Aprire una mail che sembra della banca, inserire una password per fretta, cliccare un allegato “urgente”: spesso un attacco phishing inizia così. Quando succede, la domanda giusta non è solo cosa fare dopo attacco phishing, ma cosa fare nei primi 15 minuti per ridurre danni, furto di dati e blocchi operativi.

Il punto è questo: il phishing non finisce con il clic. In molti casi è solo l’inizio. Se sono state inserite credenziali, scaricati file o autorizzati accessi, l’attaccante può usare email, account cloud, home banking o PC aziendali nel giro di pochi minuti. Per questo serve una risposta ordinata, rapida e concreta.

Cosa fare dopo attacco phishing: le prime azioni

La prima mossa è interrompere subito l’esposizione. Se il link è ancora aperto, chiudere il browser. Se è stato scaricato un file, non aprirlo di nuovo. Se il dispositivo mostra comportamenti anomali, come rallentamenti, finestre insolite o richieste di login ripetute, va scollegato dalla rete Wi-Fi o Ethernet. Non è allarmismo: è una misura prudenziale per evitare sincronizzazioni malevole, invio di spam o movimenti laterali su cartelle condivise e rete aziendale.

Subito dopo bisogna capire che tipo di dato è stato esposto. È molto diverso aver cliccato una mail senza inserire nulla, rispetto ad aver digitato password, dati carta, codici OTP o credenziali Microsoft 365, Google Workspace, PEC e banking. Più informazioni sono state immesse, più la gestione deve essere rigorosa.

Se sono state inserite credenziali, cambiare immediatamente la password del servizio coinvolto è la priorità. Se la stessa password è stata riutilizzata altrove, vanno cambiate anche quelle degli altri account. È uno degli errori più comuni: mettere in sicurezza la casella email colpita ma lasciare identica la password su cloud, e-commerce o gestionale. In pratica si chiude una porta e se ne lasciano aperte tre.

Email compromessa: il rischio più sottovalutato

Quando il phishing riguarda la posta elettronica, il problema è spesso più ampio di quanto sembri. Un account email compromesso può essere usato per reimpostare altre password, leggere conversazioni con clienti e fornitori, inviare messaggi fraudolenti o intercettare fatture e coordinate bancarie.

Per questo non basta cambiare la password. Occorre verificare anche le regole di inoltro automatico, i filtri creati nella casella e gli accessi recenti. Gli attaccanti spesso impostano regole silenziose per ricevere copie delle mail o nascondere messaggi strategici. In ambiente business, questo controllo è essenziale soprattutto per direzione, amministrazione e uffici acquisti.

Se l’account supporta l’autenticazione a due fattori, va attivata subito. Non elimina il rischio alla radice, ma riduce molto la possibilità che le credenziali rubate vengano riutilizzate con facilità. Se la doppia autenticazione era già attiva e l’accesso è avvenuto lo stesso, conviene verificare i dispositivi autorizzati e revocare le sessioni attive.

Se hai inserito dati bancari o carta

Qui il fattore tempo conta ancora di più. Se sono stati comunicati dati di carta, accessi al conto o autorizzazioni tramite app bancaria, bisogna contattare subito la banca o l’emittente della carta per blocco, verifica movimenti e messa in sicurezza del profilo. Non aspettare di vedere un addebito anomalo. In diversi casi le frodi partono dopo poche ore, in altri dopo giorni, quando l’utente abbassa l’attenzione.

È utile annotare data, ora, importo eventuale, sito visitato e tipo di operazione eseguita. Queste informazioni aiutano la banca a ricostruire l’evento e accelerano la gestione. Se si tratta di conto aziendale, è bene informare subito anche amministrazione e titolare, perché il rischio non riguarda solo il denaro ma anche pagamenti futuri, RID, bonifici e credibilità verso fornitori.

Se hai aperto un allegato o installato qualcosa

Questo è lo scenario che richiede più cautela tecnica. Un allegato malevolo o un programma installato dopo un phishing può aver introdotto malware, trojan per furto credenziali, strumenti di accesso remoto o ransomware. Se c’è il sospetto, il dispositivo va isolato e controllato prima di continuare a usarlo normalmente.

Un antivirus aggiornato può aiutare, ma non sempre basta. Alcune minacce moderne sfuggono ai controlli più semplici o agiscono modificando sessioni, browser e profili utente senza segnali evidenti. In ambiente aziendale, un controllo professionale del PC o Mac, della posta e della rete è spesso la scelta più sicura, soprattutto se il dispositivo accede a NAS, file server, VPN o cartelle condivise.

Il punto delicato è non confondere “sembra tutto normale” con “è tutto risolto”. Un attacco può restare invisibile abbastanza a lungo da compromettere backup, posta, account cloud o contatti clienti.

Cosa controllare dopo un attacco phishing

Dopo le azioni urgenti serve una verifica più ampia. La prima area da controllare è l’identità digitale: email, servizi cloud, password manager, PEC, SPID se coinvolto, portali fornitori e account amministrativi. La seconda è il dispositivo usato durante l’attacco: browser, estensioni, download recenti, processi sospetti, sessioni aperte.

Per le aziende, la terza area è l’infrastruttura. Se il phishing ha colpito un utente collegato alla rete aziendale, conviene verificare accessi VPN, login su Microsoft 365 o Google Workspace, attività sul NAS, tentativi di autenticazione anomali su firewall e apparati di rete. Qui la differenza la fa la velocità d’intervento: più si agisce presto, minore è la possibilità che un singolo clic diventi un problema diffuso.

Quando avvisare clienti, colleghi o fornitori

Dipende da ciò che è stato compromesso. Se l’account email è stato usato per inviare messaggi falsi, conviene avvisare subito i contatti principali, in modo semplice e diretto, per evitare che aprano link o paghino fatture modificate. Se il caso riguarda dati personali o aziendali, va valutato anche il profilo privacy e GDPR, perché in alcuni contesti non si tratta solo di un incidente tecnico ma di un possibile data breach.

Nelle piccole imprese questo passaggio viene spesso rimandato per timore di creare allarme. In realtà una comunicazione tempestiva e ben gestita limita i danni reputazionali. Il problema non è dire che c’è stato un tentativo di frode. Il problema è lasciare che altri lo scoprano dopo aver ricevuto una mail falsa dal vostro account.

Errori da evitare dopo un phishing

L’errore più frequente è fare una sola azione e fermarsi lì. Cambiare password senza controllare sessioni attive, continuare a usare il PC senza verifica, ignorare gli account collegati o non avvisare la banca quando sono stati inseriti dati finanziari sono scelte che lasciano aperti rischi concreti.

Un altro errore è cancellare subito la mail o il messaggio senza salvare le informazioni utili. Screenshot, indirizzo del mittente, URL cliccato, orario e dispositivo usato servono per ricostruire l’accaduto. Non bisogna però inoltrare il messaggio ad altri colleghi “per chiedere un parere” se contiene link o allegati ancora attivi.

C’è poi un aspetto organizzativo. Se il phishing ha colpito un’azienda, trattarlo come un incidente individuale è riduttivo. Anche quando l’errore parte da un singolo utente, le conseguenze possono toccare posta condivisa, credenziali salvate, accessi remoti e dati clienti. Serve quindi una risposta tecnica centralizzata.

Come ridurre il rischio che succeda di nuovo

Dopo aver gestito l’emergenza, ha senso intervenire sulle cause. Formazione minima agli utenti, password uniche, autenticazione a due fattori, backup verificati e controllo degli accessi sono le misure base. Per molte realtà di Roma e provincia, soprattutto studi professionali e PMI, il vero salto di qualità arriva quando sicurezza, rete, backup e supporto utenti non sono più gestiti in modo frammentato.

Un ambiente misto Apple e Windows, account cloud, smart working, NAS e firewall richiede controlli coerenti. Non serve trasformare ogni ufficio in un SOC aziendale, ma serve avere procedure chiare: chi interviene, cosa si isola, cosa si resetta, cosa si comunica e come si verifica il perimetro tecnico. È qui che un partner operativo fa differenza, perché riduce il tempo perso e limita gli errori nelle fasi più delicate.

Se il dubbio è “ho solo cliccato, devo preoccuparmi?”, la risposta onesta è: dipende. A volte non succede nulla. Altre volte quel clic basta per raccogliere credenziali, cookie di sessione o avviare download pericolosi. Quando ci sono account di lavoro, dati clienti o accessi bancari, conviene sempre trattare l’episodio con prudenza reale, non con ottimismo.

In questi casi la reazione migliore non è il panico. È una sequenza semplice: fermare l’esposizione, mettere in sicurezza gli account, verificare il dispositivo e controllare che il problema non si sia già esteso. Agire bene nelle prime ore vale molto più di qualsiasi rimedio tardivo.