Il phishing è una truffa digitale, un tentativo fraudolento di impossessarsi dei dati sensibili degli utenti. Avviene principalmente tramite email ingannevoli che, utilizzando il nome o il logo di aziende note, richiedono l’inserimento di username, password, codici fiscali o addirittura codici di accesso ai conti bancari. Se si assecondano queste richieste, i dati inseriti entreranno in possesso di malintenzionati che li utilizzeranno per furti d’identità o pagamenti non autorizzati.

Il phishing è un problema che riguarda anche le più grandi realtà del mondo IT.
La stessa Google ha messo a punto un sistema di sicurezza - chiamato Google Safe Browsing - che analizza le pagine web per individuare quelle contenenti programmi o script potenzialmente pericolosi: ogni URL infetto viene registrato nel database di Google ed entra a far parte di una sorta di libro nero e resta virtualmente inaccessibile.
Non basta però affidarsi al software del colosso americano; esistono infatti altri accorgimenti che possono consentirvi di navigare più sicuri.

• Attivare i filtri antispam sulla propria casella di posta elettronica.
• Controllare il dominio del mittente. Una società o un ente scriveranno sempre con il proprio dominio, controllate che corrisponda a quello ufficiale. Questa verifica non dà la massima garanzia di autenticità ma rappresenta un primo controllo da poter fare anche semplicemente. Nel caso poi venga richiesto il click su un link, è utile verificare il dominio al quale il link fa riferimento.
• Prima di cliccare “unsubscribe” pensaci. Nelle email di SPAM, se compare un link con il testo  “Unsubscribe” o “Annulla Iscrizione” nel corpo della email,  potrebbe trattarsi di phishing, e aprire quel link potrebbe essere una scelta sbagliata; in ogni caso, se si ha il sospetto che si tratta di SPAM, prima di cliccare su un qualsiasi link è meglio pensarci due volte.
• Evitare le scorciatoie. Se viene richiesto di rinnovare un servizio in scadenza, è meglio non usare i link presenti nella email per farlo. Nel caso in cui la email dovesse sembrare plausibile, ci si può collegare al sito in questione direttamente dal browser, senza usare le scorciatoie proposte. Entrati nel portale, si potrà controllare se i propri abbonamenti vadano rinnovati o meno.
• Utilizzare più indirizzi email. In generale sconsigliamo di iscriversi a servizi, portali, siti web di dubbia affidabilità. In ogni caso, se strettamente necessario, è preferibile utilizzare email secondarie e meno usate, in modo da non rischiare di contaminare la propria casella email principale, cercando di non fornire assolutamente dati personali e di pagamento.

Il phishing oggi rientra nei reati di truffa, frode informatica e trattamento illecito di dati personali. 
In quanto reato informatico va comunicato alla Polizia Postale, che sul proprio sito ha predisposto uno spazio per le segnalazioni di questo tipo e raccoglie gli avvisi ricevuti e classificati come phishing. Consultando quella pagina è possibile farsi un’idea sui tentativi di frode in corso, ed eventualmente avere la conferma che le email ricevute fanno parte di quella categoria.

Anche se dovessero riuscire a sottrarre dati bancari alle loro vittime, non è comunque facile per gli hacker spostare somme di denaro dal conto corrente di cui si sono impossessati. Questo perché le credenziali di accesso agli account di home banking spesso non sono sufficienti per disporre transazioni. Per quelle operazioni servono ulteriori codici, PIN e password (ad esempio l'OTP) che può fornire soltanto l'intestatario del conto corrente o della carta.
Qualora dovesse verificarsi la peggiore delle ipotesi, ovvero un furto di denaro, non è ancora detto che la situazione sia irreparabile. Alcuni istituti di credito tutelano i loro risparmiatori tramite una copertura assicurativa sulle transazioni commesse da terzi, e possono quindi garantire un recupero della cifra derubata.
Il primo passo da fare, quindi, è informarsi sulle garanzie offerte a riguardo dalla propria banca.
Una volta, poi, segnalato il problema al proprio istituto di credito e verificata la possibilità di risarcimento, si potranno seguire le procedure per il riaccredito dell'importo. 

Grazie alle contromisure esistenti e in continua evoluzione, la percentuale di attacchi intercettati, bloccati e non andati a buon fine supera l'80%. 
Sul restante 20% è necessaria una consapevole collaborazione fra i fornitori di servizi, che devono impegnarsi a garantire un' informazione costante sul phishing e una forte "education" sulla tematica , e i clienti, che possono cercare di attuare alcune buone pratiche, tra cui leggere attentamente le email che si ricevono, inserire i propri dati solo su siti affidabili e evitare di aprire link sospetti.