Formazione Digitale · Guida completa · Sicurezza
Cybersicurezza
Personale
Password sicure, phishing, 2FA, aggiornamenti, privacy e backup. Tutto quello che devi sapere per proteggerti online — senza essere un esperto.
🔒 Sicurezza
💡 Livello base
⏱ ~35 minuti
✅ Piano d'azione incluso
🗓 Aggiornata 2026
1
Perché ci riguarda tutti
Non serve essere VIP o avere segreti per essere un bersaglio
C'è una convinzione diffusa: "Non sono importante abbastanza da essere hackerato." È un errore pericoloso. La maggior parte degli attacchi informatici non è mirata — è automatica, indiscriminata, e cerca semplicemente qualcuno con le difese basse.
Pensa alla tua casa. Non la lasci aperta perché "non hai niente di valore", vero? Il tuo spazio digitale — email, smartphone, profili social, conti bancari — merita lo stesso rispetto.
Account email violato
Chi accede alla tua email può resettare tutte le tue altre password. È la chiave di tutto.
Furto d'identità
I tuoi dati personali valgono denaro. Vengono venduti, usati per frodi o per aprire crediti a tuo nome.
La catena degli accessi
Un account compromesso spesso porta a un altro. La sicurezza è forte quanto il suo anello più debole.
Attacchi automatici
I robot testano milioni di combinazioni ogni giorno. Non ti scelgono — trovano chi non si è protetto.
Analogia utile Il lucchetto della tua bicicletta non ferma un ladro determinatissimo — ma ti protegge dai furti opportunistici, che sono il 90% dei casi. La sicurezza digitale funziona allo stesso modo: bastano poche misure di buon senso per non essere il bersaglio più facile.
2
La trappola del phishing
L'attacco più comune — e il più sottovalutato
Il phishing è una truffa che usa messaggi falsi — email, SMS, WhatsApp — per farti rivelare password, dati della carta o cliccare su link pericolosi. Il nome viene dall'inglese "fishing" (pescare): il truffatore lancia l'amo e aspetta che qualcuno abbocchi.
Non è una questione di intelligenza. Oggi i messaggi di phishing sono spesso indistinguibili da quelli reali — usano loghi ufficiali, linguaggio formale e creano urgenza per farti agire in fretta, senza pensare. Spesso portano a siti web falsi che imitano perfettamente quelli di banche, Poste Italiane o PayPal — con URL solo leggermente diversi dall'originale.
⚠ Esempio di email di phishing — analisi
Da: sicurezza@bancaonline-supporto.net
Oggetto: URGENTE: Il tuo conto verrà sospeso entro 24 ore
Gentile cliente,
abbiamo rilevato un accesso sospetto al tuo conto. Devi verificare la tua identità immediatamente cliccando sul link qui sotto, altrimenti il tuo conto sarà bloccato entro 24 ore.
→ http://banca-verifica-accesso.xyz/login
Cordiali saluti,
Il team di sicurezza
Oggetto: URGENTE: Il tuo conto verrà sospeso entro 24 ore
Gentile cliente,
abbiamo rilevato un accesso sospetto al tuo conto. Devi verificare la tua identità immediatamente cliccando sul link qui sotto, altrimenti il tuo conto sarà bloccato entro 24 ore.
→ http://banca-verifica-accesso.xyz/login
Cordiali saluti,
Il team di sicurezza
Mittente sospetto: dominio non ufficiale (
bancaonline-supporto.net)Urgenza artificiale: "24 ore", "immediatamente"
Minaccia: "conto bloccato" per spingerti ad agire di fretta
Link non ufficiale: dominio
.xyz sconosciutoFirma vaga: "Il team di sicurezza" senza nome o contatto reale
Come verificare un link prima di cliccare Passa il mouse sopra il link senza cliccare: l'URL reale apparirà in basso a sinistra nel browser. Se non corrisponde al sito ufficiale, non cliccare. Su smartphone, tieni premuto il link per vedere l'anteprima dell'URL.
✓ Cosa fare
- Controlla sempre il mittente reale (non solo il nome visualizzato)
- Passa il mouse sui link prima di cliccare e verifica l'URL reale
- In caso di dubbio, accedi al sito direttamente dal browser, non dal link
- Chiama il servizio clienti usando il numero sul retro della carta o sul sito ufficiale
- Segnala le email sospette come spam
✗ Cosa evitare
- Cliccare link in messaggi urgenti senza verificare
- Inserire password o dati bancari da link ricevuti via email
- Fidarti solo del logo o del nome visualizzato
- Aprire allegati da mittenti sconosciuti o inattesi
- Rispondere alle email sospette (conferma che l'indirizzo è attivo)
Lo smishing: phishing via SMS Funziona esattamente come il phishing via email, ma arriva come SMS o WhatsApp. Spesso si spaccia per la tua banca, il corriere, l'Agenzia delle Entrate o Poste Italiane. La regola è identica: non cliccare mai link da messaggi inattesi — accedi sempre direttamente dal sito ufficiale.
Attenzione: le truffe AI nel 2026 Oggi i truffatori usano l'intelligenza artificiale per clonare voci e volti. Potresti ricevere una telefonata dalla "voce" di un tuo familiare che chiede denaro urgente, o un video falso convincente. Se ricevi richieste inaspettate di soldi — anche da chi conosci — verifica sempre richiamando direttamente al numero che hai in rubrica.
Fai subito questo Pensa all'ultima email "urgente" che hai ricevuto da una banca, corriere o servizio online. Prima di cliccare qualsiasi link, cerca il nome dell'azienda su Google e vai direttamente al loro sito ufficiale. Quella è la tua difesa numero uno contro il phishing.
3
Password sicure
La serratura della tua vita digitale
La password è la prima linea di difesa dei tuoi account. Una password debole è come una serratura di plastica: esiste, ma non protegge nulla. I programmi automatici testano milioni di combinazioni al secondo — password come 123456 o mario1990 vengono scoperte in meno di un secondo.
Confronto: dalla password debole a quella forte
Questa password non si ricorda — si delega Una stringa come
j4#Kw!mR9@qLdTx2 è generata e memorizzata da un gestore di password. Tu non devi ricordarla: ci pensa il software.Il trucco della passphrase Quattro parole casuali unite da un trattino (
Tigre-Nuvola-Porta-7) sono più sicure di una stringa caotica come P@ss! — e molto più facili da ricordare. La parola chiave è casuali: "CasaMiaRomaForza" non vale. La lunghezza batte la complessità.Le 3 regole d'oro delle password
1. Una password, un account
Mai usare la stessa password su più siti. Se un sito viene violato, tutti gli account con quella password sono a rischio.
2. Lunga è meglio di complicata
Almeno 12 caratteri. Una frase di 4 parole casuali è più sicura di
P@ss! e molto più facile da ricordare.3. Usa un gestore di password
Genera e ricorda password sicure uniche per ogni sito. Devi ricordare solo una password principale.
Quale gestore di password scegliere?
| Strumento | Tipo | Adatto a | Note |
|---|---|---|---|
| Bitwarden | App dedicata (gratuita) | Tutti — prima scelta consigliata | Open source, multi-dispositivo, sincronizzazione cloud |
| KeePass | App locale (gratuita) | Chi preferisce non usare il cloud | Il database è solo sul tuo dispositivo — più sicuro, meno comodo |
| Gestore del browser (Chrome, Firefox, Safari) |
Integrato nel browser | Chi inizia — ottimo punto di partenza | Comodo e automatico, ma funziona solo in quel browser. Accettabile per iniziare. |
Fai subito questo Controlla se le tue password sono state compromesse su haveibeenpwned.com — inserisci solo la tua email. Se il sito segnala una violazione, cambia subito la password di quell'account. Ricorda: il sito verifica violazioni passate — se hai già cambiato la password dopo il leak, sei al sicuro.
4
Autenticazione a due fattori (2FA)
Il secondo lucchetto — quello che fa la differenza
Anche la password più sicura può essere rubata — attraverso una violazione di dati, il phishing o semplicemente perché qualcuno la indovina. L'autenticazione a due fattori (2FA) aggiunge un secondo passaggio: dopo la password, devi confermare la tua identità con un secondo elemento che solo tu possiedi.
È come avere sia la chiave che il codice dell'allarme: anche se qualcuno ruba la chiave, senza il codice non entra.
| Metodo 2FA | Come funziona | Sicurezza | Consigliato per |
|---|---|---|---|
| App Authenticator (Google Authenticator, Authy) |
Codice di 6 cifre generato localmente, cambia ogni 30 secondi | 🟢 Ottima | Email, social, tutti gli account importanti — sempre la prima scelta |
| SMS | Codice inviato via messaggio di testo | 🟡 Sufficiente | Banche, servizi pubblici — meglio di niente, ma vulnerabile al SIM swapping |
| Codice inviato alla tua casella email | 🟠 Bassa | Solo se l'email stessa è protetta con 2FA forte |
Il SIM Swapping: perché l'SMS non basta I truffatori possono convincere il tuo operatore telefonico a trasferire il tuo numero su una SIM in loro possesso. Da quel momento ricevono tutti i tuoi SMS — inclusi i codici 2FA. Il fenomeno è in crescita nel 2026. Per gli account più importanti, usa sempre un'app authenticator anziché l'SMS.
Come attivare il 2FA — passo per passo
- Installa un'app authenticator Scarica Google Authenticator o Authy dal tuo store (iOS o Android). Sono gratuite.
- Vai nelle impostazioni di sicurezza dell'account Su Gmail: Account Google → Sicurezza → Verifica in due passaggi. Su Facebook: Impostazioni → Sicurezza e accesso → Autenticazione a due fattori.
- Scegli "App di autenticazione" come metodo Ti verrà mostrato un QR code. Aprilo con l'app: la scansione è automatica.
- Salva i codici di recupero Ogni servizio fornisce codici di emergenza usa-e-getta. Stampali o annotali e conservali in un posto fisico sicuro — servono se perdi il telefono.
Mai condividere un codice 2FA Nessuna azienda legittima ti chiederà mai di comunicare un codice di verifica ricevuto via SMS o app. Se qualcuno lo richiede — anche fingendo di essere il supporto tecnico — è una truffa. Riaggancia e contatta direttamente l'azienda.
Priorità di attivazione Attiva il 2FA nell'ordine: (1) email principale, (2) conto bancario, (3) social network, (4) tutti gli account dove hai dati di pagamento salvati. L'email è la chiave di tutto: proteggerla è il singolo cambiamento più importante che puoi fare oggi.
5
Aggiornamenti: la difesa più semplice
Il tuo sistema operativo e le tue app devono essere sempre aggiornati
Ogni software ha imperfezioni — alcune delle quali permettono ai malintenzionati di entrare nel tuo dispositivo. Quando le aziende scoprono questi "buchi" li correggono e rilasciano un aggiornamento. Ignorarlo è come lasciare una finestra rotta: tutti sanno che è lì.
Ordine di priorità: sistema operativo prima (Windows, macOS, iOS, Android), poi il browser (Chrome, Firefox, Safari) — il programma più esposto agli attacchi — poi le app critiche come quelle bancarie, infine tutto il resto.
✓ Buone abitudini
- Attiva gli aggiornamenti automatici su smartphone e computer
- Aggiorna le app regolarmente — anche quelle usate poco
- Aggiorna il browser: è il programma più esposto agli attacchi
- Aggiorna il firmware del router almeno una volta l'anno
- Riavvia il dispositivo dopo gli aggiornamenti
✗ Errori comuni
- Rimandare gli aggiornamenti "perché non ho tempo"
- Usare sistemi operativi fuori supporto (es. Windows 7/8)
- Scaricare app da fonti non ufficiali per evitare aggiornamenti
- Ignorare le notifiche di aggiornamento per mesi
- Pensare che un antivirus compensi la mancanza di aggiornamenti
Il caso WannaCry (2017) Nel 2017 un attacco ransomware bloccò centinaia di migliaia di computer in 150 paesi. Colpì solo sistemi Windows non aggiornati: la patch che correggeva la vulnerabilità era disponibile da mesi. Chi aveva aggiornato non fu toccato.
Fai subito questo Apri le impostazioni del tuo smartphone e del tuo computer e verifica che gli aggiornamenti automatici siano attivi. Se trovi aggiornamenti in attesa, installali adesso. Ci vogliono 5 minuti.
6
Privacy e tracciamento
Cosa sanno di te — e come limitarlo
Ogni volta che usi internet, lasci tracce. Alcune sono inevitabili e necessarie, altre sono dati raccolti e venduti per mostrarti pubblicità. Capire chi raccoglie cosa ti permette di fare scelte consapevoli.
I metodi di tracciamento si dividono in due grandi categorie: quelli legati alla navigazione (cosa fai online) e quelli legati al dispositivo (chi sei e dove sei).
Cookie di terze parti
Seguono i tuoi movimenti da sito a sito, costruendo un profilo dei tuoi interessi.
Puoi bloccarli nelle impostazioni del browser o scegliendo "Rifiuta tutto" nei banner cookie.
Pixel di tracciamento
Immagini invisibili nelle email che comunicano al mittente quando hai aperto il messaggio.
Disabilita il caricamento automatico delle immagini nelle email. Molti client moderni lo bloccano già di default.
Fingerprinting
Il browser rivela informazioni tecniche che permettono di identificarti anche senza cookie. Browser come Firefox e Brave includono protezioni attive.
Per chi vuole più protezione: Firefox con uBlock Origin, oppure Brave, bloccano il fingerprinting per impostazione predefinita.
Geolocalizzazione
Molte app chiedono l'accesso alla posizione anche quando non ne hanno bisogno.
Imposta l'accesso su "Solo mentre uso l'app" o "Mai". Vai in Impostazioni → App → Permessi.
Permessi app eccessivi
Una torcia che chiede accesso ai contatti, al microfono e alla fotocamera. Perché?
Se un'app chiede un permesso che non ha senso per la sua funzione, non concederlo — o disinstallala.
Cronologia ricerche
I motori di ricerca e i browser tracciano tutto ciò che cerchi e visiti.
Usa la modalità privata/incognito per sessioni che non vuoi salvare. Considera DuckDuckGo come alternativa privacy-friendly.
Cosa puoi fare concretamente
- Rivedi i permessi delle app Smartphone → Impostazioni → App → Permessi. Revoca l'accesso a posizione, microfono e fotocamera per le app che non ne hanno bisogno.
- Usa un browser attento alla privacy Firefox, Brave e Safari bloccano i tracker di terze parti per impostazione predefinita.
- Leggi le richieste di consenso Non cliccare sempre "Accetta tutto". Molti siti offrono "Solo cookie necessari". Usala.
- Usa indirizzi email separati Un indirizzo per gli account importanti, un altro per i servizi che probabilmente ti invieranno spam.
- Controlla i dati sui social Data di nascita completa, numero di telefono, indirizzo: limitare questi dati riduce il rischio di furto d'identità. Vai in Impostazioni → Privacy su ogni piattaforma.
La regola del "minimo necessario" Ogni volta che installi un'app o ti iscrivi a un servizio, dai solo i dati strettamente necessari. Non è necessario compilare tutti i campi facoltativi. Meno dati condividi, meno dati possono essere rubati.
7
Reti Wi-Fi: attenzione a dove ti connetti
Non tutte le reti sono sicure — e alcune sono trappole
La rete Wi-Fi è il canale attraverso cui transitano tutti i tuoi dati online. Una rete non sicura è come una conversazione in un luogo pubblico: chiunque nelle vicinanze potrebbe ascoltare.
| Tipo di rete | Rischio | Cosa fare |
|---|---|---|
| Wi-Fi di casa | 🟢 Basso se configurata bene | Usa WPA3 o WPA2, password lunga, cambia quella di default del router |
| Wi-Fi aziendale/scolastica | 🟡 Medio — gestita da altri | Usa solo per attività lavorative, evita accessi bancari sensibili |
| Wi-Fi pubblica (bar, aeroporto) | 🔴 Alto | Evita transazioni bancarie e accessi a email. Usa VPN se devi navigare |
| Hotspot sconosciuto senza password | 🔴 Molto alto — potrebbe essere una trappola | Non connetterti mai. Usa i dati mobili del tuo operatore |
HTTPS protegge il contenuto, non la destinazione Su una rete pubblica, il protocollo HTTPS cifra ciò che trasmetti (es. la tua password), ma non nasconde a quale sito sei connesso. Un osservatore sulla stessa rete può comunque vedere che stai accedendo a "bancaXYZ.it" — anche senza vedere le credenziali. Una VPN risolve anche questo.
L'attacco "Evil Twin" Un malintenzionato può creare una rete Wi-Fi con lo stesso nome di quella del bar dove ti trovi. Se ti connetti alla rete falsa, tutto il tuo traffico passa attraverso il suo dispositivo. In dubbio, usa i dati mobili.
Cos'è una VPN e quando usarla Una VPN (Virtual Private Network) cifra tutto il traffico internet e lo instrada attraverso un server sicuro — rendendo illeggibile anche la destinazione dei tuoi dati. Usala quando navighi su Wi-Fi pubblici. Opzioni gratuite affidabili: ProtonVPN (nessun limite di dati sul piano free). Evita le VPN gratuite sconosciute: potrebbero vendere i tuoi dati.
Fai subito questo Vai nelle impostazioni del router di casa (di solito
192.168.1.1 nel browser), cambia la password di accesso all'interfaccia di amministrazione e verifica che la protezione sia WPA2 o WPA3 — non WEP, che è obsoleto.8
Backup: la rete di sicurezza finale
Non se i dati si perdono — ma quando
Il backup è la copia dei tuoi dati importanti conservata in un posto separato. La domanda non è se perderai dei dati, ma quando — e se avrai una copia.
La regola del 3-2-1 La strategia di backup più raccomandata: 3 copie dei dati, su 2 supporti diversi, di cui 1 fuori dalla tua posizione fisica (es. cloud). Se hai 3 copie tutte sullo stesso computer, non hai un backup — hai solo ridondanza locale.
Backup su cloud
Automatico, accessibile ovunque. Ideale per foto e documenti. Google Drive, iCloud e OneDrive sono opzioni affidabili.
Disco esterno
Copia locale rapida, indipendente da internet. Va conservato in un posto diverso dal computer principale.
Backup smartphone
Attiva il backup automatico nelle impostazioni: salva contatti, foto, messaggi e app.
Backup cifrato
Se il backup contiene dati sensibili, proteggilo con password. Soprattutto per i backup su disco esterno.
| Tipo di dato | Priorità | Dove conservarlo |
|---|---|---|
| Foto e video personali | 🔴 Alta — irrecuperabili | Cloud + disco esterno |
| Documenti di lavoro/studio | 🔴 Alta | Cloud sincronizzato + copia locale |
| Contatti telefono | 🟠 Media | Backup automatico cloud del telefono |
| Password (se non usi un gestore) | 🔴 Alta | Gestore di password con backup cifrato |
| Codici di recupero account | 🔴 Altissima | Stampati e conservati in posto fisico sicuro |
Ransomware: quando il backup salva tutto Il ransomware cifra tutti i tuoi file e chiede un riscatto. Se hai un backup recente su un disco scollegato o su cloud, puoi ripristinare i dati senza pagare nulla. Il backup offline è l'unica vera difesa contro il ransomware. Un backup cloud sincronizzato in tempo reale non è sufficiente da solo: se il ransomware cifra i file, la sincronizzazione carica anche i file cifrati.
Fai subito questo Verifica che il tuo smartphone faccia il backup automatico. Su iPhone: Impostazioni → [tuo nome] → iCloud → Backup iCloud. Su Android: Impostazioni → Google → Backup. Se non è attivo, attivalo adesso.
9
Il futuro: passkey e autenticazione senza password
La password tradizionale sta per diventare obsoleta
Le passkey sono il successore delle password: un sistema di autenticazione che elimina completamente la necessità di ricordare una stringa segreta. Nel 2026 sono già supportate da Google, Apple, Microsoft e da migliaia di siti web.
Come funzionano le passkey Invece di una password, il tuo dispositivo crea una coppia di chiavi crittografiche. La chiave pubblica va al sito web; quella privata rimane sul tuo dispositivo, protetta dalla biometria (impronta, Face ID). Per accedere, basta sbloccare il telefono — nessuna password da ricordare, nessuna possibilità di phishing sulla password.
Immune al phishing
Non c'è nessuna password da rubare. Un sito falso non può sottrarti nulla.
Accesso immediato
Impronta digitale o Face ID — nessuna digitazione, nessun codice SMS da aspettare.
Già disponibile
Google, Apple, Microsoft, PayPal, GitHub e molti altri supportano già le passkey. Cercale nelle impostazioni di sicurezza del tuo account.
Cosa fare adesso Le passkey non sono ancora universali — per ora convivi con password + 2FA. Ma quando un servizio che usi ti offre la passkey come opzione, accettala: è più sicura e più comoda di qualsiasi password.
10
Il tuo piano d'azione
Cosa fare oggi, questa settimana, questo mese
La sicurezza digitale non si raggiunge in un giorno, ma si può migliorare significativamente in pochissimo tempo. Ecco un piano scalabile — inizia dal primo livello e aggiungi un passo alla volta.
⚡ Oggi (30 minuti)
- Aggiorna tutti i dispositivi Smartphone, computer, tablet. Inizia dal sistema operativo, poi il browser. Installa tutti gli aggiornamenti in attesa e riavvia.
- Controlla le tue email su haveibeenpwned.com Se appare una violazione, cambia subito la password di quell'account — e di tutti quelli dove usavi la stessa password.
- Attiva il backup automatico sullo smartphone Foto e contatti sono i dati più preziosi e più facilmente persi. Tre minuti nelle impostazioni li mettono al sicuro.
📅 Questa settimana (1-2 ore)
- Attiva il 2FA sull'email principale con un'app authenticator È il singolo cambiamento più importante che puoi fare. Usa Google Authenticator o Authy — non l'SMS se puoi evitarlo.
- Cambia le password deboli o riutilizzate Inizia dagli account più importanti: email principale, internet banking, social network. Usa una password diversa per ciascuno.
- Rivedi i permessi delle app sul telefono Impostazioni → App → Permessi. Revoca accesso a posizione e microfono per le app che non ne hanno bisogno.
🗓️ Questo mese (configurazione duratura)
- Scegli e configura un gestore di password Bitwarden (gratuito, open source) è la prima scelta. Una volta configurato, genera password uniche per ogni account — non devi più ricordarle.
- Imposta un backup regolare per il computer Un disco esterno + un servizio cloud (Google Drive, iCloud, OneDrive) configurato per la sincronizzazione automatica.
- Cambia la password del router di casa Molti router hanno ancora "admin/admin" come credenziali di fabbrica. Accedi all'interfaccia (di solito 192.168.1.1) e cambiale.
- Attiva il 2FA su tutti gli account importanti Banca, email secondaria, servizi dove hai carta di credito salvata. Cerca le passkey dove disponibili.
Il principio della sicurezza ragionevole Non esiste sicurezza assoluta. L'obiettivo non è diventare invulnerabili, ma essere abbastanza difficili da attaccare da non valere la pena. Il 90% dei rischi si elimina con le misure di base: password forti e uniche, 2FA, aggiornamenti, backup, attenzione al phishing.
Vuoi la versione essenziale? Se cerchi un ripasso rapido dei punti chiave, consulta la Pillola Cybersicurezza — stessi concetti, formato compatto, lettura in 5 minuti.