Phishing: cos’è e come difenderti legalmente
Scopri come riconoscere un link sospetto di phishing e cosa puoi fare se ci hai cliccato per errore o disattenzione.
L’articolo 640 ter del Codice penale (cp) inquadra il phishing come una frode informatica che mira a sottrarre dati sensibili attraverso l’inganno digitale. La prevenzione legale e tecnica è l’unico strumento efficace per contrastare un fenomeno che, solo nel 2025, ha fatto registrare oltre 32.203 casi accertati in Italia. In caso di truffa, la normativa vigente garantisce tutele specifiche, come il diritto al rimborso bancario previsto dal Decreto Legislativo n. 11 del 2010.
Che cosa è il phishing?
Il phishing è una tecnica di ingegneria sociale utilizzata dai criminali informatici per indurre le persone a rivelare informazioni riservate, come credenziali di accesso, codici della carta di credito o dati personali. Dal punto di vista giuridico, questa condotta integra il reato di frode informatica (art. 640 ter cp), che si distingue dalla truffa comune (art. 640 cp) perché non richiede necessariamente l’induzione in errore di una persona, ma l’alterazione di un sistema informatico o l’intervento senza diritto su dati e programmi.
La sanzione prevista per la frode informatica semplice consiste nella reclusione da 6 mesi a 3 anni e nella multa da 51 euro a 1032 euro. Tuttavia, se il fatto è commesso con furto o uso indebito dell’identità digitale, la pena aumenta sensibilmente, prevedendo la reclusione da 2 a 6 anni e la multa da 600 euro a 3.000 euro.
LEGGI ANCHE Truffa e reati online: come riconoscerli e denunciarli con il supporto delle Autorità (e di un avvocato)
Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato
- +3000 avvocati pronti ad ascoltarti
- Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
- Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere
Quali sono i segnali di un attacco phishing?
Individuare un tentativo di frode richiede attenzione ad alcuni pattern ricorrenti che i truffatori utilizzano per bypassare le difese psicologiche degli utenti.
Ecco i segnali principali da monitorare:
- senso di urgenza eccessivo, con minacce di chiusura immediata del conto o sanzioni amministrative;
- mittenti con indirizzi email che simulano quelli ufficiali, ma presentano anomalie (es. assistenza@ban-ca.it invece di assistenza@banca.it);
- errori grammaticali, refusi o l’uso di una sintassi claudicante derivante da traduttori automatici di bassa qualità;
- richieste di inserimento di PIN, password o codici OTP (One Time Password) su pagine esterne al sito ufficiale;
- offerte di guadagni facili, rimborsi inaspettati o vincite di premi a concorsi a cui non si è mai partecipato.
Potresti aver bisogno di contattare un Avvocato specializzato in truffe
Qual è il tipo di phishing più comune?
L’email phishing rimane la minaccia numericamente più rilevante, rappresentando circa il 91% dei cyberattacchi registrati nel 2025 e 2026.
Tuttavia, il panorama si è evoluto in varianti più insidiose e tecnologiche, tra i quali rientrano:
- lo smishing: il phishing tramite SMS. Secondo la Polizia Postale, nel 2025 le segnalazioni di smishing legato a finti problemi di consegna pacchi o blocchi del conto corrente sono aumentate del 22%;
- il vishing: il phishing vocale. Un finto operatore bancario chiama la vittima, spesso utilizzando tecniche di “spoofing” per far apparire sul display il numero reale della banca, chiedendo di autorizzare operazioni o stornare pagamenti;
- il quishing: l’uso di QR code (Quick Response code) malevoli. I criminali sostituiscono i codici legittimi su menu di ristoranti o parcheggi pubblici per indirizzare l’utente su siti clone;
- lo spear phishing: attacchi mirati verso figure specifiche (es. dirigenti d’azienda), costruiti raccogliendo informazioni dettagliate dai profili social della vittima per rendere il messaggio indistinguibile da uno reale.
L’Italia si posiziona stabilmente al terzo posto in Europa per volume di attacchi, con le fasce “senior” (over 70) che risultano tra le più colpite, con oltre 32.000 casi di raggiri telematici nel solo anno solare 2025.
Cosa succede se si clicca su un link phishing?
Il semplice clic su un link può innescare diverse conseguenze dannose. In primo luogo, il browser potrebbe scaricare automaticamente un malware o un ransomware, programmi progettati per spiare l’attività dell’utente o criptare i file chiedendo un riscatto. Se l’utente inserisce i propri dati nella pagina di destinazione, i criminali ottengono il controllo immediato degli account.
A livello legale, questo può portare all’integrazione del reato di accesso abusivo a sistema informatico (art. 615 ter cp), punito con la reclusione fino a 3 anni. Se dal clic deriva un prelievo non autorizzato dal conto corrente, si configura anche la responsabilità civile della banca.
Ai sensi del D. Lgs. 11/2010 (attuazione della direttiva europea PSD2), l’istituto di credito è tenuto a rimborsare le somme sottratte, a meno che non provi la “colpa grave” dell’utente, come la cessione consapevole delle credenziali.
Approfondisci con Smishing: cosa significa e come difenderti se clicchi per sbaglio su un link truffaldino
Come capire se un link è phishing?
Prima di interagire con qualsiasi collegamento ricevuto, è fondamentale eseguire delle verifiche tecniche:
- passa il mouse sopra il link (senza cliccare) per visualizzare l’URL reale in basso a sinistra dello schermo;
- verifica la presenza del protocollo HTTPS (HyperText Transfer Protocol Secure), sebbene oggi molti siti fraudolenti lo utilizzino per apparire affidabili;
- controlla il nome del dominio: i truffatori usano spesso domini di terzo livello o nomi simili a quelli noti (es. “sicurezza-poste.it” invece di “poste.it”);
- analizza il certificato di sicurezza cliccando sul lucchetto accanto alla barra degli indirizzi per verificare a chi è stato realmente rilasciato;
- diffida dei link accorciati (short link come bit.ly) se non provengono da fonti verificate, poiché nascondono la reale destinazione del clic.
Come reagire
Comprendiamo profondamente il senso di violazione e smarrimento che si prova quando si cade vittima di una truffa informatica. Non è una questione di ingenuità: i criminali utilizzano tecniche di manipolazione psicologica sempre più raffinate. Se hai cliccato su un link o hai fornito i tuoi dati, la tempestività è l’unico modo per limitare i danni.
Ecco cosa devi fare immediatamente:
- contatta il tuo istituto di credito per bloccare carte e accessi all’home banking;
- cambia tutte le password dai dispositivi che consideri sicuri;
- sporgi denuncia presso la Polizia Postale o i Carabinieri, portando con te stampe delle email e screenshot dei messaggi;
- invia una raccomandata A/R o una PEC (Posta Elettronica Certificata) alla tua banca chiedendo il rimborso delle somme sottratte citando il D. Lgs. 11/2010.
Ti potrebbe interessare Polizia postale, Procura o avvocato? A chi rivolgersi per una denuncia efficace
Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato
- +3000 avvocati pronti ad ascoltarti
- Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
- Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere
Newsletter
Iscriviti alla nostra newsletter settimanale per ricevere informazioni e notizie dal mondo legal.
Altro su Reati informatici
Approfondimenti, novità e guide su Reati informatici
Richiedi una Consulenza Legale, +3000 Avvocati sono pronti a rispondere
- Consulenza “Flex” a 29,90
- Richiesta Preventivo Gratuita
- Richieste Dirette agli Avvocati Scritte, Video o Telefoniche
