Hai ricevuto un’e‑mail che segnala un “accesso da Mosca” con un grande pulsante blu per “segnalare l’utente”? In questa guida impari a capire se l’avviso è autentico di Microsoft o phishing, come verificarlo in modo sicuro e quali azioni intraprendere per proteggere definitivamente l’account.

Scenario tipico

Un messaggio arriva nella posta in arrivo (spesso su Outlook.com) con oggetto simile a “Attività insolita nel tuo account” o “È stato rilevato un accesso da Mosca”. Nel corpo trovi un pulsante d’azione (“Segnala utente”, “Rivedi attività”, “Proteggi account”) e un riepilogo di località, indirizzo IP e dispositivo utilizzato. La domanda è: è un vero avviso di sicurezza Microsoft oppure un tentativo di phishing che cerca di farti cliccare su un link fraudolento?

Come distinguere un avviso autentico da un phishing

La regola d’oro è semplice: non interagire mai con link o allegati finché non hai verificato il mittente. Poi, controlla l’attività direttamente dal tuo account, senza passare dall’e‑mail. Qui sotto trovi la procedura operativa completa.

Risposta e soluzione

Passaggio	Cosa fare	Perché è importante
1. Verificare il mittente	Controlla che l’e‑mail provenga da account-security-noreply@accountprotection.microsoft.com (o, in generale, da un dominio microsoft.com). Se il dominio è diverso, considera l’e‑mail come phishing.	I criminali imitano indirizzi simili per ingannare gli utenti; il dominio è l’indicatore più affidabile.
2. Non cliccare link o allegati sospetti	In caso di dubbio, apri manualmente il browser e accedi al tuo account partendo da www.microsoft.com o da un segnalibro già noto. Evita di toccare il pulsante blu nell’e‑mail.	I link nelle e‑mail fasulle possono portare a siti clone o installare malware.
3. Controllare l’attività recente	Accedi a account.live.com/activity e verifica data, ora, località e dispositivo degli ultimi accessi.	Ti permette di distinguere un allarme reale (accesso riuscito) da tentativi bloccati o fittizi.
4. Rafforzare la sicurezza dell’account	Abilita l’autenticazione a due fattori (2FA/MFA), imposta una password lunga e unica, verifica e aggiorna le info di recupero (e‑mail e telefono).	Riduce drasticamente la possibilità di compromissione, anche in caso di furto della password.
5. Segnalare la mail	In Outlook.com: Altro → Segnala → Phishing.	Aiuta Microsoft a bloccare messaggi simili in futuro.
6. Eliminare il messaggio	Dopo la segnalazione, sposta la mail nel Cestino.	Evita aperture accidentali in seguito.

Checklist immediata, passo per passo

1. Non cliccare su pulsanti o link presenti nel messaggio.
2. Controlla il mittente: dominio microsoft.com. Diffida di varianti come microsoft-security.com, micr0soft.com, supporto-microsoft.com o domini lunghi con “microsoft” inserito al centro.
3. Verifica l’attività visitando account.live.com/activity (scrivilo manualmente nella barra degli indirizzi) e confronta orario, IP e dispositivo.
4. Se vedi accessi sospetti, esegui subito la disconnessione da tutti i dispositivi, cambia password e attiva 2FA/MFA.
5. Segnala come phishing dall’interfaccia di Outlook.com, quindi elimina l’e‑mail.

Segnali rivelatori di phishing vs avviso autentico

Elemento	Email legittima Microsoft	Phishing tipico
Indirizzo mittente	Domini microsoft.com (es. @accountprotection.microsoft.com)	Domini simili ma diversi, domini gratuiti, TLD insoliti
Tono e linguaggio	Neutro, informativo, senza minacce esagerate	Urgenza e intimidazioni (“chiuderemo l’account in 24h”)
Qualità del testo	Italiano corretto, terminologia coerente	Errori grammaticali, traduzioni automatiche mal riuscite
Link	Puntano a domini Microsoft; meglio non usarli e accedere manualmente	Reindirizzamenti, URL lunghi con “microsoft” in sottodomini
Allegati	Rari in avvisi di sicurezza	File .html, .pdf, .zip che imitano pagine di login
Richieste	Verifica attività, conferma solo dall’account	Richiesta di inviare codici, password o dati carta

Verifiche tecniche utili (per chi vuole approfondire)

Se hai competenze tecniche o l’IT interno può aiutarti, ecco dove guardare:

• Intestazioni del messaggio (header): controlla From, Return‑Path e Reply‑To. Spesso il “nome visualizzato” è legittimo, ma il dominio nascosto rivela l’inganno.
• Autenticazioni e-mail: verifica che siano presenti controlli positivi come SPF, DKIM e DMARC. Un messaggio con fallimenti SPF/DKIM è un chiaro segnale di rischio (sebbene non ogni fallimento implichi truffa, è comunque bandiera rossa).
• Anteprima dei link: senza cliccare, passa il mouse sul pulsante (o copia l’URL in un editor di testo) e verifica il dominio: deve terminare con .microsoft.com. Non fidarti di percorsi che includono “microsoft” come sottodominio di un altro dominio.
• Caratteri omografi: i truffatori usano lettere simili (es. “micrоsoft.com” con “о” cirillica). Se qualcosa “stona”, trattalo come phishing.

Perché potresti vedere “Mosca” anche se non sei in Russia

L’indicazione geografica negli avvisi di sicurezza è basata su geolocalizzazione IP. Ci sono casi in cui potresti vedere località “strane”:

• VPN, proxy o rete aziendale: possono far risultare l’accesso da una città diversa.
• Provider mobili: alcuni instradano il traffico attraverso nodi lontani.
• Precisione variabile: la mappatura IP→luogo non è perfetta; alcune aree vengono accorpate alla grande città più vicina.

Per questo è fondamentale non basarsi solo sulla località ma incrociare data, ora, tipo di dispositivo e risultato del tentativo (riuscito o bloccato) in account.live.com/activity.

Cosa fare se hai già cliccato

1. Disconnetti subito il dispositivo da reti pubbliche o non fidate.
2. Scansione antivirus: su Windows apri Sicurezza di Windows → Protezione da virus e minacce → Scansione completa.
3. Cambia la password del tuo account Microsoft da un dispositivo sicuro. Usa una passphrase lunga (almeno 14‑16 caratteri) e unica.
4. Disconnetti tutte le sessioni dall’area sicurezza del tuo account e revoca l’accesso ad app e dispositivi non riconosciuti.
5. Abilita/rafforza la 2FA: preferisci Microsoft Authenticator con approvazione numerica o una chiave di sicurezza FIDO2 rispetto agli SMS.
6. Controlla le regole di posta (Outlook.com): verifica che non siano state create regole malevole che inoltrano o nascondono messaggi.
7. Avvisa i contatti se sospetti che l’account sia stato sfruttato per inviare spam.

Rafforzare la sicurezza in modo permanente

• Autenticazione a più fattori: usa l’app Microsoft Authenticator (o chiavi FIDO2). Abilita la number matching quando disponibile: impedisce approvazioni “di riflesso”.
• Password manager: genera passphrase lunghe e uniche; evita il riuso tra servizi.
• Info di recupero aggiornate: conferma e‑mail secondaria e numero di telefono. Valuta la creazione e conservazione sicura di un codice di recupero dell’account.
• Revisione mensile: entra in account.live.com/activity e rimuovi dispositivi/app sconosciuti.
• Login senza password (se supportato): riduce l’esposizione ai furti credenziali.

Come contattare Microsoft per verifiche

Se temi un compromesso o vuoi conferme ufficiali:

• Supporto web: visita support.microsoft.com → cerca “Outlook.com” → “Sicurezza e privacy” → “Contattaci”. Da lì trovi le opzioni disponibili per il tuo Paese.
• Canali social: l’account ufficiale di assistenza su X/Twitter è @MicrosoftHelps (scrivi in DM, non condividere dati sensibili in pubblico).
• Supporto in‑product: in Outlook.com usa il punto interrogativo/Help per aprire una richiesta direttamente dall’interfaccia.

Importante: gli operatori Microsoft non chiederanno mai la tua password e non ti invieranno file da aprire per “sbloccare” l’account.

Domande frequenti

Il mittente è corretto ma l’email è comunque sospetta: è possibile?

Sì. Gli attaccanti possono “spoofare” o inoltrare messaggi; per questo conviene sempre verificare l’attività dell’account senza passare per i link ricevuti e controllare gli header tecnici quando possibile.

La località “Mosca” è apparsa, ma ho 2FA attiva. Devo preoccuparmi?

Se l’accesso è stato bloccato o richiedeva conferma 2FA che non hai approvato, è probabile si tratti di un semplice tentativo fallito. Mantieni la 2FA attiva, cambia la password se hai dubbi e monitora l’attività.

Come riconosco un link malevolo senza cliccare?

Passa il mouse sul link e leggi l’URL reale. Deve terminare con .microsoft.com o altro dominio Microsoft ufficiale. Sottodomini come secure-login.microsoft.com.attacker.tld sono non Microsoft.

Ho dato il codice 2FA a un “operatore” via telefono. Che faccio?

Agisci subito: disconnetti tutte le sessioni, cambia la password, rigenera i fattori 2FA (Authenticator/chiavi), rimuovi quelli compromessi e contatta il supporto Microsoft.

Flusso decisionale consigliato

1. Vedi email “accesso da Mosca” → non cliccare.
2. Controlla mittente → se non è microsoft.com, segnala come phishing ed elimina.
3. Accedi manualmente a account.live.com/activity → verifichi accesso.
4. Se accesso non tuo → cambia password, abilita/rafforza 2FA, disconnetti tutti i dispositivi.
5. Se tutto regolare → probabilmente era un tentativo bloccato o notifica legittima; resta vigile e applica le buone pratiche.

Consigli aggiuntivi

• Microsoft Authenticator: preferibile agli SMS (più resistenti a intercettazioni e SIM swapping).
• Segnali di phishing tipici: grammatica scadente, urgenza non motivata, minacce di addebiti o promesse di premi.
• Formazione: se gestisci un team, organizza brevi sessioni di sensibilizzazione e invia esempi di phishing comuni.
• Regole anti‑phishing in azienda: imposta filtri e sandboxing a livello di dominio; abilita criteri che marcano messaggi esterni e fallimenti SPF/DKIM.

Mini‑glossario

• Phishing: messaggio truffaldino volto a carpire credenziali o denaro.
• SPF/DKIM/DMARC: meccanismi che aiutano a validare il mittente e l’integrità del messaggio.
• 2FA/MFA: secondo fattore d’accesso che richiede, oltre alla password, una conferma su app o chiave fisica.
• FIDO2/Passkey: standard per autenticazione forte senza password.

In sintesi

Se l’e‑mail non proviene da un dominio microsoft.com, trattala come phishing: non cliccare, segnala e cancella. Verifica l’attività direttamente dal tuo account (account.live.com/activity), poi metti in sicurezza il profilo con password solida, 2FA e una revisione periodica di app e dispositivi. Così blocchi la maggior parte dei tentativi di intrusione e mantieni il controllo del tuo account Microsoft.

---

Appendice: guida operativa dettagliata

Controllo del mittente

• Apri le proprietà del messaggio e verifica che il campo From termini in @microsoft.com.
• Se vedi indirizzi con trattini sospetti o domini lunghi non ufficiali, è quasi certamente phishing.
• Controlla anche Reply‑To e Return‑Path: spesso tradiscono l’origine reale.

Ispezione sicura dei link (senza visitarli)

• Su desktop, passa il cursore sul pulsante per visualizzare l’URL di destinazione nella barra di stato.
• Se il dominio non termina con .microsoft.com, cestina il messaggio.
• Evita i link accorciati: non saprai dove puntano fino a reindirizzamento completato.

Verifica attività dall’account

1. Digita nella barra degli indirizzi account.live.com/activity.
2. Accedi con le tue credenziali e, se richiesto, approva con 2FA.
3. Controlla Località, Data/ora, Dispositivo e Esito (riuscito/bloccato).
4. Se trovi accessi che non riconosci, selezionali e segui il flusso di recupero consigliato (cambio password, revisione dispositivi).

Hardening consigliato

• Attiva Microsoft Authenticator con approvazione numerica.
• Valuta l’uso di chiavi di sicurezza FIDO2 per account critici.
• Imposta avvisi di sicurezza sull’e‑mail secondaria.
• Elimina app obsolete dai consensi OAuth.

---

Nota finale sulla privacy: quando contatti il supporto, non inviare password o codici 2FA. Fornisci solo i dati strettamente necessari (orario dell’evento, ultimo dispositivo riconosciuto, screenshot privi di informazioni sensibili).