Nel 2025 l’Italia affronta un aumento senza precedenti di truffe digitali con cyberattacchi e campagne di phishing, con truffatori sempre più esperti nel sottrarre dati riservati e fondi bancari. Non solo le istituzioni pubbliche e le aziende ne sono vittime, ma anche cittadini comuni. Le truffe sfruttano email, SMS e anche chiamate fasulle con l’obiettivo di impossessarsi di credenziali bancarie e informazioni personali. Non cliccare mai su link sospetti, verifica sempre il mittente e attiva l’autenticazione a due fattori ovunque possibile. È fondamentale informarsi e adottare semplici abitudini digitali per difendersi ogni giorno.
La crescita delle minacce digitali in Italia: dati aggiornati
Nel primo semestre del 2025, l’Italia ha visto un incremento del 53% dei cyberattacchi rispetto all’anno precedente. Secondo l’Agenzia Nazionale per la Cybersecurity (ACN), sono stati registrati 1.549 attacchi digitali, di cui 346 hanno avuto impatti concreti su enti pubblici, aziende private e singoli cittadini. Si nota un’espansione senza precedenti delle campagne di phishing: truffe basate sull’invio di comunicazioni digitali camuffate per sottrarre dati sensibili fingendo di rappresentare istituzioni prestigiose come l’Agenzia delle Entrate, la Banca d’Italia o note banche nazionali.
Le rilevazioni dell’unità CSIRT (Computer Security Incident Response Team) italiana confermano che i settori maggiormente presi di mira restano la pubblica amministrazione centrale e locale, seguiti da telecomunicazioni e operatori finanziari. Le campagne di phishing sono sempre più raffinate e si accompagnano spesso ad attacchi DDoS e ad operazioni di “data exposure”, ossia la sottrazione e pubblicazione di dati personali e aziendali per finalità di riscatto o vendita nel dark web.
Come si evolvono le truffe online: tecniche e strumenti
Negli ultimi due anni si sono diffuse tecniche complesse di ingegneria sociale, talvolta combinate tra loro. Smishing (truffe via SMS), vishing (telefonate truffaldine) e phishing “classico” (email fraudolente) si intrecciano spesso con il cosiddetto “spoofing”, ovvero la falsificazione del numero, indirizzo email o sito web per aumentare la credibilità del messaggio e indurre la vittima a fidarsi.
Le frodi non si limitano al semplice furto di credenziali d’accesso ai conti, ma spaziano da ordini fraudolenti di bonifici (truffe APP, “authorized push payment”), finte offerte di investimenti (spesso in criptovalute), truffe commerciali su portali fasulli, IBAN bancari manipolati, e prestiti mai concessi. Ogni comunicazione che richieda dati riservati, accesso tramite link o inserimento di codici deve essere considerata sospetta, specie se associata a pressioni sulla tempistica o a presunti benefici urgenti.
L’impatto sulla società: cittadini e aziende sotto attacco
Il Rapporto sulla gestione dei reclami della Banca d’Italia conferma che nel 2024 sono state segnalate oltre 11.800 contestazioni relative a banche e società finanziarie, con un incremento sensibile dei casi legati a strumenti e servizi di pagamento digitali. Il 24% di queste riguardava blocchi di operazioni dovuti a incidenti cyber, gravi anomalie nei bonifici e, specialmente, transazioni non autorizzate conseguenti al furto di credenziali.
Le segnalazioni di tentativi di truffa elettronica hanno superato quota 730, con una crescita del 32% rispetto all’anno precedente. In oltre metà dei casi si è trattato di furto di credenziali tramite tecniche di ingegneria sociale: il criminale induce la vittima a fornire password, OTP (codici di autenticazione temporanei) o dati di identificazione per sottrarre fondi, aprire conti a sua insaputa o richiedere prestiti inesistenti.
Sempre più frequenti sono i tentativi di abuso del nome e dei loghi di istituzioni autorevoli – come la stessa Banca d’Italia – per guadagnare credibilità e indurre cittadini e imprese ad agire senza le dovute verifiche. Un fenomeno simile colpisce anche banche, gestori di servizi pubblici e fornitori di energia, sempre più spesso citati in false comunicazioni fraudolente.
Le campagne di sensibilizzazione: iniziative per la difesa digitale
Di fronte all’aumentare delle truffe, le principali istituzioni italiane — in particolare la Banca d’Italia e varie associazioni dei consumatori — hanno lanciato iniziative di educazione digitale. Campagne come “Occhio alle truffe” e “I Navigati” mirano a fornire strumenti di riconoscimento dei pericoli e a diffondere le migliori pratiche per la protezione online. Attraverso conferenze, eventi e strumenti didattici, si cerca di rendere i cittadini più consapevoli e meno vulnerabili alle manipolazioni dei criminali digitali.
Le banche e gli istituti finanziari sono oggi obbligati, secondo il regolamento europeo DORA (Digital Operational Resilience Act), a eseguire test di sicurezza avanzati, come il threat-led penetration testing (TLPT), per identificare le proprie vulnerabilità e correggerle preventivamente. A ciò si aggiunge la collaborazione con il settore pubblico per diffondere aggiornamenti e allerte tempestive sui nuovi fenomeni fraudolenti.
Perché il phishing funziona ancora? Fattori psicologici ed errori comuni
Le campagne di phishing fanno leva soprattutto su fattori umani: urgenza, emotività e mancanza di informazioni. Spesso le vittime ricevono messaggi che annunciano sospetti accessi al conto, blocchi temporanei di carte, o danno l’annuncio di rimborsi imminenti. Frequenti sono anche i tentativi che sfruttano la paura del fisco (finte comunicazioni dell’Agenzia delle Entrate) o la promessa di guadagni facili tramite investimenti mai verificati.
Uno degli errori più comuni è cliccare su link senza verificarne la reale provenienza, inserire dati personali direttamente da email o SMS o non adottare sistemi di autenticazione forte. Le truffe più sofisticate riescono a superare anche le prime barriere di diffidenza, grazie a template grafici curati, nomi e riferimenti reali che appaiono nei messaggi.
Impatto economico: costi per privati e aziende
Le conseguenze finanziarie sono notevoli. Le frodi digitali generano danni che colpiscono sia singoli cittadini sia imprese, con pesanti ricadute per il tessuto economico nazionale. Nel mercato immobiliare europeo, ad esempio, si stima che le perdite da phishing e attacchi cyber costino, in media, oltre 125 milioni di sterline all’anno per le sole piccole imprese. In Italia, le somme sottratte con l’inganno grazie a campagne di phishing rappresentano ormai una minaccia ai risparmi familiari.
Il quadro è aggravato dalla rapida diffusione dei sistemi di pagamento digitale e dalla familiarità sempre maggiore — non sempre accompagnata da competenze adeguate — con home banking, wallet digitali e instant payment. Tutto questo, se non accompagnato da robuste abitudini di sicurezza, aumenta il rischio per utenti non preparati di finire vittime di attacchi.
Azioni immediate da intraprendere: consigli semplici
**- Non fornire mai credenziali o dati personali via email, SMS o telefono.
- Verificare sempre il mittente dei messaggi, anche quando appaiono legittimi.
- Utilizzare password forti, diverse per ogni servizio, ed evitare salvataggi automatici su browser non protetti.
- Attivare, dove possibile, l’autenticazione a due fattori (2FA) su tutti gli account sensibili.
- Se si riceve una richiesta sospetta apparentemente da parte della banca, dell’Agenzia delle Entrate o di altro ente, contattare l’ente direttamente tramite canali ufficiali prima di agire.
- Mantenere aggiornati sistema operativo, browser e software di sicurezza su tutti i dispositivi.**
Consigli avanzati e strategie di difesa approfondite
**- Partecipare a corsi di formazione o seguire webinar su sicurezza informatica promossi dalle associazioni dei consumatori o dai fornitori bancari.
- Attivare servizi di alert in tempo reale per ogni movimentazione sul conto, così da rilevare subito accessi o operazioni non autorizzate.
- In azienda, sviluppare policy interne di cybersecurity e prevedere simulazioni periodiche di phishing per tutto il personale.
- Valutare polizze assicurative per la protezione dai rischi cyber, specie per imprese e professionisti.
- Segnalare subito ogni tentativo di truffa alle autorità competenti – Polizia Postale, CSIRT nazionale e all’istituto bancario – per contribuire al monitoraggio e alla prevenzione delle minacce future.
- Evitare di pubblicare online informazioni personali o professionali che possano agevolare la profilazione da parte di truffatori (ad esempio, ruolo aziendale, indirizzi email, recapiti privati).**
Fonte: https://www.punto-informatico.it/campagne-phishing-ade-banca-italia
