Phishing

Possedere un profilo utente online (personale, aziendale, o relativo al servizio di internet banking del proprio conto corrente) espone al rischio di phishing, un tentativo di truffa con l’obiettivo di rubare i dati personali degli utenti. In questa pagina ti spieghiamo nel dettaglio di cosa si tratta, come riconoscere i tentativi di phishing e come difenderti al meglio da qualsiasi minaccia.

Apertura gratuita e immediata del conto aziendale

IBAN italiano, pagamenti, carte, contabilità & oltre 5.000 integrazioni in un'unica app.

Capterra logo

4,7 su Capterra

BLOG Iconografia Black SideBanner Valutazioni Cinque Stelle
Apri un conto aziendale

Cosa significa phishing?

Sul web e in televisione si parla spesso di “phishing”, una truffa online in cui hacker e malintenzionati (i cosiddetti “phisher”) cercano di ottenere dati di accesso, password e informazioni personali. Ma di cosa si tratta di preciso?

Definizione di phishing

Il phishing è una modalità di truffa online in cui un hacker cerca di indurre la vittima a fornire volontariamente password, numeri di carte di credito o altre informazioni personali. Di solito avviene attraverso la creazione di siti web o messaggi che sembrano provenire da fonti legittime e affidabili, come banche, istituti finanziari o servizi online.

Il termine “phishing” significa letteralmente “pescare”: gli hacker, infatti, tentano solitamente di contattare il maggior numero di utenti possibile senza alcuna distinzione, aumentando le possibilità di trarre una persona in inganno e di ottenere le sue informazioni personali. In casi più rari, invece, gli attacchi informatici potrebbero essere personalizzati e mirati a specifici utenti o aziende (una modalità che prende il nome di spear phishing).

Il phishing può essere attuato su canali diversi, tuttavia i metodi preferiti dai malintenzionati sono email e SMS che sembrano inviati da un mittente legittimo e ufficiale

Quali sono le conseguenze di un attacco di phishing?

Un attacco di phishing o spear phishing ha solitamente l’obiettivo di rubare i dati di accesso o personali degli utenti, di appropriarsi dei loro profili utente bancari e aziendali. Questo può avere varie conseguenze negative:

  • Dati personali: se un phisher individua informazioni sensibili quali password, numeri di carte di credito e dettagli personali, potrebbe commettere un vero e proprio furto di identità, oltre a frodi finanziarie e altri utilizzi illeciti delle informazioni rubate.
  • Privacy: i dati personali raccolti tramite attacchi di phishing possono essere utilizzati per violare la privacy dell’utente coinvolto, con ripercussioni negative sulla vita personale e professionale.
  • Perdite finanziarie: come intuibile, gli attacchi di phishing hanno spesso un obiettivo puramente economico. Quando gli hacker ottengono accesso ai conti bancari o alle informazioni sulla carta di credito, solitamente prelevano o spendono nel più breve tempo possibile tutti i fondi disponibili sul conto.
  • Sicurezza aziendale: se un attacco di phishing è diretto a un'organizzazione (come nel caso dello spear phishing), potrebbe seriamente compromettere la sicurezza aziendale, con conseguenti perdite di dati sensibili, interruzioni dei servizi e danni significativi alle operazioni.
  • Diffusione di malware e ransomware: alcuni messaggi di phishing includono link o allegati che, se cliccati, installano automaticamente virus specifici sui dispositivi delle vittime (come ad esempio i ransomware, che bloccano i file personali chiedendo il pagamento di un riscatto).

Come funzionano il phishing e lo spear phishing?

Per riuscire a difendersi dal phishing, è fondamentale avere ben chiare le varie modalità utilizzate dagli hacker per rubare i dati degli utenti, in modo da riconoscere immediatamente eventuali tentativi simili.

Tecniche comuni di phishing

In generale, i phisher utilizzano SMS, email, siti web e social network, ma non solo. Le modalità più comuni sono riassunte nella seguente tabella:


Tecnica di phishing Descrizione

Email spoofing

Un hacker falsifica l'indirizzo email del mittente, inviando un messaggio che sembra provenire da una fonte affidabile.

Siti web contraffatti

Si tratta di siti web che imitano l’aspetto delle pagine di istituzioni autorevoli, in cui viene chiesto agli utenti di inserire informazioni sensibili. Spesso il link del sito contraffatto viene condiviso tramite email spoofing.

Smishing (phishing via SMS)

L’hacker invia SMS ingannevoli, che sembrano provenire da istituzioni legittime, inducendo le vittime a fornire informazioni sensibili.

Vishing (phishing vocale)

La vittima riceve una telefonata in cui le viene richiesto di rivelare informazioni personali o finanziarie, spesso attraverso registrazioni vocali automatizzate.

Email di phishing social

Il phisher invia messaggi di truffa tramite le piattaforme di social media, mascherandoli da comunicazioni da parte di amici o contatti fidati. L’obiettivo è rubare i dati di accesso ai profili online.

Le tecniche appena illustrate possono essere usate in modo generico, senza prendere di mira utenti specifici, oppure personalizzando le comunicazioni per tentare di raggiungere determinate persone o aziende. In questo secondo caso si parla di spear phishing.

Cosa si intende per spear phishing? 

Lo "spear phishing" è una modalità mirata di phishing. Nello specifico, si tratta di un attacco informatico in cui un hacker cerca di ingannare una persona o azienda specifica chiedendo loro di rivelare informazioni sensibili come nomi utente, password o dettagli finanziari.

Fasi di un attacco di phishing

Ma come avviene, nella pratica, un attacco di phishing? Naturalmente, le modalità possono variare in base al canale utilizzato, ma in generale è possibile individuare alcune tecniche comuni, in particolar modo per quanto riguarda l’email phishing.

  1. Raccolta di informazioni: in una prima fase, gli hacker cercano di ottenere i recapiti degli utenti da contattare, solitamente attraverso social network o fughe di dati da altre piattaforme.
  2. Elaborazione di un piano: una volta raccolte le informazioni degli utenti viene sviluppato un piano dettagliato, scegliendo il messaggio, la modalità di invio e l’obiettivo da raggiungere.
  3. Invio dei messaggi: a questo punto, vengono creati i veri e propri messaggi di phishing, che sembrano provenire da fonti attendibili per indurre le vittime a intraprendere azioni dannose, e vengono poi inviati attraverso il canale selezionato.
  4. Raccolta delle informazioni: alcune vittime, ingannate dalla credibilità apparente dei messaggi, forniscono informazioni sensibili come password, dati finanziari o dettagli personali.
  5. Utilizzo delle informazioni rubate: alla fine, i phisher utilizzano le informazioni rubate per compiere atti dannosi, ad esempio accedendo a profili personali, commettendo frodi finanziarie o vendendo le informazioni sul mercato nero.

Come riconoscere un attacco di phishing: identificare i segnali

Per proteggere le proprie informazioni personali e finanziarie, è essenziale riuscire a riconoscere un tentativo di phishing, identificando precocemente i possibili segnali d’allarme e attivandosi in modo proattivo.

In generale, alcune delle caratteristiche tipiche di un attacco di phishing includono:

  • Indirizzo email sospetto: l’indirizzo email di un phisher potrebbe contenere errori ortografici o grammaticali. È dunque necessario verificare attentamente l'autenticità dell'indirizzo.
  • Messaggi con richieste urgenti: i messaggi di phishing spesso contengono richieste urgenti, per indurre la vittima ad agire rapidamente. Un messaggio che fa leva sulla paura o l'urgenza è spesso indicatore di un tentativo di truffa.
  • Link dubbiosi: prima di aprire eventuali link è fondamentale visualizzare l’indirizzo del sito web a cui rimanda. Per farlo puoi posizionare il cursore del mouse sopra il link o copiare e incollare il link negli appunti. Se appare sospetto, evita di cliccarlo.
  • Messaggi non personalizzati: gli attacchi di phishing di massa di solito non includono informazioni specifiche. Se il messaggio sembra generico e non contiene dettagli personali (ad esempio non usa il tuo nome o utilizza un genere grammaticale sbagliato), potrebbe trattarsi di un tentativo di phishing.
  • Richiesta di informazioni sensibili: solitamente, banche e istituzioni evitano di chiedere informazioni private tramite email. Se ricevi messaggi che richiedono password, numeri di carte di credito o altri dettagli, chiedi conferma alla tua banca.
  • Errori di ortografia e grammatica: molti attacchi di phishing contengono messaggi con errori ortografici o linguistici, trattandosi spesso di traduzioni automatiche. Solitamente, un messaggio mal scritto non è affidabile.

Esempi pratici di phishing e truffa phishing

Comprese nel dettaglio le tipologie e le varie modalità di phishing, analizziamo ora alcuni possibili scenari reali e situazioni comuni. In questo modo, sarà più facile per te riconoscere futuri tentativi di truffe online.

Esempio di phishing Descrizione

Email bancaria falsa

L’utente riceve un'email che sembra provenire dalla propria banca, con un messaggio che indica una possibile attività sospetta sul suo conto. L’obiettivo è far sì che l’utente verifichi i suoi dati cliccando su un link che in realtà porta a un sito web contraffatto. Qui, il phisher tenta di raccogliere le credenziali bancarie

Messaggio di phishing via SMS

L’utente riceve un SMS proveniente da un noto servizio di consegna (in realtà creato appositamente dai phisher) che informa dell’arrivo di un pacco. Il messaggio contiene un link per tracciare la consegna, ma cliccando sul link si installa un malware (o ransomware) sul proprio dispositivo.

Email di phishing sulle credenziali Google

Un’email, che sembra provenire da Google, avverte l’utente che i suoi accessi online sono stati compromessi. Per recuperarlo è necessario cambiare immediatamente la password cliccando su un link che in realtà porta a una pagina web contraffatta. Qui, il phisher tenta di rubare le credenziali di accesso.

Avviso di sicurezza falso da Microsoft

L’utente riceve una finta email di Microsoft che avvisa di una possibile violazione della sicurezza. Per risolvere il problema, è necessario verificare i dati personali cliccando su un link che in realtà porta a una pagina di phishing, dove il phisher cerca di raccogliere le credenziali Microsoft dell’utente.

Come difendersi dal phishing?

Il phishing è estremamente diffuso: nel 2023, il numero di aziende vittima di tentativi di truffa via email è aumentato dell’85% rispetto allo stesso periodo del 2022. Il fenomeno, quindi, colpisce privati e aziende in modo indiscriminato, e qualsiasi tipologia di utente ne è a rischio. È fondamentale sapersi difendere, riconoscendo eventuali tentativi di truffa e prendendo le dovute precauzioni.

Se cerchi un modo per tutelare i tuoi dipendenti dal phishing e da possibili furti di dati bancari, scopri le carte Instant di Qonto, un metodo di pagamento virtuale usa e getta. La soluzione ideale per fare acquisti in tutta sicurezza sia in negozio che online.

Consigli su come difendersi e tecniche anti phishing

Per difenderti dal phishing abbiamo raccolto in questo paragrafo alcuni consigli:

  • Non fidarti: mantieni uno spirito critico e valuta con attenzione eventuali email, messaggi o chiamate inaspettate. Verifica sempre l'autenticità del mittente prima di agire.
  • Non cliccare su link sospetti: evita di aprire immediatamente eventuali link contenuti in email o messaggi sospetti. Prima di decidere se cliccare o meno, puoi passare il cursore del mouse sopra il link per visualizzare l’indirizzo del sito web a cui rimanda.
  • Utilizza l'autenticazione a due fattori: quando possibile, abilita l'autenticazione a due fattori per i tuoi accessi online. Questa modalità rende i tuoi profili più sicuri perché aggiunge un livello di sicurezza in più oltre all’inserimento della password.
  • Usa filtri antiphishing: alcuni fornitori di servizi di posta elettronica consentono di impostare filtri antiphishing sul tuo indirizzo email. In alternativa, puoi utilizzare software di sicurezza appositi per proteggere il tuo dispositivo da potenziali minacce.
  • Proteggi le tue informazioni personali: per evitare di fornire ulteriore materiale ai phisher, riduci al minimo i dati personali condivisi online, e proteggi le tue credenziali con la massima cura.

Segnalazione phishing o tentativo di phishing

Se ritieni di aver subito un attacco di phishing mirato alla tua banca online, è fondamentale agire rapidamente per proteggere il tuo conto e le tue informazioni finanziarie. La prima cosa da fare, naturalmente, è cambiare le credenziali e disabilitare eventuali carte di credito o di debito.

In generale, è una buona idea contattare il servizio clienti della tua banca per segnalare il tentativo di phishing, spiegando nel dettaglio la situazione, incluso il contenuto del messaggio o dell'email ricevuta, i link utilizzati dai phisher e qualsiasi altra informazione che potresti aver fornito accidentalmente.


Se lo ritieni opportuno, puoi chiedere alla banca di attivare monitoraggi aggiuntivi sul tuo conto per rilevare eventuali attività sospette, così da individuare immediatamente attività sospette o utilizzi impropri del tuo conto bancario.


Infine, ti consigliamo di revocare l'accesso ad applicazioni o servizi che potrebbero essere stati autorizzati tramite le credenziali rubate, e di cambiare le password anche di questi programmi. Nel caso in cui tu abbia fornito informazioni sensibili, considera di segnalare l'incidente alle autorità locali, in particolar modo alla Polizia Postale.

Conto business sicuro

Se cerchi un conto con la massima sicurezza, scopri il conto business di Qonto: oltre all’autenticazione a due fattori per verificare ogni accesso, potrai cambiare password in ogni momento e contattare il centro assistenza in lingua italiana 7 giorni su 7 in caso di problemi.

Da ricordare
  1. Che cos'è il phishing: quando un truffatore cerca di ottenere dati di accesso tramite falsi messaggi che sembrano provenire da fonti affidabili.
  2. Rischio: i tuoi profili online possono esporti al phishing, tentativo di truffa per rubare dati personali o bancari.
  3. Conseguenze del phishing: furto di identità, perdite finanziarie, violazione della privacy, danni aziendali, diffusione di malware.
  4. Forme comuni di phishing: email, SMS, siti web, chiamate, social network; generiche o mirate (spear phishing).
  5. Difendersi dal phishing: si critico, evita link sospetti, usa l'autenticazione a due fattori, imposta filtri antiphishing, proteggi le tue informazioni personali.
Prova Qonto gratis

Senza impegno per 30 giorni.

Apri il tuo conto business

Le domande frequenti sul phishing

Qual è la differenza tra phishing e vishing?

Il phishing e il vishing sono due forme di attacco informatico che si distinguono per i mezzi utilizzati e il tipo di interazione con la vittima. Mentre il phishing coinvolge principalmente canali online (come email, messaggi di testo o siti web contraffatti), il vishing (voice phishing) si basa su finte chiamate telefoniche in cui i truffatori cercano di impersonare istituzioni o aziende. L’obiettivo è convincere le vittime a fornire informazioni personali o finanziarie durante una conversazione telefonica.

Qual è la miglior difesa contro il phishing?

La miglior difesa contro il phishing è un approccio preventivo. Oltre a informarti continuamente sull’argomento, ti consigliamo di verificare criticamente eventuali link ed evitare di fornire informazioni sensibili, oltre a usare appositi filtri antiphishing e software antivirus. Inoltre, è cruciale mantenere sempre aggiornati il sistema operativo e le applicazioni e utilizzare l'autenticazione a due fattori quando possibile.

Per quanto i siti di phishing sono visibili online?

La durata dei siti di phishing dipende da diversi fattori. Sebbene alcuni siti siano visibili solo per poche ore o giorni, altri possono persistere per settimane o addirittura mesi. Le organizzazioni di sicurezza informatica lavorano costantemente per identificare e contrastare i siti di phishing, e ciò rende più difficile per i phisher mantenere le loro pagine online per lunghi periodi. Tuttavia, non c’è alcuna garanzia che siti e collegamenti dannosi vengano scovati e rimossi in breve tempo.

Cosa succede se clicco un link di phishing?

Cliccare su un link di phishing potrebbe avere diverse conseguenze indesiderate. Alcuni link conducono a pagine web contraffatte volte a rubare le credenziali inserite su falsi siti di accesso online, mentre altri possono scaricare e installare malware o ransomware sul proprio dispositivo, consentendo ai truffatori di rubare informazioni o monitorare le attività della persona malcapitata.

Le soluzioni di Qonto per il tuo business

Protezione acquisti e assicurazione viaggio

Carte business

Carte virtuali

Carta X

Iscriviti alla nostra newsletter
4,8 su Trustpilot
4,8 su G2
4,7 su Capterra
Ricevi le ultime notizie, le novità e gli appuntamenti da non perdere per chi fa impresa. 

Accetto di essere contattato da Qonto per scopi informativi e di marketing. Per saperne di più su come gestiamo i tuoi dati e sui tuoi diritti.
Similar terms
Vishing Tasso di cambio Saldo contabile e saldo disponibile Regime forfettario Riconciliazione bancaria Internat banking Conto corrente bancario Codice BIC Banca online Bancomat IVA POS Flusso di cassa Estratto conto Dichiarazione dei redditi Codice ATECO Carta di credito Utile netto Riciclaggio