Sicurezza

Phishing 2026: come riconoscerlo in 3 secondi

Nel 2026 il phishing è generato dall'AI: niente errori grammaticali, grafica perfetta, mittente apparentemente legittimo. Ma lascia sempre alcune tracce. Ecco come vederle.

G
Giovanni D'Amicis
Tecnico IT · Roma
14 Maggio 2026
4 min di lettura

Cos'è il phishing AI-generated

Il phishing tradizionale era facile da riconoscere: "Gnetile cliente, il suo acount è stato bloccato." Oggi i criminali usano modelli di linguaggio avanzati per generare email perfette in italiano, personalizzate con il tuo nome, la tua banca, persino riferimenti a transazioni reali ottenute da data breach precedenti.

Il phishing AI del 2026 impersona con precisione: INPS, Agenzia delle Entrate, banche italiane, Poste Italiane, Amazon, PayPal, DHL. Il testo è impeccabile, il logo è copiato perfettamente, il layout è identico all'originale. Non puoi più affidarti alla qualità del testo per capire se è falso.

Dato preoccupante

Nel 2025, il tasso di clic su email di phishing AI-generated è aumentato del 300% rispetto alle email di phishing tradizionali. La qualità del contenuto non è più un indicatore affidabile.

5 segnali da riconoscere subito

1. Il dominio del mittente è storto

Clicca sul nome del mittente e guarda l'indirizzo email completo. noreply@poste-italiane-sicurezza.com non è Poste Italiane. Il dominio reale di Poste è solo poste.it. Cerca varianti: poste-italia.com, posteit.net, informazioni-poste.it.

2. Urgenza artificiale

"Il tuo account verrà chiuso entro 24 ore", "Azione richiesta immediatamente", "Verifica entro oggi o perderai l'accesso". L'urgenza serve a farti agire senza pensare. Nessuna banca o istituzione legittima ti chiude il conto in 24 ore senza preavvisi formali.

3. Il link va su un dominio diverso

Prima di cliccare, passa il mouse sopra il link (su PC) e guarda in basso a sinistra dove porta. Se il testo dice "Accedi al tuo conto Intesa" ma il link va su intesa-login.ru o secure-banking.xyz, è phishing.

4. Ti chiedono credenziali o dati bancari

Nessuna banca, nessuna istituzione, nessun servizio legittimo ti chiede password o codici OTP via email. Mai. Se un'email ti porta a una pagina di login, controlla sempre l'URL nella barra del browser.

5. Allegati inaspettati

Un allegato .zip, .exe, .docm, .xlsm da un mittente non atteso è quasi sempre malware. Anche i PDF possono contenere codice malevolo. Non aprire mai allegati non richiesti.

Phishing via SMS (smishing)

Lo smishing (phishing via SMS) è esploso nel 2025-2026. Arriva come SMS che sembra di Poste, Amazon o della tua banca: "Abbiamo rilevato un accesso sospetto al tuo conto. Clicca qui per verificare." Il link porta a una pagina clone perfetta.

Regola d'oro

Non cliccare mai i link negli SMS. Se pensi ci sia davvero un problema con il tuo conto, apri direttamente l'app della banca o vai sul sito digitando tu stesso l'URL nel browser.

Come verificare un link sospetto

Hai ricevuto un link e non sei sicuro? Ecco come analizzarlo senza rischi:

  1. Copia il link (senza cliccarci sopra)
  2. Vai su virustotal.com e incollalo nella scheda URL: ti dice se è stato segnalato come malevolo da 90+ motori antivirus
  3. Oppure usa urlvoid.com per vedere la reputazione del dominio
  4. Controlla l'età del dominio su whois.domaintools.com: un dominio registrato ieri che finge di essere una banca è ovviamente falso

Cosa fare se hai cliccato

Non farti prendere dal panico, ma agisci subito:

  1. Non inserire nessun dato se la pagina è ancora aperta — chiudi tutto immediatamente
  2. Se hai già inserito la password, cambiala subito dal sito reale (non dal link che hai cliccato)
  3. Se hai inserito dati bancari, chiama la tua banca immediatamente e blocca la carta
  4. Esegui una scansione antivirus completa con Windows Defender + Malwarebytes
  5. Attiva la verifica in 2 passaggi su tutti i tuoi account importanti

Strumenti gratuiti di protezione

Hai ancora problemi?

Contattami su WhatsApp — risolvo da remoto in meno di 30 minuti.

Scrivimi su WhatsApp
Phishing Email Sicurezza Truffe
Tutti gli articoli