Arriva un'email che sembra urgente, firmata da un ente che conosci. Prima di fare qualsiasi cosa — cliccare, rispondere, aprire un allegato — ci sono cinque punti che puoi controllare in meno di un minuto. Questa guida te li mostra uno per uno, con esempi italiani reali e qualche trucco che i truffatori preferirebbero che tu non conoscessi.
01 — Come funziona una truffa via email: il copione completo
Una truffa via email — nel gergo tecnico si chiama phishing — segue quasi sempre lo stesso copione. Arriva un messaggio che imita un ente o un'azienda che usi davvero: Poste Italiane, INPS, la tua banca, Amazon, PayPal. L'aspetto è spesso curato: logo corretto, colori giusti, formato professionale. Quello che cambia, se sai dove guardare, è sempre qualcosa di piccolo.
Il messaggio ti dice che è successo qualcosa di urgente — un accesso sospetto, un pacco bloccato, un rimborso in scadenza — e ti chiede di cliccare un link per risolvere il problema immediatamente. Il link porta a una pagina finta, identica a quella vera, dove ti viene chiesto di inserire nome utente, password o dati della carta. In pochi secondi, i tuoi dati sono nelle mani di qualcun altro.
Questo schema funziona perché gioca su emozioni precise: la paura di perdere soldi, la preoccupazione per un problema che non sapevi di avere, la fretta di risolvere prima che sia troppo tardi. Non è stupidità cascarci — è esattamente la reazione umana che i truffatori si aspettano. Conoscere il copione è il primo passo per non seguirlo.
02 — La leva psicologica: perché l'urgenza funziona così bene
Il cervello umano, di fronte a una minaccia percepita, tende a reagire in fretta. È un meccanismo utile nella vita reale — se vedi un'auto che arriva, non ti fermi ad analizzare la situazione. I truffatori sfruttano esattamente questo riflesso: creano una minaccia fittizia, ti danno pochissimo tempo per pensare, e sperano che tu agisca prima di ragionare.
Le parole che attivano questa risposta sono sempre le stesse: «entro 24 ore», «conto bloccato», «azione richiesta immediatamente», «ultimo avviso». Nessuna di queste frasi compare nelle comunicazioni ufficiali di banche, INPS o Poste Italiane. Un ente serio non ti mette mai con le spalle al muro attraverso un'email. Se c'è davvero qualcosa da fare, trovi l'avviso nell'area riservata quando accedi con calma dall'app ufficiale o dal sito.
C'è anche una seconda leva, meno ovvia: la familiarità. Vedere il logo di Poste Italiane o di Intesa Sanpaolo abbassa istintivamente la guardia, perché quel marchio ci è familiare e ci ispira fiducia. I truffatori lo sanno e investono tempo a copiare grafiche, font e colori. La familiarità visiva non è una prova di autenticità — è esattamente quello che viene falsificato per primo.
03 — Il mittente: il punto da controllare per primo
La prima cosa da guardare in un'email non è il testo, ma l'indirizzo del mittente — quello completo, con la parte dopo la chiocciola (@). Quasi tutti i programmi di posta mostrano in primo piano il nome visualizzato (es. «Poste Italiane — Sicurezza»), che può essere scritto come si vuole. L'indirizzo reale è nascosto dietro. Clicca sul nome o passa il cursore sopra: comparirà qualcosa come info@posteitaliane-sicurezza.net. Quel dominio — la parte dopo la @ — è tutto ciò che conta.
Poste Italiane scrive da indirizzi che terminano in @poste.it. Intesa Sanpaolo da @intesasanpaolo.com. INPS da @inps.it. Se il dominio ha un trattino in più, una parola aggiunta, un'estensione diversa da .it o .com, fermati. Esempi tipici visti in Italia: @poste-sicurezza.info, @inps-rimborsi.org, @amazon-verifica.cc. Questi non sono i domini veri — sono stati registrati apposta per ingannare.
Un caso frequente è quello dei sottodomini: l'indirizzo potrebbe essere qualcosa come sicurezza@poste.it.customer-support.net. La parte che sembra «poste.it» è in realtà solo una parola dentro un dominio diverso (customer-support.net). La regola è semplice: leggi il dominio da destra, partendo dal punto finale. Tutto ciò che viene prima dell'ultima estensione (.it, .com, .net) è il nome vero del sito.
04 — L'oggetto dell'email: come si legge il tono prima ancora di aprire
L'oggetto dell'email è la prima riga che vedi. Prima ancora di aprire il messaggio, puoi già capire molto. Le comunicazioni ufficiali di banche e enti pubblici italiani usano oggetti descrittivi e neutrali: «Estratto conto di marzo 2026», «Rinnovo automatico abbonamento», «Conferma operazione». Non urlano, non minacciano, non promettono sorprese.
Le truffe, al contrario, usano oggetti progettati per creare allarme o curiosità immediata. Parole come URGENTE, BLOCCO, SOSPESO, ULTIMA CHIAMATA, VERIFICA NECESSARIA scritte in maiuscolo sono segnali chiari. Così come i punti esclamativi multipli, le emoticon insolite o le frasi vaghe ma allarmistiche del tipo «Attività insolita rilevata sul tuo account».
Un dettaglio utile: le email autentiche spesso includono nell'oggetto un riferimento specifico che solo tu e l'ente conoscete — un numero di pratica, gli ultimi quattro cifre di un conto, una data precisa. Le truffe sono inviate a migliaia di persone in contemporanea e non possono personalizzare così: l'oggetto è necessariamente generico. Se non c'è nessun riferimento che ti riguarda direttamente, è un primo campanello.
05 — Il link: come vedere dove porta davvero prima di cliccare
Il link è il cuore della truffa. Tutto il resto — il nome del mittente convincente, il logo perfetto, il testo allarmante — serve solo a farti cliccare su quel link. La buona notizia è che puoi vedere dove porta un link senza aprirlo, sia da computer che da smartphone.
Da computer: passa il cursore del mouse sopra il link senza cliccare. In basso a sinistra dello schermo — nella barra di stato del browser o del programma di posta — compare l'indirizzo reale di destinazione. Se il testo del link dice «Accedi al tuo conto Poste» ma l'indirizzo che compare è poste-verifica.info/login, non cliccare. Il testo che vedi e l'indirizzo reale sono due cose diverse, e i truffatori contano sul fatto che tu guardi solo il testo.
Da smartphone: tieni premuto sul link per due o tre secondi. Si aprirà un menu con una voce tipo «Anteprima link» o «Copia link». Leggi l'indirizzo completo prima di procedere. Controlla soprattutto il dominio: se è pieno di numeri, trattini o termina con .xyz, .cc, .info invece di .it o .com, è un segnale forte. I link abbreviati (bit.ly, tinyurl, t.co usato fuori da Twitter) in un'email che si presenta come comunicazione ufficiale di una banca o di INPS non sono mai un buon segno.
06 — Tre varianti italiane reali: Poste, INPS e il pacco che non aspettavi
La truffa «Poste Italiane» è una delle più diffuse in Italia da anni. Arriva un'email con il logo di Poste, un avviso di «tentativo di accesso sospetto» al tuo conto BancoPosta o al tuo LibrettoSmart, e un link per «verificare l'identità». Il dominio del mittente non è @poste.it — ha sempre qualcosa in più o di diverso. Poste Italiane ha una pagina ufficiale dedicata alle segnalazioni di phishing, raggiungibile dal sito poste.it.
La truffa «INPS rimborso» sfrutta la stagione delle dichiarazioni dei redditi. Un'email informa che hai diritto a un rimborso — spesso tra i 200 e i 600 euro — ma devi confermare il tuo IBAN entro pochi giorni. Il link porta a una pagina identica al sito INPS dove vengono chieste credenziali SPID o i dati della carta. INPS non comunica rimborsi via email non richiesta, né chiede dati bancari attraverso link: lo fa solo tramite l'area personale del portale ufficiale inps.it.
La truffa del «pacco bloccato» arriva via email (o SMS/WhatsApp) e imita SDA, BRT, DHL o GLS. Ti dice che un pacco è fermo al magazzino per un problema di indirizzo o per una piccola spesa doganale da pagare — spesso 1,99 o 2,50 euro, cifre così basse da sembrare ragionevoli. Il pagamento porta a una pagina che raccoglie i dati completi della carta. I corrieri reali non bloccano mai un pacco per cifre minime e non chiedono pagamento via link email.
07 — La grammatica e l'aspetto: ancora utili, ma non bastano più
Per anni, la regola più diffusa per riconoscere una truffa era semplice: cerca gli errori di grammatica. Frasi storpiate, spazi strani, maiuscole fuori posto, traduzioni automatiche approssimative erano il segno inequivocabile di un'email fraudolenta. Questa regola è ancora valida per le truffe di bassa qualità — e ce ne sono molte, soprattutto quelle che arrivano da organizzazioni criminali non italiane.
Oggi però i modelli di intelligenza artificiale scrivono un italiano corretto, scorrevole, senza errori evidenti. Le truffe più sofisticate non si tradiscono più con la grammatica. Alcune sono indistinguibili, sul piano del testo, da una comunicazione aziendale autentica. Questo non significa che la grammatica non vada guardata — un errore è ancora un segnale — ma significa che l'assenza di errori non è più una garanzia di autenticità.
Ci sono però altri segnali visivi che resistono meglio. Il font è leggermente diverso da quello ufficiale. Il logo è sfocato o ha proporzioni sbagliate. La firma in calce è generica («Il team di supporto») invece di includere un recapito, un numero di pratica o una filiale. L'intestazione è «Gentile Cliente» invece del tuo nome. Questi dettagli richiedono personalizzazione che le truffe di massa non possono fornire.
08 — Quattro regole operative: cosa fare concretamente prima di cliccare
Prima regola: vai direttamente alla fonte. Se l'email dice che c'è un problema con il tuo conto Poste o con la tua pratica INPS, non cliccare nulla. Apri il browser, digita l'indirizzo ufficiale a mano (poste.it, inps.it, il sito della tua banca) e accedi dall'area riservata. Se c'è davvero un problema, lo troverai lì. Se non c'è nessun avviso nell'area personale, l'email era falsa.
Seconda regola: chiama il numero ufficiale, non quello nell'email. Se hai dubbi su una comunicazione che sembra provenire dalla tua banca, chiama il numero del servizio clienti che trovi sul retro della carta di credito o sul sito ufficiale — non il numero che eventualmente compare nel messaggio, che potrebbe essere falso. Tre minuti di telefonata valgono più di qualsiasi analisi visiva.
Terza regola: quando il tempo stringe, aspetta. Se un'email dice «hai 24 ore», aspetta 24 ore e poi verifica sul sito ufficiale. Un problema reale non scompare perché non hai cliccato su un link. Un'urgenza artificiale, invece, non regge al tempo: se riapri l'area personale il giorno dopo e non c'è nessun avviso, era una truffa.
Quarta regola: segnala sempre. Se ricevi un'email sospetta che imita Poste, INPS o una banca, puoi segnalarla al CERT-AgID (il Computer Emergency Response Team italiano) all'indirizzo segnalazioni@cert-agid.gov.it. La segnalazione aiuta a bloccare il dominio truffa più rapidamente e protegge altri utenti.
09 — Se ci sei già cascato: cosa fare nei prossimi trenta minuti
Hai cliccato il link e inserito le credenziali, o i dati della carta. Accade — non è una questione di intelligenza, ma di un momento di distrazione. Quello che fai nei trenta minuti successivi può fare una differenza enorme. La prima azione è bloccare: se hai inserito i dati di una carta di credito o di debito, chiama immediatamente il numero antifrode della tua banca (di solito è sul retro della carta) e chiedi il blocco temporaneo. La maggior parte delle banche italiane ha un servizio attivo 24 ore su 24.
Se hai inserito le credenziali di accesso a un servizio — la password di Poste, di INPS, di un account email — cambia immediatamente la password da un dispositivo sicuro, prima che qualcun altro lo faccia al posto tuo. Se usi la stessa password su altri siti (cosa da evitare sempre), cambiala anche lì. Attiva l'autenticazione a due fattori dove disponibile: anche se qualcuno ha la tua password, non potrà accedere senza il codice che arriva sul tuo telefono.
Poi denuncia. La Polizia Postale ha uno sportello online su commissariatodips.it dove puoi presentare una denuncia anche senza recarti fisicamente in ufficio. Conserva tutto: l'email originale, lo screenshot della pagina su cui sei atterrato, l'ora esatta dell'accaduto. Questi elementi servono sia per la denuncia che per eventuali richieste alla banca per il recupero di somme eventualmente sottratte. In Italia, le banche hanno l'obbligo di gestire i rimborsi per frode telematica: non sempre è automatico, ma presentare denuncia formale rafforza la tua posizione.
10 — Il controllo in cinque punti: un promemoria da tenere a mente
Prima di cliccare qualsiasi link in un'email, fai mentalmente questa lista. Uno: l'indirizzo del mittente finisce con il dominio ufficiale dell'ente? Nessun trattino, nessuna parola in più. Due: l'oggetto usa parole come URGENTE, BLOCCO o ULTIMA CHIAMATA? Tre: il link, passandoci sopra il cursore, porta a un dominio diverso da quello dell'ente? Quattro: il testo ti mette fretta, ti minaccia conseguenze immediate, ti chiede dati personali o bancari? Cinque: l'intestazione è generica («Gentile Cliente») invece del tuo nome?
Se anche solo due di questi punti hanno risposta sì, non cliccare. Vai direttamente al sito ufficiale dell'ente e controlla dall'area personale. Se tre punti su cinque sono sì, è quasi certamente una truffa. Non si tratta di paranoia — si tratta di un controllo che dura meno di un minuto e che, fatto con regolarità, diventa automatico come allacciare la cintura in macchina.
La tecnologia cambia, i truffatori si aggiornano, le email diventano sempre più convincenti. Ma il copione — urgenza, imitazione, link falso — resta lo stesso da vent'anni. Conoscere il copione è la difesa più solida che esista. Tre secondi. Fanno la differenza.