una guida completa su cosa fare dopo un'email compromessa, leggi Email Hackerata: Cosa Fare Subito.

Come Verificare un'Email Sospetta: 3 Tool Gratuiti

Non serve essere un esperto di cybersecurity per verificare un'email sospetta. Ecco tre strumenti gratuiti che puoi usare subito:

1. Analizzatore Header Email

Il nostro Analizzatore di Header Email e' lo strumento piu' potente per smascherare un'email di phishing. Copia gli header dell'email sospetta (in Gmail: "Mostra originale"; in Outlook: "Proprieta' messaggio") e incollali nel tool. In pochi secondi vedrai:

• L'IP reale del server mittente
• Se i record SPF, DKIM e DMARC sono validi
• Il percorso completo dell'email (ogni server attraversato)
• Eventuali anomalie nel campo Reply-To

2. Verifica SPF/DKIM/DMARC

Con il nostro tool Verifica DNS, puoi controllare se il dominio del mittente ha configurato correttamente i protocolli di autenticazione email. Se un dominio non ha SPF, DKIM o DMARC, le email provenienti da quel dominio sono molto piu' facili da falsificare.

3. Test Phishing

Vuoi mettere alla prova le tue capacita' di riconoscere il phishing? Il nostro Test Phishing ti presenta scenari realistici e ti chiede di identificare le email fraudolente. E' un ottimo esercizio per allenare l'occhio — e per scoprire se i tuoi colleghi sono pronti.

Per un toolkit completo con tutti gli strumenti di verifica, visita la nostra pagina toolkit anti-phishing.

Perche' i Filtri Nativi Non Bastano

"Ma io ho gia' il filtro antispam di Microsoft/Google, sono protetto." Questa e' la frase che sentiamo piu' spesso. E purtroppo e' anche la piu' pericolosa.

Il Problema con Microsoft Defender for Office 365

Microsoft Defender for Office 365 (ex Exchange Online Protection) fa un buon lavoro nel bloccare lo spam generico e il phishing "ovvio" — le email con link gia' noti come malevoli, i mittenti in blacklist, le campagne di massa gia' segnalate.

Ma lo spear phishing mirato? Le email BEC senza link e senza allegati, che contengono solo testo e un IBAN falso? Il phishing con link "zero-day" mai visti prima? Qui Defender fatica. Il suo catch rate per il phishing avanzato si aggira intorno all'85%. Significa che su 100 email di phishing sofisticate, 15 arrivano nella inbox dei tuoi dipendenti.

Approfondisci con la nostra serie dedicata: Perche' Defender Non Basta.

Il Problema con Gmail/Google Workspace

Gmail ha filtri eccellenti per l'utente consumer. Ma in ambito aziendale (Google Workspace), le regole cambiano: il phishing mirato usa domini legittimi compromessi, allegati ospitati su Google Drive stesso, e tecniche di social engineering che nessun filtro basato su regole puo' intercettare.

Cosa Serve: AI Semantica

I gateway antispam di nuova generazione come MailSniper non si limitano a controllare blacklist e firme note. Usano l'intelligenza artificiale semantica per analizzare il contesto dell'email: chi scrive, a chi, con quale tono, con quale urgenza, e se il contenuto e' coerente con le comunicazioni abituali. Questo permette di intercettare anche attacchi mai visti prima (zero-day) con un catch rate del 99,9%.

La differenza tra l'85% e il 99,9% puo' sembrare piccola in percentuale. Ma su 1.000 email di phishing, significa la differenza tra 150 email pericolose nella inbox e una sola. Scopri nel dettaglio il confronto tra soluzioni.

Proteggere l'Azienda: Oltre il Singolo Dipendente

Riconoscere il phishing e' fondamentale, ma affidarsi solo alla formazione dei dipendenti e' una strategia perdente. Ecco perche':

• La formazione riduce il rischio ma non lo elimina. Anche dipendenti formati cliccano su link malevoli quando sono stanchi, di fretta, o sotto pressione. Il tasso di click su phishing simulato in aziende con programmi di formazione attivi e' ancora del 3-5%.
• Basta un solo click. Su 50 dipendenti, se il 3% clicca, significa che 1-2 persone apriranno la porta all'attaccante. Ogni volta.

La Strategia a 4 Livelli

1. Gateway antispam professionale — Il primo livello di difesa. Un filtro come MailSniper blocca il 99,9% delle minacce prima che raggiungano la inbox. Se l'email malevola non arriva, il dipendente non puo' cliccarci sopra.

1. Autenticazione email (SPF + DKIM + DMARC) — Configura correttamente questi protocolli per impedire a chiunque di inviare email spacciandosi per il tuo dominio. Verifica la tua configurazione con il nostro tool di verifica DNS.

1. Formazione periodica — Non un corso una tantum, ma simulazioni regolari. Il nostro test phishing e' un buon punto di partenza.

1. Conformita' normativa — La direttiva NIS2, in vigore da ottobre 2024, richiede esplicitamente alle aziende di implementare misure di sicurezza per la posta elettronica. Non e' piu' solo buona pratica — e' un obbligo di legge con sanzioni fino al 2% del fatturato.

Non Aspettare il Prossimo Attacco

Hai letto questa guida, conosci i 10 segnali, sai cosa fare. Ma la domanda vera e': quante email di phishing stanno passando i tuoi filtri attuali in questo momento?

Il phishing del 2026 e' troppo sofisticato per affidarsi solo all'occhio umano. Serve un sistema che lavori 24/7, che analizzi ogni email in tempo reale, e che blocchi le minacce prima che arrivino nella inbox.

MailSniper protegge gia' migliaia di caselle email italiane con un catch rate del 99,9%, zero falsi positivi garantiti, e supporto tecnico in italiano.

• Attiva la prova gratuita — 30 giorni, nessuna carta di credito, setup in 15 minuti
• Scopri tutti i servizi — anti-phishing AI, anti-ransomware, anti-BEC, sandboxing
• Prenota una demo — ti mostriamo dal vivo come MailSniper blocca il phishing