Indice
Il Prime Day 2026 è partito il 23 giugno e durerà fino al 26, con sconti su milioni di prodotti in 22 paesi. Ma dietro le offerte si muove un’industria parallela altrettanto organizzata: quella delle truffe a tema Amazon.
Secondo il report di Check Point Research, tra dicembre 2025 e maggio 2026 sono stati registrati nel mondo 6.843 domini che richiamano il marchio Amazon, con un picco di 1.446 nuovi indirizzi nel solo aprile e altri 1.267 a maggio.
Non sono improvvisazioni dell’ultimo minuto: i criminali li registrano con mesi di anticipo per farli “invecchiare” e renderli meno sospetti agli occhi dei filtri di sicurezza automatici.
Il meccanismo è sempre lo stesso, e funziona perché sfrutta tre ingredienti psicologici precisi: la fiducia in un marchio globale riconosciuto, la pressione del tempo (l’offerta scade, il bonus scade, l’account viene bloccato) e la voglia di fare un affare. Capire come agiscono i truffatori è il primo passo per non caderci.
Il phishing via email: il pericolo numero uno
Le campagne di phishing via email restano lo strumento più diffuso durante il Prime Day, e quest’anno hanno raggiunto un livello di sofisticazione superiore al solito. Non parliamo più delle email scritte male con errori grossolani: oggi i siti clone replicano logo, categorie merceologiche, schede prodotto e persino le recensioni del marketplace originale, con tanto di bollino “Amazon’s Choice” falsificato per aumentare la credibilità.
Gli oggetti delle email più usati seguono uno schema ricorrente: conferme d’ordine mai effettuate, rimborsi in attesa, errori di sistema da “risolvere” con un click. Una delle formule più diffuse individuate dai ricercatori è qualcosa come “Rimborso in sospeso, errore del sistema Amazon”, pensata apposta per generare ansia e spingere a un’azione immediata senza riflettere.
Ecco i punti da controllare prima di fare qualsiasi cosa con un’email che dice di arrivare da Amazon:
L’indirizzo del mittente. Le comunicazioni autentiche arrivano sempre da domini ufficiali come @amazon.it o @amazon.com, mai da provider generici come Gmail, Hotmail o Outlook. Se nel campo “da” compare qualcosa come “amazon-security@hotmail.com“, è una truffa, punto.
Il link, prima di cliccarlo. Passa il mouse sopra il collegamento (senza cliccare) e guarda l’indirizzo che appare in basso nel browser. Piccole variazioni come lettere doppie, trattini in posizioni strane o estensioni diverse dal normale .ite .com sono il segnale più chiaro di un sito contraffatto.
Le richieste impossibili. Amazon non chiede mai, via email o telefono, di comunicare password, numero completo della carta di credito, codice di sicurezza o codice OTP per l’autenticazione a due fattori. Se arriva una richiesta del genere, è già finita: cancella tutto.
Errori di scrittura e traduzioni goffe. Molte campagne di phishing sono tradotte automaticamente da altre lingue e portano con sé errori grammaticali o frasi costruite in modo poco naturale, un dettaglio che un mittente professionale come Amazon non si lascerebbe mai scappare.
Non solo email: smishing e siti clone
Il phishing via email è solo una parte del problema. Durante i grandi eventi commerciali aumentano in parallelo anche gli SMS fraudolenti (smishing), spesso costruiti su due temi: un presunto ritardo nella consegna di un ordine, oppure una richiesta di verifica del codice a due fattori per “proteggere” l’account.
In entrambi i casi l’obiettivo è identico: portare l’utente su una pagina che sembra Amazon ma non lo è, e farsi consegnare credenziali o dati di pagamento.
Quanto ai siti clone, alcuni esempi documentati nel report di Check Point danno un’idea della cura con cui vengono costruiti: pagine che copiano l’intero negozio Amazon con la classica grafica arancione, banner di categorie e schede prodotto identiche alle originali, oppure pagine promozionali finte pensate apposta per il pubblico italiano, con messaggi su bonus e crediti promozionali legati al Prime Day.
Un cluster specifico, rivolto al mercato sudamericano e ispanofono, ha persino usato un trucco tecnico avanzato: domini con caratteri accentati codificati (il cosiddetto IDN encoding) che nel browser appaiono identici a “amazoncrédito”, rendendo l’inganno quasi impossibile da notare a colpo d’occhio.
Un punto che vale la pena sottolineare con chiarezza: il lucchetto HTTPS nella barra degli indirizzi non garantisce più nulla. I siti fraudolenti usano sempre più spesso certificati di sicurezza validi, quindi quel piccolo lucchetto verde non è più, da solo, una prova di autenticità.
Cosa sappiamo e cosa non sappiamo
Cosa sappiamo:
- Check Point Research ha confermato 6.843 domini falsi a tema Amazon registrati tra dicembre 2025 e maggio 2026, con il 9,2% già classificato come malevolo o sospetto
- Le tre minacce principali sono email di phishing, SMS fraudolenti (smishing) e siti clone che replicano il marketplace ufficiale
- Amazon non richiede mai password, dati completi della carta o codici OTP via email, SMS o telefono
- Esistono canali ufficiali per segnalare le truffe, gestiti direttamente da Amazon
Cosa non sappiamo ancora:
- Il numero esatto di utenti italiani colpiti durante questa edizione del Prime Day non è stato reso pubblico
- Non è chiaro quanti dei domini individuati da Check Point siano stati effettivamente rimossi o bloccati dai principali browser e provider di posta
Come proteggersi: il vademecum pratico
Digita l’indirizzo, non cliccare il link. La regola più semplice ed efficace: per accedere ad Amazon, scrivi direttamente amazon.it nella barra del browser o usa l’app ufficiale, evitando sempre i collegamenti ricevuti per email, SMS o messaggistica.
Attiva l’autenticazione a due fattori. Anche se un truffatore riesce a ottenere la tua password, con la 2FA attiva non potrà comunque accedere all’account senza il secondo codice di verifica, che dovrebbe restare sempre e solo nelle tue mani.
Usa password uniche per ogni servizio. Riciclare la stessa password su più siti significa che una violazione altrove può aprire la porta anche al tuo account Amazon. Un gestore di password riduce di molto questo rischio.
Rallenta prima di pagare. La fretta è l’arma preferita dai truffatori. Qualche secondo in più per verificare il venditore, leggere le recensioni reali e controllare l’URL può evitare conseguenze ben più costose di un’offerta persa.
Diffida delle offerte fuori scala. Uno smartphone di fascia alta scontato dell’80%, un buono regalo “gratuito” per aver completato un sondaggio, un credito promozionale arrivato via SMS senza che tu l’abbia richiesto: se sembra troppo bello per essere vero, lo è quasi sempre.
Segnala sempre, anche solo per dubbio. Le email sospette possono essere inoltrate come allegato a reportascam@amazon.com, mentre per verificare una comunicazione dubbia prima di agire si può scrivere a verify@amazon.com. Ogni segnalazione aiuta a migliorare i sistemi automatici di riconoscimento delle truffe.
Domande frequenti su Amazon Prime Day e sicurezza
Come faccio a capire se un’email “da Amazon” è vera o falsa?
Controlla l’indirizzo del mittente, che deve essere un dominio ufficiale come @amazon.it o @amazon.com. Passa il mouse sui link senza cliccare per vedere dove portano davvero, e ricorda che Amazon non chiede mai password o dati della carta via email.
Il lucchetto HTTPS nella barra del browser garantisce che un sito sia sicuro?
No. I siti fraudolenti più recenti usano certificati SSL validi pur essendo completamente falsi. Il lucchetto indica solo che la connessione è cifrata, non che il sito appartenga davvero ad Amazon.
Cosa devo fare se ho già cliccato su un link sospetto?
Non inserire nessun dato nella pagina che si è aperta. Se hai già digitato la password, cambiala immediatamente sul sito ufficiale e attiva l’autenticazione a due fattori se non l’avevi già fatta. Controlla anche la cronologia ordini del tuo account reale.
Come si segnala una truffa ad Amazon?
Inoltra l’email sospetta come allegato a reportascam@amazon.com, oppure usa il modulo dedicato disponibile nella sezione assistenza del sito Amazon. Per verificare una comunicazione prima di agire puoi scrivere a verify@amazon.com.
Gli SMS che segnalano ritardi nella consegna sono sempre falsi?
Non sempre, ma durante il Prime Day il volume di SMS fraudolenti aumenta sensibilmente. La regola resta identica a quella delle email: non cliccare sui link contenuti nel messaggio e verifica lo stato della consegna direttamente dall’app o dal sito ufficiale Amazon.
Esistono modi per pagare in modo più sicuro durante il Prime Day?
Sì. L’uso di carte virtuali o carte prepagate dedicate agli acquisti online limita il danno in caso di furto dei dati, perché non esposte all’eventuale compromissione della carta principale.
