Scopri quali sono le campagne di phishing più recenti, le banche più colpite e come difenderti dalla piaga del phishing!
Un attacco cyber su tre è di phishing. Questo dato da solo dovrebbe bastare per capire le proporzioni del problema, ma per qualche motivo il phishing continua a essere non solo una minaccia pericolosa, ma anche molto sottovalutata.
Il phishing è una delle truffe informatiche più diffuse e insidiose, perché si basa sull’inganno e non sulla forza bruta. I criminali informatici imitano comunicazioni ufficiali di banche, enti pubblici o servizi online per spingere gli utenti a rivelare volontariamente dati personali, credenziali di accesso o codici bancari.
Negli ultimi anni, le banche sono diventate uno dei bersagli più colpiti, un po’ per il valore dei dati e dei conti accessibili tramite gli attacchi, un po’ per l’abitudine sempre più diffusa tra le persone di gestire tutto online, spesso con troppa fiducia o disattenzione.
In questo articolo analizzeremo i casi più recenti di phishing bancario, le tecniche utilizzate e i consigli pratici per riconoscere e difendersi da queste truffe prima che sia troppo tardi.
In questo articolo:
- Cos’è il phishing
- Dati sul phishing in Italia e nel mondo
- Casi più recenti di phishing bancario
- Perché funziona il phishing
- Come proteggersi dal phishing nel 2025
Buona lettura!
Cos’è il phishing
La parola phishing è una variazione creativa del termine inglese fishing, che significa pescare, e infatti descrive alla perfezione questo tipo di truffe: creare un’esca irresistibile per far abboccare le vittime e convincerle a condividere dati personali, credenziali di accesso o addirittura inviare denaro.
Negli anni, il phishing si è evoluto moltissimo: siamo passati dalla truffa alla nigeriana, in cui un presunto miliardario nigeriano doveva spostare dei soldi su un conto internazionale a truffe mirate con video realizzati con l’intelligenza artificiale e siti web fasulli che imitano quasi alla perfezione quelli ufficiali.
Complice questa evoluzione tecnologica, il phishing si è confermato come uno dei vettori di attacco più utilizzati nel panorama della cybersicurezza, superando per frequenza molte altre minacce come il ransomware o gli attacchi DDoS.
Secondo il rapporto CLUSIT 2025, il phishing e il social engineering rappresentano oltre l’11% degli attacchi registrati in Italia, con una crescita del 35% rispetto all’anno precedente.
Un dato che trova riscontro anche nelle rilevazioni del CERT-AGID, secondo cui nel primo semestre 2024 il phishing è stata la forma di attacco più diffusa, spesso veicolata attraverso email, SMS e persino PEC compromesse.
Anche la Polizia Postale conferma il ruolo centrale di queste truffe digitali, sottolineando come siano sempre più mirate e sofisticate, e colpiscano non solo i singoli utenti ma anche organizzazioni complesse, come le banche.
Di fatto, le banche sono proprio le organizzazioni più attive nel lanciare campagne di sensibilizzazione contro il phishing, come dimostra, ad esempio, la campagna Occhio alle truffe della Banca d’Italia.
Per capire meglio come funzionano gli attacchi di phishing e perché sono così diffusi ed efficaci, andiamo a vedere le campagne più recenti che hanno preso di mira il nostro paese.
Meno del 20% degli italiani sa riconoscere un sito falso o un link sospetto.
Casi di phishing recenti in Italia
Da sempre, due delle organizzazioni più colpite dal phishing sono Intesa Sanpaolo e Poste Italiane. Infatti, anche negli ultimi due anni sono stati gli enti finanziari più colpiti dal phishing, che, come vedremo, ha utilizzato vari metodi e canali di attacco.
Vediamo i casi di phishing più recenti in Italia:
Intesa Sanpaolo
Negli ultimi 12 mesi, CERT-AGID ha segnalato diverse campagne di phishing tramite la PEC che prendono di mira i clienti di Intesa Sanpaolo. Durante questa campagna, email apparentemente ufficiali e inviate da caselle PEC hackerate, invitavano gli utenti ad aggiornare i loro dispositivi o credenziali di accesso, reindirizzandoli a pagine clonate.
>I clienti che cadevano nel tranello inserivano i loro dati di login (o altri dati personali) e i cybercriminali li utilizzavano in seguito per fare operazioni finanziarie e prosciugare i conti.
Poste Italiane
Nel 2025 i clienti delle Poste sono stati letteralmente bombardati dal phishing, innanzitutto con una campagna di smishing (phishing tramite SMS) che richiedeva un’azione immediata dal parte della vittima su un sito falso, e poi con varie altre campagne su WhatsApp e tramite SMS che utilizzavano la scusa del pacco in fase di consegna.
Banco BPM
Negli ultimi mesi è emersa una campagna di phishing mirata ai clienti di Banco BPM. Questa volta, le email ingannevoli informano di un presunto blocco dell’account e sono accompagnate da una scadenza imminente o dalla minaccia di una multa di 45,70 €.
>Per risolvere il problema, il cliente deve fare clic su un link che porta a una pagina clonata dal sito ufficiale, dove vengono sottratti username, password e PIN.
Queste sono le tre banche italiane più colpite dal phishing nel 2024 e 2025, ma questo fenomeno digitale non si ferma qui. Il phishing è un problema trasversale che interessa tutti i settori, dal privato al pubblico, dal mondo online a quello offline.
A questo proposito, vi segnaliamo una nuova preoccupante tendenza nel phishing italiano: le truffe basate sullo SPID. Sono già state rilevate varie campagne con cui i cybercriminali cercano di impadronirsi dei dati dello SPID per accedere a servizi che permettono transazioni economiche, come rimborsi, bonus e dichiarazioni fiscali. Ad esempio, con i dati rubati i criminali possono cambiare l’IBAN della vittima per ricevere la pensione o un bonus al suo posto.
Come funzionano gli attacchi di phishing: le tecniche più utilizzate nel 2025
Il phishing si è evoluto così tanto negli ultimi anni, che non basterebbe un post intero per descrivere tutte le tecniche, i trucchi e gli inganni utilizzati dai cybercriminali per truffare le loro vittime. Vediamo le tecniche più utilizzate e pericolose:
Smishing
Ovvero phishing tramite SMS. Funziona molto bene perché i messaggi sono corti e arrivano sul telefono, per cui danno poco tempo per pensare alla vittima, che spesso fa clic sul link senza controllare il testo del messaggio.
PEC
Alcuni cybercriminali sfruttano le caselle PEC hackerate (e rivendute sul dark web) per apparire ancora più affidabili agli occhi dei loro target.
Siti clonati di banche e SPID
Grazie all’intelligenza artificiale generativa, oggi per i truffatori è sempre più facile creare delle copie di pagine specifiche di siti ufficiali, come quello di una banca online o di un ente pubblico come l’INPS. Di solito, queste campagne di phishing sfruttano momenti particolari dell’anno, ad esempio quando i cittadini possono richiedere un bonus o devono presentare dei dati.
Falsi operatori telefonici
Le truffe più avanzate non si limitano al testo e all’immagine. Alcuni criminali chiamano direttamente le vittime fingendo di essere un agente del servizio clienti di una banca o di un’organizzazione. In altri casi, invece, possono utilizzare messaggi preregistrati e creati con voci sintetizzate. Il phishing vocale prende il nome di vishing.
Truffe multicanale
Le campagne più recenti preoccupano molto gli esperti di sicurezza informatica, perché utilizzano una combinazione di canali e trucchi per risultare più convincenti e ingannare più facilmente le vittime. Ad esempio, possono scrivere un SMS con l’AI generativa e includere un link che rimandi a una pagina falsa, su cui la vittima non solo potrebbe inserire inconsapevolmente i suoi dati, ma potrebbe anche infettarsi con un malware.
Le truffe online sono sempre più sofisticate ed efficaci, e ogni anno assistiamo a qualche nuova campagna che sfrutta le nuove tecnologie e i tanti dati personali trafugati e venduti sul dark web. Ma come mai ancora così tante persone continuano a cadere nelle truffe di phishing?
LEGGI ANCHE: Phishing, vediamo un caso reale
Perché il phishing funziona?
Il phishing continua a mietere vittime a causa di una combinazione di diversi fattori:
Nuove tecnologie
Grazie all’intelligenza artificiale generativa, i messaggi sono scritti sempre meglio e sono più convincenti, mentre le pagine web false sono più accurate e ricche di particolari che imitano quelle ufficiali. Di conseguenza, con il passare del tempo gli attacchi di phishing sono diventati più difficili da riconoscere basandosi solo sul messaggio e sui contenuti che riceviamo.
Informazioni elaborate in fretta
Sempre più campagne di phishing puntano alle vittime mentre usano lo smartphone, perché sanno che probabilmente staranno facendo altre cose, saranno più distratte o addirittura in movimento. Sul telefono, la soglia dell’attenzione è più bassa e i comportamenti più automatici, quindi le truffe di phishing sono più efficaci.
Fiducia nei canali ufficiali
Molte persone tendono a fidarsi ciecamente quando ricevono una comunicazione che sembra provenire da un ente ufficiale. Per questo funzionano così bene le truffe che sfruttano l’immagine delle banche, dell’INPS o della Agenzia delle Entrate.
Paura o curiosità
Mai sottovalutare l’aspetto psicologico! Molte vittime diventano tali proprio perché non riescono a resistere alla curiosità di aprire un link o scaricare un documento, oppure perché hanno paura delle conseguenze se non agiscono tempestivamente, come nel caso delle comunicazioni di INPS e fisco.
Poca cultura digitale
In Italia come nel resto del mondo, anche se duole ammetterlo, non abbiamo ancora il livello di alfabetizzazione digitale necessario per difenderci. Secondo i dati Eurostat 2024, meno del 40% degli italiani ha competenze digitali avanzate, e meno del 20% sa riconoscere un sito falso o un link sospetto.
Questi ingredienti creano un cocktail esplosivo che porta i bersagli del phishing a fare clic su quel fatidico link e a inserire i propri dati o comunicarli al telefono a un sedicente operatore.
Intesa Sanpaolo e Poste Italiane sempre tra le banche più colpite dal phishing in Italia.
Come si fa a difendersi dal phishing?
Alla luce delle nuove tecnologie e strategie dei truffatori, vediamo cosa dobbiamo fare per non cadere nelle trappole dei phisher:
Non fidarti dell’aspetto dei messaggi
Oggi i messaggi di phishing sono fatti molto bene: non contengono errori, i loghi e gli elementi grafici sono quasi uguali e così via. Per questo, quando ricevi un messaggio, controlla sempre il mittente e non fare clic semplicemente perché ti sembra “ben fatto”.
Mai inserire credenziali dopo aver fatto clic su un link
Questa regola generale può salvarti da moltissimi attacchi di phishing. Pensa che le banche e gli enti pubblici hanno già i tuoi dati e non te li chiederanno mai via email o SMS. Quindi, se fai clic su un link e dopo ti viene chiesto di inserire le tue credenziali, non lo fare.
Attiva l’autenticazione multifattoriale e utilizza un sistema sicuro
Come l’impronta digitale o un’app di autenticazione verificata. Non ti affidare ciecamente ai codici monouso, soprattutto quelli inviati tramite SMS, perché i cybercriminali possono intercettare le comunicazioni.
Non fidarti di chi ti chiama dalla banca
Come abbiamo visto, il phishing vocale è in aumento. Le banche non realizzano mai gestioni importanti per telefono: o utilizzano un canale sicuro, come l’app, oppure ti contattano per chiederti di venire personalmente a fornire dati, documenti e firme.
Neanche la PEC è sicura al 100%
Se usi la PEC, ricorda che anche questo canale può essere hackerato e che sul dark web sono già in vendita i dati della PEC di migliaia di persone.
Fermati, respira e controlla
Infine, ricorda che il 95% degli attacchi informatici (e del phishing soprattutto) si basa su un errore umano. Per cui, quando noti qualcosa di strano, fermati un attimo, fai un bel respiro e controlla con attenzione il messaggio, il sito, i link e le richieste che ti vengono fatte.
Difendersi dal phishing non è facile oggi come oggi: con così tante cose da fare, è normale abbassare la guardia in qualche momento e fare clic sul link o sul file sbagliato. Per questo è importante allenarsi a riconoscere i pericoli e mantenersi informati, in modo da ridurre il più possibile le probabilità di diventare una vittima del phishing.
In questo articolo abbiamo visto gli ultimi episodi di phishing bancario in Italia, come sta cambiando il phishing e perché continua a funzionare e mietere vittime in tutto il mondo. E tu, hai mai subito una truffa di phishing? Quanti messaggi fraudolenti di pacchi in consegna hai ricevuto questa settimana?? Raccontacelo nei commenti!
CONTINUA A LEGGERE: Meta AI: come negare il consenso alla condivisione dei dati
Buona navigazione e buona difesa dal phishing bancario!