Come faccio a sapere se la mia email è stata hackerata?

Usa Have I Been Pwned o Clairmo per verificare se il tuo indirizzo compare in violazioni di dati note. Se compare, cambia subito la password.

Il phishing è una truffa che impersona un'organizzazione di fiducia per rubare dati personali. Lo smishing usa SMS, il vishing usa telefonate.

Guida completa

Come verificare un'email — La guida completa anti-phishing

Il phishing è la minaccia informatica numero uno nel 2026. Impara a verificare l'autenticità di un'email, rilevare link sospetti e proteggere i tuoi dati personali.

Verifica un'email ora Allarmi truffe email

1. Controlla il mittente

Il primo passo è esaminare l'indirizzo email completo, non solo il nome visualizzato. I truffatori usano indirizzi leggermente modificati:

support@amazon.com → legittimo

support@am4zon.com → truffa

no-reply@apple.com → legittimo

no-reply@apple-support.com → truffa

Per vedere l'indirizzo completo in Gmail, clicca sulla freccia accanto al nome del mittente. In Outlook, fai doppio clic sull'email per aprire la finestra completa.

I truffatori sofisticati usano tecniche di spoofing che rendono difficile distinguere un indirizzo reale da uno falso a prima vista. Presta particolare attenzione ai domini che usano caratteri simili (omografi) come la lettera "о" cirillica al posto della "o" latina. Queste differenze sono invisibili ad occhio nudo ma portano a siti completamente diversi.

Un'altra tecnica comune è l'uso di sottodomini ingannevoli. Un indirizzo come security-paypal.com sembra legittimo, ma il dominio reale è security-paypal.com, non paypal.com. Verifica sempre il dominio di secondo livello (la parte immediatamente prima del .com o .it).

2. Controlla i link senza cliccare

Su desktop, passa il mouse sui link senza cliccare. L'URL reale appare in basso nel browser. Su mobile, tieni premuto il link per vedere un'anteprima.

Esempi di link sospetti

https://amazon-security-verify.com (dominio falso)
https://amazon.com.login-verification.net (sottodominio fuorviante)
https://bit.ly/3xxXXX (shortener che nasconde l'URL reale)
https://192.168.1.1 (indirizzo IP invece di un dominio)

I link accorciati come bit.ly o tinyurl sono particolarmente pericolosi perché nascondono la destinazione reale. Se ricevi un link accorciato in un'email sospetta, usa un servizio di espansione URL o semplicemente non cliccarlo.

Un'altra tecnica crescente è l'uso di pagine di phishing ospitate su domini legittimi compromessi. Un hacker potrebbe aver violato un sito web innocuo e avervi caricato una pagina di login falsa. In questo caso, il dominio potrebbe apparire legittimo, ma il percorso specifico (/login, /verify, /secure) è sospetto. Controlla sempre l'intero URL, non solo il dominio principale.

3. Controlla gli allegati

Gli allegati sono un vettore principale di malware. Diffida di:

File .exe, .zip, .js, .scr (qualsiasi eseguibile Windows)

Documenti Office con macro abilitate (.docm, .xlsm)

PDF che chiedono di abilitare funzionalità avanzate

Allegati inaspettati anche da contatti conosciuti

Il ransomware è spesso distribuito tramite allegati che sembrano innocui. Una fattura PDF, un curriculum Word o una fattura Excel possono contenere macro maligne che crittografano tutti i tuoi file una volta aperti.

Se ricevi un allegato inaspettato, anche da un contatto fidato, contatta quella persona tramite un altro canale (telefono, messaggio) per confermare che abbia effettivamente inviato il file. Gli account email vengono compromessi costantemente e i truffatori usano proprio questi account per distribuire malware ai contatti della vittima.

4. Controlla se la tua email è stata violata

Servizi gratuiti ti permettono di sapere se il tuo indirizzo email è stato compromesso in una data breach:

Have I Been Pwned

Il più grande database di data breach. Inserisci la tua email per vedere se è stata compromessa.

Clairmo

Verifica la tua email e scopri profili pubblici, leak e configurazioni DNS associate.

Se scopri che la tua email è stata violata, non farti prendere dal panico, ma agisci rapidamente. Cambia la password di quell'account e, fondamentale, cambia la password ovunque l'abbia riutilizzata. I criminali sfruttano le violazioni per tentare accessi su altri servizi usando la stessa password.

Considera anche l'attivazione dell'autenticazione a due fattori su tutti gli account importanti. Anche se la tua password viene rubata in una breach futura, il 2FA impedirà agli attaccanti di accedere senza il secondo fattore.

5. Le 5 truffe via email più comuni

1. Falsa consegna

Ricevi un'email o SMS che annuncia un pacco in attesa di consegna. Un link fraudolento ruba i tuoi dati bancari sotto forma di tasse di consegna.

2. Phishing bancario

Un'email che finge di essere della tua banca ti avvisa di una transazione sospetta. Il link porta a un sito di phishing che copia perfettamente l'interfaccia della tua banca.

3. Rinnovo abbonamento

Netflix, Amazon Prime, Spotify: il tuo abbonamento sta per scadere. Clicca per aggiornare i dati. Il link porta a un sito fraudolento.

4. Fattura falsa

Ricevi una fattura per un acquisto che non hai mai effettuato. L'allegato contiene ransomware.

5. Spear phishing

Email ultra-personalizzata che usa le tue informazioni reali (nome, azienda, colleghi) ottenute da LinkedIn o da una data breach.

6. Strumenti gratuiti di verifica

Analisi header

Analizza gli header email completi per verificare il server di invio e rilevare lo spoofing.

Controllo DNS

Verifica i record SPF, DMARC e DKIM del dominio del mittente.

Analisi link

Controlla la reputazione di un URL prima di cliccare con VirusTotal o URLVoid.

Gli header email contengono informazioni tecniche preziose che la maggior parte degli utenti ignora. Mostrano il percorso completo che un'email ha seguito dai server del mittente fino alla tua casella di posta. Analizzandoli, puoi scoprire se un'email che sembra provenire da @banca.it è in realtà transitata attraverso server situati in paesi sospetti.

I record SPF, DMARC e DKIM sono protocolli di autenticazione che i domini legittimi configurano per proteggersi dallo spoofing. Se un'email sostiene di provenire da un dominio importante ma manca di questi record o li ha configurati male, è un forte indicatore di phishing.

7. Buone pratiche per la sicurezza email quotidiana

Oltre a verificare singole email sospette, esistono abitudini che puoi adottare per ridurre drasticamente il rischio di cadere vittima del phishing nel lungo termine.

Usa un gestore di password che non si lasci ingannare dai domini simili

Abilita l'autenticazione a due fattori su tutti gli account importanti

Mantieni il sistema operativo, il browser e il client email aggiornati

Disabilita il caricamento automatico delle immagini nelle email sospette

Crea un indirizzo email secondario per iscrizioni e servizi non critici

La gestione delle password è il pilastro fondamentale della sicurezza online. Un gestore di password come Bitwarden, 1Password o Keeper genera password uniche e complesse per ogni servizio e le inserisce automaticamente solo sui siti corretti. Se provi a inserire le credenziali su un sito di phishing, il gestore di password non si attiverà perché il dominino non corrisponde.

Email fraudolente — Domande frequenti

Controlla l'indirizzo email completo del mittente, passa il mouse sui link senza cliccare, cerca errori di ortografia e diffida delle richieste urgenti. Non condividere mai dati bancari o codici via email.

Verifica un'email adesso

Clairmo analizza la validità DNS, le data breach e i profili pubblici associati a qualsiasi indirizzo email.

Verifica un'email