Un'email arriva con un allegato. Il nome dice "Fattura_marzo.pdf". Il mittente sembra la tua banca. Il dito si avvicina al doppio clic. Ferma un attimo: capire cosa c'è davvero in quel file richiede tre secondi, non tre lauree.
01 — La regola d'oro: mai aprire un allegato non richiesto
La regola è semplice, ma vale la pena ripeterla ad alta voce: se non hai chiesto tu quell'allegato, non lo aprire. Non importa quanto sembri ufficiale. Non importa se il mittente è la tua banca, il commercialista, l'INPS o Amazon. Se un file arriva senza che tu lo aspettassi, la prima mossa è fermarsi.
Il motivo non è la paranoia. È la statistica. Secondo i rapporti annuali di CERT-AgID (l'ente pubblico italiano che monitora le minacce informatiche, raggiungibile su cert-agid.gov.it), la grande maggioranza delle infezioni da malware in Italia avviene proprio tramite allegati email. Non tramite siti oscuri o programmi pirata: tramite un file in una casella di posta apparentemente normale.
Una banca vera — Intesa Sanpaolo, UniCredit, Poste Italiane — non ti manda mai un documento eseguibile via email senza che tu lo abbia richiesto. Lo stesso vale per INPS e Agenzia delle Entrate. Se ricevi un allegato 'urgente' da uno di questi enti, la prima cosa da fare è andare sul sito ufficiale (es. inps.it, agenziaentrate.gov.it) o chiamare il numero verde indicato sul sito — non rispondere all'email e non aprire nulla.
La regola d'oro non significa buttare via tutto. Significa fare una pausa di tre secondi. Chiedersi: 'Ho chiesto io questo file? Mi aspettavo questo documento?' Se la risposta è no, la guida che stai leggendo ti dice esattamente cosa fare invece.
02 — I tipi di allegato davvero pericolosi
Non tutti gli allegati sono uguali. Alcuni formati sono quasi innocui da soli (un'immagine .jpg, un testo .txt senza macro); altri sono progettati per eseguire codice sul tuo computer nel momento in cui li apri. Conoscere le categorie ti permette di calibrare la reazione.
Il caso più diretto è il file .exe: un programma vero e proprio, travestito da documento. I truffatori lo rinominano spesso 'Fattura_2025.exe' o 'Contratto.pdf.exe'. Su Windows, l'estensione .exe viene a volte nascosta di default: potresti vedere solo 'Fattura_2025' con un'icona che sembra un PDF. Per vedere sempre le estensioni reali su Windows 10/11, apri Esplora File → menu Visualizza → spunta 'Estensioni nomi file'. Fatto questo, .exe si vede sempre.
Gli archivi compressi .zip e .rar sono un secondo vettore classico. L'email dice 'ti allego i documenti richiesti', dentro lo ZIP c'è un .exe o un .js (JavaScript) che si lancia da solo. Aprire lo ZIP non è sufficiente per infettarsi: il pericolo arriva quando si esegue il file al suo interno. La precauzione è la stessa: se non hai richiesto tu quell'archivio, non estrarne il contenuto.
I file Office con macro — estensioni .docm, .xlsm, .pptm — meritano una sezione a parte (la trovi subito dopo). Per ora basta sapere che il suffisso 'm' nella sigla significa 'con macro abilitate': è un segnale di allerta.
Infine, i PDF non sono sempre innocui. Un PDF può contenere link nascosti che portano a pagine di phishing, oppure — in rari casi con versioni vecchie di Adobe Reader — script incorporati. Il rischio principale dei PDF truffa è il link: sembra un pulsante 'Verifica identità' o 'Accedi al documento', ma porta a un sito falso. Verifica sempre l'URL prima di cliccare: in Adobe Reader e nei browser, passare il mouse sul link mostra l'indirizzo reale in basso a sinistra.
03 — Macro Office: cosa sono e perché disabilitarle di default
Una macro è una piccola sequenza di istruzioni automatiche incorporata in un file Word o Excel. Nasce per usi legittimi: un foglio contabile che si aggiorna da solo, un modulo che compila campi automaticamente. Ma la stessa tecnologia può essere usata per scaricare ed eseguire un virus nel momento in cui apri il file.
La truffa funziona così: ricevi un file .docm con oggetto 'Fattura non pagata' o 'Verbale riunione'. Quando lo apri, Word mostra un banner giallo in cima: 'Il contenuto è stato disabilitato. Abilita le macro per visualizzare il documento.' Se clicchi su 'Abilita contenuto', la macro si esegue e il danno è fatto. Il banner giallo è esattamente il meccanismo di protezione che Microsoft ha messo: non cliccare mai 'Abilita' su un file che non hai richiesto tu.
Come verificare che le macro siano disabilitate di default sul tuo computer? In Microsoft Word (versione 2016 o successive): apri il menu File → Opzioni → Centro protezione → Impostazioni Centro protezione → Macro. Seleziona 'Disabilita tutte le macro con notifica'. Questa impostazione fa sì che Word ti avvisi ogni volta, senza eseguirle in automatico. Microsoft descrive questa procedura sulla propria pagina di supporto ufficiale: cerca su Google 'impostazioni macro Word microsoft support' per trovare la guida aggiornata alla tua versione.
Se usi un Mac con Microsoft Office, il percorso è leggermente diverso: Word → Preferenze → Sicurezza → Macro. La logica è identica. Se invece usi LibreOffice (la suite gratuita open source), vai su Strumenti → Macro → Sicurezza macro → imposta il livello su 'Alto' o 'Molto alto'.
04 — Come scansionare un file sospetto con VirusTotal
Hai ricevuto un allegato e non sei sicuro. Non lo hai ancora aperto. Cosa fai? Lo controlli prima su VirusTotal.com, un servizio gratuito di Google che analizza un file con oltre 70 motori antivirus diversi in pochi secondi. Non serve installare niente. Serve solo un browser.
Ecco la procedura passo per passo. Prima: salva il file allegato sul desktop, ma NON aprirlo (con Gmail e Outlook Web puoi scaricare senza aprire: clicca con il tasto destro sull'allegato e scegli 'Scarica' oppure 'Salva come'). Seconda: apri il browser e vai su virustotal.com. Terza: nella schermata principale vedi un grande riquadro con scritto 'Choose file'. Trascina il file dal desktop in quel riquadro, oppure clicca e selezionalo. Quarta: attendi 20-40 secondi. VirusTotal ti mostra un report con il numero di motori che hanno rilevato qualcosa di sospetto.
Come leggere il report? Se vedi '0 / 72' o '1 / 72' con un nome generico, il file è probabilmente sicuro (un singolo rilevamento può essere un falso positivo). Se vedi '5 / 72' o più, e i nomi includono parole come 'Trojan', 'Dropper', 'Backdoor', 'Phishing', elimina il file immediatamente e non riaprirlo mai. Se il numero è tra 2 e 4, procedi con cautela: se non hai richiesto tu quel file, eliminalo comunque — il dubbio è sufficiente.
Una nota importante sulla privacy: quando carichi un file su VirusTotal, quel file viene condiviso con i ricercatori di sicurezza. Non caricare mai documenti con dati personali sensibili (carta d'identità, estratto conto, contratti). Per questi casi usa l'antivirus installato sul tuo computer, oppure contatta il tuo fornitore di supporto informatico di fiducia.
05 — L'anteprima di Gmail: aprire senza scaricare
Gmail offre una funzione molto utile che molti non conoscono: l'anteprima in-browser degli allegati. Cliccando sull'icona 'occhio' che appare sull'allegato (o sul nome del file con un clic singolo, non doppio), Gmail mostra il contenuto del documento direttamente nella finestra del browser, senza scaricarlo sul computer e senza eseguire nessun codice. Questo vale per PDF, immagini, file Word e Excel base.
L'anteprima è sicura perché il file non viene mai salvato sul tuo disco fisso. Se si tratta di un PDF con un link sospetto, lo vedi comunque nella anteprima e puoi decidere se è il caso di cliccarci. Se si tratta di un documento Word con testo strano o proveniente da mittente inatteso, puoi leggerlo e poi eliminarlo senza rischi.
Attenzione: l'anteprima non è uno strumento di analisi malware. Se il file è un .exe, Gmail in genere blocca già il download e ti avvisa con un messaggio in rosso ('Gmail ha bloccato il download di questo allegato perché potrebbe contenere un virus'). Se vedi quel messaggio, il file va eliminato senza eccezioni. Gmail lo segnala sulla base della propria analisi automatica, ma non è infallibile: per i file non bloccati ma sospetti, usa VirusTotal come descritto sopra.
Outlook Web (il servizio Microsoft accessibile da outlook.com o office.com) ha una funzione analoga chiamata 'Visualizzazione rapida' o 'Visualizza online'. Funziona con lo stesso principio: il file viene aperto nel cloud Microsoft, non sul tuo computer. Se usi Outlook installato sul desktop invece del browser, la situazione è diversa: in quel caso il download avviene sul disco e le protezioni dipendono dal tuo antivirus locale.
06 — Cosa fare se hai già aperto un allegato sospetto
Succede. Hai aperto il file prima di leggere questa guida, oppure il clic è partito per sbaglio. La prima cosa da fare è non farsi prendere dal panico — ma agire in modo rapido e ordinato.
Primo passo: disconnetti il computer da internet. Se sei collegato via cavo Ethernet, stacca il cavo. Se sei su Wi-Fi, disattiva il Wi-Fi dalle impostazioni (o spegni il router). Questo interrompe l'eventuale comunicazione del malware con i server dei truffatori, riducendo i danni. Non spegnere ancora il computer.
Secondo passo: esegui subito una scansione completa con l'antivirus. Su Windows 10 e 11 è installato di default Windows Defender (nome ufficiale: Microsoft Defender Antivirus). Per avviare una scansione completa: apri il menu Start → cerca 'Sicurezza di Windows' → Protezione da virus e minacce → Analisi → Analisi completa. Questa operazione può richiedere 30-60 minuti. Se l'antivirus trova qualcosa, segui le istruzioni a schermo per mettere in quarantena o eliminare il file.
Terzo passo: cambia le password degli account più importanti da un altro dispositivo (smartphone o tablet) che non è stato esposto al file sospetto. Inizia da email, home banking e qualunque account con dati di pagamento. Se hai un home banking con Intesa Sanpaolo, UniCredit o Poste, chiama il numero verde indicato sul retro della tua carta per bloccare preventivamente i pagamenti online in attesa di chiarimento.
Quarto passo: se sospetti che i tuoi dati siano stati rubati, puoi segnalare l'incidente alla Polizia Postale tramite il portale commissariatodips.it (sezione 'Reati informatici' → 'Segnalazione'). Non è obbligatorio, ma aiuta le autorità a monitorare i pattern di attacco in Italia e può essere utile in caso di danni successivi da documentare.
07 — Tre abitudini quotidiane che riducono il rischio
Le regole tecniche servono poco se non diventano abitudini. Tre comportamenti semplici, applicati ogni giorno, coprono la grande maggioranza dei rischi legati agli allegati.
Prima abitudine: leggi sempre il mittente completo prima di guardare l'allegato. Non il nome visualizzato ('Poste Italiane'), ma l'indirizzo email reale. In Gmail, clicca sul nome del mittente per espanderlo. In Outlook, passa il mouse sopra. Se l'indirizzo è qualcosa come 'comunicazioni@poste-clienti.info' invece di '@posteitaliane.it', è una bandiera rossa. Per verificare i domini ufficiali di Poste, apri poste.it e cerca 'sicurezza canali ufficiali', oppure vai direttamente su poste.it/sicurezza.
Seconda abitudine: se hai dubbi su un documento che potrebbe essere legittimo (una fattura da un fornitore, una comunicazione da un ente), contatta il mittente per via separata prima di aprire l'allegato. Chiama il numero ufficiale che trovi sul sito dell'azienda — non rispondere all'email né usare numeri indicati nell'email stessa. Questa verifica richiede due minuti e azzera il rischio.
Terza abitudine: tieni il sistema operativo e l'antivirus sempre aggiornati. Gli aggiornamenti di Windows e macOS tappano le falle di sicurezza che i malware sfruttano. Su Windows 11: Start → Impostazioni → Windows Update → Verifica disponibilità aggiornamenti. Gli aggiornamenti automatici sono attivi di default: assicurati che non siano stati disattivati. Su macOS: menu Apple → Preferenze di Sistema → Aggiornamento Software.
08 — Una checklist rapida prima di ogni apertura
Quando arriva un allegato, questa lista di cinque domande ti porta dall'incertezza a una decisione in meno di un minuto. Stampala e tienila vicino al computer, almeno all'inizio.
1) Ho richiesto io questo documento? Se la risposta è no, passa alla domanda 2 con più attenzione. 2) Conosco il mittente e l'indirizzo email completo è quello ufficiale dell'azienda? Verifica su Google ('sito ufficiale [nome azienda]') e confronta il dominio. 3) L'estensione del file è sicura? Un .pdf, .jpg o .png di solito sì. Un .exe, .docm, .xlsm, .zip, .js, .vbs no — o meglio: richiedono il passaggio successivo. 4) Ho già scansionato il file su virustotal.com? Se non l'ho fatto e ho dubbi, lo faccio adesso. 5) Se ancora non sono sicuro, ho chiamato il mittente per confermare?
Questa checklist non è un ostacolo burocratico: è il tempo che separa un normale martedì mattina da una settimana di stress per recuperare un account compromesso. Tre secondi. Fanno la differenza.