Google ha appena rimesso il dito in una ferita poco spettacolare ma molto concreta: le truffe non passano solo da email e SMS, possono entrare anche dal calendario. Nel suo advisory dell’8 giugno 2026, il team Trust & Safety cita i bypass di Calendar Phishing, cioè inviti falsi che sfruttano servizi affidabili per sembrare meno sospetti. Su Android il problema è ancora più fastidioso, perché una notifica di Google Calendar arriva nello stesso spazio mentale di una riunione vera, non nel cestino mentale dello spam.
Il punto pratico è questo: se sul telefono compaiono eventi mai accettati, avvisi di rinnovi, fatture, “supporto urgente” o meeting con link strani, non è il calendario che si è svegliato creativo. È un vettore di phishing. E va trattato come tale: niente tap impulsivi, niente numeri da chiamare, niente “rifiuta” per educazione digitale. L’educazione, con certi inviti, consiste nel non dare segnali di vita.
Correlato: AndroidLab ha già affrontato il filone sicurezza lato utente con la guida su Fake Call Detection su Android. Il tema è lo stesso: l’AI e i filtri aiutano, ma il controllo finale resta una combinazione di impostazioni corrette, account ordinati e un minimo di sfiducia operativa.
Perché gli inviti falsi funzionano così bene
Un invito calendario ha tre vantaggi per chi attacca. Primo: sembra arrivare da uno strumento di produttività, quindi abbassa la guardia. Secondo: può sincronizzarsi tra web, telefono e tablet, creando l’impressione che l’evento sia “ufficiale” perché compare ovunque. Terzo: può contenere link, numeri di telefono, descrizioni allarmistiche e promemoria ripetuti. Una piccola macchina per produrre urgenza, insomma, con il vestito buono di Google Workspace.
Google segnala che alcune campagne abusano di suite cloud e documenti apparentemente legittimi per superare controlli automatici. Malwarebytes, in una guida recente sul tema, descrive casi in cui gli eventi finti tornano perché sono collegati a calendari sincronizzati o a sorgenti esterne non rimosse davvero. Qui AndroidLab la legge così: cancellare un singolo evento è spesso solo pulire il sintomo; bisogna trovare chi ha ancora il permesso di scrivere nel calendario.
Controllo 1: bloccare gli inviti da sconosciuti
La prima regolazione da fare è dentro Google Calendar su Android. Apri l’app, entra nel menu laterale, poi in Impostazioni, Generali, Aggiunta inviti. La voce da cercare è Solo se il mittente è noto. In alternativa, per una postura più rigida, puoi scegliere l’aggiunta solo dopo risposta via email. È meno comodo, ma riduce il rischio che un invito da uno sconosciuto si piazzi direttamente in agenda come se avesse pagato l’affitto.
Il compromesso è reale: se lavori spesso con persone nuove, conferenze, clienti o scuole, potresti dover accettare manualmente più inviti. Non è un bug, è il prezzo della difesa. La scelta sensata per molti utenti è “mittente noto”: protegge dagli sconosciuti più rumorosi senza trasformare ogni riunione esterna in una piccola pratica notarile.
Controllo 2: verificare i permessi calendario delle app
La pagina di supporto Google per Android è chiara: per fermare alcuni tipi di spam calendario bisogna anche rivedere quali app hanno accesso al calendario. Vai in Impostazioni Android, Sicurezza e privacy, Privacy, Gestione autorizzazioni, Calendario. I nomi cambiano leggermente tra Pixel, Galaxy e altri produttori, ma il concetto resta quello: guarda chi può leggere o modificare gli eventi.
Revoca il permesso alle app che non hanno un motivo concreto per toccare il calendario. Un’app di note, prenotazioni o produttività può averne bisogno; un’app torcia, un gioco casuale o un generatore di wallpaper no. Se togli il permesso, gli eventi già presenti non spariscono automaticamente: questa è la parte noiosa ma importante. Dopo la revoca devi comunque pulire calendario, eventi e sorgenti sospette.
Controllo 3: nascondere o rimuovere calendari non riconosciuti
Apri Google Calendar su Android, menu laterale, elenco calendari. Tocca “Mostra altro” se serve e cerca calendari che non ricordi di aver creato: nomi generici, promozioni, avvisi antivirus, fatture, premi, tracking di spedizioni mai richieste. Puoi disattivarne la visualizzazione per togliere rumore, ma se il calendario è stato aggiunto tramite un servizio o un’app, conviene risalire alla sorgente e rimuoverla.
Questo è il punto in cui molti fanno mezzo lavoro: cancellano l’evento, ma lasciano vivo il calendario o l’app che lo rigenera. Se dopo qualche ora lo spam ritorna, non è magia nera: è sincronizzazione. Controlla anche Google Calendar da browser desktop, perché alcune impostazioni sono più leggibili lì e perché l’account è lo stesso. Android mostra il sintomo, l’origine può stare nel cloud.
Cosa non fare quando arriva un invito sospetto
- Non aprire link nella descrizione dell’evento.
- Non chiamare numeri indicati per “annullare” pagamenti o abbonamenti.
- Non rispondere con accetta, rifiuta o forse, se l’invito è chiaramente sospetto.
- Non installare app suggerite dall’evento.
- Non inserire password Google, dati bancari o codici 2FA dopo un link partito dal calendario.
Se l’invito cita un servizio reale, apri quel servizio dal sito ufficiale o dall’app già installata. Niente scorciatoie. Le truffe di calendario vivono proprio sul salto psicologico tra notifica, urgenza e tap rapido. Spezzare quel circuito vale più di dieci promemoria motivazionali sulla sicurezza.
Cosa cambia davvero
Per chi usa Android tutti i giorni, la lezione è meno banale del solito “non cliccare link strani”. Google Calendar è un’app di sistema nella pratica, anche quando non lo è tecnicamente: sta nel telefono, manda notifiche, si sincronizza con Gmail, Meet, account di lavoro e servizi terzi. Se un attaccante riesce a infilare un evento lì dentro, sfrutta la fiducia costruita dall’ecosistema. Non buca per forza Android, ma buca la routine dell’utente.
La difesa migliore non è disinstallare mezzo mondo. È applicare un piccolo runbook: limitare gli inviti automatici, controllare i permessi, rimuovere calendari sconosciuti, verificare gli account collegati e trattare gli eventi inattesi come messaggi potenzialmente ostili. Da laboratorio editoriale uomo+AI, questa è anche una buona regola di metodo: l’automazione filtra, ma non sostituisce il giudizio. Se una notifica pretende fretta, probabilmente merita lentezza.
Checklist rapida su Android
- Google Calendar → Impostazioni → Generali → Aggiunta inviti: scegli Solo mittenti noti o risposta via email.
- Impostazioni Android → Privacy → Gestione autorizzazioni → Calendario: rimuovi accessi inutili.
- Google Calendar → menu laterale: nascondi o elimina calendari che non riconosci.
- Da browser desktop, verifica le stesse impostazioni dell’account Google.
- Per eventi sospetti: niente link, niente telefonate, niente risposta all’invito.
In breve
- Google ha segnalato l’8 giugno 2026 nuovi trend di truffe, inclusi bypass tramite Google Calendar.
- Su Android puoi limitare gli inviti automatici ai soli mittenti noti.
- Controlla i permessi calendario concessi alle app installate.
- Se lo spam ritorna, cerca calendari o sorgenti sincronizzate ancora attive.
- Un invito inatteso con link, numeri o urgenza va trattato come phishing, non come appuntamento.
Fonti
- Google Blog — Our latest fraud and scams advisory (8 giugno 2026)
- Google Calendar Help — Block calendar spam on Android (consultata 10 giugno 2026)
- Malwarebytes — Fake calendar invites are spreading (21 novembre 2025)
- Berkeley Lab IT — Phishing Scams Using Google Calendar Invites (30 ottobre 2025)