Hai ricevuto un’e‑mail che dice “il tuo account Microsoft è stato bloccato” e ti chiede di inviare un documento con dettagli dell’account? In molti casi quel messaggio è autentico: qui trovi come verificarlo e la procedura corretta per sbloccare l’account in modo sicuro.
Il problema in breve
Un utente riceve una notifica di blocco del proprio account Microsoft (MSA) e, avviando il recupero, si imbatte in un’e‑mail proveniente da un indirizzo @accountprotection.microsoft.com che chiede di:
- compilare nuovamente il modulo di recupero online (Account Recovery, ACSR);
- inviare un documento con informazioni supplementari (dati anagrafici, cartelle di posta, oggetti di e‑mail recenti, contatti Skype, numero di telefono, IP abituali, dettagli Xbox, ecc.).
Il dubbio: è una richiesta legittima o un tentativo di phishing? La risposta, nella maggior parte dei casi in cui tu hai avviato il recupero, è: sì, è legittima. Vediamo come accertarlo e come procedere senza rischi.
È autentica l’e‑mail @accountprotection.microsoft.com?
Microsoft utilizza il dominio accountprotection.microsoft.com per comunicazioni relative alla sicurezza e alla protezione dell’account. Messaggi tipici includono avvisi di sicurezza, richieste di verifica identità e passaggi di recupero. Quando il recupero automatico non è sufficiente, un agente può chiedere un documento supplementare con informazioni utili per la convalida manuale.
Ciò non significa che qualunque messaggio “simile” sia affidabile: i criminali informatici imitano domini e grafiche. Ecco come distinguere una comunicazione autentica:
Segnali concreti di autenticità
- Dominio del mittente: il campo Da: deve terminare con
@accountprotection.microsoft.com. Diffida di varianti come@micr0soft-support.com,@accountprotection-microsoft.como simili. - Coerenza con un’azione che hai avviato: l’e‑mail arriva dopo che tu hai avviato la procedura di recupero dell’account o segnalato un problema di accesso.
- Contenuto: non chiede mai password, codici di verifica o PIN via e‑mail. Chiede invece di fornire dati descrittivi (ad esempio oggetti di e‑mail recenti) e di caricarli su un portale Microsoft con connessione cifrata.
- URL: gli indirizzi riportati per modulo e caricamento documenti devono essere su domini Microsoft (ad es.
microsoft.com). Verifica che l’indirizzo inizi conhttps://e che il certificato sia intestato a Microsoft.
Come verificare rapidamente le intestazioni del messaggio
Se vuoi controllare in modo più tecnico l’origine dell’e‑mail, apri le intestazioni complete:
- Outlook per Windows: apri il messaggio → File → Proprietà → Intestazioni Internet.
- Outlook sul Web: apri il messaggio → icona Altro (tre puntini) → Visualizza origine messaggio.
- Gmail: apri il messaggio → tre puntini → Mostra originale.
Nelle intestazioni verifica che il Return-Path e i domini di invio appartengano a Microsoft e che siano presenti esiti positivi per SPF, DKIM e DMARC. Non serve essere esperti: la presenza di “pass” per questi controlli è un buon segnale.
Piano d’azione consigliato
Se il messaggio rispetta i criteri sopra, segui questa procedura (sintetizzata anche nella tabella):
| Passo | Azione consigliata | Perché |
|---|---|---|
| Verifica del mittente | Controlla che il dominio sia @accountprotection.microsoft.com, senza varianti o refusi. | È il dominio ufficiale per comunicazioni di sicurezza. |
| Compilare il modulo ACSR | Accedi solo dal link ufficiale digitando nella barra del browser: https://account.live.com/acsr. Inserisci più informazioni possibili nelle sezioni richieste. | Più dati corretti ⇒ maggiori probabilità di superare la verifica e sbloccare l’account. |
| Fornire il documento supplementare | Prepara un file con le risposte ai campi elencati nell’e‑mail e caricalo sul portale sicuro indicato (dominio microsoft.com). | Serve a un agente Microsoft per validare manualmente l’identità quando il modulo ACSR non basta. |
| Se hai la Verifica in due passaggi attiva | Il recupero automatico può non funzionare. Passa all’assistenza umana via chat dal portale ufficiale di supporto: https://support.microsoft.com/contactus (accedi con un altro account Microsoft). | Con 2FA attiva alcuni percorsi ACSR sono disabilitati; un agente può effettuare verifiche alternative. |
| Se il blocco persiste | Dal portale di supporto: Other products → Manage account security → Chat with a support agent. Tieni a portata le prove elencate sotto. | L’agente può convalidare manualmente l’identità se le prove online non sono sufficienti. |
Compilare il modulo ACSR senza errori
Il modulo ACSR è pensato per confrontare informazioni che solo il legittimo proprietario conosce. Prima di compilarlo, raccogli questi elementi:
- Cartelle di posta che hai creato (nomi esatti, anche con maiuscole/minuscole).
- Oggetti (subject) di e‑mail recenti inviate o ricevute, con data approssimativa e mittente/destinatario.
- Contatti Skype con cui hai parlato di recente e loro handle.
- Numeri di telefono associati all’account, inclusi quelli di recupero (anche se non più attivi, specifica il periodo d’uso).
- Indirizzi IP da cui accedi abitualmente e città/Paesi dove ti sei collegato.
- Dettagli Xbox: gamertag, console o bundle acquistati (con date approssimative), eventuali abbonamenti.
- Metodi di pagamento usati in passato (ultime 4 cifre, tipo carta, mese/anno scadenza).
- Alias e indirizzi secondari collegati all’account (anche se dismessi).
- Servizi collegati: OneDrive, Office/Outlook, Teams (se usati con account personale), app Microsoft Authenticator.
Come descrivere al meglio le informazioni
Non basta scrivere “ho una cartella lavoro”: specifica il nome esatto e da quanto esiste. Esempio:
Cartella personalizzata: "_Clienti-2023"
Creata: marzo 2023
Uso tipico: archiviazione preventivi
Per gli oggetti di e‑mail, indica più dettagli possibile:
Oggetto: "Conferma prenotazione Hotel Luna"
Data/ora: 14 settembre (tra le 10:00 e le 11:00)
Da: booking@hotelluna.it
A: mioaccount@outlook.com
Template pronto per il “documento supplementare”
Copia e incolla questo schema, completa i campi e salvalo in PDF prima del caricamento:
===== Verifica identità - Account Microsoft =====
Nome e cognome legali: [Nome Cognome]
Data di nascita: [GG/MM/AAAA]
Paese/Regione: [Es. Italia]
Indirizzo dell’account (MSA): [[esempio@outlook.com](mailto:esempio@outlook.com)]
Alias/indirizzi secondari: [alias1@, alias2@]
Telefono associato (anche non più attivo): [+39 xxx...]
Indirizzo e-mail alternativo: [[email@alternativa.it](mailto:email@alternativa.it)]
Accessi abituali:
- Città/Paese: [Milano, IT] — Rete di casa
- Città/Paese: [Roma, IT] — Rete mobile
IP pubblico recente: [xxx.xxx.xxx.xxx]
Cartelle personalizzate (nome esatto):
- [_Clienti-2023]
- [Famiglia]
- [Fatture_Elettriche]
Oggetti di e-mail recenti:
- "Avviso spedizione #12345" da [[noreply@corriere.it](mailto:noreply@corriere.it)] (circa 3 giorni fa)
- "Report Q3" a [[collega@azienda.com](mailto:collega@azienda.com)] (circa 2 settimane fa)
Contatti Skype recenti: [handle1] [handle2]
Dettagli Xbox (se applicabile): Gamertag [xxxx], acquisto [Xbox Series S] (novembre 2022)
Metodi di pagamento storici: Carta [Visa], ultime 4 cifre [1234], scadenza [08/2026]
Note utili:
- Ho attivato la Verifica in due passaggi il [mese/anno]
- Ho cambiato numero di telefono nel [mese/anno]
- Ho viaggiato in [Paese] dal [data] al [data]
===== Fine documento ===== Come creare e caricare il file in sicurezza
- Formato: preferisci PDF o TXT semplice. Evita formati compressi protetti da password.
- Metadati: se usi documenti Office, rimuovi i metadati sensibili (autore, percorso) prima dell’upload.
- Caricamento: usa solo il link indicato nell’e‑mail e verifica che il dominio sia
microsoft.com. Non inviare mai il file come allegato in risposta.
Verifica in due passaggi (2FA) attiva: cosa cambia
Se avevi abilitato la 2FA e non hai più accesso ai metodi di verifica (telefono, app Authenticator, e‑mail secondaria), il flusso ACSR può bloccarsi. In questi casi:
- usa un account Microsoft alternativo per accedere al portale di supporto (
https://support.microsoft.com/contactus); - nella chat con l’agente, spiega che avevi la 2FA attiva e che non puoi ricevere codici; indica subito le informazioni del tuo documento supplementare;
- se avevi codici di recupero stampati o salvati, verifica se sono ancora validi e conservali in luogo sicuro per il futuro.
Casi particolari e consigli mirati
Non hai avviato tu il recupero
Se ricevi un’e‑mail di verifica senza aver avviato tu la procedura, non caricare nulla. Accedi direttamente (digitando l’indirizzo nella barra del browser) al tuo account, apri la sezione Attività recente e, se noti accessi sospetti, modifica immediatamente la password e rimuovi i metodi di recupero sconosciuti.
Account per lavoro o scuola (Entra ID, ex Azure AD)
Questa guida è per account personali Microsoft (Outlook.com, Hotmail, Live). Se l’account è gestito dalla tua organizzazione, contatta l’amministratore IT: i flussi e i domini di notifica possono essere differenti.
Xbox e acquisti digitali
Se il tuo MSA è collegato a Xbox, prepara prove d’acquisto (ricevute, ultime 4 cifre della carta, date) e il tuo gamertag. Sono forti elementi di verifica.
Skype
Annota gli handle con cui hai conversato di recente e, se possibile, date/ore approssimative delle ultime chiamate o chat.
Truffe: come riconoscerle e evitarle
- Richiesta di password o codici via e‑mail: Microsoft non li chiede mai.
- Pressioni o minacce: messaggi che intimano “chiudiamo il tuo account in 24 ore” sono sospetti, specie se non coerenti con azioni da te avviate.
- Allegati eseguibili o moduli da firmare inviati via e‑mail: non aprirli; Microsoft ti farà caricare i dati su un portale sicuro.
- Domini simili ma diversi: controlla attentamente l’ortografia del dominio; occhio a caratteri confondenti (
micr0softcon lo zero, trattini extra, sottodomini fuorvianti). - URL offuscati: passa il mouse (senza cliccare) sui link e assicurati che puntino a un dominio Microsoft. In caso di dubbio, digita tu l’indirizzo nel browser.
FAQ (domande frequenti)
Perché devo inviare un documento supplementare se ho già compilato l’ACSR?
Perché alcune informazioni automatiche non sono sufficienti a dimostrare la proprietà dell’account. L’agente confronterà i dati che fornisci con quelli nei sistemi Microsoft per una verifica più accurata.
Che tipo di file devo caricare?
Preferibilmente PDF o TXT. Evita file compressi con password o formati non standard. Mantieni il documento sintetico ma dettagliato.
E se non ricordo con precisione le date?
Va bene indicare finestre temporali (es. “prima settimana di settembre”) purché tu fornisca più elementi di contesto (mittente, oggetto, cartella).
Quanto tempo richiede lo sblocco?
Dipende dalla complessità del caso e dal volume di verifiche manuali necessarie. Preparare informazioni complete e accurate accelera la valutazione.
Posso fidarmi a caricare informazioni personali?
Sì, se stai usando un portale ufficiale Microsoft (https:// con certificato intestato a Microsoft). Non inviare mai i dati come allegato risposta o tramite servizi di terzi.
E se non ho più accesso alla e‑mail di recupero o al numero di telefono?
Indicalo chiaramente nel documento supplementare e fornisci prove alternative (cartelle, oggetti di e‑mail, dettagli di pagamento, Xbox, ecc.). Se la 2FA è attiva e bloccante, contatta la chat del supporto.
Posso chiamare un numero di telefono per risolvere più in fretta?
Fai attenzione: i numeri trovati sul web possono essere fraudolenti. Usa il portale ufficiale di supporto (support.microsoft.com) per avviare una chat o una chiamata dall’interno del sito Microsoft.
Ho ricevuto la stessa e‑mail ma non ho richiesto il recupero. Che faccio?
Verifica l’attività recente del tuo account accedendo direttamente dal sito Microsoft. Se noti tentativi sospetti, cambia password e rivedi i metodi di sicurezza.
Checklist rapida
- Il dominio del mittente termina con
@accountprotection.microsoft.com. - L’e‑mail è coerente con un recupero avviato da me.
- Non sono richieste password o codici via e‑mail.
- Ho compilato il modulo su
https://account.live.com/acsr(digitandolo nel browser). - Ho preparato un PDF con cartelle, oggetti e dettagli utili.
- Ho caricato il file solo su un portale
microsoft.com. - Con 2FA attiva e problemi residui, ho contattato la chat del supporto.
Errori comuni (da evitare)
- Rispondere all’e‑mail con allegati: il canale corretto è il portale di upload sicuro.
- Compilare l’ACSR da link sospetti: digita l’URL nel browser o usa i preferiti se già salvati.
- Fornire informazioni vaghe: inserisci nomi di cartelle e oggetti precisi, non descrizioni generiche.
- Ignorare la 2FA: se è attiva e non hai i metodi, passa subito all’assistenza umana.
- Affidarsi a “numeri di assistenza” trovati casualmente: resta nel perimetro dei siti Microsoft.
Dopo il recupero: metti in sicurezza l’account
Una volta riottenuto l’accesso, dedica qualche minuto a blindare l’account e prevenire futuri blocchi:
- Attiva/riattiva la Verifica in due passaggi (app Microsoft Authenticator consigliata).
- Aggiungi più metodi di sicurezza: e‑mail alternativa, numero di telefono secondario, codici di recupero stampati.
- Rivedi dispositivi e sessioni: disconnetti quelli che non riconosci.
- Controlla regole di inoltro e accessi POP/IMAP: rimuovi regole sconosciute.
- Usa password robuste e un gestore di password; evita il riuso tra servizi diversi.
- Considera Passkey o metodi senza password dove disponibili, per ridurre l’esposizione.
Riepilogo
L’e‑mail con mittente @accountprotection.microsoft.com che ti chiede di ricompilare l’ACSR e di fornire un documento supplementare è, nella casistica descritta, autentica. Il percorso corretto è:
- verificare con cura mittente e dominio;
- compilare l’ACSR esclusivamente tramite
https://account.live.com/acsr; - preparare e caricare il documento richiesto su un portale
microsoft.com; - se hai la 2FA attiva o se la verifica non va a buon fine, passare alla chat del supporto (
https://support.microsoft.com/contactus) con tutte le prove a portata di mano.
Seguendo questi passaggi, massimizzi le probabilità di recuperare l’accesso e riduci il rischio di cadere in truffe.
In sintesi
L’e‑mail ricevuta è autentica quando proviene da @accountprotection.microsoft.com ed è coerente con un recupero avviato da te. Usa il modulo ufficiale ACSR, fornisci quante più informazioni verificabili possibile e, se la verifica non riesce o hai la 2FA attiva senza accesso ai metodi, contatta la chat del supporto Microsoft per una convalida manuale.