"Gentile cliente, il suo pacco è in attesa di consegna. Clicchi qui per aggiornare l'indirizzo." Oppure: "Abbiamo rilevato un accesso sospetto al suo conto. Verifichi immediatamente le sue credenziali."

Messaggi come questi arrivano ogni giorno a milioni di caselle di posta, comprese quelle aziendali. Sembrano veri, urgenti, autorevoli. Ma sono trappole!

Il phishing è la tecnica di attacco informatico più diffusa al mondo, e anche la più efficace. Non sfrutta vulnerabilità tecniche dei sistemi, ma la vulnerabilità più antica: la fretta e la fiducia delle persone. Un clic su un link sbagliato può aprire le porte della rete aziendale a criminali che installeranno ransomware, ruberanno credenziali o sottrarranno dati sensibili.

La buona notizia è che riconoscere un'email di phishing richiede pochi secondi, se si sa dove guardare. Ecco cinque controlli che insegno sia in aula ai miei studenti sia durante le sessioni di formazione in azienda.

Il nome che vedete nella casella "Da:" può essere qualsiasi cosa. Un truffatore può far apparire "Poste Italiane" o "Banca Intesa" come nome del mittente, ma l'indirizzo email reale racconta un'altra storia. Passate il mouse sopra il nome (senza cliccare) e guardate l'indirizzo completo. Se il messaggio dice di venire dalla vostra banca ma l'indirizzo è qualcosa come info@bancaintesa-verifica-sicurezza.xyz, è phishing. Le aziende serie scrivono dal proprio dominio ufficiale, sempre.

"Il suo account verrà chiuso entro 24 ore." "Azione immediata richiesta." "Se non risponde entro oggi perderà l'accesso." Il phishing funziona perché crea panico. L'urgenza è il segnale più classico. Un'azienda vera che ha davvero bisogno di comunicare qualcosa di importante vi contatterà attraverso più canali, non con un'unica email che minaccia conseguenze irreparabili se non cliccate subito.

Quando sentite l'impulso di cliccare immediatamente, fermatevi. È esattamente quello che il truffatore vuole che facciate.

Questo è il controllo più importante di tutti. Prima di cliccare qualsiasi link contenuto nell'email, posizionate il cursore del mouse sopra il link e guardate in basso a sinistra del vostro programma di posta (Outlook, Thunderbird, Gmail): vedrete l'indirizzo reale a cui quel link vi porterà.

Se l'email dice di provenire da Amazon ma il link punta a un indirizzo come amaz0n-verify.strange-domain.com, non cliccate. Attenzione anche ai domini che sembrano simili a quelli veri ma hanno piccole differenze: una lettera in più, un trattino, un'estensione diversa.

Un file Excel con la "fattura in scadenza", un PDF con il "contratto da firmare", un archivio ZIP con "i documenti richiesti": se non stavate aspettando quel documento, non apritelo. Gli allegati sono il veicolo preferito per distribuire malware.

Se il mittente sembra essere un fornitore o un collega, verificate con una telefonata o un messaggio separato prima di aprire qualsiasi allegato. Bastano trenta secondi per evitare un disastro.

Anche se negli ultimi anni la qualità dei messaggi di phishing è migliorata molto grazie all'intelligenza artificiale, molte email truffaldine contengono ancora errori ortografici, grammaticali o formulazioni innaturali. Un'azienda seria non scrive "Gent.mo Sig. Cliente, la preghiamo di effetuare il login al suo contto". Allo stesso modo, un messaggio che inizia con un generico "Gentile utente" invece di chiamarvi per nome è un segnale di allarme.

Se un'email vi sembra sospetta, la cosa più sicura da fare è non interagire con essa in alcun modo. Non cliccate sui link, non aprite gli allegati, non rispondete. Piuttosto, contattate direttamente l'azienda o la persona che sembra avervi scritto, usando i canali ufficiali (il numero di telefono sul loro sito, non quello scritto nell'email sospetta).

E se lavorate in un'azienda, segnalate sempre le email sospette al vostro referente IT. Un dipendente che segnala un tentativo di phishing non è quello che "si spaventa per niente": è quello che ha appena protetto l'intera azienda.

La tecnologia aiuta: filtri antispam, sistemi EDR, firewall con ispezione del traffico email. Ma il filtro più potente resta la consapevolezza delle persone. Nelle aziende che formo regolarmente sui rischi del phishing, i clic su email sospette calano drasticamente dopo poche sessioni. Non servono corsi lunghi e noiosi: bastano esempi concreti, prove pratiche e la cultura del "prima verifico, poi clicco".

Se volete organizzare una sessione di formazione sulla sicurezza email per il vostro team, contattateci. Portiamo in azienda la stessa esperienza pratica che utilizziamo ogni giorno in aula e sul campo.