Person bedient einen Laptop auf dem Tisch. Daneben liegen ein Stapel Papier und eine Tasse Kaffee.

Phishing

Significato, esempi e misure di protezione

L’autenticazione sistematica per i servizi online, i social media o i sistemi di pagamento fa ormai parte della vita quotidiana della maggior parte delle persone. I cyber criminali sfruttano questa routine per impossessarsi di dati sensibili come password o informazioni sulle carte di credito. Qui è possibile scoprire come riconoscere il phishing e proteggersi.

  •  Tempo di lettura: 11 minuti
  • Ultimo aggiornamento: aprile 2026
  • 1
    Nuovo contributo

L'essenziale in breve

  • I cyber criminali utilizzano il phishing per cercare di carpire dati sensibili come password e informazioni sulle carte di credito con l’aiuto di messaggi fraudolenti e siti web contraffatti.
  • Gli attacchi di phishing più recenti prevedono spesso due fasi: i truffatori entrano dapprima in possesso dei dati di accesso o delle informazioni sulle carte di credito e poi contattano nuovamente la vittima per richiedere i codici di verifica o le autorizzazioni alle transazioni.
  • Raccomandiamo di non inserire mai i propri dati di accesso su un sito web aperto tramite un link ricevuto in un messaggio come pure di non inoltrare mai a terzi i codici di verifica. Inoltre, occorre controllare attentamente ogni transazione prima di approvarla.
 Su questa pagina
Che cos’è il phishing?
Esempi
Assicurazione
Come riconoscere il phishing?
Domande e risposte

Che cos’è il phishing?

Il phishing è una forma di furto di identità che si verifica in Internet. I cyber criminali cercano di rubare dati sensibili come password e informazioni sulle carte di credito o di diffondere malware con l’aiuto di messaggi fraudolenti e siti web contraffatti.

Nella maggior parte dei casi, gli attacchi di phishing mirano a impossessarsi di un conto utente per ottenere un vantaggio finanziario. I metodi spaziano dal furto di denaro (Twint o e-banking) alla vendita di dati, dalla truffa nel contesto sociale della vittima all’estorsione nel caso dei malware.

I messaggi di phishing vengono inviati prevalentemente tramite uno dei seguenti canali:

  • e-Mail, SMS, WhatsApp o altri servizi di messaggistica dei social media;
  • telefonate;
  • piattaforme di vendita;
  • pubblicità nei motori di ricerca;
  • codici QR manipolati in lettere o in luoghi pubblici.

La parola «phishing» è una combinazione dei due termini inglesi «fishing» e «phreaking» e viene pronunciata come «fishing». Il vocabolo «phreaking» era utilizzato negli anni Sessanta e Settanta negli Stati Uniti per indicare la manipolazione delle reti telefoniche, un neologismo derivante dall’unione delle parole «phone» e «freak».

La caratteristica «ph» all’inizio del termine «phreaking» è diventata poi la sillaba distintiva della cultura degli hacker, ispirando infine anche la grafia della parola phishing. Probabilmente è proprio a causa del suono fuorviante «ph» all’inizio della parola che vengono impiegate numerose grafie errate come «phising», «pishing» o «fishing». Tradotto in italiano, il termine significa «pesca di dati».

Importante: sebbene lo si pensi spesso, la nascita della parola «phishing» non ha nulla a che fare con i termini inglesi «password» o «password harvesting». Si tratta piuttosto di un acronimo inverso, ovvero di una spiegazione trovata a posteriori per motivare in modo logico la grafia della parola (vedasi anche Data Science Lab der EPFL).

Phishing: phishing è il termine generico che indica i tentativi di inganno mediante messaggi fraudolenti e siti web contraffatti. I cyber criminali inviano messaggi di questo tipo per carpire password e informazioni sulle carte di credito di quante più persone possibili oppure per diffondere malware.

Spear phishing: diversamente dal phishing di massa, gli attacchi di spear phishing sono altamente personalizzati e quindi indirizzati specificamente a una determinata persona o azienda. Se l’attacco di phishing è diretto a una persona del top management, si parla anche di «whaling».

Phishing in tempo reale: questo tipo di phishing avviene in diretta. Spesso viene impiegato per appropriarsi di codici di verifica validi per poco tempo oppure per farsi autorizzare una transazione dalla vittima. Si verifica di sovente nelle app di messaggistica, durante l’elaborazione del pagamento sulle piattaforme di vendita o al telefono (vedasi anche «voice phishing»).

SMS phishing o «smishing»: in questo caso vengono spesso inviati a nome di servizi pacchi o banche messaggi SMS con un link a un sito web contraffatto. Sebbene il termine «smishing» si riferisca in senso stretto solo agli SMS, anche gli attacchi di phishing tramite WhatsApp o altri servizi di messaggistica rientrano in questa categoria.

Voice phishing o «vishing»: il voice phishing prevede una truffa tramite telefonata o messaggio vocale. I delinquenti si spacciano, ad esempio, per dipendenti di un servizio di supporto o autorità al fine di spingere la vittima a rivelare dei dati oppure ad approvare dei pagamenti. I truffatori impiegano spesso il voice phishing se sono già entrati in possesso di dati di accesso o numeri delle carte di credito. In relazione al voice phishing si parla anche di «phishing in tempo reale».

QR code phishing o «quishing»: i truffatori sostituiscono i codici QR reali (ad esempio ai parchimetri) oppure li inviano in lettere per condurre gli utenti, attraverso la loro scansione, su pagine di pagamento o login manipolate.

Search engine phishing: i criminali pubblicano inserzioni pagate su Google o Bing, che appaiono poi tra i primi risultati di una ricerca di «pagine di login all’e-banking» e indirizzano gli utenti su siti apparentemente autentici.

Come funziona il phishing?

Nella maggior parte dei casi, i cyber criminali inviano alla potenziale vittima un messaggio in cui si spacciano per un’organizzazione affidabile. Minacciando degli svantaggi (blocco del conto) oppure promettendo dei vantaggi (vincita in occasione di un concorso), invitano la potenziale vittima a cliccare su un link o ad aprire un allegato contenuto nel messaggio e a eseguire una determinata azione. I truffatori mettono pressione per indurre la loro vittima ad agire senza pensare.

Chi clicca sul link accede di solito a una pagina di login falsificata, sulla quale vengono rubati i dati di accesso o i numeri delle carte di credito. Gli allegati nei messaggi di phishing servono di solito alla diffusione di malware. L’apertura di un allegato di questo tipo può ad esempio causare la cifratura dei dati del computer o dell’intera rete.

Secondo l’Ufficio federale della cibersicurezza (UFCS), nel 2025 si sono verificati spesso attacchi di phishing in due fasi. I criminali entrano dapprima in possesso dei dati di accesso o delle informazioni sulle carte di credito mediante i messaggi di phishing o il search engine phishing e poi contattano telefonicamente la vittima per indurla a rivelare un codice di verifica o ad approvare una transazione.

E-mail

Amministrazione delle contribuzioni: la potenziale vittima viene informata di un presunto rimborso fiscale da quella che sembra essere l’Amministrazione delle contribuzioni (AFC). Per ottenerlo, occorre effettuare il login su un sito contraffatto, dove viene visualizzato un modulo da compilare con i dati della propria carta di credito.

Servizi di streaming: e-mail apparentemente provenienti da Netflix o Spotify segnalano un problema con il metodo di pagamento e minacciano un immediato blocco del conto. I truffatori mirano così a rubare le informazioni relative alla carta di credito della potenziale vittima mediante un sito contraffatto collegato.

Sicurezza della banca: un’e-mail inviata per conto di UBS, di PostFinance o di una banca cantonale invita la potenziale vittima a riattivare il proprio accesso a causa di nuove disposizioni di sicurezza come, ad esempio, «photoTAN» o «SecureGo». L’attacco mira al furto dei dati di accesso all’e-banking.

SMS (smishing)

Posta/dogana: la potenziale vittima viene informata tramite un SMS, che sembra provenire dalla dogana o da un corriere, in merito a un pacco che non può essere recapitato a causa di un dazio doganale scoperto di importo esiguo (ad esempio CHF 1.95). Dopo aver cliccato sul link viene richiesto di inserire i dati della propria carta di credito.

Servizio multe: la potenziale vittima riceve un messaggio in merito a una multa per divieto di sosta non pagata, con un termine breve per evitare spese supplementari. L’SMS di phishing mira al furto dei dati della relativa carta di credito.

WhatsApp o servizi di messaggistica

Truffa del nipote 2.0: un presunto parente scrive da un nuovo numero (ad esempio «Ciao mamma, il mio cellulare è rotto...») e chiede di effettuare urgentemente un pagamento Twint per far fronte a una situazione d’emergenza. Maggiori informazioni in merito alla truffa su Twint

Truffa del codice: un contatto della potenziale vittima le chiede di inoltrargli un codice SMS che questa ha appena ricevuto. In realtà, l’account del contatto è stato hackerato e i cyber criminali tentano ora di impossessarsi, ad esempio, dell’account WhatsApp della potenziale vittima con l’aiuto di tale codice.

Telefonata (vishing)

Autorità contraffatte: un messaggio registrato minaccia un arresto. L’obiettivo è farsi rivelare i dati ID o farsi versare una cauzione in criptovalute o tramite Twint.

Supporto della banca: un presunto collaboratore della sicurezza chiama la potenziale vittima, la avverte di una «transazione sospetta in corso» e la spinge a «bloccarla» nell’app della banca tramite l’inserimento di un codice (che, invece, la fa partire).

Piattaforme di vendita come Tutti, Ricardo o Facebook Marketplace

Pagamento anticipato richiesto dall’acquirente: un potenziale acquirente invia alla vittima un link che conduce a una pagina di pagamento (contraffatta) della Posta o di Twint, sui cui la vittima deve inserire i propri dati bancari per ricevere il denaro.

Pubblicità nei motori di ricerca (ad phishing)

Pagine di login contraffatte: quando si effettua su Google una ricerca di «pagine di login all’e-banking», tra i primi risultati appare un’inserzione pagata che imita perfettamente il sito della banca per carpire i dati di accesso della potenziale vittima.

Lettera (phishing offline) e codice QR (quishing)

Lettera della banca per posta: la potenziale vittima riceve una lettera all’apparenza ufficiale della propria banca con la richiesta di scansionare un codice QR per verificare il proprio conto ai fini di un aggiornamento di sistema. Sulla pagina di verifica contraffatta vengono prelevati tutti i dati di accesso al relativo e-banking.

Codici QR manipolati: nei pressi dei parchimetri o delle stazioni di ricarica elettrica i codici QR originali vengono sostituiti con adesivi che conducono a pagine di pagamento fraudolente. Qui vengono rubati, ad esempio, i dati della carta di credito della vittima.

Secondo l’Ufficio federale della cibersicurezza (UFCS), il phishing è uno dei principali metodi utilizzati per i cyber attacchi. Nel 2025 sono state infatti ricevute circa 65 000 segnalazioni di cyber eventi. All’incirca il 19% di questi è riconducibile direttamente al phishing. Si tratta pressoché di 12 000 casi notificati.

Gli esperti ritengono che il numero effettivo dei tentativi di phishing sia nell’ordine di milioni. Il totale complessivo delle segnalazioni nel 2025 è solo leggermente aumentato rispetto all’anno precedente (63 000), mentre a essere cambiata è la qualità degli attacchi, che oggi sono infatti più mirati e ingegnosi in confronto a quelli di due anni fa.

Sempre al sicuro con la cyber assicurazione della Mobiliare

La cyber assicurazione della Mobiliare entra in gioco se si rimane vittima di phishing. Qui è possibile scoprire di più sulla cyber assicurazione, calcolare senza impegno il premio assicurativo e decidere in seguito in tutta tranquillità.

La cyber assicurazione per la vita digitale di tutti i giorni
Prodotto

Cyber assicurazione

L'hard disk esterno con tutte le foto di famiglia non è sopravvissuto a un bagno di cola accidentale? L'assicurazione informatica della Mobiliare vi aiuta a recuperare i vostri dati e a ottenere il vostro denaro in caso di frode. 
Calcolare il premio

Come riconoscere il phishing?

La maggior parte degli attacchi di phishing induce le potenziali vittime a visitare siti web contraffatti, sui quali occorre immettere, ad esempio, i dati della propria carta di credito oppure i propri dati di accesso all’e-banking. Raccomandiamo di non inserire mai i propri dati di accesso su un sito web aperto tramite un link ricevuto in un messaggio.

Il simbolo del lucchetto indica solo che il collegamento è cifrato. Tuttavia, non bisogna dare per scontato che il sito web sia affidabile. La presenza dei seguenti indizi suggerisce che si tratti con molta probabilità di una pagina web contraffatta.

  • Sottodomini: posta.ch.controllo-sicurezza.com non è il sito web della Posta, bensì di controllo-sicurezza.com. Il vero indirizzo è riportato sempre direttamente prima dell’ultimo punto o dell’estensione (ad esempio «.ch» o «.com»).
  • Inversione di caratteri: «ubs-e-banking.ch» invece di «ubs.com/e-banking»
  • Estensioni criptiche: le autorità utilizzano in Svizzera il dominio «admin.ch», ad esempio «https://ncsc.admin.ch». I siti di phishing imitano spesso questi indirizzi con estensioni come «.net», «.info» o «.xyz» (esempio: «https://ncsc-admin.net»), poiché i domini dall’aspetto ufficiale con queste estensioni criptiche possono essere registrati a un prezzo inferiore.
  • Link morti: bisogna cliccare per prova sul colofone, sulle CG, sulle icone dei social media o sul pulsante per la modifica della lingua. Spesso sui siti contraffatti non accade nulla oppure si viene inoltrati di nuovo alla maschera di login.
  • Carta di credito al momento del login: nessuna banca svizzera chiede di inserire il numero della carta di credito e il codice CVC al momento del login all’e-banking.

I casi attuali di frodi informatiche sono riportati su Cybercrimepolice.ch, sul sito web dell’Ufficio federale della cibersicurezza (UFCS) e su Commissariatodips.it. Poiché da tempo il phishing non si limita più soltanto alle e-mail, di seguito mostriamo anche come riconoscere i tentativi di phishing tramite SMS o servizi di messaggistica, per telefono, nei motori di ricerca o mediante codici QR.

Dominio del mittente errato: l’indirizzo dopo la @ non corrisponde esattamente al sito web aziendale ufficiale (ad esempio «info@post-service.net» invece di «@post.ch»).

Pressione o esca: il messaggio sembra urgente. Vengono minacciate conseguenze gravi (blocco del conto, imposte, vie legali) o prospettati vantaggi (vincita in occasione di un concorso, rimborso).

Lingua scorretta: attenzione all’italiano stentato, ai mix di lingue diverse o agli appellativi generici («Gentile cliente»).

Ulteriori informazioni sono disponibili nella guida «Come riconoscere un’e-mail di phishing?».

Pacchi inaspettati: la potenziale vittima riceve un messaggio in merito a un pacco o a un dazio doganale sebbene non abbia ordinato nulla.

Numeri di cellulare sconosciuti: i messaggi provengono spesso da numeri di cellulare privati o da prefissi stranieri invece che da numeri di selezione rapida ufficiali.

Link abbreviati: l’URL viene reso irriconoscibile (ad esempio «bit.ly/xyz» oppure «t.co/abc») invece di condurre direttamente al sito web aziendale.

Spoofing di numeri: anche se sul display del telefono appare un numero ufficiale o addirittura il nome della propria banca, ciò non significa per forza che la telefonata arrivi effettivamente dal proprio istituto di credito.

Messaggi registrati: la chiamata inizia con una voce generata da un computer (spesso in inglese), che si spaccia, ad esempio, per la «polizia», l’«Interpol» o il «servizio di supporto di Microsoft».

Il chiamante spinge la potenziale vittima a premere un tasto, a installare un software con accesso remoto oppure ad approvare un pagamento tramite Twint.

Tag inserzione: il primo link in alto nella ricerca è segnalato come «inserzione» o «annuncio sponsorizzato». Questa cosa è piuttosto insolita per le pagine di login ufficiali delle banche.

URL sospetto: se la potenziale vittima clicca sull’inserzione, nella riga dell’indirizzo non viene visualizzato il vero dominio della banca (ad esempio «raiffeeisen.com» invece di «login.raiffeisen.ch»).

Immediata richiesta di dati: il sito richiede immediatamente il numero di carta di credito o il PIN, ancora prima che la potenziale vittima acceda all’e-banking.

Codici sostituiti: il codice QR presso un parchimetro o una stazione di ricarica sembra un adesivo al tatto oppure ha un aspetto diverso dal resto dell’apparecchio.

URL sospetto: lo smartphone mostra l’URL target prima dell’apertura del sito. In tal caso occorre verificare se l’indirizzo appartiene davvero all’offerente (ad esempio «easy-park-payment.xyz» è un URL sospetto).

Richiesta dei dati della carta di credito: dopo aver scansionato il codice QR, la potenziale vittima accede a una pagina che chiede di inserire i dati della carta di credito per un servizio normalmente pagato tramite app o Twint.

Domande e risposte

  1. Raccomandiamo di attivare l’autenticazione a due fattori per ogni conto online e di utilizzare password sicure.
  2. Non bisogna mai inserire i propri dati di accesso su un sito web aperto tramite un link ricevuto in un messaggio.
  3. Prima di indicare i dati della propria carta di credito o i propri dati di accesso occorre ogni volta controllare di essere effettivamente sul sito web dell’organizzazione interessata.
  4. Non va mai inoltrato a terzi un codice ricevuto per errore al proprio numero di telefono.
  5. In linea di principio, le informazioni sensibili non devono essere comunicate al telefono, a meno che non si sia chiamato il servizio di supporto della propria banca e ci si debba autenticare.
  6. Diffidare dei messaggi urgenti che chiedono di cliccare su un link o di aprire un allegato.

Di solito, con un semplice clic su un link non accade nulla di grave. Tuttavia, i truffatori sanno ora che l’indirizzo della potenziale vittima è attivo e che questa abbocca a tali esche. Se si sono inseriti dati sensibili, probabilmente i criminali possono impossessarsi del conto della vittima (vedasi risposta alla prossima domanda).

Consigliamo di cambiare immediatamente tutte le password dei conti interessati e, laddove possibile, di attivare l’autenticazione a due fattori. Occorre inoltre effettuare il logout da tutte le pagine visitate affinché le sessioni ancora attive vengano terminate. Se sono stati immessi i dati bancari o della carta di credito, è necessario far subito bloccare le proprie carte e il proprio accesso all’e-banking tramite il numero di emergenza della propria banca.

Nel caso in cui la banca non fosse raggiungibile, basta immettere il PIN o la password sbagliati tante volte finché la carta o il conto non vengono bloccati. Raccomandiamo anche di controllare se ci sono transazioni sospette sui propri conteggi. Se si subiscono danni finanziari occorre denunciare l’accaduto alla polizia e segnalare il caso all’Ufficio federale della cibersicurezza.

Nel caso di un danno finanziario causato da una truffa Internet assicurata interviene dapprima la protezione giuridica. Se questa non riesce a recuperare il denaro della persona assicurata, la cyber assicurazione della Mobiliare prende in esame un indennizzo per un massimo di 20 000 franchi. Di più sulla cyber assicurazione della Mobiliare

Importante: gli hacker devono essersi impossessati del denaro della persona assicurata in modo illegale. Se il denaro è stato versato sulla base di un’ipotesi errata (come, ad esempio, per la truffa d’amore), di norma non sussiste alcun caso di truffa assicurato.

Vale la pena essere particolarmente attenti anche in caso di ripetute autorizzazioni di pagamento tramite codici SMS o conferme app e controllare ogni volta con cura il nome della persona che richiede il pagamento nonché l’importo.

Per segnalare messaggi sospetti basta inoltrarli a reports@antiphishing.ch. Le segnalazioni sono utili per far bloccare più rapidamente i siti web fraudolenti in tutto il mondo.

Se si sono subiti danni finanziari, occorre denunciare il cyber delitto alla polizia e segnalare il caso all’Ufficio federale della cibersicurezza.

È interessato alla cyber assicurazione?

Calcolo del premio

Calcolare il premio senza impegno

Consulenza personale

Richiedere una consulenza
Ha trovato le informazioni che cercava?

Temi correlati

Le seguenti guide potrebbero interessarti.

Junger Mann im Zug, hält sein Smartphone in der Hand. Er ist zufrieden.
Guida

Come si riconoscono le e-mail di phishing?

Come riconoscere le e-mail di phishing, che cosa fare e qual è il comportamento corretto se si è stati ingannati da un’e-mail falsa.
Vishing: un uomo al cellulare come simbolo del voice phishing
Guida

Voice phishing: che cos’è il vishing?

Che cosa significa «vishing»? Come funziona la truffa del vishing e come ci si può proteggere?
Truffa su Twint
Guida

Come funziona precisamente una truffa su Twint?

Qui è disponibile una panoramica dei vari tentativi di truffa su Twint e dei modi in cui è possibile proteggersi.
Riconoscere le truffe online: esempio mail di phishing
Guida

Riconoscere le truffe online e agire correttamente

Internet offre innumerevoli possibilità. Possiamo ordinare prodotti, pagare fatture online o mantenere i contatti con amici. Ma c’è anche un altro lato della medaglia: le truffe online. Illustriamo come si presenta una truffa online, come proteggersi e a chi rivolgersi.