In questo periodo storico le email di phishing si sono molto evolute. Sono lontani i tempi degli strafalcioni grammaticali e delle traduzioni automatiche improbabili: oggi i contenuti sono verosimili, ben scritti e strutturati. Questo salto di qualità è dovuto all’utilizzo di tecnologie avanzate e ai testi generati e rifiniti dall’Intelligenza Artificiale.
Navigando sui social, capita sempre più spesso di imbattersi in siti clone sponsorizzati, che replicano fedelmente le vetrine di grandi marchi e offrono prodotti a prezzi stracciati. A rendere il tutto più credibile (e pericoloso) è il fatto che, a volte, a condividere e recensire questi siti fake siano i nostri stessi contatti. In realtà, i loro account sono stati espropriati da malintenzionati che li usano in modo fraudolento per promuovere merce apparentemente conveniente, ma inesistente. Insomma, vere e proprie truffe.
Ma come fanno questi criminali informatici ad appropriarsi degli account altrui, sfruttando la fiducia che riponiamo nei nostri conoscenti? Vi spiego la tecnica, così da mettervi in guardia.
Nessuno è immune: il caso di Andrea Galeazzi
Innanzitutto una premessa doverosa: non c’è vergogna nell’esserci cascati, può succedere a tutti. Noi informatici abbiamo conoscenze e strumenti che ci mettono in allerta, ma chi non è del mestiere è un bersaglio ancora più facile. Inoltre, basta abbassare la guardia un attimo, in un momento di stanchezza o debolezza, per essere tratti in inganno anche se si è esperti.
È successo di recente anche ad Andrea Galeazzi, noto volto tech italiano. A inizio 2026, ha abbassato la guardia e ha consegnato le “chiavi” del suo account Google a chi poi ha cambiato le serrature, tagliandolo fuori dai suoi profili social e avviando live truffaldine sulle criptovalute su YouTube.
Il mezzo utilizzato è stata un’email da parte di un falso produttore di cuffie che lui avrebbe dovuto recensire (una richiesta normalissima per il suo lavoro). Il link sembrava portare alla pagina ufficiale e, approfittando della routine, lo youtuber non ha controllato a sufficienza. Il sito fraudolento chiedeva di verificare il numero di follower su YouTube, una prassi plausibile per le aziende che vogliono misurare l’impatto di una campagna marketing. A quel punto è apparsa una reale schermata di Google che chiedeva le autorizzazioni di accesso; Galeazzi ha acconsentito senza accorgersi che i permessi richiesti erano totali ed eccessivi. Il tempo di ripensarci e la password era già stata cambiata.
“Puoi votare per mio nipote?”: la mia esperienza
Vi spiego ora cosa stava succedendo a me.
Si riceve un messaggio su WhatsApp o via email con un contenuto plausibile e personalizzato, inviato da un contatto noto.
Nel mio caso, un cliente mi ha inviato a tarda sera un messaggio chiamandomi per cognome – probabilmente in modo automatico in base a come mi aveva registrato in rubrica – e chiedendomi di votare per il suo “nipote Alessandro” in un concorso per assegnare il ruolo principale in uno spettacolo teatrale della scuola. Seguiva un link (vote****.icu) che sembrava portare al sito della scuola.
In un primo momento gli ho risposto “ok”, ma poi ci ho pensato su e ho chiesto a una chat AI di analizzare il link per navigare lì al posto mio capire se fosse un tentativo di phishing. L’AI mi ha confermato i sospetti e spiegato la truffa.
La dinamica è infida: l’account del mittente è già infetto e sotto il controllo dei truffatori. Questi usano strumenti automatici per inviare messaggi mirati ai contatti in rubrica, mantenendo lo stesso appellativo con cui si è salvati (“Ciao Papozzo”, “Ciccio ho bisogno del tuo aiuto”, ecc.). Seguendo il link (che a volte chiede donazioni urgenti, altre volte un semplice voto), viene richiesto di confermare l’operazione inserendo un codice ricevuto via SMS. In realtà, quel codice è il PIN temporaneo di sicurezza inviato da WhatsApp, necessario per associare il proprio account a un nuovo smartphone virtuale in possesso dell’hacker. Il codice arriva davvero da WhatsApp, perché è la prassi di sicurezza dell’app, ma inserendolo sul sito fake regaliamo il nostro profilo al malintenzionato, che continuerà la truffa a catena sui nostri contatti.
Il futuro delle truffe: cloni vocali e chat automatizzate
E questo è solo l’inizio. In futuro, l’AI al servizio dei criminali informatici potrà chattare attivamente fingendosi il nostro contatto, analizzando la cronologia per copiarne lo stile, il tono e trovare argomenti esca sempre più credibili. Analizzando i vecchi messaggi vocali – non è fantascienza, è già realtà – potranno riprodurre la voce esatta e il modo di parlare della persona. La vittima sarà assolutamente convinta di parlare con l’amico di sempre.
Come difendersi: le contromisure
I malintenzionati fanno leva su fattori emotivi precisi: l’urgenza, i prezzi stracciati, le offerte a tempo o il desiderio di aiutare un conoscente. Questo deve essere il vostro primo campanello d’allarme.
Ecco i miei consigli per non farsi fregare:
-
Analizzate sempre i link: Guardate con attenzione dove porta un URL. Se il dominio è costruito in modo anomalo (ad esempio
abattoir.grandeconcorso.com), fate molta attenzione: il dominio reale ègrandeconcorso.come chiunque può registrare i sottodomini (come la parola “abattoir” all’inizio) solo per ingannare l’occhio. -
Cambiate canale di comunicazione: Se ricevete un messaggio o un’email sospetta, contattate il vostro conoscente attraverso un mezzo diverso. Se vi scrive in modo anomalo su WhatsApp, chiamatelo al telefono; se vi manda un’email strana, mandategli un messaggio per chiedere conferma.
-
Sfruttate l’autenticazione a due fattori (2FA): Usate i metodi di sicurezza più avanzati. La truffa del voto, ad esempio, non avrebbe funzionato con me nemmeno se avessi inserito il codice SMS ricevuto, perché su WhatsApp ho impostato anche un PIN personale a 6 cifre aggiuntivo, che sarebbe stato richiesto all’hacker bloccandogli l’accesso.
-
Combattete il fuoco con il fuoco: Visto che i criminali sfruttano l’AI per ingannarvi, fatelo anche voi per difendervi. Se siete in dubbio, incollate il messaggio sospetto o il link in un chatbot AI e chiedete un parere.
Siate furbi, siate sospettosi e prendetevi il vostro tempo. A volte, un minuto in più di riflessione salva la vostra identità digitale.