Gli strumenti AI scrivono ora email di phishing grammaticalmente impeccabili e dall'aspetto genuinamente professionale, rendendo obsoleto il vecchio consiglio di cercare errori ortografici. Ma i truffatori lasciano ancora schemi rilevabili — nell'indirizzo mittente, nelle destinazioni dei link, nel linguaggio di urgenza e in ciò che ti chiedono di fare. Controllare questi sei segnali richiede meno di un minuto e blocca la maggior parte degli attacchi.
Per anni il consiglio era semplice: se un'email ha errori tipografici e frasi sgradevoli, probabilmente è una truffa. Questo consiglio è ora superato. Gli strumenti di scrittura AI producono testi raffinati e dall'aspetto naturale in pochi secondi, e le email di phishing di oggi sono spesso indistinguibili per tono e grammatica dalle comunicazioni reali delle aziende.
La buona notizia: i truffatori devono ancora fare i conti con realtà tecniche e psicologia umana che lasciano schemi rilevabili. Questi sei segnali non richiedono alcun software speciale — solo un momento di attenzione.
Controlla l'indirizzo mittente effettivo, non il nome visualizzato
Ogni client di posta mostra un nome "da", che chiunque può impostare con qualsiasi valore. "Team di sicurezza PayPal" può essere visualizzato da chiunque invii da truffatore123@dominiocasuale.xyz.
Clicca o tocca il nome del mittente per espanderlo e vedere l'indirizzo email completo. Guarda il dominio — la parte dopo il simbolo @. Se un'email che afferma di provenire dalla tua banca arriva da un dominio che non è l'indirizzo reale del sito della banca, è falsa. Fai attenzione a sostituzioni sottili come "paypa1.com" (il numero 1 invece della lettera l) o parole aggiunte come "paypal-support.com".
Passa il cursore su ogni link prima di cliccare
Su un computer, passa il cursore del mouse su qualsiasi link nell'email senza cliccare. L'URL di destinazione effettiva appare in basso a sinistra nel browser o nel client email. Sul telefono, tieni premuto un link per vedere l'URL di destinazione prima di aprirlo.
Confronta quell'URL con l'indirizzo reale del sito dell'azienda. Se non coincidono, non cliccare. Anche se il testo del link dice "amazon.com", la destinazione effettiva potrebbe essere qualsiasi posto.
Riconosci il linguaggio di urgenza e paura
L'AI rende le email truffa grammaticalmente perfette, ma non può rimuovere il meccanismo fondamentale che fa funzionare il phishing: il panico. I truffatori hanno bisogno che tu agisca prima di pensare.
Fai attenzione a frasi come "il tuo account verrà chiuso entro 24 ore", "azione immediata richiesta", "accesso non autorizzato rilevato" o "verifica ora per evitare la sospensione". Anche le aziende legittime inviano questo tipo di avvisi — ma ti danno giorni per rispondere, non ore, e non minacciano una perdita permanente nella prima frase. Quando un'email cerca di farti sentire fretta, è esattamente il momento in cui dovresti rallentare.
Nota quali informazioni ti vengono chieste
Le aziende reali quasi mai ti chiedono di confermare la tua password completa, il codice fiscale o i dati della carta di pagamento cliccando un link in un'email. Hanno già il tuo account. Quando un'email ti chiede di "confermare le tue informazioni" inserendole di nuovo da qualche parte, quello è il meccanismo centrale della truffa — raccogliere le tue credenziali.
Fai attenzione anche a richieste che sembrano leggermente strane per quell'azienda: una notifica di spedizione che ti chiede di pagare una tassa doganale, un servizio di streaming che ti chiede di aggiornare i dati di fatturazione cliccando un link, o un reparto IT che chiede le tue credenziali di accesso "per manutenzione".
Verifica tramite il canale ufficiale dell'azienda
Se un'email afferma che c'è un problema con il tuo account, non usare nessun link, numero di telefono o allegato in quell'email. Invece:
Apri una nuova scheda del browser e digita direttamente l'indirizzo dell'azienda — o usa un segnalibro che hai creato tu stesso. Accedi e verifica se lo stesso avviso appare nel tuo account. Chiama il servizio clienti usando il numero sul sito ufficiale dell'azienda o sul retro della tua carta, non un numero dall'email. Questo singolo passaggio blocca praticamente tutti gli attacchi di phishing.
Usa gli strumenti di segnalazione integrati nel tuo servizio email
Ogni servizio email principale — Gmail, Outlook, Apple Mail — ha un'opzione "segnala phishing" o "contrassegna come spam". Usala. Queste segnalazioni aiutano ad addestrare i filtri che proteggono tutti gli altri dalla stessa campagna.
Puoi anche inoltrare le email sospette a reportphishing@apwg.org, un'organizzazione no-profit che monitora le campagne di phishing a livello globale. Se l'email impersona un'azienda specifica, il team di sicurezza di quell'azienda vuole saperlo — cerca "nome azienda segnala phishing" per trovare il loro indirizzo dedicato.
Cosa provare dopo
Le email di phishing sono spesso il primo passo di un attacco più ampio. Le truffe di falsa assistenza clienti spiega cosa succede dopo che hai cliccato — come i truffatori impersonano i team di supporto dei veri brand e raccolgono le tue credenziali — e come trovare le informazioni di contatto reali di un'azienda. Per uno sguardo a come la voce generata dall'AI si inserisce in questi attacchi, le truffe con clonazione vocale AI spiega come suona la tecnologia e come stare al sicuro.



