C’è un nuovo livello di sofisticazione nel mondo delle truffe digitali, e questa volta i cybercriminali hanno alzato l’asticella. Non si tratta più di email generiche che promettono eredità milionarie o pacchi in giacenza. Il phishing adattivo rappresenta l’evoluzione più insidiosa di questa minaccia: un attacco che si modella sulla vittima, camaleonte digitale capace di assumere l’identità visiva dell’azienda per cui lavori, del servizio che usi quotidianamente, del brand di cui ti fidi. Gli esperti del Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, il CERT-AgID, hanno recentemente individuato e analizzato una campagna particolarmente raffinata di questo tipo di attacco. A differenza del phishing tradizionale, dove le pagine fraudolente vengono predisposte in anticipo con loghi e interfacce statiche, il phishing adattivo genera dinamicamente l’interfaccia della pagina di login basandosi sul dominio email del bersaglio. In pratica, la trappola si costruisce al volo, su misura, nel momento esatto in cui la vittima ci casca dentro.
Come funziona concretamente questo meccanismo? La campagna analizzata dal CERT-AgID inizia con un’email apparentemente legittima, solitamente relativa a un pagamento o a una questione amministrativa urgente. Fin qui, nulla di nuovo. La differenza sostanziale sta nella tecnica dello spoofing del dominio mittente: il messaggio sembra provenire da un indirizzo interno all’azienda della vittima, un collega, un superiore, il reparto amministrativo. Un’analisi superficiale non rivela nulla di strano. Eppure, esaminando gli header SMTP, emerge la verità: l’invio è avvenuto tramite infrastrutture esterne non autorizzate, server compromessi che i criminali utilizzano per aumentare la probabilità di consegna e superare i controlli di sicurezza più basilari.
Questa falsificazione dell’origine del messaggio è possibile perché molte organizzazioni non implementano correttamente le protezioni standard di autenticazione email. SPF, DKIM e DMARC sono acronimi che suonano tecnici ma rappresentano i tre pilastri della difesa contro lo spoofing. Il Sender Policy Framework verifica che il server mittente sia autorizzato a inviare email per quel dominio. DomainKeys Identified Mail aggiunge una firma crittografica al messaggio. Domain-based Message Authentication, Reporting and Conformance coordina questi meccanismi e definisce cosa fare con i messaggi sospetti. Quando queste protezioni mancano o sono configurate male, la porta è spalancata.
Nel caso specifico esaminato dagli esperti italiani, l’email conteneva un allegato HTML apparentemente innocuo. Ma aprire quel file significa attivare un meccanismo ben oleato. Il codice JavaScript integrato nell’HTML si esegue automaticamente e genera una pagina di login personalizzata: logo dell’azienda target, nome, colori aziendali, tutto perfettamente riconoscibile. Il campo email è già precompilato con l’indirizzo della vittima, dettaglio che aumenta la percezione di legittimità. All’utente viene chiesto solo di inserire la password e risolvere un CAPTCHA, quel test anti-robot che ormai conosciamo tutti. Peccato che anche il CAPTCHA sia fasullo.
Una volta inserite le credenziali, inizia il balletto degli errori. Password errata, riprova. Ancora sbagliata. Problemi di connessione. Finché, dopo vari tentativi, appare finalmente la pagina legittima del servizio. L’utente tira un sospiro di sollievo, pensando a un problema tecnico temporaneo. Nel frattempo, però, indirizzo email e password sono già stati trasmessi ai cybercriminali. E qui entra in gioco un elemento sorprendente: l’esfiltrazione dei dati avviene tramite le API dei Telegram Bot.
Telegram, il popolare servizio di messaggistica, offre agli sviluppatori la possibilità di creare bot automatizzati attraverso delle interfacce di programmazione. Funzionalità legittima, utile per mille applicazioni. Ma i criminali informatici hanno scoperto che possono sfruttare proprio questi canali per ricevere le credenziali rubate in tempo reale, usando essenzialmente i server di Telegram come infrastruttura di raccolta dati. Un modo elegante per evitare di gestire server propri, difficili da nascondere e tracciabili. Telegram diventa inconsapevolmente complice, trasformato in postino delle password altrui.
Questa tecnica non è completamente nuova. Il CERT-AgID ha osservato una crescita costante del fenomeno del phishing adattivo già dal 2021. Inizialmente, le campagne si limitavano a sfruttare servizi come Clearbit per generare dinamicamente il logo e il nome dell’organizzazione vittima. Con il tempo, però, la tecnica si è perfezionata. L’aggiornamento rilevato nel marzo 2024 mostrava già un livello di sofisticazione superiore, e la campagna del febbraio 2026 conferma questa tendenza all’evoluzione continua.
Cosa rende il phishing adattivo così pericoloso rispetto alle forme tradizionali? Principalmente tre elementi. Primo, la personalizzazione estrema abbatte le difese psicologiche della vittima: vedere il proprio logo aziendale, il proprio indirizzo email precompilato, crea un senso di familiarità che disinnesca i campanelli d’allarme. Secondo, la generazione dinamica delle pagine rende inefficaci molte blacklist che si basano su URL statici noti. Terzo, l’uso di allegati HTML invece di link diretti permette di bypassare alcuni filtri antiphishing che scansionano i link nelle email.
Le protezioni tradizionali mostrano i loro limiti. Non basta più diffidare delle email scritte male o dei link sospetti. Quando il messaggio sembra provenire dal dominio aziendale, quando l’interfaccia è identica a quella che usi ogni giorno, quando tutto appare perfettamente legittimo, anche l’utente più esperto può cadere nella trappola. La difesa richiede un approccio multilivello: implementazione corretta di SPF, DKIM e DMARC a livello organizzativo; formazione continua degli utenti sui segnali più sottili di una possibile truffa; verifica degli allegati HTML prima dell’apertura; uso di autenticazione a più fattori che rende le credenziali rubate inutili senza il secondo fattore.
Il phishing adattivo rappresenta l’industrializzazione della truffa digitale. Non più attacchi artigianali sparsi, ma campagne organizzate che sfruttano l’automazione per colpire su scala massiccia mantenendo un livello di personalizzazione che un tempo richiedeva lavoro manuale. I cybercriminali hanno capito che la tecnologia può lavorare per loro, generando migliaia di pagine fraudolente uniche, ciascuna cucita su misura per la sua vittima. La consapevolezza resta l’arma più potente. Sapere che esiste questa minaccia, comprenderne i meccanismi, riconoscerne i segnali può fare la differenza tra cadere nella trappola o evitarla. Perché alla fine, dietro ogni sofisticazione tecnica, il phishing rimane un inganno che fa leva sulla fiducia. E la fiducia, nel mondo digitale, richiede sempre una dose sana di verifica.
