Un'email arriva da "INPS — Istituto Nazionale Previdenza Sociale". Il nome è scritto bene, il logo è lì, il testo suona ufficiale. Eppure qualcuno, da qualche parte nel mondo, l'ha spedita da un server vecchio comprato su internet per pochi euro. In questa guida impari a sollevare il cofano e leggere il vero indirizzo — quello che i truffatori nascondono.
01 — Il nome di facciata: cosa vedi e cosa si nasconde
Quando apri un'email, il tuo programma di posta — Gmail, Outlook, Apple Mail — ti mostra per prima cosa il cosiddetto «nome visualizzato» (in inglese display name). È la stringa leggibile che appare nel campo «Da:»: può essere «INPS — Servizio Comunicazioni», «Poste Italiane», «Amazon Customer Care». Quel nome lo sceglie liberamente chi spedisce il messaggio. Chiunque può scrivere qualsiasi cosa, senza alcuna verifica automatica.
Dietro il nome visualizzato c'è l'indirizzo email reale, racchiuso tra due parentesi angolari. Su Gmail da browser, per vederlo basta passare il mouse sopra il nome del mittente: appare un piccolo riquadro con l'indirizzo completo. Su Gmail da smartphone devi toccare il nome del mittente per espandere i dettagli. Su Outlook desktop l'indirizzo compare già accanto al nome nel pannello di lettura. Se non lo vedi subito, considera già questo un primo motivo per cercare.
Il trucco più usato dai truffatori è semplice: scrivono come display name qualcosa di rassicurante («noreply@inps.it» oppure «Sicurezza Bancaria — Intesa Sanpaolo»), mentre l'indirizzo reale è un dominio sconosciuto. Molte persone leggono solo il nome e non controllano mai l'indirizzo tra parentesi. Non è una colpa: i client di posta sono progettati per rendere la lettura veloce, e la velocità favorisce chi vuole ingannarti.
02 — Reply-To e Return-Path: le due bugie che si tradiscono
Oltre all'indirizzo mittente, ogni email porta in sé due campi meno noti: Reply-To e Return-Path. Il Reply-To indica dove finisce la tua risposta se premi «Rispondi». Il Return-Path indica dove vengono recapitati gli avvisi tecnici (ad esempio le notifiche di casella piena). In un'email legittima tutti e tre — mittente, Reply-To e Return-Path — usano lo stesso dominio. In un'email truffaldina spesso divergono.
Immagina di ricevere un messaggio apparentemente da noreply@inps.it. Se premi Rispondi e la risposta va a rimborso2026@gmail.com, quello è un segnale forte: l'INPS non usa caselle Gmail per ricevere risposte. Puoi verificare i domini ufficiali INPS nella pagina inps.it/it/it/dati-e-bilanci/come-funziona/canali-ufficiali: i canali di posta istituzionale usano esclusivamente domini @inps.it e @certmail.inps.it. Qualsiasi altro dominio è fuori standard.
Il Return-Path è ancora più difficile da falsificare, perché è gestito dai server intermedi di posta — non solo da chi spedisce. Se l'email dichiara di venire da inps.it ma il Return-Path mostra un dominio diverso come mail47.spamhost.ru, significa che i server di posta hanno registrato il vero percorso del messaggio. Questo campo non è visibile nell'interfaccia normale: lo trovi solo negli header completi, che impariamo a leggere nelle prossime sezioni.
03 — SPF e DKIM: il passaporto digitale del mittente (spiegato senza tecnicismi)
SPF sta per Sender Policy Framework. In parole povere: ogni organizzazione che gestisce un dominio email (ad esempio inps.it) pubblica su internet un elenco dei server autorizzati a spedire email a suo nome. Quando ricevi un'email, il server di posta del tuo provider controlla quell'elenco. Se il server mittente non è nella lista, il risultato SPF sarà «fail» o «softfail». Negli header completi lo leggi come una riga del tipo: «Received-SPF: fail».
DKIM (DomainKeys Identified Mail) funziona come una firma digitale apposta sul messaggio. Il server mittente «firma» l'email con una chiave privata; il server ricevente verifica la firma con la chiave pubblica pubblicata sul DNS del dominio. Se la firma non corrisponde — o manca del tutto — la riga DKIM-Signature sarà assente o riporterà «dkim=fail». Per un'email davvero spedita da inps.it la firma DKIM è sempre presente, perché l'INPS ha configurato correttamente la propria infrastruttura.
Non devi capire la crittografia per usare queste informazioni. Ti basta sapere che negli header completi devi cercare due righe. La prima: «Received-SPF: pass» (buono) oppure «fail/softfail» (segnale di allarme). La seconda: «dkim=pass» (buono) oppure «dkim=fail» o assente (segnale di allarme). Se entrambe segnalano un problema su un'email che dichiara di venire da un ente ufficiale, hai la conferma tecnica che il mittente è falsificato. Il CERT-AgID (cert-agid.gov.it), l'agenzia governativa italiana per la sicurezza informatica, documenta regolarmente campagne phishing che falliscono proprio questi controlli.
04 — Come aprire gli header completi: Gmail, Outlook, Apple Mail
Su Gmail da browser il percorso è: apri il messaggio, clicca sui tre puntini verticali in alto a destra del messaggio (non quelli della barra principale, ma quelli dentro il messaggio), poi seleziona «Mostra originale». Si apre una nuova scheda con tutti gli header su sfondo bianco. In cima trovi il riepilogo automatico di Gmail con i risultati SPF e DKIM già interpretati: cerca le righe «SPF:» e «DKIM:» — se entrambe riportano «PASS» sei a posto, altrimenti leggi con più attenzione.
Su Outlook desktop (versione Windows) apri il messaggio in una finestra separata con doppio clic, poi vai al menu File → Proprietà. In fondo alla finestra che si apre trovi il campo «Intestazioni Internet» con tutto il testo grezzo degli header. Su Outlook Web (il sito web mail.office.com) clicca i tre puntini in alto a destra del messaggio e seleziona «Visualizza origine messaggio». Su entrambe le versioni cerca le stesse stringhe: «Received-SPF», «DKIM-Signature», «Reply-To», «Return-Path».
Su Apple Mail (Mac) vai al menu Vista in alto sullo schermo, poi Messaggio, poi «Tutte le intestazioni». Le intestazioni compariranno direttamente sopra il corpo del messaggio. In alternativa puoi premere la scorciatoia Cmd + Shift + H. Su iPhone e iPad Apple Mail non mostra gli header completi direttamente: devi usare il sito web del tuo provider di posta da browser Safari, oppure forwarda il messaggio a te stesso e aprilo dal Mac.
Una volta aperta la schermata degli header, non devi leggere tutto: è testo denso e tecnico. Usa la funzione «Cerca nella pagina» (Ctrl+F su Windows, Cmd+F su Mac) e cerca la parola «SPF», poi «DKIM», poi «Reply-To», poi «Return-Path». Bastano queste quattro parole chiave per trovare le righe che ti servono.
05 — Tre esempi pratici con header annotati
Primo esempio — il classico finto INPS. Il campo «Da:» mostra «INPS Comunicazioni <noreply@inps.it>». Fin qui tutto bene in apparenza. Ma aprendo gli header originali su Gmail si legge: «Received-SPF: fail (google.com: domain of noreply@inps.it does not designate 185.220.xx.xx as permitted sender)». Traduzione: il server che ha spedito l'email (185.220.xx.xx, un server in Romania) non è nella lista dei server autorizzati dall'INPS. Il mittente è falsificato. Puoi verificare tu stesso: cerca su Google «INPS canali ufficiali email» — il primo risultato è inps.it/it/it/dati-e-bilanci/come-funziona/canali-ufficiali, dove è scritto esplicitamente quali indirizzi usa l'ente.
Secondo esempio — il Reply-To rivelatore. Un'email che dichiara «Da: Poste Italiane <noreply@posteitaliane.it>» contiene nel corpo un link e invita a rispondere per confermare l'identità. Aprendo gli header si vede: «Reply-To: assistenza.poste2026@outlook.com». Poste Italiane non usa caselle Outlook per ricevere risposte dai clienti. Sul sito poste.it/chi-siamo/media/canali-ufficiali è elencato l'unico canale email ufficiale per i clienti. Qualunque indirizzo che non sia su quel dominio è un segnale di truffa.
Terzo esempio — l'email autentica che sembra sospetta. Una comunicazione da «noreply@servizifiscali.agenziaentrate.gov.it» può sembrare strana perché il dominio è lungo e insolito. Ma aprendo gli header: «Received-SPF: pass», «dkim=pass», Return-Path su dominio gov.it. Per confermare che quel dominio è legittimo: apri agenziaentrate.gov.it, vai in fondo alla pagina, cerca «canali istituzionali» oppure cerca su Google «dominio ufficiale email agenzia entrate» — trovi la pagina fiscooggi.it e le comunicazioni ufficiali dell'ente che confermano i sottodomini autorizzati. In questo caso l'email è autentica, anche se il dominio suona sconosciuto.
06 — Il nome visualizzato usato come trappola: varianti avanzate
I truffatori più sofisticati non si limitano a scrivere «INPS» come display name. Alcune campagne — documentate dal CERT-AgID in bollettini pubblici su cert-agid.gov.it — usano come display name direttamente l'indirizzo email ufficiale: il campo «Da:» mostra «noreply@inps.it <truffe@mailserver22.xyz>». A una lettura frettolosa sembra che il mittente sia noreply@inps.it, perché quello è il testo che vedi. In realtà è solo il display name, e l'indirizzo reale è tra le parentesi angolari.
Un'altra variante usa caratteri Unicode simili a lettere latine. Il dominio «ìnps.it» (con una «i» accentata) visivamente è quasi identico a «inps.it». Questa tecnica si chiama IDN homograph attack e i browser moderni la segnalano, ma alcuni client email non sempre la evidenziano. La difesa: copia l'indirizzo mittente, incollalo in un documento di testo semplice (Blocco Note su Windows, TextEdit su Mac in modalità testo semplice) e guardalo con attenzione. I caratteri Unicode appaiono spesso diversi una volta fuori dal client email.
Una terza variante, più rara ma in crescita, riguarda i sottodomini creativi: «inps.rimborso2026.com». La parte «inps» è all'inizio e l'occhio si ferma lì. Ma il dominio registrato è «rimborso2026.com», non «inps.it». La regola da ricordare: leggi il dominio da destra, non da sinistra. Tutto ciò che viene prima dell'ultimo punto prima di .it, .com, .eu è il dominio vero. Tutto prima è un prefisso che chiunque può aggiungere liberamente.
07 — Perché i truffatori riescono a falsificare un mittente: il lato tecnico semplificato
Il protocollo email originale, chiamato SMTP, è stato progettato negli anni Ottanta senza meccanismi di autenticazione. In pratica, chiunque può spedire un'email dichiarando di essere chiunque — un po' come spedire una busta postale scrivendo nella rubrica del mittente il nome che vuole. SPF e DKIM sono stati aggiunti decenni dopo, come toppe, e non tutti i server li applicano con rigore.
Il risultato pratico è che alcuni provider di posta — soprattutto quelli gratuiti e meno aggiornati — consegnano comunque l'email anche se SPF fallisce, magari mettendola nello spam. Ma se sei su una rete aziendale o usi provider configurati in modo permissivo, l'email può arrivare direttamente in posta in arrivo con un bel nome «INPS» e nessun avviso.
DMARC è un ulteriore livello di protezione che gli enti seri come INPS e Agenzia delle Entrate hanno adottato: indica ai server riceventi cosa fare se SPF o DKIM falliscono (rifiuta, metti in quarantena, oppure non fare nulla). Se il dominio ha un record DMARC impostato su «reject» o «quarantine», le email false non dovrebbero arrivare nella posta in arrivo. Ma «non dovrebbero» non è «non arrivano mai»: la catena ha punti deboli, e il tuo occhio rimane l'ultimo filtro.
08 — Checklist 30 secondi per svelare un mittente sospetto
Passo 1 — Guarda l'indirizzo reale, non il nome. Passa il mouse sul nome del mittente (o toccalo su smartphone) e leggi l'indirizzo tra parentesi angolari. Se il nome dice «INPS» ma l'indirizzo è qualcosa di diverso da un dominio @inps.it, fermati subito. Verifica i domini ufficiali INPS su inps.it: nella sezione «Contatti» o cercando su Google «INPS indirizzi email ufficiali».
Passo 2 — Controlla il Reply-To. Premi «Rispondi» senza inviare nulla e guarda dove sarebbe indirizzata la risposta. Se è su un dominio diverso da quello del mittente dichiarato, non rispondere e chiudi. Verifica cercando su Google il nome dell'ente + «indirizzi email ufficiali» per confrontare.
Passo 3 — Apri gli header e cerca SPF e DKIM. Usa Ctrl+F (o Cmd+F su Mac) per cercare «SPF» e «DKIM» negli header originali. Se leggi «fail» accanto a uno dei due, il messaggio non è stato spedito dal server dichiarato. Non cliccare nessun link, non scaricare allegati.
Passo 4 — Leggi il dominio da destra. Prendi l'indirizzo mittente e leggilo da destra: il pezzo tra l'ultimo @ e la fine è il dominio vero. «noreply@inps-rimborsi.org» ha come dominio vero «inps-rimborsi.org», non «inps.it». Cerca quel dominio su Google: se non porta al sito ufficiale dell'ente, è falso.
Passo 5 — In caso di dubbio, telefona. Non rispondere all'email, non cliccare il link: chiama direttamente l'ente. INPS ha il numero verde 803 164 (gratuito da rete fissa, indicato su inps.it/it/it/contatti.html). Polizia Postale: 800 POSTAL (800 767 825) o il sito commissariatodips.it per segnalare. La telefonata dura due minuti e risolve ogni dubbio.
09 — Cosa fare se hai già cliccato o risposto
Se hai cliccato un link ma non hai inserito dati: chiudi immediatamente la pagina. Esegui una scansione antivirus aggiornata sul dispositivo (Windows Defender su Windows 10/11 è già integrato: aprilo da Start → Sicurezza di Windows → Protezione da virus e minacce → Analisi rapida). Cambia la password dell'account email da un dispositivo diverso, per sicurezza.
Se hai inserito credenziali o dati bancari: agisci nei prossimi dieci minuti, non domani. Chiama il numero antifrode della tua banca — ogni banca italiana ha un numero verde operativo 24 ore su 24 stampato sul retro della carta di credito o sul sito ufficiale (cerca su Google «blocco carta + nome della tua banca»). Chiedi il blocco immediato di carte e accessi. Poi cambia la password dell'home banking da un dispositivo pulito.
Fai una denuncia alla Polizia Postale: puoi farlo online su commissariatodips.it oppure recandoti al commissariato più vicino. La denuncia è importante non solo per te: aiuta le autorità a tracciare le campagne truffa e a bloccarle. Conserva l'email originale senza cancellarla — potrebbe servire come prova. Su Gmail puoi scaricarla nel formato .eml cliccando i tre puntini → «Scarica messaggio».
10 — La regola che vale sempre
Nessun ente pubblico italiano — INPS, Agenzia delle Entrate, Ministero dell'Economia — ti chiederà mai di cliccare un link in un'email per inserire credenziali, codici OTP o dati del conto corrente. Questa affermazione non è un'opinione: è scritta esplicitamente nelle pagine di sicurezza dei rispettivi siti. Su inps.it puoi cercare «sicurezza comunicazioni»; su agenziaentrate.gov.it cerca «phishing» nella barra di ricerca — trovi pagine dedicate che lo confermano.
La stessa regola vale per le banche: l'ABI (Associazione Bancaria Italiana) ha pubblicato le linee guida antifrode su abi.it, e ogni banca aderente le riprende nella propria sezione «Sicurezza». Se un'email ti chiede dati che un ente non ha mai motivo di chiederti via email, quella richiesta è già un segnale sufficiente per fermarsi — indipendentemente da quanto sembri autentica.
Tre secondi. Fanno la differenza.