Hai ricevuto un’email “da te stesso” che parla di Pegasus, videocamere accese a tua insaputa e un riscatto in Litecoin entro 48 ore? È una truffa di sextorsione. In questa guida pratica scopri come riconoscerla, cosa fare subito e come blindare i tuoi account e dispositivi.

Panoramica: la truffa “mi sono inviato da solo un messaggio”

Negli ultimi anni si è diffusa una famiglia di truffe via email (note come sextortion scam) in cui i criminali informatici inviano un messaggio che sembra provenire dal tuo stesso indirizzo. Nel testo affermano di averti infettato con un malware (spesso viene citato “Pegasus”), di aver registrato video compromettenti tramite la webcam e di volerli inviare a tutti i tuoi contatti se non paghi un riscatto — spesso in criptovalute come Litecoin per un importo attorno a 1.400 USD — entro 24 o 48 ore.

Per spaventarti, aggiungono dettagli pseudo‑tecnici, dicono di poter “vedere” quando apri l’email, ti intimano di non rispondere e di non contattare le forze dell’ordine, e ti forniscono un wallet per il pagamento. In realtà, nella stragrande maggioranza dei casi si tratta di messaggi automatici inviati a milioni di indirizzi, senza nessun accesso ai tuoi dispositivi o ai tuoi account.

In breve: come riconoscerla a colpo d’occhio

• Richiesta urgente di denaro (di solito in criptovalute) con scadenza in 24/48 ore.
• Linguaggio intimidatorio e minacce di divulgare presunti video o dati sensibili.
• Manca qualsiasi prova concreta: niente screenshot, niente dettagli verificabili, nessuna tua password corrente.
• Mittente “uguale” al tuo indirizzo o da domini simili (spoofing).
• Riferimenti ad attacchi famosi (es. “Pegasus”) usati come spauracchio.

Cosa fare subito: piano d’azione consigliato

Se ricevi un’email di questo tipo, segui la tabella operativa seguente. È stata pensata per essere chiara, eseguibile e adatta tanto agli utenti comuni quanto agli amministratori IT.

Cosa fare	Perché	Come procedere
Non pagare né rispondere	È una truffa di massa. Gli aggressori non hanno davvero accesso ai tuoi dispositivi né a video personali.	Elimina il messaggio e segnalalo come posta indesiderata o phishing. Non interagire con link o allegati.
Verifica la sicurezza dell’account	Il mittente è falsificabile (spoofing). Non è prova di intrusione, ma conviene controllare.	1) Cambia subito la password. 2) Abilita l’autenticazione a due fattori (MFA). 3) Controlla la cronologia di accesso e termina eventuali sessioni sospette.
Controlla regole, inoltri e alias	Se un truffatore è entrato davvero, può aver creato regole di inoltro per intercettare la posta.	In Gmail/Outlook verifica che non esistano inoltri non autorizzati, filtri strani o deleghe sconosciute.
Analizza i dispositivi	Per escludere malware reale non correlato alla truffa.	Esegui una scansione completa con un antivirus affidabile e aggiorna sistema operativo, browser e plugin.
Segnala l’email al provider	Contribuisce a bloccare futuri invii dallo stesso mittente o infrastruttura.	In Outlook: Altro > Segnala > Phishing. Oppure inoltra con intestazioni complete a: abuse@outlook.com.
Diffondi consapevolezza	Queste campagne colpiscono a tappeto: prevenire è più efficace che rincorrere gli incidenti.	Avvisa colleghi e familiari. Ricorda le buone pratiche: niente click impulsivi, password uniche, MFA, backup periodici.

Perché l’email sembra inviata dal tuo indirizzo?

Il protocollo email nasce aperto e consente di manipolare il campo From:. Questa tecnica si chiama spoofing. Se il tuo dominio (o quello del tuo provider) non applica rigorosamente SPF, DKIM e DMARC, chiunque può far apparire un messaggio come spedito da te senza aver violato il tuo account.

In altre parole: vedere il tuo indirizzo nel campo mittente non prova un’intrusione. È come ricevere una cartolina con il mittente scritto a mano: chiunque può copiarlo.

Come controllare le intestazioni del messaggio

• Gmail (web): apri l’email → menu a tre puntini → Mostra originale. Controlla riga Authentication-Results (SPF/DKIM) e il percorso dei server (Received:).
• Outlook (web): apri l’email → menu a tre puntini → Visualizza origine messaggio.
• Outlook per Windows: apri il messaggio → File > Proprietà → sezione Intestazioni Internet.

Se SPF e/o DKIM falliscono e il messaggio non è protetto da DMARC, l’email potrebbe essere stata spoofata. Se invece vedi accessi sospetti al tuo account (vedi sezione successiva), trattalo come potenziale compromissione reale.

“Pegasus” nella truffa: cosa c’è di vero e cosa no

Pegasus è un software di sorveglianza realmente esistente, impiegato in contesti governativi mirati. I criminali ne usano il nome perché noto e spaventoso. Nelle campagne di massa, però, non è verosimile che abbiano installato una piattaforma così avanzata sul tuo PC o telefono senza lasciare tracce o sfruttare vettori altamente sofisticati. È un espediente psicologico per indurti a pagare.

Guida passo‑passo: metti in sicurezza il tuo account

Cambia password in modo efficace

1. Usa una password lunga (almeno 14–16 caratteri) con parole casuali o una passphrase; evita ricicli.
2. Salvala in un password manager affidabile anziché nel browser non protetto.
3. Se l’email di minaccia include una tua vecchia password, significa che è circolata in una violazione passata: cambiala ovunque sia stata riutilizzata.

Abilita MFA / 2FA

• Gmail / Account Google: attiva la verifica in due passaggi e preferisci app di autenticazione o passkey.
• Outlook / Account Microsoft: abilita l’MFA dall’area Sicurezza dell’account. Usa notifiche dell’app Microsoft Authenticator o passkey.

Controlla accessi e sessioni

• Google: Gestisci il tuo Account > Sicurezza > I tuoi dispositivi → Gestisci dispositivi → Esci da quelli che non riconosci. Verifica Attività di sicurezza recenti.
• Microsoft: area Sicurezza dell’account → rivedi Attività di accesso e Dispositivi, termina sessioni anomale.

Verifica inoltri, filtri e deleghe

• Gmail:
  • Impostazioni > Vedi tutte le impostazioni > Inoltro e POP/IMAP → assicurati che l’inoltro sia disattivato o indirizzato a un tuo recapito legittimo.
  • Filtri e indirizzi bloccati → rimuovi filtri che inoltrano, marcano come letti o eliminano messaggi.
  • Account e importazione → controlla Invia messaggio come e Controlla la posta da altri account.
  • Account > Sicurezza → sezione Accesso di terze parti: revoca app sospette.
• Outlook (web):
  • Impostazioni > Posta > Regole → elimina regole che inoltrano o spostano la posta senza motivo.
  • Impostazioni > Posta > Inoltro → disattiva inoltri non autorizzati.
  • Impostazioni > Posta > Sincronizza email → verifica Indirizzi connessi e Alias.
  • Controlla eventuali deleghe o accessi condivisi.

Controlli sul dispositivo: Windows, macOS, Android, iOS

Windows 10/11

• Apri Sicurezza di Windows > Protezione da virus e minacce → esegui un’analisi completa. Se sospetti infezione, usa l’Analisi Microsoft Defender Offline.
• Aggiorna Windows e i driver: Impostazioni > Windows Update.
• Controlla Impostazioni > Privacy e sicurezza per Fotocamera e Microfono, rimuovi accessi inutili alle app.
• Rivedi i programmi in avvio: Gestione attività > Avvio.

macOS

• Aggiorna macOS dal menu Impostazioni di Sistema.
• Valuta una scansione con un antivirus reputato.
• Impostazioni di Sistema > Privacy e sicurezza: verifica Fotocamera, Microfono e Registrazione schermo.
• Controlla eventuali profili di configurazione non riconosciuti in Profili.

Android

• Attiva Play Protect e rimuovi app sconosciute.
• Aggiorna il sistema e le app dal Play Store.
• Rivedi i permessi sensibili (fotocamera/microfono) nelle Impostazioni.

iPhone/iPad

• Aggiorna iOS/iPadOS da Impostazioni > Generali > Aggiornamento software.
• Controlla VPN e Gestione dispositivi per profili che non riconosci.
• Rivedi permessi di Fotocamera e Microfono per le app.

Impostazioni anti‑tracciamento nelle email

Molte truffe inseriscono un “pixel” invisibile per capire se hai aperto l’email. Disattivare il caricamento automatico delle immagini può ridurre questo tracciamento.

• Gmail: Impostazioni > Generali > Immagini → seleziona Chiedi prima di visualizzare le immagini esterne.
• Outlook (web): Impostazioni > Posta > Layout > Esterno (o equivalente) → blocca contenuti esterni.
• Outlook per Windows: File > Opzioni > Centro protezione > Impostazioni Centro protezione → Download automatico: spunta Non scaricare automaticamente le immagini.

Quando sospettare una compromissione reale (e non solo spoofing)

Tratta il caso come incidente se noti uno o più elementi tra questi:

• Nell’email compare una password attuale e riconoscibile (non una vecchia).
• Vedi accessi al tuo account da luoghi o dispositivi sconosciuti.
• Trovi regole di inoltro, filtri o deleghe che non hai creato.
• La tua posta in uscita contiene messaggi inviati che non ricordi.
• Ricevi prompt MFA imprevisti o notifiche di tentativi di accesso.

In questi casi, oltre ai passi descritti (password, MFA, revoca sessioni e app), valuta di informare il reparto IT o, se applicabile, le autorità competenti.

Perché non pagare il riscatto

• Non esiste garanzia che i criminali non continuino a chiedere soldi dopo il primo pagamento.
• Pagare alimenta il circuito criminale e incentiva nuove campagne.
• Se non hanno davvero materiale su di te (quasi sempre), stai pagando per una minaccia vuota.

Prevenzione: buone pratiche per il futuro

• Usa password uniche per ogni servizio e attiva MFA ovunque.
• Aggiorna regolarmente sistema, browser ed estensioni.
• Diffida di email con urgenza artificiale, errori grossolani o richieste di criptovalute.
• Fai backup regolari e verifica di poterli ripristinare.
• Disabilita il caricamento automatico delle immagini nelle email per ridurre il tracciamento dell’apertura.

Approfondimento tecnico: SPF, DKIM e DMARC in due minuti

Se gestisci un tuo dominio, applicare correttamente queste tecnologie riduce lo spoofing e migliora la deliverability.

• SPF (Sender Policy Framework): elenca i server autorizzati a inviare email per il tuo dominio.
• DKIM (DomainKeys Identified Mail): firma crittografica del contenuto che permette al destinatario di verificare che non sia stato alterato e che provenga da un mittente autorizzato.
• DMARC (Domain‑based Message Authentication, Reporting and Conformance): dice ai destinatari come trattare i messaggi che falliscono SPF/DKIM e fornisce report.

Esempio (indicativo) di record DNS TXT per un dominio che applica politiche restrittive:

SPF (TXT su @):
v=spf1 include:_spf.example.com -all

DKIM (TXT su selector1.\_domainkey):
v=DKIM1; k=rsa; p=CHIAVE\PUBBLICA\TRONCATA

DMARC (TXT su \_dmarc):
v=DMARC1; p=reject; rua=mailto\:dmarc-rua\@example.com; ruf=mailto\:dmarc-ruf\@example.com; adkim=s; aspf=s 

Note: p=reject indica di rifiutare messaggi che falliscono l’autenticazione e l’allineamento; adkim/aspf impostati a s (strict) richiedono allineamenti precisi tra dominio nel From: e domini usati in DKIM/SPF.

FAQ rapide

Possono davvero sapere se ho aperto l’email?

Solo in parte. Se il tuo client scarica immagini esterne, un “pixel” può segnalare l’apertura. Bloccare il download automatico riduce questa possibilità (vedi sezione anti‑tracciamento).

Se l’email contiene una mia vecchia password?

Significa che il tuo indirizzo è finito in una violazione di dati passata. Cambia subito quella password ovunque l’avessi riutilizzata e abilita MFA. Evita di riutilizzare password tra servizi diversi.

Possono accendere la webcam senza che me ne accorga?

In sistemi moderni servono permessi specifici o malware attivo. Browser e sistemi operativi mostrano indicatori e chiedono consenso. Se sospetti problemi, rivedi i permessi delle app e fai una scansione antivirus.

È utile rispondere per “prendere tempo”?

No. Non rispondere. Confermeresti ai criminali che l’indirizzo è attivo, aumentando lo spam e i tentativi di truffa.

È reato pagare?

Pagare il riscatto non è una soluzione tecnica né legale alla portata: non offre garanzie e può avere implicazioni legali e morali. Se ti senti minacciato o ricattato, valuta di contattare le autorità competenti.

Modelli utili

Messaggio da inoltrare a colleghi e familiari

Ciao, potresti ricevere email che dicono di averti infettato con “Pegasus” e chiedono un riscatto in criptovalute. È una truffa di sextorsione basata su mittente falsificato. Non pagare e non rispondere. Elimina il messaggio, attiva l’autenticazione a due fattori, cambia la password e verifica eventuali inoltri automatici.

Segnalazione al provider con intestazioni complete

1. Non inoltrare “semplice”: usa l’opzione per inoltrare come allegato o copia le intestazioni complete.
2. In Outlook: usa Altro > Segnala > Phishing oppure inoltra a abuse@outlook.com includendo le intestazioni.
3. Nel testo specifica: data e ora di ricezione, eventuali allegati, e che si tratta di presunta sextorsione con richiesta di pagamento in Litecoin.

Check‑list finale (rapida)

• ✅ Non pagare, non rispondere, non cliccare.
• ✅ Cambia password e abilita MFA.
• ✅ Termina sessioni sospette e rimuovi app collegate che non riconosci.
• ✅ Elimina inoltri/regole/filtri non autorizzati.
• ✅ Scansione antivirus completa e aggiornamenti.
• ✅ Segnala al provider e informa chi lavora con te.

Flusso decisionale in caso di email di sextorsione

1. Hai ricevuto un’email dal “tuo” indirizzo con richieste di denaro? Sì → procedi al passo 2.
2. Contiene prove concrete (password attuale, file, dettagli verificabili)? No → è quasi certamente spoofing → segui la check‑list. Sì → tratta come incidente → reset credenziali, MFA, audit accessi, valuta supporto IT.
3. Vedi inoltri/regole sconosciuti? Sì → rimuovi e cambia password; abilita MFA.
4. Dispositivi aggiornati e scansionati? Se no, aggiorna e analizza.
5. Hai informato provider/IT? Fallo ora.

Errori da evitare

• ❌ Pagare il riscatto sperando che il problema sparisca.
• ❌ Rispondere o insultare l’attaccante.
• ❌ Aprire allegati o scaricare “strumenti” suggeriti dagli estorsori.
• ❌ Rimandare l’attivazione dell’MFA e il cambio password.

Per amministratori e responsabili IT

• Implementa DMARC a p=reject (dopo fase monitor con p=none → quarantine → reject), con allineamento SPF/DKIM strict.
• Proteggi i canali di posta con filtri antispam/antiphishing, sandboxing allegati e reputazione mittente.
• Blocca i contenuti esterni per impostazione predefinita nei client aziendali.
• Monitora regole anomale lato server (es. forwarding verso domini esterni).
• Forma gli utenti con simulazioni e micro‑pillole sulla segnalazione di phishing.

In sintesi

La minaccia “mi sono inviato da solo un messaggio: sono stato hackerato?” è una sextorsione di massa. L’uso di termini come “Pegasus” serve solo a spaventarti. Non sei stato hackerato solo perché l’email sembra provenire dal tuo indirizzo: è spoilabile. La risposta corretta è semplice e concreta: non pagare, non rispondere, rafforza la sicurezza (password + MFA), controlla inoltri e regole, scansiona i dispositivi e segnala l’episodio. Con poche azioni mirate, trasformi una minaccia psicologica in un’occasione per migliorare davvero la tua postura di sicurezza digitale.

---

Appendice: Glossario minimo

• Sextortion: estorsione sessuale via email o social basata su minacce di divulgazione di contenuti sensibili.
• Spoofing: falsificazione dell’identità del mittente.
• SPF: meccanismo DNS che elenca i server autorizzati a spedire per un dominio.
• DKIM: firma digitale applicata alla mail per garantire integrità e autenticità del dominio mittente.
• DMARC: policy su come trattare messaggi che falliscono SPF/DKIM + report ai gestori del dominio.
• MFA/2FA: autenticazione a più fattori (password + app, token, passkey, ecc.).

---

Ricorda: la sicurezza non è un prodotto, ma un processo. Mantieni l’attenzione alta, diffondi la consapevolezza e rivedi periodicamente le impostazioni dei tuoi account.