Il phishing è sempre stato una delle minacce informatiche più diffuse, ma nel 2026 il livello di sofisticazione ha raggiunto vette che rendono sempre più difficile distinguere il vero dal falso — anche per persone attente e informate. L'intelligenza artificiale ha dato ai truffatori strumenti potentissimi per personalizzare gli attacchi e renderli credibili come mai prima d'ora.

Il classico schema funziona così: si riceve una email, un SMS o un messaggio WhatsApp che sembra provenire da un'istituzione affidabile — la propria banca, Poste Italiane, l'Agenzia delle Entrate, Amazon, un corriere. Il messaggio comunica un'urgenza (il conto è stato bloccato, c'è un pacco da ritirare, è richiesta una verifica di sicurezza) e invita a cliccare su un link che porta a un sito clone, identico all'originale, dove si chiede di inserire credenziali o dati bancari.

Quello che è cambiato rispetto al passato è la qualità del testo. Le vecchie email di phishing erano facili da riconoscere per gli errori grammaticali, lo stile goffo e le traduzioni automatiche approssimative. Oggi, grazie ai modelli linguistici AI, i messaggi fraudolenti sono scritti in un italiano perfetto, con tono professionale e dettagli personalizzati che includono nome, cognome e a volte anche gli ultimi movimenti del conto. Sembrano autentici perché sono costruiti per esserlo.

Come difendersi? Prima regola: non cliccare mai sui link contenuti in email o SMS che chiedono dati sensibili, anche se il messaggio sembra provenire da un mittente affidabile. Se la tua banca ti comunica un problema, apri il browser, digita manualmente l'indirizzo della banca e accedi dal sito ufficiale. Non usare mai il link fornito nel messaggio.

Seconda regola: attiva l'autenticazione a due fattori su tutti i servizi importanti — email, home banking, account Google o Apple. Anche se un malintenzionato ottiene la tua password, senza il codice temporaneo non può accedere al tuo account. È un livello di protezione semplice da attivare e molto efficace.

Terza regola: non fidarsi dell'urgenza. Le truffe funzionano perché creano pressione psicologica («Il tuo conto sarà bloccato entro 24 ore»). Questa urgenza è quasi sempre artefatta. Prenditi il tempo di verificare, chiama direttamente il servizio clienti dell'ente usando il numero trovato sul sito ufficiale e non quello eventualmente presente nel messaggio sospetto. Un'istituzione seria non ti chiederà mai dati sensibili via email.