Ogni anno la Polizia Postale riceve decine di migliaia di segnalazioni legate al phishing bancario in Italia. Le email imitative sono sempre più curate: loghi perfetti, tono professionale, persino l'oggetto corretto. Eppure ci sono almeno cinque punti dove la maschera cade — e in questa guida li vediamo tutti, uno per uno.
01 — Come ti scrive davvero la tua banca
Prima di imparare a riconoscere un'email falsa, vale la pena capire come funziona la comunicazione autentica di una banca italiana. Unicredit, Intesa Sanpaolo, BPER e Poste Italiane (con il suo BancoPosta) pubblicano ciascuna una pagina dedicata ai propri canali ufficiali. Quella di Poste è raggiungibile su poste.it/sicurezza; quella di Intesa Sanpaolo su intesasanpaolo.com/it/sicurezza; quella di Unicredit su unicredit.it/sicurezza-online. Prima di tutto il resto, segnati queste pagine tra i preferiti del browser.
La regola fondamentale, scritta esplicitamente da tutte le banche italiane nelle proprie FAQ di sicurezza, è questa: nessuna banca ti chiede mai di inserire password, PIN, codice OTP o numero di carta attraverso un link contenuto in un'email. Se un'email ti chiede di fare esattamente questo, è quasi certamente una truffa — indipendentemente da quanto sembri autentica. Puoi verificarlo in trenta secondi aprendo il sito ufficiale della tua banca e cercando la voce 'sicurezza' o 'antifrode' nel menu.
Le banche usano l'email principalmente per notifiche passive: conferma di un bonifico già eseguito, estratto conto mensile, avviso di scadenza di un documento caricato sull'home banking. Quando devono chiederti qualcosa di sensibile — verifica identità, aggiornamento dati, accettazione di nuove condizioni — lo fanno attraverso l'app ufficiale (con notifica push autenticata) oppure con una lettera cartacea. Mai con un link nell'email che porta a un modulo di login esterno.
Un dettaglio utile: le email autentiche di BPER, Intesa e Unicredit non contengono mai un link diretto alla pagina di login. Se trovi un tasto 'Accedi al tuo conto' in un'email, questo è già un segnale da esaminare con attenzione. Le email autentiche, al limite, rimandano alla homepage del sito — non a una sottopage di login. Puoi confermarlo leggendo le linee guida antifrode pubblicate su ciascun sito ufficiale.
02 — Il dominio mittente: il primo posto dove guardare
Il dominio è l'indirizzo che trovi dopo la chiocciola (@) nel campo 'Da' di un'email. È il segnale più affidabile e anche il più facile da controllare — eppure molte persone non ci fanno caso. I domini ufficiali delle principali banche italiane sono pubblici e verificabili: Unicredit usa @unicredit.eu o @unicredit.it; Intesa Sanpaolo usa @intesasanpaolo.com; BPER usa @bper.it; Poste Italiane e BancoPosta usano @posteitaliane.it oppure @noreply.poste.it. Puoi verificare ciascuno aprendo la sezione 'Sicurezza' o 'Antifrode' del sito ufficiale della tua banca e cercando con Ctrl+F la parola 'email' o 'dominio'.
I truffatori costruiscono domini 'look-alike': indirizzi che assomigliano moltissimo a quelli reali, ma con una piccola differenza. Esempi tipici visti in Italia: unicredit-sicurezza.com, intesa-sanpaolo.info, bper-online.net, bancoposta-verifica.eu. Nota il pattern: il nome della banca c'è, ma è seguito da un trattino e da una parola come 'sicurezza', 'online', 'verifica', 'notifica'. Il dominio reale non contiene mai queste aggiunte.
Per smascherare un dominio look-alike basta cercare su Google la stringa esatta del dominio mittente, tra virgolette, aggiungendo il nome della banca. Per esempio: cerca "unicredit-sicurezza.com" unicredit su Google. Se non compare nessun risultato ufficiale di Unicredit e invece trovi segnalazioni su forum antifrode o su commissariatodips.it, hai la tua risposta. In alternativa, apri direttamente il sito della banca (digitando tu l'indirizzo nel browser, non cliccando il link) e cerca la lista dei domini ufficiali.
03 — I cinque segnali che svelano un phishing bancario
Segnale 1 — Urgenza inventata. Le email di phishing creano sempre una scadenza artificiale: 'Entro 24 ore il suo conto verrà sospeso', 'Agisca entro oggi o perderà l'accesso'. Le banche italiane reali non comunicano sospensioni di conto via email con scadenze di poche ore. Se una comunicazione ti mette fretta, prenditi invece trenta secondi per chiamare il numero verde ufficiale della tua banca — quello stampato sul retro della tua carta di credito o sul sito ufficiale.
Segnale 2 — Richiesta di credenziali o dati di carta. Come già detto, nessuna banca italiana chiede mai via email il tuo codice PIN, la password dell'home banking, il CVV della carta o un codice OTP. Se l'email te li chiede — anche indirettamente, con frasi come 'conferma la tua identità inserendo i dati' — è una truffa. Questa regola è scritta in chiaro su intesasanpaolo.com/it/sicurezza e su unicredit.it/sicurezza-online: usala come riferimento.
Segnale 3 — Link a portale fake. Prima di cliccare qualsiasi link in un'email bancaria, passa il cursore sopra (senza cliccare): nella barra in basso del browser o dell'app email apparirà l'indirizzo reale del link. Se quell'indirizzo non corrisponde esattamente al dominio ufficiale della banca (vedi sezione 02 per i domini corretti), non cliccare. Su smartphone, tieni premuto il link qualche secondo: la maggior parte delle app mostra un'anteprima dell'URL reale.
Segnale 4 — Intestazione generica. Le email autentiche di Intesa Sanpaolo, Unicredit e BPER ti chiamano per nome e cognome, perché la banca sa chi sei. Le email di phishing spesso usano formule generiche come 'Gentile cliente', 'Gentile utente', 'Spettabile correntista'. Non è una prova assoluta — alcune comunicazioni di massa usano intestazioni generiche anche se autentiche — ma in combinazione con altri segnali è un elemento rilevante.
Segnale 5 — Orario atipico. Controlla quando è stata inviata l'email. Le comunicazioni automatiche delle banche italiane vengono spedite in orari d'ufficio o al massimo nelle prime ore della mattina. Un'email bancaria inviata alle 02:47 o alle 23:15 è anomala. Non esclude del tutto l'autenticità, ma combinata con gli altri segnali è un indizio solido. L'orario si vede aprendo i dettagli del messaggio nella tua casella di posta.
04 — Esempi annotati: Unicredit, Intesa, BPER, BancoPosta
Pattern Unicredit. Il CERT-AgID (cert-agid.gov.it), l'ente governativo che monitora le minacce informatiche in Italia, ha documentato campagne di phishing che imitano Unicredit usando domini come unicredit-alert.com o unicredit-notifica.eu. Il testo tipo cita un 'accesso sospetto dal dispositivo non riconosciuto' e chiede di 'confermare l'identità'. Per verificare se hai ricevuto un'email simile: cerca su Google unicredit accesso sospetto phishing — troverai le segnalazioni CERT-AgID e le FAQ ufficiali di Unicredit che smentiscono questa modalità di contatto.
Pattern Intesa Sanpaolo. Le email fake che imitano Intesa usano spesso l'oggetto 'Importante: verifica del tuo profilo richiesta' e domini come intesa-sanpaolo-sicurezza.com. Il logo è copiato fedelmente dal sito reale. Il segnale che smonta tutto è il link: porta a un portale su un dominio completamente diverso da intesasanpaolo.com. Intesa Sanpaolo pubblica una pagina dedicata alle truffe su intesasanpaolo.com/it/sicurezza — includendo esempi di email false che circolano. Vale la pena visitarla una volta.
Pattern BPER. BPER Banca è meno conosciuta al grande pubblico rispetto ai colossi, ma i truffatori la imitano spesso proprio perché i clienti sono meno 'allenati' a riconoscerne le comunicazioni. Il pattern tipico usa domini come bper-banca-online.it e richiede 'l'aggiornamento obbligatorio dei dati di sicurezza entro 48 ore'. Il dominio ufficiale di BPER è esclusivamente bper.it. Puoi verificarlo cercando su Google BPER banca dominio email ufficiale — il primo risultato è la pagina sicurezza di bper.it.
Pattern BancoPosta. Poste Italiane è il brand più imitato in Italia per phishing, secondo i rapporti annuali del CERT-AgID. I domini fake più frequenti includono varianti come poste-sicurezza.info, bancoposta-verifica.net, postepay-alert.com. Poste Italiane ha una pagina dedicata (poste.it/sicurezza) dove elenca i propri domini ufficiali e pubblica esempi di email false in circolazione. I codici short code ufficiali per gli SMS di Poste sono 3920 e 4530: se ricevi un SMS da un altro numero che finge di essere Poste, è smishing.
05 — Perché funziona: la leva emotiva che i truffatori sfruttano
Capire perché cadiamo in queste trappole è importante quanto sapere riconoscerle. Il phishing bancario fa leva su un'emozione specifica: la paura di perdere qualcosa di importante. Un conto bloccato, un accesso non autorizzato, una carta sospesa — sono scenari che attivano una risposta di urgenza immediata nel nostro cervello. Quando siamo in modalità 'emergenza', la parte razionale rallenta e tendiamo ad agire in fretta senza verificare.
I truffatori lo sanno. Per questo costruiscono messaggi che combinano tre elementi: un problema percepito grave ('accesso sospetto'), una scadenza stretta ('entro 24 ore'), e una soluzione semplice ('clicca qui'). Il cerchio si chiude in modo apparentemente logico, e in trenta secondi di distrazione si può cliccare un link che non andava cliccato. Riconoscere questo meccanismo non elimina la risposta emotiva — ma dà il tempo di fare una pausa prima di agire.
La pausa è tutto. Prima di cliccare qualsiasi link in un'email bancaria che crea urgenza, fai una cosa sola: chiudi l'email e apri l'app ufficiale della tua banca. Se c'è davvero un problema con il tuo conto, lo vedrai lì. Se nell'app non c'è nessun avviso, l'email era falsa. Questa regola funziona nel 100% dei casi e non richiede nessuna competenza tecnica.
06 — Numeri verdi e canali di verifica ufficiali per ciascuna banca
Avere i numeri ufficiali delle banche salvati in rubrica è una delle difese più pratiche contro il phishing. Eccoli, tutti verificabili sui rispettivi siti ufficiali. Unicredit: numero verde 800 57 57 57 (da rete fissa) oppure +39 02 3240.1 dall'estero — verificabile su unicredit.it/contattaci. Intesa Sanpaolo: 800 303 303 (da fisso) o 02 3600 (da mobile) — verificabile su intesasanpaolo.com/contatti. BPER Banca: 800 902 060 — verificabile su bper.it/contatti. Poste Italiane / BancoPosta: 803.160 (da rete fissa, gratuito) o 06 4526.3322 da mobile — verificabile su poste.it/informazioni/contatti.html.
Quando chiami uno di questi numeri per verificare la legittimità di un'email sospetta, non fornire mai credenziali o codici OTP all'operatore che risponde, anche se sembra autentico. Le banche italiane dichiarano esplicitamente nelle proprie policy che i loro operatori non chiedono mai PIN o OTP al telefono. Se l'operatore li chiede, riaggancia e richiama dal numero ufficiale che trovi sul sito.
Oltre al telefono, puoi usare la chat interna all'app ufficiale della tua banca. L'app — scaricata dagli store ufficiali Apple App Store o Google Play Store cercando il nome esatto della banca — è il canale più sicuro perché richiede la tua autenticazione per accedere. Qualunque comunicazione che trovi dentro l'app autenticata è autentica per definizione. Qualunque comunicazione che arriva via email e ti chiede di uscire dall'app per fare qualcosa merita un secondo sguardo.
07 — Hai cliccato il link: cosa fare nei prossimi dieci minuti
Se hai cliccato un link sospetto ma non hai inserito nessun dato, il rischio è basso. Chiudi la pagina, non tornare su quel link, e segnala l'email come 'phishing' o 'spam' nel tuo client di posta. Se usi Gmail, c'è il tasto 'Segnala come phishing' nel menu dei tre puntini accanto all'email. Se usi un client di posta del provider italiano (Libero, Virgilio, Tim Mail), cerca la funzione equivalente nelle opzioni del messaggio.
Se invece hai inserito le tue credenziali bancarie su una pagina fake, agisci nell'ordine seguente. Primo: cambia subito la password dell'home banking dalla app ufficiale o dal sito ufficiale (digitando tu l'indirizzo nel browser, non cliccando link). Secondo: blocca temporaneamente la carta di credito o debito dalla app ufficiale — tutte le principali banche italiane hanno questa funzione nella sezione 'Carta' o 'Gestione carta'. Terzo: chiama il numero verde della tua banca (vedi sezione 06) e comunica l'accaduto: possono monitorare il conto per movimenti sospetti.
Quarto: sporgi denuncia alla Polizia Postale. Non è un passo da rimandare — è importante per fermare la truffa e per avere una tutela legale in caso di movimenti fraudolenti successivi. Puoi farlo online su commissariatodips.it/segnalazioni oppure recandoti fisicamente all'ufficio di Polizia Postale più vicino. La segnalazione online richiede circa dieci minuti e non ha costi. Porta con te (o allega) uno screenshot dell'email ricevuta.
Infine, controlla i tuoi estratti conto nelle settimane successive. Se noti movimenti che non riconosci — anche piccoli, perché i truffatori spesso testano la carta con microtransazioni prima di procedere con importi maggiori — contatta immediatamente la banca per il blocco e la contestazione dell'addebito. I tempi per la contestazione variano da banca a banca, ma in genere vanno dai 30 agli 60 giorni dalla data del movimento.
08 — Tre abitudini che costruiscono una difesa duratura
La prima abitudine è la più semplice: non cliccare mai link bancari ricevuti via email. Sempre. Senza eccezioni. Se la tua banca ti comunica qualcosa di importante, apri l'app oppure digita tu l'indirizzo nel browser. Questo elimina alla radice il rischio di finire su un portale fake, qualunque sia la qualità dell'email ricevuta. Non è paranoia: è la stessa regola che le banche italiane raccomandano nelle proprie guide di sicurezza.
La seconda abitudine è attivare le notifiche push per ogni movimento sul conto. La maggior parte delle app bancarie italiane permette di ricevere una notifica in tempo reale per ogni transazione, anche piccola. Se qualcuno usa le tue credenziali per fare un pagamento, lo saprai entro secondi — e potrai bloccare la carta prima che facciano danni maggiori. Questa funzione si attiva nelle impostazioni dell'app, di solito sotto 'Notifiche' o 'Avvisi'.
La terza abitudine è salvare in rubrica i numeri verdi ufficiali della tua banca (vedi sezione 06) e usarli come primo punto di contatto in caso di dubbio. Avere il numero già pronto riduce la tentazione di rispondere direttamente all'email sospetta o di cercare il numero su Google in un momento di stress — perché i risultati di Google potrebbero includere siti fake che mostrano numeri falsi. Salva il numero ora, con calma, dalla pagina ufficiale della banca.
09 — Una lista di controllo in trenta secondi
Quando ricevi un'email che sembra provenire dalla tua banca, fai queste tre domande in ordine. Prima: il dominio mittente corrisponde esattamente a quello pubblicato nella pagina sicurezza del sito ufficiale della banca? (Apri la pagina e confronta — non usare la memoria.) Seconda: l'email chiede di inserire password, PIN, OTP o dati di carta? Se sì, è truffa — nessuna banca lo fa via email. Terza: c'è un link che porta a una pagina di login esterna all'app? Se sì, non cliccare.
Se la risposta alla prima domanda è 'no' o 'non so', tratta l'email come sospetta. Se la risposta alla seconda o alla terza è 'sì', tratta l'email come truffa. In caso di dubbio dopo queste tre domande, chiudi l'email e chiama il numero verde ufficiale della tua banca. Trenta secondi di verifica valgono più di qualunque clic affrettato.
Stampa questa lista o salvala come nota sul telefono: 1) Dominio mittente corretto? Verifica su sito ufficiale. 2) Chiede credenziali o dati carta? Truffa. 3) Link a pagina login esterna? Non cliccare. 4) Dubbio? Chiama il numero verde. Tre secondi. Fanno la differenza.
10 — Metti alla prova quello che hai imparato
Leggere una guida aiuta a costruire la consapevolezza. Ma la vera padronanza arriva quando ci si allena su casi concreti: email simulate, link da esaminare, mittenti da smascherare. La palestra FermoUnAttimo dedicata alle email e alle truffe ti propone scenari realistici ispirati ai pattern italiani più diffusi — Poste, Unicredit, Intesa, BPER — con spiegazioni passo per passo dopo ogni scelta.
Non serve nessuna competenza tecnica per iniziare. Ogni esercizio dura pochi minuti e puoi farlo dal telefono o dal computer, quando vuoi. L'obiettivo non è diventare esperti di informatica: è riconoscere i segnali giusti nel momento in cui arriva l'email sbagliata.