Ogni settimana milioni di email truffa atterrano nelle caselle italiane. Dieci pattern coprono il novanta per cento dei casi. Imparali una volta sola: le leve psicologiche, le varianti locali, le mosse di difesa e cosa fare se hai già cliccato.
01 — Come funziona una email truffa: il meccanismo di base
Una email truffa non è un messaggio scritto male da qualcuno di pigro. È un prodotto confezionato con cura: logo autentico, colori giusti, tono quasi professionale. Chi la costruisce studia le comunicazioni reali dell'azienda che imita, ne copia la grafica e la ripropone con una sola differenza invisibile a prima vista — il dominio del mittente è falso.
Il meccanismo è sempre lo stesso in tre passi. Primo: crea un problema urgente o allettante ('il tuo conto è bloccato', 'hai un rimborso di €342'). Secondo: propone una soluzione immediata tramite un link. Terzo: quella pagina raccoglie le tue credenziali o i dati della carta e le consegna ai truffatori in tempo reale. Dall'apertura dell'email al furto dei dati possono passare meno di due minuti.
Capire il meccanismo è il primo passo. Il secondo è riconoscere le varianti specifiche che circolano in Italia. Le dieci descritte in questa guida coprono la quasi totalità dei casi segnalati al CERT-AgID (il centro di risposta nazionale per la cybersicurezza) nel corso degli ultimi anni.
02 — La leva psicologica: perché funzionano anche sulle persone attente
La truffa via email non sfrutta l'ignoranza: sfrutta l'emozione. Quando leggiamo che il nostro conto è 'temporaneamente limitato' o che rischiamo una 'procedura legale', il cervello entra in modalità allarme. In quella frazione di secondo, la parte razionale — quella che controllerebbe il dominio del mittente — passa in secondo piano.
I tre stati emotivi più usati sono l'urgenza ('entro 24 ore'), la paura ('il tuo profilo sarà sospeso') e la gratificazione ('hai diritto a un rimborso'). Le prime due spingono ad agire in fretta senza verificare. La terza abbassa le difese: chi aspetta buone notizie controlla meno attentamente. Nessuna di queste emozioni è una debolezza personale — sono risposte neurali normali che i truffatori hanno imparato a innescare con precisione.
Sapere che stai per essere manipolato non basta da solo a proteggerti. Serve una regola pratica da applicare prima di cliccare qualsiasi link. La regola è questa: prima di fare qualunque cosa, chiudi l'email e vai direttamente al sito ufficiale digitandolo tu nel browser, oppure apri l'app ufficiale. Se c'è davvero un problema, lo troverai lì.
03 — Poste Italiane e BancoPosta: il conto 'limitato'
È la truffa più diffusa in Italia per volume assoluto di email inviate. Arriva con il logo di Poste Italiane o BancoPosta, colori arancione e blu, e un messaggio che suona così: 'Il tuo conto BancoPosta è stato temporaneamente limitato per motivi di sicurezza. Per ripristinare l'accesso completo, conferma i tuoi dati entro 48 ore.' Il link porta a una pagina identica al sito reale di Poste, ma con un dominio come `poste-sicurezza.info` o `bancoposta-verifica.net`.
La variante SPID è ugualmente comune: l'email dichiara che lo SPID è 'scaduto' o 'sospeso' e chiede di ri-verificare l'identità tramite un modulo online. È una bugia su più livelli: lo SPID non scade per email, e anche quando va rinnovato lo si fa esclusivamente attraverso il proprio Identity Provider (Poste, Aruba, Namirial, InfoCert e gli altri) accedendo direttamente al loro sito ufficiale, mai tramite un link ricevuto in posta.
Come riconoscerla in tre secondi: controlla il mittente reale (non il nome visualizzato, ma l'indirizzo tra parentesi angolari). Se vedi qualcosa di diverso da `@poste.it` o `@postepay.it`, è una truffa. Poste Italiane non chiede mai di confermare credenziali, PIN o codici OTP via email o link esterno.
04 — INPS e Agenzia delle Entrate: il rimborso che non esiste
Questa truffa fa leva sulla gratificazione: ti comunica che hai diritto a un rimborso fiscale di un importo preciso — €342,18 oppure €120,00 — e ti chiede di inserire l'IBAN su cui riceverlo. La cifra specifica è un dettaglio studiato a tavolino: un numero tondo suonerebbe generico, ma €342,18 sembra ufficiale, come se qualcuno avesse davvero fatto un calcolo.
La realtà è che sia l'INPS sia l'Agenzia delle Entrate rimorsano automaticamente sull'IBAN già registrato nei loro sistemi — quello che hai comunicato in sede di dichiarazione dei redditi o tramite il modello di accredito pensione. Non ti chiedono mai di inserire o aggiornare l'IBAN via email. Se hai un rimborso in attesa, lo trovi nell'area riservata di `inps.it` o di `agenziaentrate.gov.it`, accessibile solo con SPID, CIE o CNS.
Una variante avanzata di questa truffa allega un falso modulo PDF. Aprirlo può installare un programma malevolo sul computer. Regola generale: non aprire mai allegati da email di enti pubblici se non li hai esplicitamente richiesti. Gli enti comunicano tramite raccomandata fisica o tramite la tua area riservata online, non via allegato email.
05 — Amazon, Netflix, PayPal: le truffe sui servizi quotidiani
Amazon: ricevi la conferma di un ordine costoso — un elettrodomestico da €399, un paio di scarpe da €180 — che non hai mai fatto. L'email offre un link 'Annulla ordine subito'. Chi clicca viene portato su una pagina clone che chiede di accedere all'account Amazon per procedere con l'annullamento, rubando così le credenziali. La mossa corretta è una sola: aprire l'app Amazon o il sito ufficiale digitandolo nel browser e verificare in 'I miei ordini'. Se l'ordine non esiste lì, l'email era falsa.
Netflix e Spotify sfruttano la paura dell'interruzione del servizio: 'Il tuo abbonamento non può essere rinnovato — aggiorna il metodo di pagamento entro 24 ore.' La pagina clone chiede numero di carta, scadenza e CVV. Anche qui la regola è la stessa: vai direttamente all'app o al sito ufficiale e controlla la sezione 'Account' — se ci fosse davvero un problema di pagamento, lo troveresti segnalato lì.
PayPal usa la leva dell'allarme sicurezza: 'Abbiamo rilevato un accesso da un nuovo dispositivo a Milano. Se non sei stato tu, clicca qui per proteggere il tuo account.' PayPal invia notifiche di sicurezza reali, ed è proprio questo che rende questa truffa difficile al livello intermedio. Il segnale che distingue vero da falso è il dominio: `@paypal.com` è reale, qualsiasi variazione — `@paypal-secure.net`, `@paypal.info` — è una truffa. Controlla sempre il mittente, non il logo.
06 — Banche e aggiornamento condizioni: la truffa che imita il vero
Questa è la variante più insidiosa, classificata come 'avanzata', perché sfrutta qualcosa di vero: le banche italiane inviano davvero email periodiche per comunicare aggiornamenti contrattuali, variazioni di condizioni, nuovi servizi. I truffatori lo sanno, e costruiscono email graficamente identiche a quelle reali, con il logo della banca, il colore corretto, il numero di agenzia in calce.
La differenza sta nel link. Un'email autentica di Intesa Sanpaolo, Unicredit o BPER ti porta al sito ufficiale della banca — `intesasanpaolo.com`, `unicredit.it`, `bper.it` — o alla tua area personale con URL certificata. Una email truffa ti porta a `intesa-aggiornamento.eu` o `unicredit-sicurezza.net`, pagine identiche ma su domini che non appartengono alla banca.
La regola operativa è non cliccare mai il link nell'email bancaria, qualunque essa sia. Apri il browser, digita tu l'indirizzo della tua banca, accedi normalmente. Se c'è davvero un aggiornamento da accettare, lo troverai nella tua home banking. Se non c'è niente, l'email era falsa. Le banche non sospendono il conto di chi non clicca su un link email — questa minaccia, quando compare, è sempre un segnale di truffa.
07 — Corrieri e pacchi in giacenza: la truffa che arriva con un SMS
Hai appena ordinato qualcosa online. Arriva un SMS o una email: 'Il tuo pacco è in giacenza. Paga €1,99 di spese di gestione per sbloccare la consegna.' Il link porta a una pagina che chiede i dati della carta. Quell'euro e novantanove è ovviamente un pretesto: l'obiettivo è il numero della carta, che verrà usato per addebiti ben più consistenti nelle ore successive.
I brand più imitati in Italia sono SDA (di Poste Italiane), BRT, GLS, DHL e lo stesso servizio pacchi di Poste. La truffa funziona bene perché statisticamente molte persone hanno sempre qualche pacco in attesa — l'email sembra quindi pertinente anche senza nessun riferimento a un ordine specifico. Nelle versioni avanzate compare un numero di tracking parziale, che aumenta la credibilità.
Regola pratica: i corrieri italiani non addebitano spese extra via link email o SMS. Se c'è un problema con la consegna, l'avviso è sul sito ufficiale del corriere, con il numero di tracking che puoi inserire direttamente su `sda.it`, `brt.it`, `dhl.it` o nell'app delle Poste. Non esistono pagamenti di sblocco: questa voce di costo non compare in nessun contratto di spedizione reale.
08 — Microsoft 365, LinkedIn, Facebook: le credenziali di lavoro nel mirino
Le email che imitano Microsoft sono particolarmente pericolose per chi usa il computer anche per lavoro. Il testo recita: 'La tua password di Microsoft 365 è scaduta. Accedi entro 24 ore per evitare la perdita dei dati.' Chi clicca viene portato a una pagina identica alla schermata di login di Microsoft — stessa grafica, stessa URL apparente nella barra di stato — e inserisce le credenziali aziendali. Quelle credenziali vengono usate immediatamente per accedere alla posta del lavoro, ai file su OneDrive, ai contatti dell'azienda.
LinkedIn e Facebook seguono lo stesso schema con un pretesto diverso: 'Hai una nuova richiesta di connessione', 'Qualcuno ha visualizzato il tuo profilo', 'Il tuo account è stato temporaneamente limitato.' Il link porta a una pagina di login clone. Le credenziali social rubate vengono usate per diffondere ulteriori truffe ai tuoi contatti, oppure rivendute su mercati illegali.
La regola qui è semplice ma va ricordata: Microsoft, LinkedIn e Meta non ti chiedono mai di rinnovare la password via link email. Se la password è davvero scaduta, il sistema te lo comunica al login successivo, direttamente sulla piattaforma. Cambia le password sempre dall'interno del servizio: `account.microsoft.com`, `linkedin.com/settings`, `facebook.com/settings`. Mai da un link ricevuto in posta.
09 — Tre regole operative: cosa fare prima di cliccare
Regola uno: controlla il mittente reale, non il nome visualizzato. Il nome che vedi ('Poste Italiane', 'Amazon', 'INPS') è decorativo — chiunque può scriverci quello che vuole. Quello che conta è l'indirizzo tra le parentesi angolari o dopo il simbolo @. Se vedi `postesicurezza@poste-verifica.info` invece di `@poste.it`, è una truffa. Prenditi tre secondi e cerca quel simbolo @.
Regola due: non cliccare il link, vai diretto. Qualunque azione ti venga chiesta — aggiornare pagamento, verificare identità, annullare un ordine — puoi farla aprendo il browser e digitando tu l'indirizzo ufficiale, oppure aprendo l'app del servizio. Se il problema esiste davvero, lo trovi lì. Se non lo trovi, l'email era falsa e non hai perso niente.
Regola tre: l'urgenza è un segnale di allarme, non una ragione per affrettarsi. 'Entro 24 ore', 'Entro 48 ore', 'Agisci subito' sono formule standard delle truffe, non delle comunicazioni ufficiali. Gli enti pubblici e le aziende serie danno tempi ragionevoli e comunicano via raccomandata o area riservata per le questioni davvero importanti. Ogni volta che senti urgenza, rallenta. Tre secondi fanno la differenza.
10 — Cosa fare se hai già cliccato: limitare i danni passo per passo
Hai cliccato un link e forse inserito dei dati. Non è il momento di rimproverarsi — è il momento di agire in ordine. Il primo passo dipende da cosa hai inserito. Se hai inserito le credenziali di un servizio (email, banca, social), cambia immediatamente la password di quel servizio da un dispositivo che sai sicuro, accedendo direttamente al sito ufficiale. Fallo entro i primi minuti: i truffatori usano le credenziali rubate in tempo reale.
Se hai inserito i dati della carta di credito o di debito, chiama subito il numero sul retro della carta o il numero verde della tua banca e chiedi il blocco della carta. La maggior parte delle banche ha un servizio attivo 24 ore su 24. Nel frattempo, controlla i movimenti del conto: addebiti non autorizzati nelle ultime ore vanno contestati immediatamente — le probabilità di recupero sono più alte nelle prime ventiquattro ore.
Infine, fai una denuncia alla Polizia Postale. Puoi farlo online su `commissariatodips.it` oppure recandoti di persona all'ufficio più vicino. La denuncia non recupera automaticamente il denaro, ma è necessaria per avviare eventuali rimborsi bancari e contribuisce a tracciare i criminali. Conserva l'email originale (non cancellarla) e fai uno screenshot della pagina su cui sei atterrato: sono prove utili. Se il tuo computer ha aperto un allegato sospetto, fai scansionare il dispositivo da un tecnico prima di usarlo ancora per operazioni bancarie.