Come riconoscere email e messaggi truffa generati con l'AI

Risposta-lampo

Smetti di cercare gli errori di ortografia: l'AI ha cancellato il segnale più usato per scoprire le truffe. Concentrati su tre cose: cosa ti chiede il messaggio (soldi o dati), con quanta fretta, e dove ti porta il link. Non cliccare mai un link ricevuto: raggiungi il servizio dal canale che già usi. Se combacia con un avviso vero, lo troverai lì.

Come si fa

Un'email o un messaggio truffa generati con l'AI possono essere indistinguibili da uno vero nella forma. Si smascherano dalla sostanza, con controlli che non dipendono dalla qualità del testo.

Verifica l'indirizzo del mittente, non il nome visualizzato. Il nome può dire "Banca Esempio", ma l'indirizzo reale dietro spesso rivela un dominio strano (caratteri sostituiti, sottodomini sospetti, servizi gratuiti al posto di quello ufficiale). Su PC passa il cursore sul mittente; su smartphone tocca il nome per espanderlo.
Non cliccare il link: controlla dove punta davvero. Su computer passa il cursore sopra il link senza premere e leggi in basso l'indirizzo reale. Su telefono tieni premuto per vedere l'anteprima. Se l'indirizzo non corrisponde al sito ufficiale, è una trappola.
Pesa l'urgenza e la minaccia. "Conferma entro 24 ore o perdi l'accesso", "pagamento in sospeso", "premio da riscuotere subito": la pressione è il motore di quasi ogni truffa. Un avviso vero ti lascia il tempo di verificare con calma.
Raggiungi il servizio per conto tuo. Invece di cliccare, apri l'app ufficiale o digita a mano l'indirizzo del sito. Se c'è davvero un problema con il tuo account o una fattura, lo vedi da lì. Se non c'è nulla, il messaggio era falso.

Riscontro: se l'avviso del messaggio non trova riscontro quando accedi tu, dal canale ufficiale, al tuo account, era una truffa. Cancellala e, se puoi, segnalala come phishing.

Esempio concreto

A Elena arriva un SMS: un pacco è in giacenza, serve pagare due euro di spese doganali, con un link. Il messaggio è scritto in italiano corretto, cita un corriere reale, e due euro sembrano una cifra innocua. Ma Elena non aspetta nessun pacco da fuori. Tiene premuto sul link: l'anteprima mostra un indirizzo che non c'entra con il corriere, pieno di parole a caso. Non clicca. Apre l'app ufficiale del corriere che usa di solito: nessuna spedizione in attesa. Cancella l'SMS. La cifra bassa serviva proprio a farle abbassare la guardia e a catturare i dati della carta sulla pagina di "pagamento".

Quando NON funziona (e come rimediare)

Se il messaggio è personalizzato con dati veri su di te

Le truffe più curate usano l'AI per inserire il tuo nome, il tuo indirizzo, un acquisto recente, per sembrare legittime. I dati corretti non rendono il messaggio vero: spesso vengono da fughe di dati passate. Il rimedio non cambia: niente clic, verifica dal canale ufficiale. La personalizzazione è un trucco di credibilità, non una prova.

Se non riesci a capire se l'indirizzo è falso

Alcuni domini truffa sono studiati per somigliare moltissimo a quelli veri (una lettera cambiata, un trattino in più). Se hai un dubbio, non interpretare: non cliccare e basta. Vai al servizio come fai sempre, senza passare dal link. Nel dubbio, il link ricevuto non si usa mai.

Se hai già cliccato o inserito dati

Non bloccarti per l'imbarazzo, conta la velocità. Se hai inserito una password, cambiala subito ovunque la usassi e attiva la verifica in due passaggi. Se hai dato dati della carta, chiama la banca per bloccarla. Tieni d'occhio i movimenti del conto nei giorni seguenti e segnala l'accaduto. Conserva il messaggio come prova.

Un consiglio da chi lo usa davvero

Tratta ogni link e ogni numero ricevuti in un messaggio come "da non usare". Non importa quanto sia credibile il mittente: per accedere a un conto, pagare, confermare un'identità, parti sempre dal canale che controlli tu (app già installata, indirizzo digitato a mano, numero sulla tessera). Questa singola abitudine rende quasi inutile lo sforzo dei truffatori, perché toglie loro il link su cui si regge tutto l'inganno.

Domande frequenti

Posso girare un messaggio sospetto all'AI per farlo analizzare?

Sì, ed è un buon riflesso: incolla il testo (togliendo i tuoi dati sensibili) e chiedi all'AI di elencare i segnali di phishing. Riconosce bene urgenza, richieste anomale e link camuffati. Usalo come secondo parere; la verifica decisiva resta accedere al servizio dal canale ufficiale.

Se segnalo l'email come spam, sono protetto?

Segnalarla aiuta a filtrare quel mittente e a proteggere altri utenti, ma non ti rende immune: arriveranno altri messaggi, da altri indirizzi, sempre più curati. La protezione non è il pulsante "spam", è l'abitudine di non agire mai da un link ricevuto. Il filtro aiuta; la regola di comportamento difende.