Il corriere dice che manca un euro per la consegna. La banca avvisa che il conto è a rischio. Un collega scrive da un indirizzo quasi identico al suo e chiede un file “al volo”. Succede sempre quando abbiamo altro da fare, e proprio per questo il messaggio sembra credibile.

Il phishing non punta solo alle persone distratte. Punta alle persone normali, dentro una giornata normale. Cerca un momento di fretta e ci mette davanti a una scelta: cliccare subito o fermarsi dieci secondi.

Quei dieci secondi cambiano molto.

1. Chiediti: perche’ proprio adesso?

Urgenza, minaccia e premio sono leve classiche. “Ultimo avviso”, “account bloccato”, “rimborso in arrivo”: il messaggio prova a rubare tempo prima ancora dei dati.

Non devi dimostrare di essere un esperto. Devi solo rimandare la decisione finche’ non puoi verificarla.

2. Guarda oltre il nome

Il nome visualizzato puo’ essere quello della tua banca, di un corriere o di un servizio che usi davvero. L’indirizzo email, il numero che invia l’SMS e il dominio del sito raccontano spesso un’altra storia.

Qui c’e’ il passaggio decisivo. Se vuoi controllare un avviso, apri tu l’app ufficiale o digita l’indirizzo del servizio nel browser. Non partire dal messaggio. Parti da un canale che conosci.

E’ una differenza piccola solo in apparenza: il phishing costruisce una strada falsa; tu scegli di non percorrerla.

4. Tratta codici e password come chiavi

Una password, un codice ricevuto via SMS o quello generato dall’app di autenticazione non sono informazioni da confermare a chi ti chiama o ti scrive. Sono chiavi.

Hai inserito qualcosa su un sito che ora ti sembra sospetto? Non perdere tempo a vergognarti: cambia la password dal sito ufficiale, disconnetti le sessioni che non riconosci e attiva l’autenticazione a due fattori.

5. Trasforma il dubbio in una verifica

Un dubbio non e’ paranoia. E’ competenza digitale. Per un pagamento, un’identita’ digitale o un account importante, chiedi assistenza usando i contatti trovati sul sito ufficiale.

Cosa fare ora

  • Scegli un account importante e attiva la 2FA.
  • Verifica di avere password diverse per email, banca e social.
  • In famiglia, condividi questa regola: prima si controlla, poi si clicca.

La sicurezza, spesso, comincia da un gesto molto piccolo: non seguire subito la strada che qualcun altro ha preparato per noi.

Fonti e approfondimenti

CISA, Phishing Tip Card NIST, Multi-Factor Authentication