Quel sito sembra identico all’originale. Ma è una truffa.

Ogni giorno milioni di persone cliccano su un link in un’email e finiscono su un sito che sembra perfettamente legittimo. Poi inseriscono la password. E in quel momento, qualcuno da qualche parte del mondo ha già vinto.

Il problema non è essere stupidi — è essere veloci

La maggior parte delle truffe online non funziona perché le vittime sono ingenui. Funziona perché tutti noi, quando siamo di fretta, guardiamo le cose in superficie.

Un’email che dice “il tuo conto è stato sospeso” o “c’è un accesso sospetto al tuo account” scatta un allarme emotivo. E quando siamo in stato di allerta, clicchiamo senza guardare troppo. È esattamente quello su cui contano i truffatori.

Questa tecnica si chiama phishing — dall’inglese “pesca” — e consiste nel tendere una trappola e aspettare che qualcuno ci caschi dentro.

Come funziona nel dettaglio

Tutto parte da un’email. Può sembrare provenire da Amazon, dalla tua banca, da PayPal, da Netflix, dalle Poste Italiane, dall’Agenzia delle Entrate o persino dal tuo gestore telefonico. Il logo è quello giusto, i colori sono quelli giusti, la firma in fondo è quella giusta.

Nel corpo del messaggio c’è un link. Magari dice “Verifica il tuo account”, oppure “Conferma il pagamento”, o ancora “Scarica la fattura”.

Clicchi. Si apre un sito. Ed è qui che avviene la magia nera del phishing: il sito che ti ritrovi davanti è una copia quasi perfetta dell’originale.

Stessi colori, stesso logo, stessa struttura, stesse scritte. L’unica differenza è che non è il sito vero — è una scenografia costruita per rubarti le credenziali nel momento in cui le inserisci.

Quanto sono bravi a copiare?

Più di quanto si pensi. Oggi copiare un sito web è tecnicamente semplicissimo: bastano pochi secondi per salvare tutto il codice HTML di una pagina e rimetterla online con un indirizzo diverso.

I criminali più esperti vanno oltre: aggiornano il sito fake ogni volta che quello originale cambia, aggiungono il lucchetto HTTPS (sì, anche i siti truffa possono averlo), usano nomi di dominio quasi identici all’originale, e in alcuni casi creano persino chatbot di assistenza fasulli per sembrare ancora più credibili.

Alcuni esempi di domini ingannevoli usati in passate campagne di phishing:

• amazon-sicurezza.com invece di amazon.it
• poste-italia.net invece di poste.it
• paypaI.com (con una “I” maiuscola al posto della “l”) invece di paypal.com
• intesasanpaolo-login.it invece di intesasanpaolo.com

A colpo d’occhio, specialmente su smartphone dove la barra degli indirizzi è ridotta, la differenza è quasi invisibile.

Il trucco del dominio: dove guardare davvero

L’indirizzo web ha una struttura precisa, e solo una parte di essa conta davvero: il dominio principale, ovvero le parole che si trovano immediatamente prima del .com, .it, .eu ecc.

Facciamo un esempio concreto:

https://accesso.amazon.verifica-account.com

Sembra un indirizzo Amazon, vero? Ma il dominio principale qui non è amazon — è verifica-account.com. Amazon è solo una parola messa lì per ingannare.

Il sito vero di Amazon sarebbe:

https://www.amazon.it

La regola è semplice: leggi l’indirizzo da destra verso sinistra, fino al primo slash /. Le ultime due parole prima dello slash (dominio + estensione) sono quelle che identificano davvero il sito.

I segnali da non ignorare mai

Anche i siti di phishing più curati lasciano qualche traccia. Ecco cosa cercare:

L’indirizzo email del mittente non torna. Il nome visualizzato può essere “Amazon” o “Banca XY”, ma l’indirizzo reale del mittente — quello che si vede aprendo i dettagli — è spesso una stringa strana: noreply@srv4.mail-track.xyz non ha nulla a che fare con Amazon.

Il link nell’email non porta dove dice. Prima di cliccare su un link, passa il cursore sopra senza cliccare (su computer). In basso a sinistra del browser apparirà l’indirizzo reale di destinazione. Se è diverso da quello mostrato nel testo, è un segnale di allarme.

Il sito ti chiede troppe cose. Un sito legittimo non ti chiede mai la password attuale, il codice fiscale, il PIN del bancomat o i dati completi della carta di credito tutto insieme, in un’unica schermata.

Il tono del messaggio è urgente o minaccioso. “Il tuo account verrà chiuso entro 24 ore”, “Azione immediata richiesta”, “Accesso non autorizzato rilevato”. L’urgenza è una leva psicologica studiata per farti agire senza pensare.

Il sito non ha indirizzo fisico, contatti reali o pagine come “Chi siamo”. I siti truffa sono scenografie: convincenti in prima pagina, vuoti o inesistenti in profondità.

Cosa fare se sospetti di essere su un sito falso

1. Non inserire nessun dato. Neanche per “verificare” se il sito è vero.
2. Chiudi la scheda senza cliccare su nient’altro nella pagina.
3. Vai direttamente al sito ufficiale digitando l’indirizzo tu stesso nella barra del browser, oppure cercandolo su Google.
4. Segnala l’email come phishing nel tuo client di posta — aiuti anche gli altri.
5. Se hai già inserito una password: cambiala immediatamente dal sito ufficiale e attiva l’autenticazione a due fattori se non l’hai ancora fatto.

Lo strumento più potente: l’autenticazione a due fattori

L’autenticazione a due fattori (2FA) non è infallibile, ma rende il lavoro dei truffatori enormemente più difficile. Anche se qualcuno ruba la tua password, non potrà accedere al tuo account senza il secondo codice — quello che arriva sul tuo telefono o che viene generato da un’app come Google Authenticator o Authy.

Attivala ovunque tu possa: email, banca, social network, e-commerce. Richiede dieci minuti di configurazione e può salvarti da un danno enorme.

Regola d’oro: il dubbio è il tuo migliore alleato

Nessuna azienda seria ti manderà un’email chiedendoti di inserire la tua password tramite un link. Se un messaggio ti mette fretta, ti spaventa o ti chiede dati sensibili, prenditi dieci secondi in più.

Quei dieci secondi possono fare la differenza tra una mattinata tranquilla e ore al telefono con la banca a bloccare transazioni che non hai mai autorizzato.

Il phishing funziona sulla velocità e sulla distrazione. La tua difesa è la calma e l’abitudine a fare una domanda semplice prima di cliccare: “Questo link me lo aspettavo davvero?”

Se la risposta non è un “sì” convinto, non cliccare.

Se vuoi approfondire, il sito della Polizia Postale (commissariatodips.it) raccoglie le ultime segnalazioni di phishing attive in Italia e offre consigli aggiornati per proteggerti online.