The Practical CyberSec Guide

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

spiegare che cos’è la sicurezza informatica con esempi semplici e quotidiani;

capire perché la sicurezza riguarda ogni persona che usa strumenti digitali;

riconoscere dati e strumenti digitali da proteggere;

leggere il rischio informatico come combinazione di situazione e conseguenze;

distinguere minaccia, vulnerabilità, impatto e probabilità nei casi pratici;

capire quanto pesano fretta, abitudine e comportamento umano nella sicurezza.

1.1 Che cos’è la sicurezza informatica

La sicurezza informatica è l’insieme di regole, tecnologie, comportamenti e procedure che proteggono dispositivi, account, reti, sistemi e dati digitali. Non riguarda solo server, firewall o figure tecniche: entra in gioco ogni volta che apriamo un’email, salviamo un documento, accediamo a un servizio online, condividiamo un file o usiamo uno smartphone.

Molte persone associano la sicurezza informatica a virus, hacker e attacchi complessi. In realtà, una parte enorme della sicurezza nasce da decisioni molto normali: scegliere una password, verificare un mittente, non aprire un allegato inatteso, bloccare il computer quando ci si allontana, controllare con chi si sta condividendo un documento.

1.2 Perché oggi riguarda tutti

Oggi quasi ogni attività personale o lavorativa passa da strumenti digitali. Una persona che lavora in segreteria, amministrazione, contabilità, ufficio acquisti, commerciale o front office può gestire email aziendali, fatture elettroniche, documenti PDF, gestionali, portali bancari, cloud, calendari condivisi, chat e dati di clienti o fornitori. Anche senza svolgere un lavoro tecnico, tratta informazioni che devono essere protette.

Nella vita privata accade lo stesso. Email personale, app bancarie, SPID o CIE, account social, foto, documenti nel telefono, backup cloud, app di messaggistica e credenziali salvate nel browser compongono una parte importante della nostra identità digitale. Se uno di questi elementi viene compromesso, le conseguenze possono essere concrete: perdita di accesso, furto di dati, truffe economiche o uso dell’account per colpire altre persone.

1.3 Sicurezza informatica nella vita quotidiana

La sicurezza informatica non compare solo quando avviene un attacco evidente. È presente nelle piccole decisioni di ogni giorno: aggiornare lo smartphone, scegliere una password robusta, attivare l’autenticazione a due fattori, evitare app sconosciute, controllare il sito prima di inserire dati della carta o non cliccare un link ricevuto via SMS.

Nel lavoro quotidiano la stessa attenzione si applica a richieste di pagamento, allegati, documenti dei clienti, software autorizzati, computer lasciati sbloccati e password condivise tra colleghi. Una procedura semplice, se ripetuta con costanza, riduce il rischio più di molte regole ricordate solo in teoria.

La sicurezza nasce dall’incontro tra strumenti corretti e comportamenti corretti. Un antivirus può aiutare, ma non può impedire a una persona di consegnare la password a un sito falso. Una password robusta è utile, ma diventa fragile se viene riutilizzata ovunque. Un sistema aggiornato è importante, ma non sostituisce la capacità di fermarsi e verificare.

1.4 Il concetto di rischio informatico

Per capire la sicurezza informatica bisogna prima capire il rischio. Un rischio informatico è la possibilità che una minaccia sfrutti una debolezza e provochi un danno. La definizione sembra tecnica, ma descrive situazioni molto concrete: un messaggio falso che convince qualcuno a inserire una password, un portatile rubato senza cifratura, un allegato aperto senza controllo.

Il rischio si legge attraverso quattro elementi collegati tra loro: minaccia, vulnerabilità, impatto e probabilità. La minaccia è ciò che può causare il problema; la vulnerabilità è il punto debole che permette al problema di avvenire; l’impatto è la conseguenza; la probabilità indica quanto è realistico che accada.

1.5 Minaccia

Una minaccia è qualcosa che può causare un problema di sicurezza. Può essere una persona, un software malevolo, un errore, un evento esterno o una situazione pericolosa. Non deve per forza essere sofisticata: anche un messaggio ben costruito, una chiavetta USB infetta o un falso tecnico al telefono possono diventare minacce reali.

Tra le minacce più comuni rientrano email di phishing, malware nascosti negli allegati, richieste fraudolente di password o codici, furti di portatili, ransomware, reti Wi-Fi pubbliche non sicure e invii di documenti alla persona sbagliata. Alcune sono intenzionali, altre nascono da errore o distrazione, ma tutte possono produrre conseguenze se incontrano una debolezza.

La minaccia, da sola, non sempre basta a creare un danno. Per riuscire deve spesso trovare una vulnerabilità: una password debole, una procedura assente, un dispositivo non aggiornato, una persona sotto pressione o un controllo saltato per fretta.

1.6 Vulnerabilità

Una vulnerabilità è un punto debole. Può essere tecnica, come un computer non aggiornato, un router con password predefinita, un account senza autenticazione a due fattori o un disco non cifrato. Può però essere anche comportamentale: cliccare in modo impulsivo, riutilizzare la stessa password, aprire allegati inattesi o condividere troppe informazioni sui social.

Esistono anche vulnerabilità organizzative, spesso meno visibili ma molto importanti. Un’azienda che non ha procedure per verificare pagamenti e cambio IBAN, usa account condivisi, assegna permessi troppo ampi o non ha un referente da contattare in caso di dubbio lascia spazio a errori e abusi.

1.7 Impatto

L’impatto è la conseguenza di un problema di sicurezza. Risponde alla domanda: che cosa succede se il rischio si realizza? In ambito personale può significare furto dell’account email, perdita di foto o documenti, accesso non autorizzato all’home banking, truffa economica, furto di identità o uso del profilo social per ingannare amici e familiari.

In azienda l’impatto può essere ancora più ampio: perdita di dati dei clienti, blocco dei computer, interruzione del lavoro, pagamento a un falso fornitore, invio di documenti riservati alla persona sbagliata, danno economico, danno reputazionale o violazione di obblighi normativi.

Non tutti i rischi hanno lo stesso peso. Perdere la password di un servizio secondario non è come perdere l’accesso all’email principale o al gestionale aziendale. Aprire un allegato sospetto su un computer isolato non è come farlo su una postazione collegata a documenti condivisi, clienti e sistemi interni.

1.8 Probabilità

La probabilità indica quanto è realistico che un problema accada. Alcuni eventi sono comuni: ricevere email di phishing, SMS falsi da banche o corrieri, link sospetti, allegati inattesi, richieste di pagamento anomale o messaggi costruiti per creare urgenza. Altri eventi sono meno frequenti ma possibili, come il furto di un portatile, un ransomware in azienda o la compromissione di un account cloud.

Un rischio può essere grave anche se non accade spesso. Allo stesso modo, un rischio può diventare importante perché si presenta continuamente. Un singolo messaggio di phishing può sembrare banale, ma se un ufficio ne riceve decine ogni settimana, prima o poi qualcuno potrebbe cliccare.

La probabilità non va letta con fatalismo. Serve a decidere dove mettere controlli, formazione e procedure. Se una situazione si ripete spesso, deve essere resa semplice da gestire correttamente.

1.9 Il comportamento umano come punto debole

Molti attacchi funzionano perché sfruttano abitudini, fretta, fiducia e distrazione. Per un attaccante può essere più semplice convincere una persona a compiere un’azione che superare direttamente una protezione tecnica. Un SMS falso che imita la banca, una richiesta urgente di un presunto responsabile o una telefonata di un finto tecnico possono aggirare il buon senso proprio nel momento in cui creano pressione.

Nel lavoro quotidiano l’attaccante può presentarsi come fornitore, cliente, collega, responsabile, corriere, banca, ente pubblico, servizio cloud o portale di fatturazione. Il messaggio può citare situazioni plausibili e usare frasi come “serve entro oggi”, “il pagamento è bloccato”, “il pacco non può essere consegnato” o “l’account sarà sospeso”.

Quando una persona agisce in fretta, controlla meno. Per questo una delle regole più importanti è semplice: quando un messaggio crea urgenza, bisogna rallentare. Non è perdita di tempo; è una forma concreta di protezione.

1.10 Sicurezza informatica: non solo tecnologia, ma metodo

La sicurezza informatica non può basarsi solo sugli strumenti tecnici. Antivirus, aggiornamenti, firewall, backup, cifratura, filtri antispam e controlli sugli accessi sono importanti, ma non bastano se mancano attenzione, verifica, procedure, formazione e disponibilità a segnalare dubbi o errori.

Un buon metodo parte da una domanda semplice: questa richiesta ha senso nel contesto? Se arriva una fattura urgente non attesa, non basta guardare il logo. Bisogna controllare il mittente, chiedersi se la fattura era prevista, verificare eventuali dati con quelli già noti e contattare il fornitore usando un recapito affidabile, non quello indicato nel messaggio sospetto.

Checklist: prima di agire su un messaggio sospetto

Mi aspettavo questo messaggio?

Conosco davvero il mittente?

Il tono è urgente o strano?

Mi vengono chiesti dati, password, codici o soldi?

Posso verificare da un canale ufficiale?

Posso chiedere conferma a un referente?

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

distinguere sicurezza informatica e privacy nei casi quotidiani;

capire perché un dato può essere protetto ma comunque usato nel modo sbagliato;

riconoscere dati personali, aziendali e informazioni particolarmente sensibili;

leggere i metadati come informazioni nascoste che possono rivelare molto;

ridurre i rischi prima di inviare documenti, foto, email e link cloud;

applicare il principio del minimo necessario nella condivisione delle informazioni.

2.1 Perché parlare insieme di sicurezza e privacy

Sicurezza informatica e privacy vengono spesso usate come se fossero la stessa cosa. È comprensibile, perché nella vita quotidiana si incontrano quasi sempre insieme: quando proteggiamo un account, quando inviamo un documento, quando archiviamo una foto nel cloud o quando compiliamo un modulo online. Eppure i due concetti non coincidono.

La sicurezza informatica riguarda la protezione di dispositivi, account, reti, sistemi e dati da accessi non autorizzati, furti, perdite, manomissioni o danneggiamenti. La privacy riguarda invece l’uso corretto delle informazioni personali: chi può vederle, per quale motivo, per quanto tempo, in quale contesto e con quali limiti.

La distinzione è pratica, non teorica. Un file può essere protetto da password, ma inviato a una persona che non dovrebbe leggerlo. Un servizio può raccogliere pochi dati, ma proteggerli male. Un documento può essere conservato in una cartella sicura, ma contenere più informazioni di quelle necessarie. Per questo non basta chiedersi se un’informazione sia al sicuro; bisogna anche chiedersi se sia corretto usarla, conservarla o condividerla.

2.2 Che cos’è la sicurezza informatica

La sicurezza informatica è l’insieme delle misure tecniche, organizzative e comportamentali che proteggono il mondo digitale. Non è fatta solo di software o strumenti: include password robuste, autenticazione a due fattori, aggiornamenti, backup, cifratura, blocco dello schermo, permessi corretti, attenzione a link e allegati, procedure per pagamenti e verifiche sui documenti.

Quando parliamo di sicurezza, ci chiediamo chi può accedere a un account, se un dispositivo è aggiornato, se un file può essere modificato da persone non autorizzate, se esiste una copia di sicurezza, se una rete Wi-Fi è affidabile o se una richiesta ricevuta via email ha senso nel contesto. Sono domande che servono a impedire accessi, furti, perdita di dati e interruzioni del lavoro.

2.3 Che cos’è la privacy

La privacy non significa “nascondere qualcosa”. Significa gestire correttamente le informazioni che riguardano una persona, evitando che vengano raccolte, usate, conservate o diffuse senza motivo. Una gestione corretta della privacy richiede misura: usare solo i dati necessari, limitarne l’accesso, conservarli solo per il tempo utile e rispettare il contesto in cui sono stati forniti.

In un ambiente di lavoro la privacy riguarda clienti, dipendenti, fornitori, candidati, consulenti e qualsiasi altra persona identificabile. Nella vita privata riguarda documenti, foto, messaggi, dati sanitari, dati bancari, informazioni sui familiari, account social e tracce lasciate nei servizi digitali.

La privacy risponde a domande precise: è necessario raccogliere questo dato? Chi può vederlo? Perché viene usato? Per quanto tempo deve essere conservato? Sto condividendo più informazioni del necessario? Questa informazione riguarda anche altre persone?

2.4 Differenza pratica tra sicurezza e privacy

La differenza tra sicurezza e privacy diventa chiara quando si guardano situazioni concrete. Un file con dati personali può essere salvato in una cartella protetta e quindi apparire sicuro dal punto di vista tecnico. Se però quel file viene inviato a un gruppo di persone che non hanno motivo di leggerlo, il problema non è soltanto tecnico: è un uso scorretto dell’informazione.

Può succedere anche il contrario. Un servizio può dichiarare di raccogliere pochi dati e di rispettare la privacy degli utenti, ma permettere password deboli, non offrire autenticazione a due fattori o non proteggere bene gli account. In quel caso l’intenzione sulla privacy non basta, perché senza sicurezza i dati possono essere rubati o consultati da persone non autorizzate.

2.5 Perché sicurezza e privacy devono lavorare insieme

Sicurezza e privacy devono lavorare insieme perché proteggono due aspetti diversi dello stesso problema. La sicurezza senza privacy può proteggere molto bene dati che però vengono raccolti in modo eccessivo, usati fuori contesto o condivisi con troppe persone. La privacy senza sicurezza rischia di restare solo una promessa, perché un dato usato correttamente ma custodito male può essere perso, rubato o copiato.

In azienda questo equilibrio è essenziale. Non basta avere strumenti sicuri se poi tutti possono vedere tutto, se le cartelle cloud restano aperte per anni, se i documenti vengono inoltrati senza controlli o se i dati vengono raccolti “perché potrebbero servire”. Allo stesso modo, non basta una buona informativa privacy se password, accessi, backup e procedure operative sono deboli.

Nella vita personale vale lo stesso principio. Proteggere un account con una password robusta è importante, ma non autorizza a pubblicare ogni dettaglio della propria vita. Limitare la visibilità dei social è utile, ma non sostituisce il controllo su password, MFA, dispositivi e backup.

2.6 Che cosa sono i dati

Un dato è un’informazione. Nel mondo digitale può essere scritto, salvato, inviato, copiato, modificato, aggregato o analizzato. Alcuni dati sono immediatamente riconoscibili come delicati, come un documento di identità o un IBAN. Altri sembrano comuni, come un indirizzo email o un numero di telefono, ma possono diventare importanti quando vengono combinati con altre informazioni.

Tra i dati personali rientrano nome, cognome, indirizzo email, numero di telefono, indirizzo di casa, codice fiscale, data di nascita, foto, messaggi, documenti, dati sanitari, dati bancari, informazioni sui familiari, credenziali e dati relativi ad account online. Tra i dati aziendali rientrano clienti, fornitori, preventivi, fatture, contratti, listini, documenti contabili, buste paga, procedure, informazioni commerciali, dati di accesso ai gestionali e comunicazioni interne.

Non tutti i dati hanno lo stesso livello di rischio. Un orario di apertura pubblicato sul sito non richiede le stesse cautele di un archivio clienti, di una password o di una cartella con documenti di identità. La protezione deve essere proporzionata al valore del dato, alla sua sensibilità e alle conseguenze che potrebbero derivare da un uso improprio.

2.7 Il valore dei dati

I dati hanno valore perché permettono di identificare persone, prendere decisioni, accedere a servizi, ricostruire abitudini o costruire attacchi credibili. Per una persona possono rappresentare identità, risparmi, relazioni, comunicazioni, ricordi, documenti e accessi. Per un’azienda possono rappresentare clienti, fatturato, reputazione, procedure, strategie, fornitori, pagamenti e continuità operativa.

Un attaccante può usare dati apparentemente semplici per fare molto. Nome, ruolo, indirizzo email e fornitore abituale possono bastare per costruire una falsa richiesta di cambio IBAN. Una foto dell’ufficio può mostrare una lavagna, un badge o un monitor. Un documento pubblico può indicare nomi interni, riferimenti tecnici, strumenti usati o abitudini dell’organizzazione.

Il valore dei dati non dipende solo dal singolo elemento, ma dal quadro che si può costruire mettendo insieme più informazioni. Un dato isolato può sembrare innocuo; molti dettagli coerenti possono rendere un attacco più credibile e più difficile da riconoscere.

2.8 Che cosa sono i metadati

I metadati sono informazioni che descrivono altri dati. L’espressione “dati sui dati” può sembrare tecnica, ma il concetto è semplice: oltre al contenuto visibile di una foto, di un documento, di un’email o di un file cloud, possono esistere informazioni aggiuntive che raccontano quando quel contenuto è stato creato, da chi, con quale dispositivo, dove, come è stato modificato e con chi è stato condiviso.

Una foto contiene l’immagine visibile, ma può contenere anche data, ora, modello dello smartphone, impostazioni della fotocamera e posizione GPS. Un documento Word o PDF può contenere autore, nome utente, data di creazione, revisioni, commenti, testo nascosto o percorso del file. Un’email contiene il messaggio, ma anche mittente, destinatari, oggetto, orario, allegati e informazioni tecniche sul percorso.

I metadati sono spesso sottovalutati perché non sempre si vedono a prima vista. Proprio per questo sono rischiosi: chi condivide un file può pensare di mostrare solo il contenuto principale, mentre in realtà sta trasmettendo anche informazioni aggiuntive.

2.9 Esempi comuni di metadati

I metadati compaiono in molti oggetti digitali che usiamo ogni giorno. Nelle foto possono indicare data, ora, posizione, dispositivo e software di modifica. Nelle email possono mostrare mittente, destinatari, persone in copia, orari, allegati e informazioni tecniche. Nei documenti possono restare autore, commenti, revisioni, versioni precedenti, testo nascosto o nomi delle persone che hanno modificato il file.

Anche i file nel cloud hanno metadati importanti: proprietario, utenti con accesso, cronologia modifiche, commenti, link di condivisione, permessi di lettura o modifica, date di accesso e versioni precedenti. In molti casi non è il singolo file a essere rischioso, ma il modo in cui è stato condiviso e il numero di informazioni collegate che rimangono disponibili.

Prima di condividere un contenuto è utile fare un controllo semplice:

Il file contiene commenti, revisioni o versioni precedenti?

La foto mostra luoghi, schermi, badge, targhe o documenti?

Il documento rivela autore, percorso interno o nomi non necessari?

Il link cloud mostra solo il file giusto o un’intera cartella?

I permessi sono in sola lettura o permettono modifiche?

2.10 Perché i metadati possono essere sensibili

I metadati possono essere sensibili perché raccontano contesto. Una foto può rivelare dove si trovava una persona, a che ora è stata scattata e con quale dispositivo. Un documento può rivelare chi lo ha creato, chi lo ha revisionato o quale percorso interno è stato usato. Un’email può mostrare relazioni, abitudini e ruoli anche senza leggere il contenuto del messaggio.

Il problema cresce quando più metadati vengono combinati. Da una foto si può capire un luogo, da un post social si può capire un’abitudine, da un documento si può ricavare un nome interno, da un’email si può intuire un rapporto con un fornitore. Ogni elemento da solo può sembrare poco importante, ma insieme può costruire un profilo molto preciso.

In sicurezza pratica questo significa che bisogna proteggere anche le informazioni indirette. Non basta oscurare il dato principale se sullo sfondo resta una lavagna con nomi di clienti. Non basta togliere una pagina da un documento se restano commenti interni. Non basta condividere un singolo link se quel link apre un’intera cartella.

2.11 Dati e metadati in azienda

In azienda dati e metadati attraversano email, fatture, preventivi, contratti, CRM, gestionali, fogli Excel, archivi cloud, cartelle di rete, backup, chat, PEC, ticket di assistenza e moduli online. Ogni reparto può trattare informazioni delicate anche se non lavora in un ambito tecnico.

Un errore nella gestione dei dati può produrre conseguenze concrete: invio al destinatario sbagliato, accesso da parte di personale non autorizzato, pubblicazione involontaria, perdita di documenti, violazione della riservatezza, danno al cliente, danno economico, danno reputazionale o obbligo di gestire un incidente.

Le domande operative da fare in azienda sono sempre simili:

Questo dato serve davvero per l’attività che sto svolgendo?

Chi deve poterlo vedere e chi invece no?

Dove viene salvato e per quanto tempo deve restare lì?

È corretto inviarlo via email o serve un canale più adatto?

Il destinatario, l’allegato e il link cloud sono quelli giusti?

Il file contiene commenti, revisioni o informazioni nascoste?

2.12 Dati e metadati nella vita personale

Anche nella vita personale trattiamo continuamente dati e metadati. Smartphone, email, app bancarie, cloud, social network, app sanitarie, documenti scansionati, chat, ricevute, fatture, backup automatici e foto contengono informazioni personali e, spesso, informazioni su altre persone.

Molti rischi personali nascono da condivisioni fatte con leggerezza: inviare foto di documenti in chat non controllate, lasciare copie di carte d’identità nella galleria del telefono, pubblicare immagini che mostrano casa o luoghi abituali, salvare password in note non protette, usare cloud condivisi con permessi troppo ampi o iscriversi a servizi poco affidabili fornendo dati reali non necessari.

La regola pratica è la stessa vista per il lavoro: più un’informazione è personale o delicata, più bisogna chiedersi se sia davvero necessario condividerla, con chi, attraverso quale canale e per quanto tempo resterà disponibile.

2.13 Minimizzazione dei dati: condividere solo ciò che serve

La minimizzazione dei dati è uno dei principi più utili per ridurre i rischi. Significa raccogliere, conservare e condividere solo le informazioni realmente necessarie. È un principio semplice, ma molto potente: se circolano meno dati, in caso di errore o attacco ci saranno meno informazioni esposte.

Se per una prenotazione bastano nome e telefono, non serve chiedere anche il codice fiscale. Se un collega deve verificare solo un importo, non serve inviargli l’intero archivio clienti. Se un fornitore deve ricevere un documento, non serve condividere l’intera cartella del progetto. Se una foto deve mostrare un evento, non serve includere lavagne, badge, schermi o documenti sullo sfondo.

La minimizzazione non significa lavorare con meno informazioni di quelle necessarie. Significa evitare l’accumulo automatico, la condivisione per comodità e l’abitudine di inviare “tutto” quando basterebbe una parte.

Checklist: prima di condividere un dato

Questo dato è davvero necessario?

Posso inviare meno informazioni?

Il destinatario è quello corretto?

Il canale è adeguato al tipo di dato?

Posso limitare durata, accesso o permessi?

Posso rimuovere commenti, metadati o parti non pertinenti?

2.14 Classificare le informazioni

Classificare le informazioni aiuta a scegliere il comportamento giusto senza dover ripensare tutto da zero ogni volta. Per un uso pratico basta una classificazione semplice: informazioni pubbliche, informazioni interne, informazioni riservate e informazioni molto sensibili.

Le informazioni pubbliche sono quelle che possono essere diffuse senza particolari problemi, come orari di apertura, indirizzo dell’azienda, contatti generici o materiale promozionale. Le informazioni interne servono al lavoro quotidiano, ma non sono destinate all’esterno: procedure operative, comunicazioni interne, bozze, calendari di lavoro e materiali formativi. Le informazioni riservate non devono essere viste da persone non autorizzate: dati clienti, contratti, preventivi, documenti contabili, dati dipendenti, credenziali, informazioni bancarie e documenti legali.

Le informazioni molto sensibili richiedono un’attenzione ancora maggiore, perché una diffusione o un uso improprio può causare danni importanti. Rientrano in questa categoria documenti di identità, dati sanitari, dati bancari, credenziali, dati su minori, dati giudiziari, backup completi e grandi archivi di dati personali.

2.15 Buone pratiche nella gestione di dati e metadati

Gestire bene dati e metadati significa introdurre piccoli controlli prima delle azioni più comuni: inviare un documento, condividere un link, pubblicare una foto, archiviare un file o inoltrare un’email. Il controllo deve diventare parte naturale del gesto, non un’attività eccezionale.

Prima di inviare un documento, controlla destinatario, allegato, oggetto, persone in copia, commenti, revisioni, nome del file e presenza di dati non necessari. Prima di condividere un file cloud, controlla chi ha accesso, se il link è pubblico o limitato, se il destinatario può modificare, se puoi impostare una scadenza e se nella cartella ci sono altri file non pertinenti.

Prima di pubblicare una foto, guarda lo sfondo: documenti, schermi, badge, targhe, lavagne, minori e luoghi privati possono trasformare un’immagine innocua in una fonte di informazioni. Prima di archiviare dati, chiediti dove vengono salvati, chi può accedervi, se servono ancora, se esiste un backup e se possono essere cancellati quando non sono più necessari.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

spiegare perché ogni account è una porta verso dati, strumenti e responsabilità;

distinguere account personali, aziendali, condivisi, amministrativi e critici;

riconoscere i rischi pratici degli account condivisi e delle sessioni aperte;

controllare dispositivi collegati, metodi di recupero e accessi non più necessari;

applicare il principio del minimo privilegio a file, cloud, gestionali e account;

scegliere comportamenti più sicuri quando un accesso viene usato da più dispositivi.

3.1 Che cosa significa gestire gli accessi

Gestire gli accessi significa decidere chi può entrare in un sistema, con quali credenziali, da quali dispositivi e con quali permessi. È una delle attività più importanti della sicurezza informatica, perché molti incidenti non iniziano con un sistema “bucato”, ma con un accesso usato male, rubato, condiviso o lasciato aperto.

Ogni account è una porta. Può aprire una semplice area personale, una casella email, un archivio cloud, un gestionale, un home banking, un pannello amministrativo o un sistema aziendale. Alcune porte permettono solo di leggere informazioni; altre permettono di modificare dati, autorizzare pagamenti, creare utenti, scaricare documenti o cancellare file.

Gestire bene gli accessi significa sapere chi entra, perché entra, da dove entra, che cosa può fare e quando quell’accesso deve essere rimosso. Significa anche proteggere username, password, codici temporanei, app di autenticazione, dispositivi autorizzati, sessioni aperte, procedure di recupero e dati raggiungibili tramite quell’account.

3.2 Account, username e identità digitale

Un account è una posizione riconosciuta all’interno di un servizio digitale. Può appartenere a una persona, a un’azienda, a un ruolo o a un sistema. Di solito contiene uno username o un indirizzo email, una password, eventuali fattori aggiuntivi di autenticazione, dati del profilo, permessi, cronologia delle attività, dispositivi collegati e impostazioni di recupero.

Lo username identifica l’account; la password e gli altri fattori servono a dimostrare che chi entra è autorizzato. Nel lavoro quotidiano, però, un account non è solo un elemento tecnico: è anche un’identità operativa. Se una persona invia una email, approva un documento o modifica un dato con il proprio account, quell’azione viene collegata a lei.

Quando più persone usano lo stesso account, questa relazione si rompe. Il sistema può mostrare che “l’account amministrazione” ha modificato un dato, ma non quale persona lo abbia fatto davvero. Per questo gli account personali e tracciabili sono preferibili agli account condivisi, soprattutto quando ci sono dati, responsabilità o operazioni importanti.

3.3 Account personali e account aziendali

Gli account personali e gli account aziendali devono restare separati. Gli account personali riguardano email privata, social network, home banking, acquisti online, cloud personale, app sanitarie, SPID o CIE, abbonamenti e strumenti usati nella vita privata. Gli account aziendali riguardano email di lavoro, gestionali, CRM, software contabili, portali fatture, cloud aziendale, videoconferenze, ticketing, social aziendali, portali clienti o fornitori, home banking aziendale e pannelli amministrativi.

La separazione serve a evitare confusione tra dati privati e dati di lavoro. Permette all’azienda di gestire meglio permessi e responsabilità, semplifica la revoca degli accessi quando una persona cambia ruolo o lascia l’organizzazione e riduce il rischio che un problema personale diventi un incidente aziendale.

Usare lo stesso indirizzo, la stessa password o gli stessi strumenti per tutto crea collegamenti pericolosi. Se un vecchio account personale viene compromesso, un attaccante potrebbe provare le stesse credenziali su servizi aziendali. Se documenti di lavoro vengono salvati in cloud personali, l’azienda perde controllo su accessi, conservazione e cancellazione.

3.4 Account condivisi: perché sono rischiosi

Un account condiviso è un account usato da più persone. Può essere una casella email dell’ufficio con una sola password, un accesso a un gestionale passato tra colleghi, un profilo social aziendale usato da più persone, un account amministratore condiviso o un accesso cloud usato “per comodità”.

Il problema principale è la perdita di tracciabilità. Se un file viene cancellato, un messaggio viene inviato, un dato viene modificato o un’operazione viene approvata, il sistema mostra l’account condiviso, non la persona reale. Questo complica la ricostruzione degli incidenti e crea confusione sulle responsabilità.

Il secondo problema è la circolazione della password. Più persone conoscono una credenziale, più è probabile che venga scritta, salvata in un file, inviata in chat, comunicata a voce o mantenuta anche da chi non dovrebbe più averla. Quando una persona lascia l’azienda, cambia ruolo o non deve più accedere al servizio, revocare l’accesso diventa difficile perché bisognerebbe cambiare la password e redistribuirla a tutti.

3.5 Account amministratore e account standard

Non tutti gli account hanno lo stesso potere. Un account standard permette di svolgere attività quotidiane: leggere email, usare programmi, consultare documenti, inserire dati e lavorare sugli strumenti autorizzati. Un account amministratore può invece modificare impostazioni importanti, installare software, creare utenti, cambiare permessi, configurare sistemi o accedere a funzioni avanzate.

Gli account amministratore sono molto più delicati. Se vengono compromessi, il danno può essere maggiore perché l’attaccante può creare nuovi utenti, modificare password, cambiare permessi, installare software malevolo, disattivare protezioni, accedere a più dati, cancellare informazioni o rendere più difficile scoprire l’attacco.

Per questo gli account amministratore devono essere usati solo quando servono davvero. Nelle attività quotidiane è preferibile usare account standard, soprattutto sui computer. L’account più potente non deve essere quello usato per navigare, leggere email, aprire allegati o svolgere attività ordinarie.

3.6 Account con accesso a dati sensibili

Alcuni account non sono amministrativi, ma sono comunque critici perché permettono di accedere a dati delicati. Una casella email principale, un home banking, un gestionale contabile, un portale fatture, un CRM, un cloud aziendale, una casella PEC, un pannello del sito web o un account usato per recuperare password di altri servizi possono avere un impatto molto alto in caso di compromissione.

L’email principale è spesso uno degli account più importanti. Chi controlla l’email può leggere comunicazioni private o aziendali, ricevere link di recupero password, reimpostare accessi ad altri servizi, inviare messaggi a nome della persona, convincere contatti e colleghi a fidarsi e accedere a documenti allegati o condivisi.

La criticità di un account dipende quindi da cosa permette di fare, non solo dal suo nome. Un account “semplice” che apre la strada a molti altri servizi può essere più importante di quanto sembri.

3.7 Sessioni aperte e dispositivi collegati

Quando accediamo a un servizio, spesso la sessione resta aperta per comodità. Non dobbiamo reinserire username e password ogni volta, ma quella comodità può diventare un rischio. Una sessione aperta su un computer condiviso, un portatile personale, un browser non protetto o uno smartphone senza blocco schermo può permettere l’accesso anche a chi non conosce la password.

Una sessione aperta è una porta lasciata socchiusa. La password può essere robusta, ma chi usa quel dispositivo potrebbe leggere email, scaricare allegati, inviare messaggi, accedere al cloud, recuperare password di altri servizi o modificare impostazioni.

Checklist: sessioni e dispositivi da controllare

Blocca sempre lo schermo quando ti allontani.

Esci dagli account sui computer condivisi.

Non salvare password su dispositivi non tuoi.

Controlla periodicamente i dispositivi collegati.

Chiudi le sessioni che non riconosci o non usi più.

Attiva avvisi di accesso quando disponibili.

Proteggi smartphone e computer con PIN, password o biometria.

3.8 Recupero account: un punto spesso sottovalutato

Il recupero account serve a rientrare in un servizio quando si dimentica la password o si perde l’accesso. Può passare da un’email di recupero, un numero di telefono, codici di backup, app di autenticazione, domande di sicurezza, documenti di identità o assistenza del servizio.

Questo meccanismo è utile, ma può diventare un punto debole. Se un attaccante ottiene accesso all’email di recupero o al numero di telefono collegato, può provare a reimpostare password di altri servizi. Un account ben protetto può quindi diventare vulnerabile attraverso un canale secondario dimenticato.

Checklist: recupero account

Usa email di recupero sicure e ancora controllate.

Proteggi anche gli account secondari.

Mantieni aggiornato il numero di telefono.

Evita domande di sicurezza con risposte facili da trovare online.

Conserva i codici di backup in un luogo sicuro.

Rimuovi metodi di recupero vecchi o non più usati.

3.9 Autorizzazioni e permessi

Le autorizzazioni stabiliscono che cosa una persona può fare dentro un sistema. Un utente può avere sola lettura, modifica, cancellazione, condivisione, approvazione, esportazione dati, gestione pagamenti, creazione di nuovi utenti o amministrazione completa.

In azienda i permessi dovrebbero seguire il ruolo reale della persona. Chi deve consultare un documento non dovrebbe poterlo modificare. Un collaboratore temporaneo non dovrebbe vedere tutto l’archivio. Un reparto non dovrebbe accedere a dati di altri reparti se non è necessario. Un link cloud non dovrebbe consentire modifica quando basta la lettura.

Permessi troppo ampi aumentano il rischio anche quando la persona è affidabile. Se il suo account viene compromesso, l’attaccante eredita gli stessi permessi. Un account con accesso limitato riduce il danno; un account con accesso totale moltiplica le conseguenze.

3.10 Il principio del minimo privilegio

Il principio del minimo privilegio dice che ogni persona, account, applicazione o dispositivo dovrebbe avere solo i permessi necessari per svolgere il proprio compito, niente di più. È una regola semplice, ma riduce moltissimi rischi perché limita ciò che può accadere quando qualcosa va storto.

Nel lavoro quotidiano significa dare al fornitore solo il file di cui ha bisogno, assegnare al collega il permesso di sola lettura se non deve modificare, evitare account amministratore per attività ordinarie, limitare l’accesso dei collaboratori temporanei alla cartella del progetto e revocare i permessi alla fine della collaborazione.

Il minimo privilegio non è sfiducia verso le persone. È un modo per proteggere l’organizzazione anche da errori, malware, furti di credenziali e dispositivi smarriti. Meno permessi inutili esistono, meno danno può fare un accesso compromesso.

3.11 Accessi da dispositivi diversi

Oggi lo stesso account viene usato da computer aziendale, smartphone, tablet, browser, app mobile, computer personale, dispositivi condivisi e strumenti temporanei durante viaggi o trasferte. Questa flessibilità è comoda, ma ogni dispositivo collegato diventa parte della sicurezza dell’account.

Se un dispositivo è vecchio, non aggiornato, senza blocco schermo, usato da più persone o collegato a reti poco affidabili, può diventare il punto debole dell’intero account. Non basta proteggere la password se poi la sessione resta aperta su un dispositivo che altri possono usare.

Prima di accedere a un account importante da un dispositivo diverso dal solito, conviene chiedersi se il dispositivo è affidabile, se è aggiornato, se salva password automaticamente, se resterà accessibile ad altre persone e se sarà possibile chiudere la sessione dopo l’uso.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

spiegare perché le password restano una difesa centrale per account e servizi;

riconoscere password deboli, prevedibili, riutilizzate o conservate male;

definire criteri pratici per creare password lunghe, uniche e non personali;

capire quando una passphrase è utile e quando invece diventa prevedibile;

usare il password manager con master password, MFA e recupero gestiti con attenzione;

agire con metodo quando una password è stata rubata, condivisa o inserita in un sito falso.

4.1 Perché le password sono così importanti

La password è uno degli strumenti più comuni per proteggere un account. Serve a dimostrare che chi sta tentando l’accesso è autorizzato. La usiamo per email, computer, smartphone, home banking, social network, cloud, gestionali aziendali, portali di fatturazione, siti di acquisto, applicazioni di lavoro e aree riservate.

Una password può sembrare una semplice parola da ricordare, ma spesso protegge messaggi, documenti, dati personali, dati aziendali, strumenti di pagamento, contatti, foto, contratti, fatture e accessi ad altri servizi. Per questo è un bersaglio molto interessante: se un attaccante ottiene la password, può entrare dalla porta principale senza dover superare difese tecniche complesse.

La protezione delle password è quindi una responsabilità pratica. Non riguarda solo la scelta iniziale della parola segreta, ma anche il modo in cui viene conservata, usata, cambiata, condivisa o recuperata.

4.2 La password come chiave di accesso

Un modo semplice per capire il ruolo della password è immaginarla come una chiave. Se una chiave apre una porta importante, non la lasciamo attaccata alla serratura, non la fotografiamo, non la prestiamo a chiunque e non usiamo la stessa chiave per casa, ufficio, auto, cassaforte e conto bancario.

Con le password dovrebbe valere lo stesso principio. Una password debole, riutilizzata o conservata male equivale a una chiave facile da copiare, trovare o provare su molte porte diverse. Il problema non è solo che qualcuno possa indovinarla; il problema è che possa usarla in modo credibile come se fosse il titolare dell’account.

Sono comportamenti rischiosi usare la stessa password su molti servizi, scegliere parole brevi o legate alla vita personale, aggiungere solo un numero finale, salvare credenziali in file chiamati “password”, scriverle su post-it visibili, inviarle via chat o usare password aziendali anche per servizi personali.

4.3 Perché le password sono spesso deboli

Molte password sono deboli perché devono essere ricordate facilmente. Le persone tendono a scegliere nomi, date, città, squadre, stagioni, anni, parole familiari, sequenze da tastiera o piccole variazioni della stessa password. Quello che è comodo per la memoria, però, spesso è comodo anche per chi attacca.

Gli attaccanti non provano le password una alla volta a mano. Usano strumenti automatici, elenchi di password comuni, database di credenziali rubate e combinazioni prevedibili. Inoltre molte informazioni personali sono pubbliche o facilmente recuperabili da social network, siti aziendali, documenti, profili professionali e comunicazioni online.

Una password basata su elementi personali può quindi sembrare privata, ma essere molto meno segreta di quanto si pensi. Nome del figlio, data di nascita, azienda, città, hobby o nome di un animale domestico sono informazioni che possono essere note, dedotte o provate automaticamente.

4.4 Caratteristiche di una password debole

Una password è debole quando è facile da indovinare, facile da provare automaticamente o già presente in elenchi di password comuni. Sono deboli le password troppo corte, composte da parole comuni, basate su dati personali, uguali o simili allo username, costruite con sequenze come “123456” o “qwerty”, riutilizzate su più siti o modificate solo aggiungendo un numero o un simbolo finale.

Un errore molto diffuso è credere che una password diventi forte solo perché contiene maiuscole, numeri e simboli. Una parola comune con sostituzioni prevedibili, come una “a” trasformata in “@” o una “o” trasformata in “0”, può restare debole perché molti strumenti automatici provano proprio questi schemi.

La robustezza non dipende da un singolo simbolo decorativo. Dipende soprattutto da lunghezza, unicità e imprevedibilità. Una password lunga e non collegata alla persona è generalmente più solida di una parola breve resa apparentemente complessa da modifiche prevedibili.

4.5 Caratteristiche di una buona password

Una buona password dovrebbe essere lunga, unica per ogni servizio, non collegata alla vita personale, non basata su parole comuni, non riciclata da vecchie password, non costruita con schemi troppo prevedibili e conservata in modo sicuro. Nel contesto aziendale deve anche essere diversa da quelle usate nella vita privata.

La lunghezza è importante perché rende più difficile il lavoro degli strumenti automatici. L’unicità è altrettanto importante: anche una password robusta diventa pericolosa se viene usata su molti siti. Se uno di quei siti subisce un furto di dati, la stessa password può essere provata altrove.

Una buona password non dovrebbe contenere nome, cognome, data di nascita, nome dei figli, animali domestici, città, azienda, squadra, hobby, targa, numero di telefono o parole presenti nei profili social. Tutti questi elementi possono sembrare personali, ma spesso sono reperibili o intuibili.

4.6 Il problema del riutilizzo delle password

Riutilizzare la stessa password su più servizi è uno degli errori più pericolosi. Il rischio non nasce solo dalla forza della password, ma dal collegamento che crea tra account diversi. Se un servizio secondario viene violato, quella stessa credenziale può essere provata su email, cloud, social, banca o strumenti aziendali.

Molti attacchi non partono dal servizio più protetto. Partono da un vecchio sito di acquisti, da un forum, da un’app usata anni prima o da un servizio poco importante dove la stessa password era stata riutilizzata. Quando username e password finiscono in archivi usati dagli attaccanti, vengono provati automaticamente su altri siti.

La regola pratica è semplice: ogni account importante deve avere una password diversa. Questo vale soprattutto per email principale, home banking, account aziendali, cloud, gestionali, social network, servizi di pagamento e account usati per recuperare password di altri servizi.

4.7 Le passphrase

Una passphrase è una password composta da più parole. L’idea è ottenere una password lunga ma più facile da ricordare rispetto a una sequenza casuale di caratteri. Può essere utile soprattutto per password che devono essere memorizzate davvero, come la master password di un password manager.

Una buona passphrase deve però essere costruita con attenzione. Non dovrebbe essere una frase famosa, una citazione, un proverbio, un titolo di canzone, uno slogan o una sequenza collegata alla vita personale. Deve essere lunga, non ovvia, non usata altrove e non facilmente associabile alla persona.

La passphrase non è forte solo perché contiene più parole. Se le parole formano una frase conosciuta o prevedibile, il vantaggio si riduce. L’obiettivo è creare qualcosa che l’utente possa ricordare, ma che non sia presente in dizionari, elenchi comuni o informazioni personali.

4.8 Esempi di password deboli

Gli esempi di password deboli servono a riconoscere gli schemi da evitare, non a creare varianti simili. Sequenze come “12345678” o “qwerty123” sono deboli perché seguono ordini prevedibili e vengono provate immediatamente dagli strumenti automatici. Password come “Marco1985” sono deboli perché combinano nome e anno plausibile. Password come “Password!1” sono deboli perché partono da una parola estremamente comune e aggiungono elementi prevedibili.

Anche le password basate sull’azienda sono rischiose. Il nome dell’organizzazione, seguito da anno e simbolo, può sembrare professionale ma è spesso uno dei primi schemi tentati in un contesto lavorativo. Lo stesso vale per reparti, prodotti, sedi o slogan pubblici.

Il problema di questi esempi non è solo il singolo contenuto, ma la struttura. Gli attaccanti provano parole comuni, nomi, anni, stagioni, simboli finali e sostituzioni prevedibili. Per questo piccole modifiche non bastano.

4.9 Esempi di criteri per password più robuste

In una guida pratica è meglio non fornire password “buone” da copiare. È più utile fornire criteri. Una password più robusta dovrebbe essere lunga, non personale, non basata su parole comuni, non usata altrove, non costruita con frasi famose e conservata in modo sicuro.

Per molti account la soluzione migliore è una password casuale generata dal password manager. Non bisogna inventarla, può essere molto lunga, è diversa per ogni servizio, non contiene dati personali e viene salvata in modo ordinato. Per la password principale del password manager, invece, può avere senso una passphrase lunga e curata, perché deve essere ricordata e protegge tutte le altre.

Gli account più importanti devono avere sempre password uniche: email principale, account aziendale, banca, cloud, gestionali e servizi usati per recuperare altri account. Se non si riesce a sistemare tutto subito, si parte da questi.

Checklist: criteri minimi per una password importante

È lunga abbastanza da non essere banale.

È unica per quel servizio.

Non contiene dati personali o aziendali evidenti.

Non segue uno schema già usato altrove.

È conservata in modo sicuro.

È affiancata da MFA quando disponibile.

4.10 Dove non conservare le password

Una password robusta può diventare debole se viene conservata male. File di testo, fogli Excel, documenti Word, note non protette, post-it visibili, foto nella galleria, email inviate a sé stessi, chat, rubriche con nomi mascherati e documenti cloud non protetti non sono luoghi adatti per conservare password.

Il problema non è solo che qualcuno possa vedere direttamente la password. Molti di questi strumenti vengono sincronizzati, copiati, salvati in backup, indicizzati o consultati da più dispositivi. Una foto di un foglio con password può finire nel cloud; una password in chat può restare nella cronologia per anni; un file Excel può essere copiato senza che nessuno se ne accorga.

In azienda la conservazione informale delle credenziali è ancora più rischiosa, perché rende difficile sapere chi ha accesso a cosa, chi ha copiato un file, quali password sono ancora valide e cosa fare quando una persona cambia ruolo o lascia l’organizzazione.

4.11 Password manager: che cosa sono

Un password manager è uno strumento progettato per conservare e gestire password in modo sicuro. Invece di ricordare tutte le password, l’utente ricorda una sola password principale, spesso chiamata master password, che apre il contenitore protetto dove sono salvate le altre credenziali.

Il password manager aiuta a generare password lunghe e casuali, salvare una password diversa per ogni servizio, compilare credenziali nei siti corretti, organizzare account personali e aziendali, ridurre il riutilizzo, individuare password deboli o duplicate e sincronizzare credenziali tra dispositivi quando previsto.

Non elimina ogni rischio, ma risolve un problema reale: nessuna persona può ricordare decine o centinaia di password lunghe, casuali e diverse. Senza uno strumento adatto, molte persone finiscono per riutilizzare password o salvarle in luoghi non sicuri.

4.12 Vantaggi dei password manager

Il vantaggio principale del password manager è rendere praticabile una regola che altrimenti sarebbe difficile: una password diversa per ogni servizio. Questo riduce molto il danno quando un sito viene violato, perché la password rubata non può essere riutilizzata su tutti gli altri account.

Il secondo vantaggio è la lunghezza. Non dovendo ricordare ogni password, si possono usare credenziali casuali, lunghe e non collegate alla vita personale. Il terzo vantaggio è l’ordine: molte persone non sanno quanti account hanno, dove sono registrate e quali credenziali sono ancora in uso.

Alcuni password manager aiutano anche contro siti falsi perché compilano la password solo se il dominio corrisponde a quello salvato. Questo non sostituisce l’attenzione dell’utente, ma può essere un segnale utile: se il riempimento automatico non compare, conviene fermarsi e controllare l’indirizzo del sito.

4.13 Rischi se il password manager è usato male

Un password manager è utile solo se viene usato correttamente. I rischi principali nascono da master password debole, master password riutilizzata altrove, assenza di MFA, dispositivo non protetto, recupero configurato male, perdita dell’accesso, estensioni false o uso su computer condivisi.

La master password è particolarmente importante perché protegge tutte le altre credenziali. Deve essere lunga, unica, non personale e non usata per nessun altro servizio. Quando disponibile, la MFA sul password manager va attivata. Anche il dispositivo da cui si accede deve essere protetto: se il computer o lo smartphone sono compromessi, il contenitore sicuro può diventare più esposto.

Bisogna sapere anche cosa accade se si perde l’accesso. Alcuni password manager non possono recuperare la master password se viene dimenticata. Questo è positivo per la sicurezza, ma richiede una strategia: codici di recupero custoditi bene, indicazioni del servizio seguite con precisione e consapevolezza delle conseguenze.

4.14 Browser o password manager dedicato?

Molti browser permettono di salvare password. È una funzione comoda e, per usi semplici, può sembrare sufficiente. Tuttavia non sempre equivale a un password manager dedicato, soprattutto quando ci sono molti account, credenziali aziendali, esigenze di condivisione controllata o separazione tra vita personale e lavoro.

Il salvataggio nel browser è legato al browser e all’account di sincronizzazione. Può creare confusione se più persone usano lo stesso computer, può essere rischioso su dispositivi non protetti e può indurre a salvare password senza una strategia chiara. In contesti aziendali può essere poco adatto a controllare accessi, condivisioni e revoche.

Un password manager dedicato è progettato specificamente per gestire credenziali. Di solito offre più organizzazione, strumenti di controllo, generazione di password robuste, separazione degli archivi, funzioni di audit e modalità di condivisione più adatte quando serve farlo in modo governato.

4.15 La master password

La master password è la password principale del password manager ed è una delle credenziali più importanti. Deve essere lunga, unica, non usata altrove, non basata su informazioni personali, non scritta in luoghi visibili e abbastanza ricordabile da non dover essere recuperata continuamente.

Non dovrebbe coincidere con la password dell’email, con una password aziendale, con il nome di un familiare, con una data importante, con una frase famosa o con uno schema già usato in passato. Una passphrase ben costruita può essere adatta, purché non sia prevedibile e non venga riutilizzata.

La master password va accompagnata da MFA quando disponibile e da un piano di recupero. Bisogna sapere dove conservare eventuali codici, che cosa accade se vengono persi e quali procedure prevede il servizio scelto. Una master password dimenticata può rendere impossibile recuperare il contenuto del password manager.

4.16 Conservare password su carta: quando può avere senso

Per chi ha molti account, il password manager è la soluzione più pratica. Tuttavia, per una persona con pochissimi account e senza esigenze aziendali complesse, una conservazione su carta può avere senso solo se gestita con molta attenzione: password diverse, foglio custodito in un luogo fisicamente sicuro, niente foto, niente post-it vicino al computer, niente condivisione informale.

La carta ha limiti evidenti. Può essere persa, vista da altre persone, diventare disordinata, non aiuta a generare password casuali, non segnala duplicati o password compromesse e non è adatta a molti account. In azienda deve essere usata solo se prevista da procedure precise e con custodia adeguata.

Scrivere una password su carta non è automaticamente sbagliato; lasciarla visibile o facilmente raggiungibile sì. La differenza è tra una custodia fisica controllata e un promemoria improvvisato.

4.17 Password personali e password aziendali

Le password personali e aziendali devono restare separate. Usare la stessa password nella vita privata e nel lavoro crea un collegamento pericoloso: se un servizio personale viene violato, la stessa credenziale può essere provata su email aziendale, cloud, gestionale o portale interno.

Gli errori più comuni sono usare la password dell’email personale anche per l’email aziendale, usare la password di un social anche per un gestionale, salvare credenziali di lavoro nel browser di un computer personale condiviso, inviare password aziendali su chat private o archiviare accessi di lavoro in strumenti personali non approvati.

In un contesto professionale, le credenziali aziendali devono essere gestite con strumenti e regole approvati. Questo semplifica revoche, controlli, passaggi di ruolo, protezione dei dati e risposta agli incidenti.

4.18 Cambio periodico delle password: quando serve davvero

In passato si consigliava spesso di cambiare password a intervalli fissi, per esempio ogni 30, 60 o 90 giorni. Questo approccio può avere un effetto negativo se spinge le persone a scegliere password più deboli o varianti prevedibili, come la stessa parola con mese, anno o numero finale aggiornato.

In molti casi è meglio avere una password lunga, unica e ben protetta, piuttosto che cambiarla spesso con piccole modifiche facili da intuire. Il cambio periodico senza motivo può diventare un rituale che peggiora la qualità delle password.

La password va cambiata subito quando si sospetta che sia stata rubata, inserita in un sito falso, condivisa per errore, usata su un dispositivo non affidabile, coinvolta in una violazione, vista da una persona non autorizzata, riutilizzata su più servizi o collegata a un collaboratore che non deve più accedere.

4.19 Come comportarsi se una password è stata compromessa

Se si sospetta che una password sia stata compromessa, bisogna agire rapidamente ma con metodo. La prima cosa è evitare il panico: non serve cliccare ovunque o cambiare password dallo stesso dispositivo se si sospetta che sia infetto. È meglio usare un dispositivo sicuro, accedere al servizio coinvolto e cambiare subito la password.

Se la stessa password è stata usata altrove, va cambiata anche sugli altri servizi, partendo dagli account più importanti. Bisogna attivare MFA se non era attiva, controllare sessioni e dispositivi collegati, disconnettere accessi sconosciuti, verificare email e telefono di recupero, controllare attività recenti, messaggi inviati, pagamenti, modifiche sospette e segnalare l’incidente al referente IT se riguarda un account aziendale.

Checklist: password compromessa

Usa un dispositivo sicuro.

Cambia la password dell’account coinvolto.

Cambia le password duplicate sugli altri servizi.

Attiva MFA dove disponibile.

Chiudi sessioni sconosciute o non necessarie.

Controlla metodi di recupero e attività recenti.

Avvisa referente IT, banca o servizio coinvolto se necessario.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

riconoscere i principali modi con cui una password può essere attaccata o rubata;

distinguere forza bruta, dizionario, credential stuffing e password spraying;

capire perché phishing, keylogger e database violati restano rischi molto concreti;

spiegare in modo semplice 2FA, MFA e differenza tra fattori di autenticazione;

valutare vantaggi e limiti di SMS, app, notifiche push, chiavi fisiche e biometria;

gestire cambio telefono, codici di backup e notifiche sospette senza improvvisare.

5.1 Perché è importante capire come vengono attaccate le password

Nel modulo precedente abbiamo visto come creare, gestire e conservare password in modo più sicuro. Per capire davvero il senso di quelle regole, però, bisogna guardare anche il punto di vista dell’attaccante. Le password possono essere indovinate, provate automaticamente, rubate con l’inganno, registrate da un dispositivo compromesso o esposte quando un servizio subisce una violazione.

Non sempre il problema nasce da una password troppo semplice. Anche una password robusta può diventare inutile se viene inserita in una pagina falsa, salvata su un dispositivo infetto, riutilizzata su un servizio violato o recuperata attraverso un metodo di recupero debole.

Per questo la protezione degli account non deve basarsi su un solo elemento. Servono password lunghe e uniche, niente riutilizzo, MFA sugli account importanti, attenzione ai link, dispositivi protetti, controllo delle sessioni e reazione rapida quando qualcosa non torna.

5.2 Attacco a forza bruta

Un attacco a forza bruta consiste nel provare molte combinazioni possibili fino a trovare quella corretta. L’idea è semplice: più una password è corta e prevedibile, meno combinazioni servono per provarla. Gli strumenti automatici possono testare grandi quantità di possibilità, soprattutto quando l’attacco avviene su dati rubati e non direttamente sul sito originale.

Una password di pochi caratteri, composta solo da numeri o da una parola breve, offre meno resistenza di una password lunga. Per questo la lunghezza è una difesa concreta: aumenta lo spazio di ricerca e rende meno praticabile il tentativo automatico.

La difesa passa da password lunghe, non numeriche, non banali, uniche per ogni servizio e generate da un password manager quando possibile. Sugli account importanti va aggiunta la MFA, così il furto o la scoperta della password non basta da solo.

5.3 Attacco a dizionario

Un attacco a dizionario non prova combinazioni casuali, ma parole comuni, nomi, città, squadre, stagioni, anni, frasi frequenti, password già rubate e varianti prevedibili con numeri o simboli. È efficace perché molte persone scelgono password facili da ricordare e legate alla propria vita.

Una parola comune seguita da un anno può sembrare più sicura di una parola semplice, ma spesso segue uno schema molto diffuso. Anche sostituzioni come “a” con “@” o “o” con “0” non bastano: sono trasformazioni note e provate automaticamente.

Per difendersi bisogna evitare parole comuni, informazioni personali, frasi famose, citazioni e variazioni prevedibili. Una passphrase può funzionare solo se lunga e non ovvia; per molti account è meglio una password casuale generata dal password manager.

5.4 Credential stuffing

Il credential stuffing usa credenziali rubate da un servizio per tentare l’accesso ad altri servizi. Funziona perché molte persone riutilizzano la stessa password su più siti. L’attaccante non deve indovinare nulla: usa una combinazione email/password già comparsa in una violazione.

Il problema può partire da un sito secondario, magari vecchio o poco importante. Se lì era stata usata la stessa password dell’email, del cloud o del portale aziendale, l’impatto si sposta immediatamente su account molto più critici.

La difesa è una password diversa per ogni servizio. Se una password è duplicata, va cambiata partendo dagli account più importanti. Il password manager aiuta a evitare riutilizzi, mentre la MFA riduce il rischio quando una credenziale finisce fuori controllo.

5.5 Password spraying

Nel password spraying l’attaccante prova poche password molto comuni su molti account diversi. A differenza della forza bruta, non concentra migliaia di tentativi su una sola persona: distribuisce pochi tentativi su tanti utenti, cercando l’account che usa una password prevedibile.

Questo metodo può aggirare alcuni blocchi automatici perché ogni singolo account riceve pochi tentativi. È particolarmente pericoloso nelle aziende quando esistono password iniziali standard, password temporanee uguali per tutti o credenziali deboli mai cambiate.

La difesa richiede password non comuni, MFA, monitoraggio dei tentativi sospetti, cambio obbligatorio delle password temporanee, formazione degli utenti e divieto di password standard condivise.

5.6 Phishing delle credenziali

Il phishing delle credenziali è uno dei modi più comuni per rubare password. L’attaccante invia un messaggio falso che spinge la persona a cliccare un link e inserire username e password in una pagina simile a quella reale. Può imitare banca, email, cloud, corriere, social, gestionale, portale fatture, fornitore, ente pubblico o piattaforma di pagamento.

Il messaggio crea spesso urgenza: account sospeso, accesso sospetto, documento condiviso, pagamento non riuscito, fattura disponibile, dati da confermare. Anche una password robusta può essere rubata se viene digitata volontariamente in una pagina falsa.

La difesa è rallentare. Non inserire password dopo link ricevuti via email, SMS o chat; aprire manualmente il sito ufficiale; usare preferiti per servizi importanti; controllare il dominio; non fidarsi solo di logo e grafica; non comunicare mai codici OTP; segnalare messaggi sospetti in azienda.

5.7 Keylogger

Un keylogger è uno strumento che registra ciò che viene digitato sulla tastiera. Può essere un software malevolo, una funzione nascosta in un malware o, in casi particolari, un dispositivo fisico collegato alla postazione. Se una persona digita username, password o codici su un dispositivo compromesso, quelle informazioni possono essere catturate.

Un keylogger può arrivare tramite allegati malevoli, software pirata, falsi aggiornamenti, programmi scaricati da fonti non ufficiali, estensioni browser dannose, computer condivisi o sistemi già compromessi.

La difesa consiste nel non installare software pirata, scaricare programmi solo da fonti ufficiali, aggiornare sistema e applicazioni, usare protezioni antimalware, evitare allegati inattesi e non fare accessi importanti da dispositivi non affidabili. Se si sospetta un’infezione, la password va cambiata da un dispositivo sicuro.

5.8 Furto di database

A volte le password vengono compromesse perché un servizio online subisce una violazione e perde dati degli utenti. In quel momento l’utente può non aver fatto nulla di sbagliato: il problema avviene presso il servizio che conservava le credenziali.

Le conseguenze dipendono però dalle scelte fatte prima. Se la password era unica, il danno resta più limitato. Se era riutilizzata, può essere provata su altri account. Se era attiva la MFA, l’attaccante potrebbe comunque essere bloccato. Se l’utente ignora l’avviso di violazione, il rischio resta aperto.

Bisogna reagire agli avvisi di sicurezza cambiando la password coinvolta, controllando eventuali duplicati, verificando sessioni attive e attivando MFA sugli account importanti.

5.9 Perché la password da sola non basta sempre

Una password lunga, unica e ben conservata è una difesa importante, ma non copre tutti gli scenari. Può essere inserita in un sito falso, registrata da un keylogger, vista da qualcuno, salvata in un posto insicuro, rubata da un dispositivo infetto o aggirata attraverso un recupero account debole.

Per questo gli account importanti devono avere un secondo livello di protezione. L’autenticazione a due fattori o a più fattori riduce il rischio perché richiede qualcosa in più rispetto alla sola password.

La MFA non sostituisce una password buona e non autorizza comportamenti distratti. Aggiunge un livello che può bloccare molti accessi non autorizzati quando la password è stata rubata o indovinata.

5.10 Che cos’è l’autenticazione a due fattori

L’autenticazione a due fattori, spesso indicata come 2FA, richiede due elementi diversi per accedere a un account. Il primo è di solito la password. Il secondo può essere un codice generato da un’app, un codice ricevuto via SMS, una notifica push, una chiave fisica o un elemento biometrico.

L’idea è semplice: se qualcuno ruba la password, non dovrebbe riuscire ad accedere senza il secondo fattore. Questo riduce molto il rischio, soprattutto sugli account che contengono dati importanti o permettono di recuperare altri servizi.

La 2FA non rende invulnerabili. Se la persona comunica il codice a un falso operatore o approva una richiesta non iniziata da lei, il secondo fattore può essere aggirato con l’inganno. Per questo tecnologia e comportamento devono lavorare insieme.

5.11 Che cos’è la MFA

MFA significa autenticazione a più fattori. È un concetto più ampio della 2FA: può usare due o più elementi appartenenti a categorie diverse. Le categorie principali sono qualcosa che sai, qualcosa che hai e qualcosa che sei.

Qualcosa che sai è un’informazione, come password, PIN o risposta a una domanda di sicurezza. Qualcosa che hai è un oggetto o dispositivo, come smartphone, app di autenticazione, chiave fisica, token, SIM o codice di backup. Qualcosa che sei è una caratteristica biometrica, come impronta digitale o riconoscimento facciale.

Un accesso è più forte quando combina fattori diversi. Password più app di autenticazione è più solida della sola password; password più chiave fisica può essere ancora più robusta su account molto critici.

5.12 Codici via SMS

Il codice via SMS è uno dei metodi più conosciuti per la 2FA. Dopo la password, il servizio invia un codice temporaneo al numero di telefono dell’utente. È semplice, diffuso e meglio della sola password, soprattutto quando l’alternativa sarebbe non avere nessun secondo fattore.

Ha però limiti importanti. Gli SMS possono essere intercettati in alcuni scenari, il numero può essere oggetto di truffe o sostituzione SIM, i codici possono essere rubati con phishing e alcune persone li comunicano a falsi operatori al telefono.

Per account importanti, quando possibile, è preferibile usare app di autenticazione o chiavi fisiche. Se l’SMS è l’unica opzione disponibile, va comunque attivato e usato con attenzione.

5.13 App di autenticazione

Le app di autenticazione generano codici temporanei direttamente sullo smartphone. Questi codici cambiano dopo pochi secondi e funzionano spesso anche senza ricevere SMS. Sono supportate da molti servizi: email, cloud, social, password manager, gestionali e pannelli amministrativi.

In molti scenari sono più robuste degli SMS perché non dipendono dalla ricezione del messaggio telefonico. Restano però legate allo smartphone: se il telefono viene perso, sostituito o cancellato senza preparazione, l’utente può restare fuori dagli account.

Per usarle bene bisogna proteggere lo smartphone, conservare i codici di backup, sapere come trasferire l’app su un nuovo dispositivo e non comunicare mai i codici a terzi.

5.14 Notifiche push

Alcuni servizi usano notifiche push: quando qualcuno tenta l’accesso, arriva una richiesta sullo smartphone e l’utente deve approvare o rifiutare. È un metodo comodo perché non richiede di copiare codici e può mostrare informazioni sull’accesso.

Il rischio principale è approvare per errore o per abitudine. Se un attaccante ha la password, può tentare l’accesso e generare notifiche ripetute. Una persona stanca, distratta o sotto pressione potrebbe approvarne una senza leggere.

Le notifiche vanno approvate solo se l’accesso è stato avviato personalmente. Se arriva una richiesta inattesa, bisogna rifiutare, controllare l’account, cambiare password se necessario e segnalare il fatto se l’account è aziendale.

5.15 Chiavi fisiche di sicurezza

Le chiavi fisiche di sicurezza sono dispositivi hardware usati come secondo fattore. Possono collegarsi via USB, NFC o altri metodi. Sono molto robuste, aiutano a proteggere contro molti attacchi di phishing e richiedono il possesso fisico della chiave.

Sono particolarmente utili per account amministrativi, email aziendali critiche, password manager, account cloud, social aziendali importanti e persone con accesso a dati sensibili o sistemi critici.

Hanno però un costo, richiedono custodia attenta, non sono supportate da tutti i servizi e andrebbero accompagnate da una chiave di backup. Per utenti non tecnici può servire una breve formazione iniziale.

5.16 Biometria

La biometria usa una caratteristica fisica della persona, come impronta digitale o riconoscimento facciale. È molto comune su smartphone e computer e rende più semplice sbloccare dispositivi, app e password manager senza digitare continuamente codici in pubblico.

La biometria è comoda e utile, ma dipende dalla sicurezza del dispositivo. Non sostituisce sempre la password principale e, in molti sistemi, dopo un riavvio o dopo un certo periodo viene comunque richiesto il codice. Se il dispositivo è sbloccato o compromesso, la protezione può ridursi.

Va usata insieme a un PIN o codice robusto del dispositivo, non come unica barriera mentale. Smartphone e computer non devono restare sbloccati e incustoditi.

5.17 Codici di backup

Quando si attiva la 2FA o MFA, molti servizi forniscono codici di backup. Servono a recuperare l’accesso se si perde il secondo fattore, per esempio in caso di cambio telefono, furto, smarrimento o problema con l’app di autenticazione.

Questi codici sono molto importanti e vanno conservati con cura. Non devono stare in chat, foto del telefono, file non protetti o luoghi facilmente accessibili. Possono essere conservati in un password manager o su carta custodita in un posto sicuro, possibilmente separato dal dispositivo principale.

Attivare la MFA senza salvare i codici di backup può creare un problema serio: in caso di cambio telefono o smarrimento, si rischia di restare bloccati fuori dagli account.

Checklist: codici di backup

Salvali subito quando attivi MFA.

Non fotografarli con il telefono.

Non inviarli in chat o via email.

Conservali in un password manager o in luogo fisico sicuro.

Verifica periodicamente di sapere dove sono.

Sostituiscili se pensi che siano stati esposti.

5.18 Cambio telefono e MFA

Il cambio telefono è un momento delicato perché molti account dipendono dallo smartphone: app di autenticazione, notifiche push, SMS, app bancarie, email, password manager e recupero account. Cancellare il vecchio dispositivo prima di aver trasferito tutto può bloccare l’accesso a servizi importanti.

Prima di cambiare telefono bisogna verificare quali account usano MFA, salvare codici di backup, seguire le procedure ufficiali di trasferimento, mantenere temporaneamente disponibile il vecchio telefono, controllare email e numero di recupero e testare l’accesso al password manager.

Dopo il cambio, è opportuno testare gli account importanti, rimuovere il vecchio dispositivo dagli account, cancellarlo in modo sicuro prima di venderlo o regalarlo e controllare app bancarie, email e cloud.

Checklist: prima di cancellare il vecchio telefono

Ho trasferito l’app di autenticazione?

Ho salvato i codici di backup?

Ho testato email, cloud e password manager?

Ho verificato app bancaria e numero di recupero?

Ho rimosso il vecchio dispositivo solo dopo il controllo?

5.19 MFA in azienda

In azienda la MFA dovrebbe essere prioritaria per gli account più importanti: email aziendale, home banking, gestionali, cloud, portali di fatturazione, VPN, smart working, account amministrativi, sito web, social aziendali, sistemi con dati clienti e password manager.

È particolarmente importante per amministrazione, contabilità, direzione, acquisti, commerciale, IT, gestione clienti, gestione fornitori e persone che possono approvare pagamenti o modificare dati critici.

La MFA però deve essere accompagnata da formazione. Se le persone approvano notifiche senza leggere, comunicano codici al telefono o ignorano richieste sospette, la protezione si indebolisce. La tecnologia funziona solo se il comportamento è coerente.

5.20 Limiti della MFA

La MFA riduce molto il rischio, ma non elimina ogni problema. Può essere aggirata o indebolita se l’utente inserisce il codice in un sito falso, approva una notifica non richiesta, usa un dispositivo compromesso, conserva male i codici di backup o ha un recupero account debole.

Per questo va considerata un livello aggiuntivo, non una scusa per ignorare password, link, dispositivi, sessioni e procedure. Una buona protezione combina password lunghe e uniche, MFA, attenzione ai link, dispositivi aggiornati, controllo delle sessioni, recupero sicuro e formazione.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

capire perché molti attacchi iniziano dalla raccolta di informazioni pubbliche;

spiegare che cos’è l’OSINT con esempi semplici e non tecnici;

distinguere uso lecito e uso malevolo delle informazioni disponibili online;

riconoscere dettagli personali e aziendali che possono rendere credibile una truffa;

valutare social, siti, foto, documenti e vecchi account come fonti informative;

ridurre l’esposizione personale e aziendale con controlli pratici prima di pubblicare.

6.1 Introduzione: perché studiare il punto di vista dell’attaccante

Per difendersi meglio è utile capire come ragiona un attaccante. Molte persone immaginano l’attacco informatico come qualcosa di esclusivamente tecnico: qualcuno che supera firewall, entra in un server, installa malware o sfrutta vulnerabilità difficili da comprendere. Questi scenari esistono, ma non sono l’unico modo in cui un attacco può iniziare.

Molti attacchi partono da una fase più silenziosa: la raccolta di informazioni. Prima di inviare una falsa email, telefonare fingendosi un tecnico o costruire una richiesta fraudolenta, un attaccante può cercare dati su persone, aziende, ruoli, fornitori, strumenti usati, abitudini operative e documenti pubblici.

L’obiettivo è rendere il messaggio credibile. Una comunicazione generica può sembrare sospetta; una comunicazione che cita un fornitore reale, una persona reale, una scadenza plausibile e un’attività effettivamente svolta dall’azienda può invece apparire normale.

6.2 L’attaccante cerca spesso la strada più semplice

Un principio pratico della sicurezza è che l’attaccante cerca spesso la strada più semplice. Se è più facile convincere una persona a cliccare un link, comunicare una password o autorizzare un pagamento, può scegliere questa strada invece di tentare un attacco tecnico complesso.

Per ingannare meglio una persona, le informazioni sono fondamentali. Sapere chi lavora in amministrazione, quale fornitore collabora con l’azienda, quale email riceve richieste esterne o quale gestionale viene citato in un annuncio rende una truffa più credibile.

La raccolta di informazioni serve quindi a personalizzare l’attacco. Non sempre serve entrare in un sistema: a volte basta sembrare abbastanza credibili da far agire la vittima in fretta.

6.3 Esempio introduttivo: una falsa richiesta credibile

Immaginiamo un’azienda con un ufficio amministrativo. Sul sito sono pubblicati il nome dell’azienda, l’email amministrazione, alcuni nomi del team, casi studio con clienti, notizie su collaborazioni e foto di eventi aziendali. Nessuna di queste informazioni, da sola, sembra necessariamente pericolosa.

Un attaccante può però unirle e scrivere un messaggio credibile: “Buongiorno, come concordato con la direzione, vi chiediamo di aggiornare l’IBAN per i prossimi pagamenti. Vista la chiusura contabile del mese, vi chiediamo di procedere entro oggi”. Il tono è professionale, il destinatario è plausibile, il contesto sembra coerente e l’urgenza spinge ad agire.

La difesa non consiste nel capire “a occhio” se l’email è falsa. Una comunicazione costruita bene può sembrare reale. La difesa più efficace è una procedura: nessun cambio IBAN, pagamento o modifica di dati sensibili deve essere accettato solo sulla base di un’email.

6.4 Che cos’è l’OSINT

OSINT significa Open Source Intelligence, cioè raccolta e analisi di informazioni provenienti da fonti aperte. Per fonti aperte si intendono fonti accessibili pubblicamente o consultabili senza violare account, sistemi informatici o aree riservate.

Le fonti possono essere siti web, motori di ricerca, social network, profili professionali, registri pubblici, comunicati stampa, articoli, documenti PDF, brochure, curriculum, forum, recensioni, annunci di lavoro, foto, video, pagine aziendali e materiali promozionali.

L’OSINT non è automaticamente illegale o negativa. È una metodologia. Può essere usata da giornalisti, ricercatori, aziende, professionisti della sicurezza o cittadini che vogliono verificare informazioni. Può però essere usata anche da criminali per preparare phishing, truffe, impersonificazioni o furti d’identità.

6.5 Uso lecito e uso malevolo dell’OSINT

L’OSINT ha molti usi legittimi. Un giornalista può raccogliere informazioni per un’inchiesta, un’azienda può analizzare il mercato, un candidato può studiare un’organizzazione prima di un colloquio, un cliente può verificare un fornitore e un professionista della sicurezza può valutare l’esposizione pubblica di un’azienda.

La stessa tecnica può però diventare dannosa quando serve a costruire email personalizzate, fingere di essere un collega o un fornitore, preparare truffe con falsi pagamenti, individuare persone che gestiscono bonifici, raccogliere dettagli per furto d’identità o creare profili falsi più credibili.

La differenza sta nello scopo, nel contesto e nel modo in cui le informazioni vengono usate. Un dato pubblicato per presentare un servizio può essere riutilizzato per imitare quel servizio; un nome pubblicato per trasparenza può essere usato per impersonare una persona.

6.6 Quali informazioni può cercare un attaccante su una persona

Su una persona, un attaccante può cercare nome, cognome, email, telefono, città, luogo di lavoro, ruolo professionale, colleghi, familiari esposti pubblicamente, interessi, abitudini, luoghi frequentati, foto, viaggi, eventi, data di nascita, vecchi account, curriculum e commenti pubblici.

Molte informazioni sembrano normali. In alcuni contesti è naturale che siano pubbliche. Il rischio nasce quando vengono usate per rendere credibile un contatto, indovinare una risposta di sicurezza, costruire un messaggio personalizzato o capire quando una persona è assente.

Se una persona pubblica spesso il nome del proprio animale e poi usa quel nome in una password o in una domanda di sicurezza, l’informazione diventa utile a un attaccante. Se pubblica vacanze in tempo reale, può rivelare assenza da casa o indisponibilità a verificare richieste di lavoro.

6.7 Quali informazioni può cercare un attaccante su un’azienda

Su un’azienda, un attaccante può cercare dominio, indirizzi email, numeri di telefono, nomi e ruoli dei dipendenti, reparto amministrativo, commerciale o acquisti, organigramma, sedi, clienti, fornitori, partner, tecnologie usate, software citati in annunci, portali di accesso, documenti pubblicati, immagini degli uffici e procedure descritte indirettamente online.

Molte informazioni vengono pubblicate per motivi legittimi: marketing, recruiting, vendita, assistenza, trasparenza e comunicazione. Il problema nasce quando i dettagli diventano eccessivi o non necessari, come nomi di responsabili collegati a procedure critiche, strumenti interni troppo specifici o foto con dati sullo sfondo.

Un annuncio di lavoro che elenca tutti i software usati internamente può aiutare i candidati, ma anche chi vuole imitare un servizio. Una foto dell’ufficio può raccontare un evento, ma anche mostrare una lavagna con clienti e scadenze.

6.8 Social network e profili professionali

I social network sono una delle fonti principali di informazioni. Possono rivelare identità, ruolo lavorativo, azienda, rete di contatti, abitudini, interessi, luoghi frequentati, eventi, relazioni, foto di ambienti personali o aziendali e dettagli familiari.

I profili professionali, come LinkedIn, sono utili e spesso necessari. Servono a presentarsi, creare relazioni e comunicare competenze. Tuttavia possono aiutare un attaccante a capire chi si occupa di amministrazione, fornitori, acquisti, IT, direzione o pagamenti.

Il punto non è cancellare i profili, ma pubblicare con criterio. Alcuni dettagli sono utili alla reputazione professionale; altri espongono procedure interne, strumenti specifici o responsabilità sensibili che non serve rendere troppo esplicite.

Checklist: prima di aggiornare un profilo professionale

Questo dettaglio deve essere pubblico?

Sto indicando troppi strumenti interni?

Sto rivelando procedure aziendali?

Sto mostrando clienti, fornitori o colleghi senza motivo?

Questa informazione potrebbe aiutare una truffa mirata?

6.9 Siti web aziendali

Il sito web aziendale è una fonte naturale di informazioni. È normale che contenga descrizione dell’attività, servizi, contatti, sede, orari, form, casi studio, notizie e figure chiave quando serve. Un sito deve comunicare, vendere, informare e creare fiducia.

Proprio perché è pubblico, va controllato anche dal punto di vista dell’esposizione. Email personali pubblicate senza necessità, dettagli eccessivi sui ruoli, PDF con metadati, vecchie pagine, nomi di clienti non autorizzati, informazioni tecniche troppo specifiche e immagini con dettagli interni possono aumentare il rischio.

Il controllo del sito non deve essere solo grafico o commerciale. Deve includere ciò che il sito rivela: documenti scaricabili, contenuti vecchi, form, immagini, nomi, indirizzi, procedure indirette e informazioni tecniche.

6.10 Documenti pubblicati online

I documenti pubblicati online possono contenere più informazioni del previsto. PDF, presentazioni, brochure, moduli, listini, regolamenti, manuali, curriculum, documenti amministrativi e file convertiti da Office possono portare con sé autore, data di creazione, software usato, commenti, revisioni, nomi di revisori, percorsi locali e vecchie versioni.

Il contenuto visibile può essere corretto, ma i metadati o le revisioni possono rivelare dettagli non destinati al pubblico. Anche il nome del file può comunicare troppo, soprattutto se contiene nomi interni, versioni provvisorie o riferimenti a clienti.

Prima di pubblicare un documento bisogna chiedersi se contiene dati personali non necessari, metadati, commenti, revisioni, allegati non pertinenti, informazioni interne o una durata di pubblicazione non definita.

6.11 Foto, video e dettagli visivi

Foto e video possono rivelare informazioni senza che ce ne accorgiamo. Badge, documenti sulla scrivania, schermi visibili, lavagne, targhe, etichette su pacchi, QR code, post-it, layout dell’ufficio, dispositivi usati, nomi di clienti, indirizzi, minori e luoghi privati possono entrare nell’immagine anche se non sono il soggetto principale.

In azienda, una foto pubblicata per raccontare un evento può esporre dati riservati. Nella vita personale, una foto può mostrare casa, scuola dei figli, routine, oggetti di valore o luoghi frequentati abitualmente.

La soluzione non è evitare ogni immagine, ma controllare ciò che si vede. Prima di pubblicare, bisogna guardare sfondo, schermi, lavagne, riflessi, badge, documenti e persone presenti. Se serve, si taglia, si oscura o si rinuncia alla pubblicazione.

Checklist: prima di pubblicare una foto

Sono visibili documenti, schermi, badge o lavagne?

Compaiono nomi di clienti, fornitori o persone non autorizzate?

Si vedono luoghi privati, targhe, QR code o indirizzi?

La foto rivela assenze, routine o spostamenti?

È necessario pubblicarla proprio ora e pubblicamente?

6.12 Email esposte e caselle generiche

Molte aziende usano indirizzi email prevedibili, come nome.cognome, iniziale e cognome, oppure caselle generiche come info, amministrazione, contabilità, acquisti e supporto. È normale e spesso necessario, ma rende più semplice costruire elenchi di destinatari plausibili.

Le caselle generiche sono bersagli naturali perché ricevono comunicazioni dall’esterno, allegati, richieste operative, ordini, fatture e messaggi da clienti o fornitori. Possono essere gestite da più persone e quindi avere processi meno chiari.

Queste caselle vanno protette con MFA, procedure per allegati e link, formazione specifica e regole chiare per richieste di pagamento, cambio IBAN, documenti riservati o comunicazioni urgenti.

6.13 Dati trapelati e vecchi account

Non tutte le informazioni usate dagli attaccanti provengono da ciò che pubblichiamo oggi. Possono arrivare da vecchi account, servizi violati, database finiti online, forum dimenticati, vecchi profili social, documenti caricati anni prima, backup non controllati o email pubblicate in passato.

Un vecchio account può contenere password riutilizzate, email di recupero ancora valide, messaggi privati, dati aziendali inseriti per errore o collegamenti ad altri servizi. Anche se non viene più usato, può restare utile per chi cerca informazioni.

Ridurre il rischio significa chiudere account non più usati quando possibile, cambiare password riutilizzate, controllare vecchi servizi importanti, rimuovere documenti non necessari, aggiornare email e numeri di recupero e non riutilizzare vecchie password.

6.14 Come le informazioni raccolte diventano un attacco

Le informazioni raccolte tramite OSINT diventano pericolose quando vengono trasformate in una storia credibile. L’attaccante trova su LinkedIn chi lavora in amministrazione, sul sito aziendale la casella dell’ufficio, sui social una collaborazione con un fornitore e in un documento pubblico il formato usato per le comunicazioni.

A quel punto può inviare una falsa email fingendosi il fornitore, chiedere un pagamento urgente o proporre un cambio IBAN. Il messaggio contiene elementi reali, quindi supera il primo filtro mentale: sembra coerente con il lavoro quotidiano.

Questo tipo di attacco non richiede necessariamente grandi competenze tecniche. Richiede pazienza, raccolta di informazioni e capacità di manipolare fiducia, urgenza e abitudine.

6.15 Ridurre l’esposizione personale

Ridurre l’esposizione personale non significa sparire da Internet. Significa scegliere meglio che cosa rendere pubblico, con chi condividerlo e per quanto tempo lasciarlo visibile.

È utile controllare impostazioni privacy dei social, limitare la visibilità dei post personali, evitare documenti, biglietti, badge o codici, non pubblicare dettagli eccessivi su figli, scuola, casa e routine, evitare pubblicazioni in tempo reale su spostamenti delicati e controllare vecchi profili o vecchi post.

Bisogna anche evitare di usare informazioni pubbliche in password o risposte di sicurezza. Se un dettaglio è visibile online, non dovrebbe proteggere un account.

6.16 Ridurre l’esposizione aziendale

Anche un’azienda può ridurre l’esposizione senza smettere di comunicare. L’obiettivo non è nascondere l’organizzazione, ma pubblicare in modo consapevole e controllare periodicamente ciò che resta online.

Serve controllare sito web, social, documenti scaricabili, foto, video, annunci di lavoro, email pubbliche, vecchie pagine, metadati e contenuti non più aggiornati. Vanno protette caselle generiche e account esposti, formate le persone che ricevono comunicazioni esterne e definite procedure per pagamenti, cambio IBAN e richieste insolite.

Gli annunci di lavoro meritano attenzione: devono essere utili ai candidati, ma non rivelare dettagli tecnici o procedure interne non necessarie. Lo stesso vale per casi studio, foto di eventi e materiali commerciali.

6.17 Procedura pratica: controllo dell’esposizione personale

Una procedura semplice aiuta a trasformare il controllo dell’esposizione personale in un’abitudine. Non serve fare analisi complicate: basta guardare ciò che è visibile dall’esterno con occhi più critici.

Checklist: esposizione personale

Cerca nome e cognome online.

Controlla i profili social visibili pubblicamente.

Rivedi foto profilo, copertine, vecchi post e commenti pubblici.

Cerca informazioni su casa, famiglia, figli, lavoro o luoghi abituali.

Controlla vecchi account dimenticati.

Rimuovi o limita informazioni non necessarie.

Verifica che dettagli pubblici non siano usati in password o recuperi.

6.18 Procedura pratica: controllo dell’esposizione aziendale

Anche l’azienda può fare un controllo base della propria esposizione. È utile cercare il nome dell’organizzazione online, controllare sito, social, vecchie pagine, PDF scaricabili, email pubbliche, documenti, foto, video e annunci di lavoro.

Bisogna verificare se i documenti contengono metadati o informazioni non necessarie, se le foto mostrano uffici, badge, lavagne o schermi, se gli annunci rivelano dettagli tecnici e se esiste una procedura per approvare contenuti pubblici.

Il controllo dovrebbe includere anche le procedure: cosa succede se arriva una richiesta di cambio IBAN? Chi verifica un pagamento urgente? Chi approva la pubblicazione di un documento? Chi rimuove contenuti vecchi?

Checklist: esposizione aziendale

Controlla sito, social e documenti scaricabili.

Cerca vecchi PDF o pagine non aggiornate.

Verifica email pubbliche e caselle generiche.

Controlla foto con schermi, badge o lavagne.

Rivedi annunci di lavoro e dettagli tecnici.

Definisci chi approva contenuti e richieste critiche.

6.19 Checklist: prima di pubblicare un contenuto personale

Prima di pubblicare un contenuto personale, è utile fermarsi pochi secondi. Non tutto ciò che si può pubblicare deve essere pubblico, immediato e visibile a chiunque.

Checklist: contenuto personale

Sto mostrando casa, scuola, luogo di lavoro o luoghi abituali?

Sto pubblicando informazioni su figli, familiari o altre persone?

La foto contiene documenti, targhe, badge, biglietti o schermi?

Il post rivela che sono assente da casa o dal lavoro?

Sto condividendo una data, un’abitudine o un dettaglio utile a identificarmi?

Questa informazione potrebbe aiutare una domanda di sicurezza?

Il contenuto deve essere pubblico o può essere limitato a pochi contatti?

È necessario pubblicarlo in tempo reale?

6.20 Checklist: prima di pubblicare un contenuto aziendale

Prima di pubblicare un contenuto aziendale, il controllo deve essere ancora più ordinato. Un singolo contenuto può coinvolgere clienti, fornitori, colleghi, procedure, documenti, strumenti e reputazione.

Checklist: contenuto aziendale

Sono visibili documenti, schermi, badge, lavagne o post-it?

Sono citati clienti, fornitori o partner senza necessità?

Il contenuto rivela procedure interne?

Sono presenti dati personali?

Sono visibili email, numeri diretti o nomi non necessari?

Il documento contiene metadati, commenti o revisioni?

La foto mostra strumenti, software o informazioni operative?

Il contenuto deve restare online nel tempo?

È stato approvato dalla persona responsabile?

Potrebbe aiutare qualcuno a costruire una truffa più credibile?

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

spiegare che cos’è l’ingegneria sociale con esempi pratici e quotidiani;

riconoscere le leve psicologiche più usate negli attacchi digitali;

individuare richieste sospette in email, telefonate, chat e messaggi brevi;

verificare richieste insolite senza farsi guidare da urgenza, paura o autorità;

proteggere dati, accessi, documenti e pagamenti con procedure semplici;

sapere cosa non comunicare mai e come prendere tempo in modo professionale.

7.1 Che cos’è l’ingegneria sociale

L’ingegneria sociale è l’insieme delle tecniche usate per manipolare una persona e convincerla a fare qualcosa che aiuta l’attaccante. Può significare cliccare un link, aprire un allegato, comunicare una password, leggere un codice OTP, autorizzare un pagamento, modificare un IBAN, inviare un documento o installare un programma.

A differenza di un attacco puramente tecnico, l’ingegneria sociale non prova prima a superare il computer: prova a superare la persona. Se qualcuno viene convinto ad aprire la porta, l’attaccante non ha bisogno di forzarla.

Per questo è un rischio importante per utenti non tecnici, uffici amministrativi, segreterie, contabilità, front office, liberi professionisti e chiunque gestisca documenti, pagamenti, comunicazioni esterne o accessi digitali.

7.2 Perché funziona

L’ingegneria sociale funziona perché sfrutta comportamenti umani normali: fidarsi di colleghi e fornitori, rispondere velocemente, rispettare figure di autorità, aiutare chi sembra in difficoltà, evitare problemi e gestire urgenze. Questi comportamenti sono utili nella vita quotidiana, ma possono essere manipolati.

Un attaccante non deve costruire una storia perfetta. Gli basta creare una situazione abbastanza plausibile da spingere la persona ad agire prima di riflettere. Fretta, stanchezza, sovraccarico, distrazione, routine e paura di sbagliare sono condizioni ideali.

La difesa non è diventare sospettosi di tutto, ma imparare a rallentare quando una richiesta è insolita, urgente, economica o riguarda dati e accessi.

7.3 Ingegneria sociale e OSINT

L’ingegneria sociale è spesso il passo successivo alla raccolta di informazioni pubbliche. Dopo aver capito chi lavora in un’azienda, quali ruoli esistono, quali fornitori collaborano e quali strumenti vengono usati, un attaccante può costruire un messaggio molto più credibile.

Un messaggio generico è più facile da riconoscere. Un messaggio che cita nomi reali, ruoli reali, fornitori reali, scadenze plausibili e documenti simili a quelli usati dall’azienda può invece sembrare normale.

Questo rende l’ingegneria sociale pericolosa: la persona non vede qualcosa di palesemente strano, ma una richiesta che entra nel flusso del lavoro quotidiano.

7.4 Le principali leve psicologiche

Gli attaccanti usano leve psicologiche ricorrenti: urgenza, paura, autorità, curiosità, fiducia, senso di colpa, desiderio di aiutare, pressione del tempo, abitudine e imitazione di persone conosciute. Spesso non ne usano una sola, ma le combinano.

Una falsa email del capo, per esempio, può usare autorità, urgenza e riservatezza: “Mi serve subito questo bonifico. Non chiamarmi perché sono in riunione. Ti spiego dopo”. Il messaggio è costruito per far saltare i controlli.

Riconoscere la leva usata aiuta a riprendere controllo. Se capisci che il messaggio ti sta spingendo con paura o urgenza, puoi fermarti e verificare.

7.5 Urgenza

L’urgenza è una delle leve più usate. Frasi come “serve entro oggi”, “il pagamento è bloccato”, “l’account verrà sospeso”, “ultimo avviso” o “rispondi subito” cercano di togliere tempo al controllo.

L’urgenza riduce la capacità di analisi. Quando una persona teme di perdere un servizio, creare un ritardo o causare un problema, può saltare passaggi che normalmente farebbe.

La difesa è fermarsi, chiedersi se la richiesta era attesa, verificare il mittente, non usare i contatti presenti nel messaggio sospetto e coinvolgere un responsabile se la richiesta riguarda pagamenti, dati o accessi.

7.6 Paura

La paura viene usata per spingere ad agire rapidamente. Messaggi come “il tuo conto è stato bloccato”, “abbiamo rilevato un accesso sospetto”, “il tuo dispositivo è infetto” o “perderai il servizio” portano la persona a cercare una soluzione immediata.

Il problema è che la soluzione proposta dal messaggio è spesso proprio l’azione pericolosa: cliccare, chiamare, inserire dati, scaricare un file, comunicare un codice o installare un programma.

La risposta corretta è uscire dal canale che ha creato paura. Non cliccare dal messaggio ricevuto; apri manualmente il sito ufficiale, usa l’app ufficiale o contatta il servizio tramite recapiti già noti.

7.7 Autorità

L’autorità viene sfruttata quando l’attaccante finge di essere un titolare, un direttore, un responsabile, un cliente importante, un fornitore strategico, un tecnico informatico, una banca, un ente pubblico o un supporto noto.

L’obiettivo è far pensare: “Se lo chiede questa persona, devo farlo”. È particolarmente pericoloso quando la richiesta chiede di saltare procedure, agire in fretta o non coinvolgere altri.

Una buona procedura protegge anche dai falsi messaggi apparentemente autorevoli. Per pagamenti, cambio IBAN, invio documenti e accessi, la richiesta va verificata su un secondo canale usando contatti già noti.

7.8 Curiosità

La curiosità spinge ad aprire allegati e link: “sei tu in questo video?”, “documento riservato”, “lista stipendi aggiornata”, “nuovo file condiviso con te”. In azienda, nomi come “fattura.pdf”, “ordine cliente.xlsx” o “contratto aggiornato.docx” possono sembrare normali.

Il rischio è che il file sia malevolo o che il link porti a una pagina falsa. Il nome plausibile non basta: bisogna chiedersi se il documento era atteso, se il mittente è coerente e se il canale è normale.

Aprire un allegato solo per curiosità è una delle scorciatoie più rischiose. Se qualcosa non torna, è meglio chiedere conferma al mittente tramite un canale diverso.

7.9 Fiducia

La fiducia è una leva potente. Gli attaccanti possono fingere di essere colleghi, clienti, fornitori, consulenti, tecnici, amici, familiari, banche, servizi cloud o corrieri. A volte usano account reali compromessi, quindi il messaggio può arrivare davvero da un indirizzo conosciuto.

Per questo non basta guardare il mittente. Bisogna valutare anche contenuto, tono, contesto e richiesta. Un collega che invia un link breve senza spiegazioni, un fornitore che cambia improvvisamente IBAN o un cliente che manda un allegato inatteso meritano verifica.

La fiducia deve essere accompagnata da metodo. Se una richiesta è insolita, si verifica senza accusare nessuno: “ti chiamo per conferma” è una protezione, non una scortesia.

7.10 Senso di colpa e desiderio di aiutare

Molti attacchi sfruttano la disponibilità delle persone. Messaggi come “mi serve aiuto subito”, “sei l’unico che può farlo”, “sono un nuovo collega” o “il cliente è arrabbiato” fanno leva sul desiderio di risolvere un problema.

Aiutare è corretto, ma non deve significare aggirare procedure. Password, codici, documenti, accessi, pagamenti e installazioni non possono essere gestiti solo per fare un favore.

Una frase utile è: “Ti aiuto volentieri, ma devo prima verificare la richiesta”. Permette di restare collaborativi senza esporsi.

7.11 Riservatezza forzata

La riservatezza diventa sospetta quando viene usata per impedire controlli. Frasi come “non parlarne con nessuno”, “è una questione riservata”, “non coinvolgere altri colleghi” o “ti spiego dopo” possono essere costruite per isolare la vittima.

In azienda esistono richieste riservate legittime, ma anche quelle devono seguire procedure. Se una comunicazione chiede denaro, dati o accessi e allo stesso tempo impedisce verifiche, il rischio è alto.

La risposta corretta è non accettare richieste che impongono di saltare i controlli, verificare su un canale diverso e coinvolgere un responsabile quando sono in gioco informazioni o denaro.

7.12 Finto tecnico informatico

Il falso tecnico può presentarsi via telefono, email, chat o di persona. Può fingere di essere l’IT interno, il supporto Microsoft, Google, Apple, il tecnico della banca, del gestionale, del cloud o di un fornitore.

Può chiedere password, codici OTP, installazione di software di controllo remoto, apertura di link, disattivazione di protezioni o conferma di un accesso. Usa spesso tono tecnico e urgenza per creare fiducia.

La regola è semplice: non comunicare password o codici, non installare software, non concedere controllo remoto e non disattivare protezioni se la richiesta non è stata verificata su un canale ufficiale.

7.13 Finto collega, capo, cliente o fornitore

In azienda molti attacchi imitano persone plausibili. Il finto collega può chiedere accesso a un file o apertura di un link; il finto capo può chiedere bonifici urgenti o documenti riservati; il finto cliente può inviare allegati; il finto fornitore può chiedere cambio IBAN o aggiornamento anagrafica.

La difesa comune è la verifica su un canale diverso. Se la richiesta è insolita, urgente, economica o riguarda dati sensibili, non basta che sembri provenire da una persona conosciuta.

Per le richieste critiche serve una procedura: contatto già noto, doppia approvazione quando necessario, registrazione della verifica e segnalazione dell’anomalia.

7.14 Messaggi WhatsApp, SMS e chat

L’ingegneria sociale non arriva solo via email. SMS, WhatsApp, Telegram, Messenger, Instagram, LinkedIn, chat aziendali e app di collaborazione possono essere usati per richieste brevi, veloci e difficili da valutare con calma.

Messaggi come “ho cambiato numero”, “manca un dato per la consegna”, “il conto è bloccato”, “puoi aprire questo file?” o “ti mando un codice, me lo leggi?” sfruttano abitudine e immediatezza dello smartphone.

Non bisogna cliccare link ricevuti via SMS, comunicare codici OTP, fidarsi automaticamente di nome e foto profilo o rispondere a richieste economiche urgenti. La verifica va fatta con una telefonata o un canale già noto.

7.15 Ingegneria sociale nella vita personale

Nella vita personale l’ingegneria sociale può assumere forme molto comuni: falso messaggio della banca, falso SMS del corriere, falso supporto tecnico, truffa su marketplace, falso investimento, truffa sentimentale, falso familiare, falso rimborso o falso avviso SPID/CIE.

Questi attacchi sfruttano emozioni come paura di perdere soldi, preoccupazione per un familiare, fiducia in una persona conosciuta, curiosità, fretta o desiderio di concludere un acquisto conveniente.

La regola pratica è sempre la stessa: fermarsi, verificare, non comunicare codici, non cliccare link sospetti e usare canali ufficiali. Se la richiesta riguarda soldi o documenti, serve ancora più cautela.

7.16 Ingegneria sociale in azienda

In azienda l’ingegneria sociale può avere conseguenze più ampie perché coinvolge dati, soldi, clienti, fornitori, documenti e procedure operative. Segreteria, amministrazione, contabilità, acquisti, commerciale, front office, customer care, risorse umane, direzione e IT sono reparti spesso esposti.

Gli scenari tipici includono false fatture, falso cambio IBAN, falsa richiesta del capo, falso tecnico, finto cliente con allegato, finto fornitore, falso portale cloud e telefonate per ottenere nomi o informazioni interne.

La difesa aziendale non può dipendere solo dall’attenzione individuale. Servono procedure semplici: nessun cambio IBAN solo via email, doppio controllo sui pagamenti, verifica con contatti già noti e segnalazione rapida.

7.17 Procedura pratica: cosa fare davanti a una richiesta insolita

Davanti a una richiesta insolita, urgente o sensibile, il primo passo è fermarsi. Non cliccare, non rispondere, non pagare, non comunicare dati e non aprire allegati prima di aver capito cosa viene richiesto.

Poi bisogna valutare il contenuto: chiede soldi, password, codici, documenti, accessi, link, allegati, installazione di software o salto di una procedura? Se sì, la richiesta va trattata come sensibile.

La verifica deve avvenire su un canale diverso, usando numeri, email, rubriche, referenti interni, siti ufficiali o app ufficiali già noti. Se la richiesta riguarda pagamenti, dati o accessi, va coinvolto un responsabile o referente IT.

Checklist: richiesta insolita

Fermati prima di agire.

Chiediti che cosa viene richiesto.

Valuta urgenza, tono e contesto.

Verifica su un canale diverso e già noto.

Coinvolgi un responsabile per dati, soldi o accessi.

Conserva e segnala il messaggio se sospetto.

7.18 Frasi utili per prendere tempo

In molte situazioni la pressione nasce anche dal non sapere cosa rispondere. Avere frasi pronte aiuta a prendere tempo senza sembrare scortesi.

Si può dire: “Verifico e le faccio sapere”, “per questa richiesta devo seguire la procedura interna”, “non posso confermare dati o codici al telefono”, “per motivi di sicurezza devo richiamare il contatto ufficiale”, “non posso procedere senza approvazione”.

Una frase particolarmente utile è: “Se è urgente, proprio per questo devo controllare meglio”. Trasforma l’urgenza da motivo per agire a motivo per verificare.

7.19 Cosa non comunicare mai

Ci sono informazioni che non devono essere comunicate tramite telefonate, chat o messaggi non verificati: password, PIN, codici OTP, codici SMS, codici di backup, link di recupero password, dati completi di carte, credenziali aziendali, codici bancari e accessi a gestionali.

Un servizio serio non dovrebbe chiedere la password completa. Una banca non dovrebbe chiedere di leggere un codice OTP per telefono. Un collega non dovrebbe chiedere password via chat. Un tecnico non dovrebbe pretendere controllo remoto senza una richiesta verificata.

Se qualcuno chiede queste informazioni, non bisogna discutere a lungo: si interrompe l’azione, si verifica tramite canale ufficiale e si segnala se necessario.

7.20 Casi specifici per ruolo

Ogni ruolo ha rischi tipici. Segreteria e front office possono ricevere telefonate da falsi tecnici o richieste di informazioni interne. Amministrazione e contabilità sono esposte a false fatture, cambi IBAN e bonifici urgenti. Acquisti e commerciale possono ricevere allegati, falsi ordini e link a portali non verificati. I liberi professionisti sono spesso bersaglio di falsi clienti, finte fatture e richieste di documenti.

Le difese cambiano nei dettagli, ma il metodo è lo stesso: verificare identità e contesto, non aprire allegati inattesi, non caricare dati su portali non verificati, non modificare informazioni bancarie solo via email e usare MFA su email e cloud.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

spiegare phishing, smishing, vishing e QR phishing con esempi chiari;

riconoscere segnali di allarme in email, SMS, telefonate, chat e QR code;

distinguere phishing generico, spear phishing e Business Email Compromise;

valutare link, allegati, mittenti, domini e richieste economiche con metodo;

applicare procedure pratiche davanti a messaggi sospetti personali o aziendali;

riconoscere truffe su pacchi, banche, rimborsi, pagamenti, sentimenti e investimenti.

8.1 Introduzione

Phishing e truffe digitali sono spesso l’applicazione pratica di OSINT e ingegneria sociale. L’attaccante raccoglie informazioni, costruisce un contesto credibile e invia un messaggio che spinge la persona a compiere un’azione pericolosa.

Un messaggio fraudolento può usare loghi, colori, nomi reali, riferimenti a banche, corrieri, fornitori, clienti, colleghi, piattaforme cloud, fatture, pagamenti o documenti condivisi. Non bisogna immaginare il phishing solo come un’email scritta male: molti tentativi sono curati e realistici.

Per questo non basta l’impressione visiva. Una pagina può sembrare professionale, un logo può essere copiato, un tono può apparire corretto e un allegato può avere un nome plausibile. La verifica deve riguardare canale, mittente, dominio, richiesta e contesto.

8.2 Che cos’è il phishing

Il phishing è una truffa digitale in cui l’attaccante finge di essere un soggetto affidabile per convincere la vittima a fare qualcosa di rischioso. Può imitare una banca, un corriere, un servizio email, un social network, un cloud, un ente pubblico, un fornitore, un cliente, un collega, un responsabile, un e-commerce o un supporto tecnico.

L’obiettivo può essere rubare credenziali, ottenere codici OTP, far scaricare malware, far aprire allegati, raccogliere dati personali, far eseguire pagamenti, modificare IBAN, autorizzare accessi o raccogliere informazioni per attacchi successivi.

Il phishing può arrivare via email, ma anche tramite SMS, telefonate, social network, chat, QR code, pubblicità e messaggi dentro piattaforme apparentemente legittime.

8.3 Perché il phishing funziona

Il phishing funziona perché sfrutta fiducia, urgenza e abitudine. La fiducia nasce quando il messaggio sembra arrivare da un soggetto conosciuto. L’urgenza spinge ad agire prima di controllare. L’abitudine porta a cliccare, aprire allegati o inserire credenziali come parte del lavoro quotidiano.

Una persona abituata a ricevere documenti cloud può cliccare su “apri documento” senza controllare il dominio. Un ufficio amministrativo abituato a ricevere fatture può aprire un allegato inatteso. Chi aspetta un pacco può cliccare un SMS del corriere senza pensarci.

Molti phishing moderni sono efficaci proprio perché imitano attività normali. Non cercano sempre di sembrare straordinari; spesso cercano di sembrare routine.

8.4 Phishing via email

Il phishing via email può presentarsi come falsa comunicazione bancaria, falsa fattura, sollecito di pagamento, documento condiviso, avviso di sicurezza, comunicazione del corriere, messaggio di un fornitore, falsa PEC, avviso cloud o richiesta del capo.

I segnali di allarme più comuni sono mittente simile ma non identico, dominio strano, richiesta urgente, allegato inatteso, link esterno, richiesta di password o dati, richiesta di pagamento, tono insolito, minacce di sospensione, rimborsi inattesi e promesse troppo convenienti.

Il comportamento corretto è non cliccare subito, non aprire allegati inattesi, controllare il mittente reale, accedere manualmente al servizio ufficiale, chiedere conferma tramite un canale diverso e segnalare l’email se sospetta.

Checklist: email sospetta

Aspettavo davvero questo messaggio?

Il mittente reale è coerente?

Il link porta a un dominio ufficiale?

L’allegato era atteso?

Mi vengono chiesti dati, password, codici o soldi?

Posso verificare da un canale già noto?

8.5 Smishing: phishing via SMS

Lo smishing è phishing via SMS. È pericoloso perché gli SMS vengono letti velocemente, spesso dallo smartphone, e imitano messaggi che le persone sono abituate a ricevere da banche, corrieri, servizi pubblici e piattaforme digitali.

Messaggi come “il pacco è in attesa”, “accesso sospetto al conto”, “carta bloccata”, “paga una piccola commissione” o “aggiorna i dati” cercano di portare la persona su una pagina falsa.

La regola pratica è severa: i link ricevuti via SMS non vanno usati per inserire dati, password o informazioni bancarie. Se il messaggio sembra importante, apri l’app ufficiale o digita manualmente il sito ufficiale.

8.6 Vishing: truffe via telefono

Il vishing è phishing tramite telefonata. L’attaccante può fingersi operatore della banca, tecnico informatico, supporto digitale, operatore antifrode, corriere, ente pubblico, fornitore, cliente, collega o responsabile aziendale.

Gli obiettivi tipici sono ottenere codici OTP, far autorizzare operazioni bancarie, far installare software di controllo remoto, ottenere password, raccogliere dati personali o convincere la vittima a spostare denaro.

I segnali di allarme sono chiamata inattesa, tono urgente, richiesta di codici, richiesta di password, richiesta di installare app, pressione a restare in linea, minaccia di blocco del conto e invito ad agire subito.

8.7 Phishing via social network e chat

Il phishing può arrivare tramite WhatsApp, Telegram, Messenger, Instagram, Facebook, LinkedIn, TikTok, chat aziendali e piattaforme di collaborazione. Spesso sembra arrivare da una persona conosciuta, ma l’account può essere compromesso o il profilo copiato.

Messaggi come “sei tu in questo video?”, “guarda questa foto”, “verifica il tuo account”, “ho cambiato numero”, “vota per me” o “apri questo documento” sfruttano familiarità e rapidità del canale.

Non bisogna inserire credenziali social da link ricevuti in chat, comunicare codici o fidarsi solo di nome e foto profilo. Se il messaggio è insolito, si verifica con il contatto tramite un canale diverso.

8.8 QR phishing

Il QR phishing, o quishing, usa QR code per portare la vittima verso un sito falso o pericoloso. Può comparire su manifesti, volantini, email, PDF, parcheggi, ristoranti, sportelli automatici, finti avvisi o adesivi sovrapposti a QR reali.

Il QR code nasconde il link e viene spesso aperto da smartphone, dove controllare il dominio è meno comodo. Può portare a falsi pagamenti, finte app, pagine di login o moduli per dati bancari.

I QR code vanno trattati come link. Prima di inserire dati bisogna controllare l’indirizzo, diffidare da adesivi in luoghi pubblici e usare app ufficiali per pagamenti e servizi importanti.

8.9 Spear phishing

Lo spear phishing è phishing mirato. Non viene inviato uguale a migliaia di persone, ma costruito per colpire una persona, un ruolo, un ufficio o un’azienda specifica. Può usare informazioni raccolte tramite OSINT: nome, ruolo, azienda, fornitore, cliente, progetto, evento recente o stile comunicativo.

È più pericoloso perché contiene dettagli corretti. La vittima può pensare che il messaggio sia vero proprio perché cita elementi reali. Ma un dettaglio reale non prova l’autenticità della richiesta.

La difesa è verificare richieste insolite su un canale diverso, controllare dominio, allegati e link, applicare procedure per pagamenti e documenti, e segnalare messaggi sospetti.

8.10 Business Email Compromise

La Business Email Compromise, o BEC, è una truffa in cui l’attaccante usa o imita un account email aziendale per ottenere denaro, documenti o modifiche operative. Può compromettere un account reale oppure usare un indirizzo molto simile a quello autentico.

Gli obiettivi tipici sono bonifici, cambio IBAN, fatture false, documenti riservati, dati di clienti o dipendenti, acquisto di buoni regalo e inserimento in conversazioni commerciali reali.

La BEC è pericolosa perché sfrutta contesti aziendali veri. A volte l’attaccante osserva una conversazione e interviene al momento giusto, per esempio comunicando un nuovo IBAN prima di un pagamento.

Checklist: difesa BEC

MFA sugli account email aziendali.

Procedura obbligatoria per cambio IBAN.

Verifica telefonica su numero già registrato.

Doppia approvazione per pagamenti rilevanti.

Controllo dei domini simili.

Segnalazione rapida di email sospette.

8.11 Truffe con finti pagamenti

Le truffe con finti pagamenti fanno credere che un pagamento sia stato fatto, sia in arrivo o debba essere sbloccato. Possono comparire come falsa ricevuta, finto bonifico, falso pagamento PayPal, acquirente su marketplace o richiesta di pagare una commissione per ricevere denaro.

Il segnale principale è che il denaro non risulta davvero sul conto o nell’app ufficiale. Screenshot, PDF ed email di conferma non bastano: possono essere falsificati.

Non bisogna spedire beni o fornire dati finché il pagamento non è verificato direttamente nel canale ufficiale. Non si cliccano link per “sbloccare” accrediti e non si pagano commissioni inattese.

8.12 Truffe con finti rimborsi

Le truffe con finti rimborsi promettono denaro per spingere la persona a inserire dati o credenziali. Possono imitare rimborsi fiscali, bancari, corrieri, ordini, utenze, piattaforme online o enti pubblici.

Il messaggio promette spesso un importo preciso e invita a cliccare per riceverlo. La pagina chiede dati personali, credenziali o informazioni bancarie.

Il comportamento corretto è non cliccare dal messaggio, accedere manualmente all’area riservata del servizio e contattare l’assistenza tramite canali ufficiali se il rimborso sembra plausibile.

8.13 Truffe con finti pacchi e corrieri

Le truffe sui pacchi funzionano perché molte persone comprano online e aspettano davvero consegne. Messaggi come “pacco bloccato”, “indirizzo incompleto”, “paga 1,99 euro” o “conferma i dati” sembrano plausibili.

L’importo richiesto è spesso basso proprio per ridurre la diffidenza. La pagina falsa può rubare dati della carta, informazioni personali o credenziali di accesso.

La verifica va fatta dall’app ufficiale del corriere o del negozio, non dal link ricevuto. Se non si riconosce la spedizione, non si inseriscono dati e non si paga nulla.

8.14 Truffe bancarie

Le truffe bancarie possono arrivare via email, SMS, telefonata, chat o falso sito. Possono parlare di accesso sospetto, carta bloccata, bonifico da confermare, operatore antifrode, conto sicuro o aggiornamento dell’app.

I segnali più gravi sono richiesta di codici OTP, password, PIN, installazione di app, spostamento di denaro, telefonata con forte pressione, invito a non chiudere la chiamata e link via SMS.

Non bisogna comunicare codici o password, non cliccare link bancari ricevuti via SMS e non spostare denaro su indicazione telefonica. Si apre l’app ufficiale o si chiama il numero ufficiale della banca.

8.15 Truffe sentimentali

Le truffe sentimentali sfruttano fiducia, affetto e bisogno di relazione. L’attaccante costruisce nel tempo un rapporto, spesso con un profilo falso, e poi inizia a chiedere denaro, documenti, aiuto o investimenti.

I segnali di allarme sono persona conosciuta solo online, profilo poco verificabile, rifiuto di videochiamate reali, storie drammatiche, richieste economiche, urgenza emotiva, segretezza e promesse molto rapide.

Non bisogna inviare denaro o documenti a persone conosciute solo online. È utile parlarne con una persona di fiducia, verificare profili e foto, e interrompere il contatto quando iniziano richieste economiche sospette.

8.16 Truffe con falsi investimenti

Le truffe con falsi investimenti promettono guadagni elevati, rapidi e apparentemente sicuri. Possono comparire su social, pubblicità, gruppi Telegram, video sponsorizzati, siti falsi, email o telefonate.

Gli elementi tipici sono trading automatico, criptovalute, falsi consulenti, testimonianze di personaggi famosi, guadagni garantiti, posti limitati e pressione a versare subito una piccola somma.

Il rischio aumenta quando è difficile prelevare, vengono chieste altre somme per sbloccare il guadagno o il consulente diventa insistente. Gli investimenti veri non devono basarsi su pressione e promesse certe.

8.17 Segnali di allarme comuni

Molte truffe diverse condividono segnali ricorrenti: urgenza, paura, richiesta di dati, password, codici OTP, pagamento, link inatteso, allegato inatteso, dominio strano, mittente simile, tono insolito, promessa troppo conveniente, rimborso inatteso, richiesta di installare app o invito ad agire senza verificare.

Un singolo segnale non dimostra sempre che sia una truffa. Più segnali insieme, però, devono far rallentare. Il punto non è riconoscere tutto al primo sguardo, ma capire quando serve una verifica.

Le richieste più delicate sono quelle che combinano urgenza e azione irreversibile: pagamento, cambio IBAN, invio documenti, accesso a un account, comunicazione di codici o installazione di software.

Checklist: segnali da non ignorare

Urgenza o minaccia.

Link o allegato inatteso.

Richiesta di password, codici o dati bancari.

Mittente o dominio leggermente diverso.

Promessa troppo conveniente.

Richiesta di segretezza o di saltare procedure.

8.18 Procedura pratica: ricevo un messaggio sospetto, cosa faccio?

Quando ricevi un messaggio sospetto, il primo passo è fermarti. Non cliccare, non rispondere, non aprire allegati e non fornire dati. Poi chiediti se aspettavi davvero quel messaggio, quel pacco, quella fattura, quel documento o quella richiesta.

Il nome visualizzato non basta. Controlla indirizzo email, numero, dominio, profilo o canale usato. Valuta se il messaggio crea urgenza, chiede soldi, chiede codici, chiede password o invita a usare un link.

Per servizi importanti, non usare il link ricevuto. Apri manualmente il sito ufficiale o l’app ufficiale. Se serve, verifica il presunto mittente usando un numero, email o canale già noto, non quello indicato nel messaggio sospetto.

Checklist: messaggio sospetto

Fermati.

Verifica se era atteso.

Controlla mittente e dominio.

Non usare il link ricevuto.

Verifica da un canale diverso.

Segnala se riguarda lavoro, soldi o dati.

Se hai già inserito dati, cambia password e controlla sessioni.

8.19 Cosa fare e cosa non fare

Le buone azioni sono semplici: fermarsi davanti a messaggi urgenti, verificare mittente e dominio, usare app e siti ufficiali, chiedere conferma su un canale diverso, segnalare messaggi sospetti, attivare MFA sugli account importanti e controllare movimenti bancari se qualcosa non torna.

Le azioni da evitare sono altrettanto chiare: non cliccare link ricevuti via SMS, non inserire password da link ricevuti, non comunicare codici OTP, non aprire allegati inattesi, non fidarsi solo di logo e grafica, non installare app su richiesta sospetta, non modificare IBAN solo via email e non agire sotto pressione.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

capire perché i link sono uno degli strumenti più usati negli attacchi digitali;

riconoscere i canali da cui può arrivare un link pericoloso;

distinguere testo visibile, indirizzo reale, dominio, sottodominio e percorso;

riconoscere domini ingannevoli, URL abbreviati, HTTPS fuorviante e QR code rischiosi;

applicare una procedura ripetibile prima di cliccare o scansionare;

sapere cosa fare dopo aver cliccato, inserito dati o scaricato un file sospetto.

9.1 Introduzione

In molti attacchi digitali compare un elemento ricorrente: il link. Lo usiamo ogni giorno per aprire siti, documenti, pagamenti, video, aree riservate, moduli, file cloud e servizi online. Proprio perché è normale cliccare, il link è uno strumento molto efficace per gli attaccanti.

Un link può portare a una pagina falsa, un sito che imita una banca, una falsa pagina di accesso email, un finto portale cloud, un download malevolo, un modulo per rubare dati o una pagina di pagamento fraudolenta.

Il problema principale è che un link non va giudicato solo da come appare nel messaggio. Il testo visibile può dire “accedi al tuo conto”, ma l’indirizzo reale può portare altrove. Nei pulsanti, nelle email grafiche e nei documenti questo inganno è molto comune.

9.2 Da dove possono arrivare i link

Un link sospetto può arrivare da email, SMS, WhatsApp, Telegram, Messenger, Instagram, Facebook, LinkedIn, TikTok, pubblicità online, QR code, documenti PDF, file Word, presentazioni, siti web, motori di ricerca, chat aziendali, ticket, calendari condivisi, inviti a riunioni, notifiche cloud e firme email compromesse o imitate.

Il fatto che arrivi da un canale conosciuto non lo rende automaticamente sicuro. Può arrivare da un contatto reale il cui account è stato compromesso, da un profilo falso che imita una persona conosciuta o da un messaggio costruito per sembrare ufficiale.

Per questo il link va valutato insieme al contesto: chi lo manda, se era atteso, che cosa chiede, quanto è urgente e dove porta.

9.3 Perché i link sono pericolosi

I link sono pericolosi perché portano la persona in un ambiente controllato dall’attaccante. Una volta aperto il link, l’utente può essere spinto a inserire username e password, codici OTP, dati personali, dati bancari, documenti riservati o a scaricare file e installare app.

Molti attacchi non cercano di infettare subito il computer. Cercano prima di convincere la persona a compiere un’azione: accedere, confermare, pagare, scaricare, compilare o autorizzare.

Un link verso una falsa pagina Microsoft 365, Google, banca o cloud aziendale può essere graficamente molto credibile. Il danno nasce quando la persona inserisce le credenziali e le consegna all’attaccante.

9.4 Il testo del link può ingannare

Un link può mostrare un testo diverso dall’indirizzo reale. Il pulsante può dire “scarica fattura”, “apri documento”, “conferma pagamento”, “traccia pacco” o “verifica account”, ma il collegamento dietro può puntare a un dominio completamente diverso.

Da computer spesso si può passare con il mouse sopra il link senza cliccare per vedere l’indirizzo di destinazione. Questo aiuta, ma non risolve tutto: alcuni indirizzi sono lunghi, confusi o costruiti per sembrare legittimi.

Da smartphone il controllo è più difficile perché lo schermo è piccolo e l’indirizzo completo non sempre è visibile. Per questo, sui servizi importanti, è più sicuro non partire dal link ricevuto.

9.5 Capire la struttura di un indirizzo web

Per valutare un link bisogna capire almeno le parti principali di un indirizzo. In `https://area-clienti.bancaesempio.it/documenti/login`, il protocollo è `https://`, il sottodominio è `area-clienti`, il dominio principale è `bancaesempio.it` e il percorso è `/documenti/login`.

La parte più importante è il dominio principale. Gli attaccanti cercano spesso di confondere usando indirizzi lunghi, parole rassicuranti o nomi di servizi reali messi nel posto sbagliato.

Un indirizzo come `https://bancaesempio.it.accesso-sicuro.com/login` può sembrare legato a `bancaesempio.it`, ma il dominio reale è `accesso-sicuro.com`. La parte iniziale è costruita per confondere.

9.6 Dominio principale e sottodominio

Il dominio principale identifica davvero il sito. In `https://login.microsoft.com`, il dominio principale è `microsoft.com` e `login` è un sottodominio. In `https://microsoft.com.sicurezza-account.net`, invece, il dominio principale è `sicurezza-account.net`.

Questa tecnica funziona perché l’occhio vede subito il nome del servizio conosciuto e lo interpreta come segnale di fiducia. In realtà il nome può essere solo una parte costruita per ingannare.

Per utenti non tecnici, la soluzione più sicura non è analizzare ogni URL complesso, ma evitare link ricevuti per servizi importanti e accedere manualmente dal sito o dall’app ufficiale.

9.7 HTTPS non significa automaticamente sicuro

Molte persone pensano che il lucchetto o `https://` significhino sito sicuro. È un equivoco. HTTPS indica che la comunicazione tra il dispositivo e quel sito è cifrata, ma non garantisce che il sito sia legittimo.

Anche un sito falso può avere HTTPS. La connessione può essere protetta mentre la pagina è comunque controllata dall’attaccante. Il lucchetto dice qualcosa sulla connessione, non sull’onestà del sito.

HTTPS è necessario, ma non basta. Bisogna controllare dominio, contesto, richiesta e canale da cui il link è arrivato.

9.8 Domini ingannevoli

I domini ingannevoli imitano quelli reali con sostituzioni di lettere, trattini, estensioni diverse, parole rassicuranti o nomi molto lunghi. `rn` può sembrare `m`, una `l` minuscola può sembrare una `I`, uno zero può sembrare una `o`. Un dominio come `banca-esempio-sicurezza.it` può sembrare ufficiale senza esserlo.

Parole come sicurezza, verifica, account, login, clienti, supporto, conferma, aggiornamento, pagamento e documento vengono spesso aggiunte per creare fiducia. Ma una parola rassicurante nel dominio non prova nulla.

Gli indirizzi molto lunghi sono particolarmente insidiosi perché nascondono la parte importante e spostano l’attenzione su parole familiari.

9.9 Sottodomini fuorvianti

I sottodomini possono essere usati per confondere. `https://login.serviziovero.com` può essere legittimo se il dominio principale è `serviziovero.com`. Ma `https://serviziovero.com.login-sicuro.net` ha come dominio principale `login-sicuro.net`.

La parte `serviziovero.com` è presente, ma non è il dominio principale. L’attaccante conta sul fatto che l’utente legga solo la prima parte dell’indirizzo.

Quando il link è importante, non serve fare una gara di analisi. Se hai dubbi, non cliccare e raggiungi il servizio dal canale ufficiale.

9.10 URL abbreviati

Gli URL abbreviati, come quelli generati da servizi tipo bit.ly o simili, nascondono l’indirizzo reale. Non sono sempre pericolosi: vengono usati anche in campagne marketing o social. Il problema è che non si vede subito dove portano.

Quando un URL abbreviato arriva in un messaggio inatteso, soprattutto se riguarda banca, email, cloud, SPID/CIE, gestionali o pagamenti, va trattato con cautela. Non è adatto per inserire credenziali o dati sensibili.

Se possibile si verifica l’anteprima del link, ma per i servizi importanti la scelta più semplice resta aprire manualmente il sito ufficiale.

9.11 Link nei risultati dei motori di ricerca

Non tutti i link pericolosi arrivano via messaggio. A volte l’utente cerca un servizio su un motore di ricerca e clicca il primo risultato, magari sponsorizzato o creato per imitare il sito reale.

È rischioso cercare in modo generico “login banca”, “accesso email”, “supporto tecnico” o “download programma” e fidarsi del primo risultato. Un sito falso può usare nome, grafica e annunci per sembrare ufficiale.

Per banca, email, cloud, gestionali e software importanti è meglio usare preferiti, app ufficiali o indirizzi già verificati. I programmi vanno scaricati solo da siti ufficiali.

9.12 Link nei documenti PDF, Word e presentazioni

Un link può essere nascosto anche dentro un documento PDF, Word, una presentazione, una finta fattura, un modulo online o un file cloud. Il documento può dire “clicca qui per visualizzare il dettaglio completo” o “accedi al portale”, ma il link può portare a una pagina falsa.

Il fatto che il link sia dentro un documento non lo rende più sicuro. Anzi, spesso il documento serve proprio a dare un’apparenza professionale alla truffa.

Apri solo documenti attesi, verifica il mittente, controlla il dominio dei link interni e non inserire credenziali dopo link contenuti in documenti inattesi.

9.13 Link nelle chat aziendali e nei calendari

Anche strumenti aziendali apparentemente affidabili possono veicolare link rischiosi: chat interne, ticket, calendari condivisi, inviti a riunioni, piattaforme di collaborazione, commenti in documenti cloud e notifiche automatiche.

Un attaccante può compromettere l’account di un collega, creare un invito falso, inserire un link in una descrizione di calendario o usare un account esterno con nome simile a quello di una persona interna.

Il criterio resta lo stesso: il link era atteso? Il mittente è coerente? Il dominio è quello giusto? Mi chiede credenziali? Posso arrivare allo stesso contenuto dal canale ufficiale?

9.14 QR code: link nascosti in forma grafica

Un QR code è un link in forma grafica. È comodo per menu, biglietti, eventi, pagamenti, documenti e informazioni commerciali, ma prima di scansionarlo non si vede chiaramente dove porta.

Può essere usato per truffe: adesivi sovrapposti a QR originali, falsi avvisi di pagamento, QR in email di phishing, volantini sospetti, app non ufficiali o false pagine di login.

Dopo la scansione bisogna controllare l’indirizzo prima di inserire dati. Per pagamenti e servizi importanti è meglio usare app ufficiali o siti già noti.

Checklist: QR code

Il QR è su un supporto affidabile?

Sembra un adesivo sovrapposto?

L’indirizzo mostrato è ufficiale?

Mi chiede dati, password o pagamento?

Posso usare un’app ufficiale invece del QR?

9.15 Link ricevuti via SMS: regola severa

I link ricevuti via SMS sono particolarmente rischiosi perché imitano spesso banche, corrieri, servizi pubblici, app di pagamento, operatori telefonici, e-commerce e servizi di identità digitale.

La regola pratica è severa: non cliccare link ricevuti via SMS per inserire dati, credenziali o informazioni bancarie. Se il messaggio sembra importante, apri l’app ufficiale, digita manualmente il sito, controlla l’area riservata o chiama il numero ufficiale.

Lo smartphone rende il controllo più difficile e gli SMS spingono a reagire in fretta. Proprio per questo serve una regola semplice e stabile.

9.16 Link ricevuti da persone conosciute

Un link può essere pericoloso anche se arriva da una persona conosciuta. L’account può essere compromesso, il profilo può essere falso, la persona può aver inoltrato senza verificare o un malware può aver generato il messaggio.

I segnali da osservare sono messaggio fuori tono, link senza spiegazione, urgenza, curiosità provocatoria, richiesta di credenziali, testo generico o file non atteso.

Non bisogna cliccare automaticamente. Si può chiedere conferma alla persona su un altro canale e, se il link chiede password, fermarsi subito.

9.17 Procedura pratica: ricevo un link, cosa faccio?

La procedura prima del clic deve diventare un’abitudine. Non serve essere tecnici: serve fare sempre le stesse domande nel giusto ordine.

Checklist: prima del clic

Mi aspettavo questo messaggio?

Conosco davvero il mittente?

Il tono è urgente, strano o fuori contesto?

Il dominio reale è quello giusto?

Mi chiede password, dati, pagamento o download?

Posso arrivare allo stesso contenuto da sito o app ufficiale?

Posso verificare su un canale diverso?

In caso di dubbio, posso non cliccare?

9.18 Cosa fare se hai già cliccato

Cliccare un link sospetto non significa automaticamente che il danno sia fatto. Dipende da cosa è successo dopo. Se hai solo aperto la pagina, chiudila, non inserire dati, non scaricare file, non concedere permessi e segnala il messaggio se riguarda il lavoro.

Se hai inserito username e password, cambia subito la password da un dispositivo sicuro, cambia anche le password duplicate, revoca sessioni attive, controlla accessi recenti, verifica MFA e avvisa il referente IT se è un account aziendale.

Se hai inserito dati bancari o carta, contatta subito la banca tramite canale ufficiale, blocca carta o operazioni se necessario, controlla i movimenti e conserva prove del messaggio. Se hai scaricato o aperto un file, non continuare come se nulla fosse: avvisa chi di competenza e fai controllare dispositivo o file.

9.19 Buone abitudini per ridurre il rischio

Alcune abitudini riducono molto il rischio: usare preferiti per banca, email, cloud e gestionali; non cliccare link via SMS; non inserire password dopo link inattesi; controllare il dominio; non fidarsi solo di logo e grafica; evitare URL abbreviati per servizi importanti; verificare su canale diverso; usare MFA e mantenere browser e sistema aggiornati.

In azienda è importante formare chi riceve molti messaggi esterni e definire procedure per fatture, documenti, link cloud, pagamenti e richieste urgenti.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

spiegare che cos’è un malware e perché non tutti i malware sono uguali;

riconoscere virus, worm, trojan, ransomware, spyware, adware e infostealer;

capire come malware e app malevole arrivano su computer, smartphone e reti;

valutare rischi di allegati, link, software pirata, falsi aggiornamenti e USB;

capire perché il ransomware può bloccare una persona o un’intera azienda;

applicare comportamenti di prevenzione e sapere cosa fare davanti a un sospetto.

10.1 Che cos’è un malware

Malware significa malicious software, cioè software malevolo. È un programma creato o usato per causare danni, rubare informazioni, spiare l’utente, bloccare dati, prendere controllo di un dispositivo o svolgere attività non autorizzate.

Molte persone usano la parola “virus” per indicare qualsiasi minaccia, ma il virus è solo una categoria. Esistono trojan, ransomware, spyware, adware, keylogger, infostealer, worm, rootkit, botnet e altre forme con obiettivi diversi.

Un malware può colpire computer, smartphone, server, router, dispositivi aziendali, browser, account cloud e reti. A volte mostra effetti evidenti, come una richiesta di riscatto; altre volte resta nascosto e ruba dati in silenzio.

10.2 Come può arrivare un malware

Un malware può arrivare tramite allegati email, link malevoli, download da siti non ufficiali, software pirata, crack, falsi aggiornamenti, app fuori dagli store ufficiali, estensioni browser dannose, chiavette USB, documenti con macro, siti compromessi, pubblicità malevole, chat e falsi strumenti di assistenza remota.

Spesso il malware sfrutta un comportamento dell’utente: aprire un allegato, cliccare un link, installare un programma, disattivare una protezione, abilitare macro, concedere permessi, inserire password amministratore o ignorare un avviso.

La prevenzione non è solo tecnica. Aggiornamenti e antivirus aiutano, ma contano anche abitudini, attenzione alle fonti e capacità di fermarsi davanti a file o richieste inattese.

10.3 Virus

Un virus è un malware che si attacca a file o programmi e può diffondersi quando quei file vengono eseguiti o condivisi. Il termine viene spesso usato in modo generico, ma tecnicamente indica una categoria specifica.

Può modificare file, danneggiare programmi, rallentare il computer, diffondersi ad altri file o aprire la strada ad altri malware. Può arrivare tramite allegati, file scaricati, programmi infetti, chiavette USB, software pirata o documenti malevoli.

La riduzione del rischio passa da antivirus, aggiornamenti, software da fonti ufficiali, niente pirateria, attenzione agli allegati e controllo dei dispositivi USB sconosciuti.

10.4 Worm

Un worm è un malware capace di diffondersi automaticamente, spesso attraverso reti o sistemi vulnerabili. A differenza di un virus tradizionale, può propagarsi senza che l’utente apra manualmente ogni file infetto.

Può rallentare sistemi e connessioni, sfruttare vulnerabilità non corrette, installare altri malware e creare problemi a molti dispositivi contemporaneamente. In azienda, un singolo dispositivo vulnerabile può diventare un punto di partenza per la diffusione.

Per ridurre il rischio servono aggiornamenti, firewall, reti gestite correttamente, controllo degli accessi, permessi limitati e strumenti di sicurezza aziendale.

10.5 Trojan

Un trojan si presenta come qualcosa di legittimo o utile, ma nasconde una funzione malevola. Può sembrare un programma gratuito, un falso aggiornamento, un crack, un gioco, una utility, un documento, un’app mobile o uno strumento di assistenza.

Una volta installato, può rubare dati, installare altri malware, aprire accessi remoti, registrare attività, disattivare protezioni, modificare impostazioni o permettere il controllo del dispositivo.

La difesa è scaricare solo da siti ufficiali o store affidabili, evitare software pirata, non installare app da fonti sconosciute, non fidarsi di falsi aggiornamenti e non concedere permessi inutili.

10.6 Ransomware

Il ransomware è uno dei malware più gravi. Blocca l’accesso ai dati o cifra i file e chiede un riscatto per tentare di recuperarli. In alcuni casi minaccia anche la pubblicazione dei dati rubati.

Per una persona può significare perdita di foto, documenti, archivi personali, dati di lavoro e file importanti. Per un’azienda può significare blocco operativo, interruzione dei servizi, perdita di dati dei clienti, danno economico, danno reputazionale, problemi normativi e giorni o settimane di fermo.

È pericoloso perché può colpire non solo il singolo computer, ma anche cartelle condivise, server, dischi collegati e backup sempre connessi.

10.7 Ransomware e backup

Il backup è una delle difese più importanti contro il ransomware, ma non tutti i backup sono uguali. Se una copia è sempre collegata al computer o alla rete, il ransomware potrebbe cifrare anche quella.

Sono a rischio i dischi esterni sempre collegati, le cartelle di rete sempre accessibili, i cloud sincronizzati senza versioning, i backup non separati dagli account principali e le copie mai testate.

Un buon backup deve essere regolare, separato, protetto e verificato. Almeno una copia dovrebbe essere offline o comunque non sempre raggiungibile dal sistema principale. Il ripristino va testato, perché un backup inutilizzabile viene scoperto spesso troppo tardi.

10.8 Pagare il riscatto non garantisce il recupero

Quando un ransomware cifra i file, la richiesta di riscatto può promettere la restituzione dei dati dopo il pagamento. Pagare però non garantisce nulla: l’attaccante potrebbe non inviare la chiave, la chiave potrebbe non funzionare, il recupero potrebbe essere parziale o i dati potrebbero essere stati rubati comunque.

Il pagamento può inoltre alimentare attività criminali, attirare nuovi attacchi e avere implicazioni legali, assicurative o organizzative da valutare.

In caso di ransomware non bisogna improvvisare. La gestione deve coinvolgere referenti tecnici, responsabili, consulenti, autorità o supporto specializzato quando necessario.

10.9 Spyware

Uno spyware è progettato per spiare l’utente o raccogliere informazioni. Può registrare siti visitati, dati digitati, credenziali, messaggi, file, attività sul dispositivo, posizione, schermate o contenuti visibili.

Può arrivare tramite app malevole, software da fonti non ufficiali, allegati, link fraudolenti, estensioni browser, falsi strumenti gratuiti o dispositivi compromessi. Il suo obiettivo può essere furto di credenziali, perdita di privacy, raccolta di informazioni personali o aziendali e preparazione di attacchi successivi.

Per ridurre il rischio bisogna installare app solo da fonti ufficiali, controllare permessi, evitare software sconosciuto, mantenere i dispositivi aggiornati e controllare estensioni del browser.

10.10 Adware

L’adware mostra pubblicità indesiderate o invasive. Non sempre è grave come un ransomware, ma può indicare che sul dispositivo è presente software non desiderato e può portare a siti rischiosi.

Può causare pop-up continui, reindirizzamenti, modifiche al browser, barre o estensioni indesiderate, raccolta di dati di navigazione, rallentamenti e apertura di pagine sospette.

Spesso arriva con programmi gratuiti scaricati da siti poco affidabili, installazioni con opzioni preselezionate, falsi player video, download manager o software pirata.

10.11 Keylogger

Un keylogger registra ciò che viene digitato sulla tastiera. È pericoloso perché può catturare username, password, codici, messaggi, numeri di carta, dati personali e dati aziendali.

Può arrivare tramite allegati malevoli, trojan, software pirata, falsi aggiornamenti, computer pubblici o estensioni browser dannose. Se si sospetta un keylogger, cambiare password dallo stesso dispositivo può esporre anche la nuova password.

La difesa include evitare dispositivi non propri per accessi importanti, non installare software non verificato, usare MFA, cambiare password da dispositivi sicuri e mantenere aggiornati sistemi e browser.

10.12 Rootkit

Un rootkit è progettato per nascondersi profondamente nel sistema e mantenere un accesso non autorizzato. Può cercare di occultare file malevoli, processi sospetti, attività dell’attaccante, modifiche al sistema e altri malware.

È una categoria più tecnica, ma il concetto pratico è semplice: alcune infezioni cercano di non farsi vedere e possono essere difficili da rimuovere.

In azienda, un sospetto rootkit va gestito da personale tecnico competente. Per ridurre il rischio servono aggiornamenti, privilegi amministrativi limitati, software affidabile e segnalazione rapida di comportamenti anomali.

10.13 Botnet

Una botnet è una rete di dispositivi infetti controllati da un attaccante. Il dispositivo diventa un “bot” e può essere usato per inviare spam, attaccare altri siti, diffondere malware, generare traffico falso o nascondere l’origine di attività illegali.

L’utente potrebbe non accorgersene subito. I segnali possono essere rallentamenti, connessione molto usata senza motivo, consumo anomalo di risorse, avvisi di sicurezza o traffico sospetto.

La prevenzione riguarda anche router e dispositivi IoT: aggiornamenti, password predefinite cambiate, configurazioni corrette e attenzione ai dispositivi collegati alla rete.

10.14 Cryptominer

Un cryptominer malevolo usa CPU, GPU, energia e prestazioni del dispositivo per generare criptovalute a vantaggio dell’attaccante. Non punta necessariamente a rubare dati, ma usa risorse senza autorizzazione.

I segnali possono essere computer molto lento, ventole sempre attive, consumo elevato di energia, surriscaldamento, batteria che dura poco e calo evidente delle prestazioni.

Può arrivare tramite siti compromessi, estensioni browser malevole, software pirata, trojan o programmi scaricati da fonti non ufficiali. La difesa passa da aggiornamenti, controllo delle estensioni, niente pirateria e attenzione ai rallentamenti improvvisi.

10.15 Infostealer

Un infostealer è progettato per rubare informazioni: password salvate nel browser, cookie di sessione, token di accesso, dati di carte, file sul desktop, documenti, informazioni di sistema, dati da app di messaggistica, wallet crypto e credenziali aziendali.

È pericoloso perché può esfiltrare dati rapidamente. Anche se viene rimosso dopo, le informazioni potrebbero già essere finite all’attaccante. In alcuni casi cookie e token possono permettere tentativi di accesso senza conoscere direttamente la password.

La prevenzione richiede niente software pirata, nessun file sconosciuto eseguito, sistemi aggiornati, antimalware, MFA e prudenza nel salvare dati sensibili nel browser.

10.16 Malware mobile e app malevole

Anche gli smartphone possono essere colpiti da malware o app dannose. Il rischio dipende da sistema, impostazioni, abitudini e fonti di installazione. App fuori dagli store, app false che imitano servizi reali e permessi eccessivi sono segnali importanti.

Permessi come SMS, notifiche, microfono, fotocamera, posizione, file, accessibilità, amministrazione del dispositivo e sovrapposizione su altre app vanno valutati con attenzione. Un’app per modificare foto non dovrebbe avere bisogno di leggere SMS o notifiche bancarie.

Le buone pratiche sono installare app solo da store ufficiali, controllare sviluppatore e recensioni, evitare APK se non si è esperti, aggiornare il sistema, rimuovere app non usate e non concedere permessi incoerenti.

10.17 Estensioni browser dannose

Le estensioni del browser possono essere utili, ma hanno spesso accesso a pagine visitate, contenuti visualizzati, dati inseriti nei moduli, cronologia, cookie e informazioni di navigazione. Installarne troppe o da fonti poco affidabili aumenta il rischio.

Sono sospette le estensioni con sviluppatore sconosciuto, non aggiornate, troppo invasive, che promettono funzioni poco credibili o chiedono accesso a tutti i siti senza reale necessità.

È meglio installare poche estensioni, solo da fonti ufficiali, controllare permessi, rimuovere ciò che non serve e limitare le estensioni sui browser usati per banca, gestionali e account critici.

10.18 Segnali di possibile infezione

Non sempre un malware mostra segnali evidenti, ma alcuni comportamenti meritano attenzione: computer molto lento senza motivo, pubblicità continue, browser che apre pagine strane, homepage o motore di ricerca cambiati, programmi sconosciuti, antivirus disattivato, file che cambiano estensione, ventole sempre attive, traffico anomalo, batteria che cala rapidamente, account che inviano messaggi da soli o richieste di riscatto.

Un singolo segnale non significa sempre infezione, ma va valutato. In azienda è meglio segnalare un dubbio prima che ignorarlo.

Il punto è non normalizzare comportamenti strani. Se qualcosa cambia improvvisamente dopo un download, un allegato o l’installazione di un’app, c’è un contesto da ricostruire.

10.19 Cosa fare se si sospetta un malware

Se si sospetta un malware, bisogna evitare improvvisazioni. In azienda ci si ferma, non si usa il dispositivo per attività sensibili, non si inseriscono altre password, non si collegano chiavette o dischi esterni, non si cancellano prove e si avvisa subito il referente IT o il responsabile.

È utile annotare cosa è successo: email aperta, file scaricato, link cliccato, orario e messaggi comparsi. Se indicato dalle procedure, il dispositivo può essere scollegato dalla rete. Le password vanno cambiate solo da un dispositivo sicuro.

Nella vita personale, bisogna smettere di usare il dispositivo per banca, email e account importanti, fare una scansione con strumenti affidabili, rimuovere programmi sospetti, cambiare password da un altro dispositivo, controllare movimenti e chiedere supporto se il problema persiste.

Checklist: sospetto malware

Fermati e non inserire altre password.

Non collegare backup, dischi o chiavette.

Annota cosa è successo.

Avvisa referente IT o tecnico affidabile.

Cambia password solo da dispositivo sicuro.

Controlla account e movimenti se hai inserito dati.

10.20 Cosa non fare

Davanti a un possibile malware non bisogna ignorare il problema, continuare a inserire password, aprire altri file sospetti, inoltrare il file ad altri colleghi senza avviso, collegare dischi di backup, tentare soluzioni casuali trovate online o cancellare prove importanti.

Non bisogna pagare riscatti o trattare autonomamente, soprattutto in azienda. Non bisogna nemmeno nascondere l’errore per paura: segnalare rapidamente è quasi sempre la scelta più utile.

Alcune azioni impulsive possono peggiorare la situazione. Collegare un disco di backup, per esempio, può esporre anche la copia dei dati; cancellare email o file può rendere più difficile capire cosa è successo.

10.21 Buone pratiche di prevenzione

La prevenzione contro i malware si basa su più livelli: aggiornamenti, antivirus o antimalware affidabili, software solo da fonti ufficiali, niente pirateria, attenzione ad allegati e link, backup separati e testati, permessi limitati, controllo delle app e formazione.

Gli aggiornamenti correggono spesso vulnerabilità sfruttabili. L’antivirus aiuta, ma non è una garanzia assoluta. I backup proteggono dai casi peggiori solo se non sono sempre collegati e se il ripristino è stato testato.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

trasformare le regole di sicurezza in abitudini quotidiane su computer e smartphone;

riconoscere installazioni, link, notifiche e permessi che espongono dati personali o aziendali;

usare email, allegati e destinatari con maggiore controllo prima di inviare informazioni sensibili;

gestire social network e profili pubblici riducendo oversharing, impersonificazione e truffe mirate;

prepararsi a furto, smarrimento o compromissione dei dispositivi senza improvvisare nel momento critico;

costruire una checklist personale di miglioramento applicabile subito nel lavoro e nella vita privata.

11.1 Introduzione

La sicurezza informatica diventa concreta nel momento in cui entra nei gesti ripetuti: aggiornare un dispositivo, verificare un allegato, bloccare lo schermo, controllare un destinatario, decidere se un post può essere pubblico. Non sono azioni spettacolari, ma sono proprio quelle che evitano la maggior parte degli incidenti quotidiani.

Questo modulo collega PC, smartphone, email e social perché nella pratica non vivono separati. Una password recuperata tramite email può aprire un account cloud; un telefono perso può mostrare notifiche e codici; una foto pubblicata sui social può rivelare informazioni utili per una truffa mirata. L’obiettivo è imparare a vedere questi collegamenti prima che diventino un problema.

11.2 Sicurezza quotidiana: il principio base

Il principio base è trattare ogni dispositivo come una porta d’accesso alla propria identità digitale. Computer e smartphone non contengono soltanto file: contengono sessioni aperte, app già autenticate, cronologie, notifiche, documenti, strumenti di lavoro, contatti e spesso anche metodi per recuperare altri account.

Per questo la sicurezza quotidiana non dipende da una singola misura, ma da una somma di comportamenti. Un dispositivo aggiornato, bloccato, usato con software affidabile e gestito con attenzione riduce molto la superficie d’attacco. Al contrario, tante piccole leggerezze creano una catena debole.

11.3 Aggiornare sistema operativo e programmi

Gli aggiornamenti correggono errori, migliorano la stabilità e chiudono vulnerabilità che potrebbero essere sfruttate da malware o attaccanti. Rimandarli per settimane significa lasciare aperti problemi già noti, spesso già documentati pubblicamente e quindi più facili da colpire.

Il controllo non riguarda solo il sistema operativo. Anche browser, suite da ufficio, lettori PDF, app di videoconferenza, strumenti di messaggistica e programmi usati raramente devono restare aggiornati. Un software dimenticato può diventare il punto più debole del computer.

11.4 Usare antivirus e antimalware

Antivirus e antimalware sono una rete di protezione utile, soprattutto contro file sospetti, download malevoli e comportamenti anomali. Non sostituiscono l’attenzione dell’utente, ma aiutano a intercettare minacce note e a bloccare alcune azioni prima che producano danni.

La protezione deve essere attiva, aggiornata e coerente con le policy aziendali. Installare più strumenti di sicurezza senza criterio può creare conflitti o rallentamenti; disattivarli perché “danno fastidio” elimina una difesa proprio quando potrebbe servire.

11.5 Scaricare software solo da fonti ufficiali

Il software dovrebbe arrivare da store ufficiali, siti del produttore o repository aziendali approvati. Cercare il nome di un programma su un motore di ricerca e cliccare il primo risultato sponsorizzato può portare a installer modificati, versioni vecchie o pacchetti che aggiungono componenti indesiderati.

Prima di installare, conviene verificare il nome del produttore, il dominio, la reputazione, la presenza di recensioni attendibili e la coerenza della richiesta. Un programma gratuito può essere legittimo, ma se promette funzioni troppo convenienti o chiede permessi eccessivi va valutato con prudenza.

11.6 Non installare software pirata

Il software pirata è uno dei canali più rischiosi per introdurre malware nel computer. Crack, attivatori e versioni modificate chiedono spesso di disattivare l’antivirus, eseguire file con privilegi elevati o ignorare avvisi del sistema. Sono esattamente le condizioni che un attaccante desidera.

Oltre al rischio legale e contrattuale, il problema pratico è la perdita di controllo. Non si sa chi abbia modificato il pacchetto, quali componenti siano stati aggiunti e quali dati vengano raccolti dopo l’installazione.

11.7 Controllare le estensioni del browser

Le estensioni del browser possono leggere pagine, modificare contenuti, intercettare dati inseriti nei moduli o accedere alla cronologia, a seconda dei permessi concessi. Anche un’estensione nata per uno scopo utile può diventare rischiosa se cambia proprietario, viene abbandonata o viene aggiornata con funzioni invasive.

Conviene tenere solo estensioni realmente necessarie, rimuovere quelle dimenticate e controllare periodicamente i permessi. Meno componenti hanno accesso al browser, più semplice diventa mantenere un ambiente prevedibile.

11.8 Bloccare lo schermo quando ci si allontana

Un computer sbloccato è un account aperto. Anche pochi minuti bastano per leggere email, vedere documenti, inviare messaggi, copiare file o accedere a gestionali già autenticati. In ufficio, in coworking, in sala riunioni o a casa con ospiti, lo schermo sbloccato espone più di quanto sembri.

Il blocco manuale deve diventare automatico nella memoria muscolare, ma va affiancato anche da un blocco automatico dopo un tempo breve di inattività. La protezione migliore è quella che non dipende solo dal ricordarsene ogni volta.

11.9 Usare account non amministratore quando possibile

Usare il computer ogni giorno con un account amministratore aumenta l’impatto degli errori. Se un malware o un installer malevolo viene eseguito con privilegi elevati, può modificare più parti del sistema, installare componenti persistenti e disattivare protezioni.

Quando possibile, è più prudente lavorare con un account standard e usare l’amministratore solo quando serve davvero. In ambito aziendale questa scelta dovrebbe essere gestita dall’IT; in ambito personale può comunque ridurre il danno di installazioni sbagliate.

11.10 Backup e protezione dei file sul PC

Un computer sicuro non è soltanto un computer protetto dagli attacchi, ma anche un computer da cui si può recuperare il lavoro quando qualcosa va male. Guasti, cancellazioni accidentali, furti e ransomware sono eventi diversi, ma hanno una domanda in comune: esiste una copia recuperabile dei file importanti?

Il backup deve includere i dati davvero necessari, essere aggiornato e non dipendere dallo stesso dispositivo che potrebbe rompersi o essere compromesso. Una cartella sincronizzata nel cloud può aiutare, ma non sempre sostituisce un vero piano di backup con versioni e ripristino verificabile.

11.11 Cifrare il disco sui portatili

I portatili sono facili da perdere, dimenticare o rubare. Se il disco non è cifrato, chi entra fisicamente in possesso del dispositivo potrebbe tentare di leggere i dati anche senza conoscere la password dell’account. La cifratura riduce questo rischio perché rende i contenuti inutilizzabili senza la chiave corretta.

Molti sistemi moderni offrono funzioni integrate di cifratura. Vanno attivate seguendo procedure affidabili e conservando con cura eventuali chiavi di recupero. Una cifratura senza recupero può proteggere dai ladri, ma può anche bloccare il proprietario se qualcosa va storto.

11.12 Attenzione alle chiavette USB

Le chiavette USB sono comode, ma portano due rischi: possono contenere malware e possono disperdere dati. Una chiavetta trovata, ricevuta senza contesto o usata su computer non fidati non dovrebbe essere collegata con leggerezza a un dispositivo di lavoro.

Quando una chiavetta serve davvero, va trattata come un supporto temporaneo: contiene solo ciò che è necessario, meglio se protetto quando i dati sono sensibili, e non diventa l’unica copia di informazioni importanti.

11.13 Separare uso personale e lavoro

Mescolare uso personale e lavoro aumenta confusione e rischio. Account personali usati per documenti aziendali, file di lavoro salvati su dispositivi familiari, chat private usate per inviare allegati professionali e browser pieni di sessioni diverse rendono più difficile capire dove si trovano i dati e chi può accedervi.

La separazione non deve essere perfetta per essere utile. Basta usare strumenti approvati, profili distinti quando possibile, cartelle ordinate, account coerenti e una regola semplice: i dati di lavoro seguono i canali di lavoro.

11.14 Perché lo smartphone è un dispositivo critico

Lo smartphone è spesso più sensibile del computer. Contiene email, app bancarie, messaggistica, foto, documenti, social, codici OTP, notifiche e strumenti di autenticazione. Inoltre viaggia sempre con noi, viene usato in luoghi pubblici e può essere perso con facilità.

Chi controlla lo smartphone può spesso controllare anche altri accessi: ricevere codici, approvare login, leggere messaggi, recuperare password o impersonare il proprietario nelle chat. Per questo va trattato come una cassaforte portatile, non come un semplice telefono.

11.15 Blocco schermo, PIN e biometria

Il blocco schermo è la prima barriera dello smartphone. Un PIN troppo breve, una sequenza evidente o un dispositivo senza blocco rendono facile accedere a informazioni personali e aziendali. La biometria è comoda, ma deve essere affiancata da un codice robusto perché il codice resta il metodo di fallback.

È utile impostare il blocco automatico dopo poco tempo, evitare di mostrare il codice mentre lo si digita e non condividere PIN con altre persone. Nei contesti di lavoro, le policy aziendali possono imporre requisiti più rigidi, e vanno rispettati.

11.16 Aggiornamenti dello smartphone

Anche lo smartphone deve essere aggiornato. Sistema operativo e app ricevono correzioni di sicurezza, miglioramenti e chiusure di vulnerabilità. Rimandare gli aggiornamenti espone il dispositivo, soprattutto quando contiene app di lavoro o dati sensibili.

Quando un telefono non riceve più aggiornamenti, bisogna considerarlo un rischio crescente. Può continuare a funzionare, ma non è detto che sia ancora adeguato per email, banca, autenticazione o attività professionali.

11.17 App solo da store ufficiali

Le app dovrebbero essere installate da store ufficiali o da canali aziendali autorizzati. File APK, link ricevuti in chat, store alternativi e app distribuite fuori dai controlli standard aumentano la probabilità di installare software manipolato o non verificato.

Anche nello store ufficiale serve attenzione: nome dello sviluppatore, recensioni, numero di installazioni, permessi richiesti e coerenza della funzione sono segnali importanti. Una falsa app di supporto, una finta app bancaria o un’app “torcia” troppo invasiva possono raccogliere dati non necessari.

11.18 Permessi delle app

I permessi definiscono a cosa può accedere un’app: fotocamera, microfono, posizione, contatti, calendario, file, notifiche, Bluetooth, rete locale e funzioni di accessibilità. Non tutti i permessi sono pericolosi, ma devono essere coerenti con ciò che l’app deve fare.

Un’app per modificare foto può avere senso che acceda alla galleria; è molto meno chiaro perché dovrebbe leggere SMS o contatti. Il permesso di accessibilità merita attenzione particolare perché può consentire azioni molto invasive se concesso ad app non affidabili.

Checklist: quando controlli i permessi di un’app, verifica questi punti:

il permesso è necessario per la funzione che uso davvero;

posso concederlo solo mentre uso l’app;

l’app è ancora utile o può essere rimossa;

posizione, microfono, contatti e accessibilità sono concessi solo quando hanno una ragione chiara.

11.19 Link in SMS e chat

SMS, WhatsApp, Telegram e messaggi social sono canali ideali per truffe rapide perché arrivano sul dispositivo che usiamo di più e spesso ci spingono ad agire subito. Sullo schermo piccolo è anche più difficile controllare l’indirizzo reale di un link.

La regola prudente è non inserire password, dati bancari o codici dopo aver aperto un link ricevuto in chat. Per banca, corrieri, servizi pubblici e account importanti è meglio aprire l’app ufficiale o digitare manualmente l’indirizzo.

11.20 Notifiche visibili sulla schermata di blocco

Le notifiche possono mostrare codici OTP, messaggi privati, email, nomi di clienti, appuntamenti, chat aziendali o documenti condivisi anche quando il telefono è bloccato. Se il dispositivo è appoggiato su una scrivania, in riunione o in un luogo pubblico, quelle informazioni possono essere lette da altri.

È consigliabile nascondere il contenuto delle notifiche a schermo bloccato e mostrare solo l’app o un avviso generico. In questo modo il telefono resta utile, ma non diventa una finestra aperta sulle comunicazioni.

11.21 Furto o smarrimento dello smartphone

In caso di furto o smarrimento bisogna agire rapidamente e senza improvvisare. La localizzazione, il blocco remoto, la revoca delle sessioni e il cambio delle password principali sono utili solo se si sa già dove intervenire e se le funzioni sono state configurate prima.

La prevenzione include blocco schermo, backup aggiornato, funzione “trova dispositivo”, cifratura, protezione dell’account cloud, PIN della SIM quando opportuno e conoscenza dei contatti da avvisare: banca, referente IT, operatore telefonico o amministratore degli account.

Checklist: se perdi lo smartphone, procedi in questo ordine ragionato:

prova a localizzarlo e bloccarlo da remoto;

cambia le password degli account principali da un dispositivo sicuro;

revoca sessioni attive e token dove possibile;

avvisa banca, IT o operatore se il rischio lo richiede;

valuta cancellazione remota se il recupero non è realistico.

11.22 Perché l’email è uno strumento critico

L’email è uno degli strumenti più importanti da proteggere perché viene usata per comunicare, ricevere fatture, scambiare documenti, recuperare password, confermare accessi e gestire rapporti con clienti, fornitori e servizi online. Un account email compromesso può aprire molte altre porte.

Chi entra in una casella email può leggere comunicazioni, cercare allegati, inviare messaggi a nome della vittima, impostare filtri nascosti, recuperare password di altri servizi e truffare contatti che si fidano del mittente. Per questo password robusta e MFA sono fondamentali.

11.23 Verificare mittente e contenuto

Il nome visualizzato del mittente non basta. Un’email può mostrare il nome di una persona conosciuta ma arrivare da un dominio diverso, oppure può provenire da un account reale compromesso. La valutazione deve includere indirizzo completo, dominio, tono, richiesta, urgenza, allegati e coerenza con il contesto.

Le richieste più delicate sono quelle che chiedono password, dati personali, pagamenti, cambio IBAN, apertura di allegati inattesi o accesso tramite link. Se qualcosa non torna, bisogna verificare con un canale già noto, non usando i contatti presenti nel messaggio sospetto.

11.24 Allegati email

Gli allegati sono un canale classico per malware, furti di credenziali e truffe. File compressi, documenti inattesi, fatture non previste, falsi PDF, file eseguibili e documenti che chiedono di abilitare macro devono essere trattati con cautela, anche se sembrano arrivare da un contatto reale.

Un allegato atteso è molto diverso da un allegato plausibile. La domanda non è solo “conosco il mittente?”, ma “mi aspettavo davvero questo file, con questo contenuto, in questo momento?”. Se la risposta è no, meglio verificare prima di aprire.

11.25 Link nelle email

I link nelle email vanno controllati perché possono portare a pagine di login false, moduli di raccolta dati, download malevoli o siti che imitano servizi reali. Da computer si può spesso passare con il mouse sul link per vedere la destinazione; da smartphone è più difficile, quindi serve ancora più prudenza.

Per servizi importanti come banca, cloud, email, SPID, CIE e gestionali, è preferibile usare preferiti salvati o digitare manualmente l’indirizzo. Se un messaggio chiede di “verificare subito l’account”, la strada più sicura è entrare nel servizio dal canale ufficiale.

11.26 Invio di dati sensibili via email

L’email è comoda, ma non sempre è il canale migliore per documenti di identità, dati sanitari, informazioni bancarie, contratti, buste paga, file fiscali, dati clienti o archivi con molte informazioni personali. Prima di inviare, bisogna valutare necessità, destinatario, canale e protezione del documento.

Quando l’invio è necessario, il contenuto dovrebbe essere limitato al minimo, il destinatario controllato con attenzione e l’eventuale password comunicata su un canale diverso. In azienda vanno preferiti strumenti approvati e procedure già definite.

11.27 Completamento automatico destinatari

Il completamento automatico degli indirizzi email velocizza il lavoro, ma può proporre persone sbagliate con nomi simili, vecchi contatti, clienti al posto di colleghi o indirizzi non più corretti. L’errore spesso avviene in pochi secondi, proprio perché la funzione sembra innocua.

Prima di inviare documenti sensibili, bisogna controllare destinatari, CC, CCN e allegati. Una breve pausa prima del clic può evitare invii fuori controllo, esposizione di dati e necessità di gestione dell’incidente.

11.28 CC e CCN

CC e CCN hanno effetti diversi sulla privacy dei destinatari. In CC gli indirizzi sono visibili agli altri; in CCN restano nascosti. Usare CC per comunicazioni a gruppi esterni può esporre indirizzi email che non dovevano essere condivisi.

Anche “Rispondi a tutti” merita attenzione: può reinserire persone non necessarie in una conversazione, diffondere allegati o prolungare thread che contengono informazioni sensibili. Ogni destinatario aggiunto aumenta la superficie di esposizione del messaggio.

11.29 Richieste di pagamento e cambio IBAN

Le richieste di pagamento, cambio IBAN o modifica di coordinate bancarie sono tra le più delicate. Gli attaccanti sfruttano urgenza, tono autoritario, finte comunicazioni di fornitori e domini quasi identici per spingere qualcuno ad agire senza verifica.

La regola operativa è semplice: non si cambia IBAN e non si autorizza un pagamento solo sulla base di un’email. Serve una verifica tramite un contatto già noto, una procedura interna, una seconda approvazione e, dove previsto, una registrazione del controllo effettuato.

11.30 Cosa si espone sui social network

I social network possono esporre nome, foto, luoghi frequentati, lavoro, colleghi, familiari, abitudini, viaggi, opinioni, oggetti di valore e dettagli sullo sfondo. Queste informazioni possono sembrare innocue prese singolarmente, ma insieme costruiscono un profilo molto utile per truffe personalizzate.

Un attaccante può usare post pubblici per creare messaggi credibili, indovinare domande di sicurezza, impersonare una persona, contattare colleghi o raccogliere informazioni sull’azienda. La sicurezza sui social non significa sparire, ma pubblicare sapendo che il contenuto può essere copiato e riutilizzato.

11.31 Oversharing

Oversharing significa condividere più informazioni di quelle necessarie. Posizione in tempo reale, ferie, routine quotidiane, scuola dei figli, foto della casa, dettagli aziendali o lamentele su clienti e colleghi possono creare rischi personali, professionali e reputazionali.

Il punto non è vivere con sospetto, ma scegliere il pubblico giusto e il momento giusto. Pubblicare una vacanza mentre si è via comunica anche un’assenza; mostrare un badge o uno schermo può dare informazioni operative; raccontare un problema interno può uscire dal contesto previsto.

11.32 Profili falsi e messaggi privati

I profili falsi possono imitare persone, aziende, supporti tecnici, recruiter o servizi reali. Possono chiedere denaro, documenti, link, informazioni personali o spingere a spostare la conversazione su un canale più privato. Spesso costruiscono fiducia prima di fare la richiesta principale.

Segnali utili sono profili appena creati, poche informazioni, foto generiche, urgenza, promesse troppo convenienti, richieste di soldi, link sospetti e messaggi copiati. Quando il profilo dice di essere una persona conosciuta, la verifica deve avvenire su un canale indipendente.

11.33 Separazione tra personale e professionale

Sui social è utile distinguere ciò che appartiene alla sfera personale da ciò che riguarda il lavoro. Contenuti privati visibili a contatti professionali, dettagli aziendali pubblicati su profili personali o commenti impulsivi possono generare problemi di reputazione e riservatezza.

La separazione può essere ottenuta con impostazioni privacy, profili distinti dove opportuno, attenzione ai tag, controllo del pubblico dei post e regola di non pubblicare documenti, schermi o informazioni interne. Non tutto ciò che è tecnicamente condivisibile è professionalmente opportuno.

11.34 Link sponsorizzati, pubblicità e commenti

Nei social i link non arrivano solo dai messaggi privati. Possono comparire in annunci, commenti sotto post popolari, finti concorsi, offerte troppo convenienti, false pagine di investimento o finte assistenze tecniche. Il formato pubblicitario non garantisce affidabilità.

Prima di inserire credenziali o dati di pagamento, bisogna controllare dominio, reputazione, condizioni dell’offerta e canale ufficiale. Per app, servizi bancari e acquisti importanti è meglio cercare il sito o l’app in modo autonomo invece di passare dal link sponsorizzato.

11.35 Checklist personale: cosa migliorare subito

La checklist finale serve a trasformare il modulo in azioni concrete. Non deve essere completata tutta in una volta: è più utile scegliere pochi interventi, applicarli bene e poi tornare periodicamente a controllare il resto.

Checklist: parti da questi controlli essenziali:

aggiorna computer, browser, smartphone e app principali;

rimuovi software, app ed estensioni che non usi o non riconosci;

verifica blocco schermo, notifiche e funzione trova dispositivo;

controlla backup dei file importanti e possibilità di ripristino;

rivedi permessi delle app, privacy social e contenuti pubblici;

verifica MFA e password dell’email principale;

controlla destinatari, allegati, CC e CCN prima di inviare dati sensibili;

definisci cosa fare in caso di smarrimento del telefono o invio errato.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

condividere file e cartelle con permessi coerenti, scadenze e revoche quando necessarie;

distinguere link pubblici, accessi nominali e condivisioni private prima di inviare documenti;

riconoscere quando una copia non è un vero backup e quando il ripristino è davvero possibile;

applicare la logica 3-2-1 ai dati importanti, tenendo conto anche del rischio ransomware;

usare Wi-Fi domestici, aziendali e pubblici con maggiore prudenza e con impostazioni più sicure;

separare dispositivi personali, aziendali e IoT per ridurre esposizione e movimenti non desiderati.

12.1 Introduzione

Cloud, file condivisi, backup e reti Wi-Fi sono diventati parte normale del lavoro e della vita personale. Archiviamo documenti online, inviamo link invece di allegati, collaboriamo su cartelle condivise, recuperiamo foto da più dispositivi e ci colleghiamo a reti che spesso non controlliamo direttamente.

La comodità, però, sposta il rischio. Un file condiviso male può restare accessibile per mesi; un backup sempre collegato può essere cifrato da un ransomware; una rete pubblica può essere usata con troppa fiducia; un router dimenticato può rimanere con impostazioni deboli per anni.

12.2 Che cos’è il cloud

Il cloud è un insieme di servizi che permettono di salvare, sincronizzare, condividere o elaborare dati tramite Internet. Google Drive, OneDrive, Dropbox, iCloud, gestionali online, archivi documentali e servizi di backup cloud sono esempi diversi della stessa idea: i dati non vivono più soltanto su un dispositivo locale.

Questa impostazione offre vantaggi evidenti: accesso da più dispositivi, collaborazione in tempo reale, recupero di versioni precedenti dove supportato e minore dipendenza da un singolo computer. Ma non elimina la responsabilità: account, link, permessi, dispositivi e impostazioni continuano a decidere chi vede cosa.

12.3 Che cosa significa condividere un file

Condividere un file significa concedere accesso. Può sembrare un gesto tecnico, ma in realtà è una decisione di sicurezza: stai stabilendo chi può vedere un documento, se può modificarlo, se può scaricarlo, se può inoltrarlo e per quanto tempo potrà continuare ad accedere.

La condivisione corretta parte da poche domande: il destinatario deve vedere un singolo file o una cartella? Deve leggere o modificare? Il file contiene dati personali o aziendali? L’accesso deve scadere? Potrò revocarlo facilmente? Se queste domande vengono saltate, la comodità prende il posto del controllo.

12.4 Link pubblici e link privati

La differenza tra link pubblico e condivisione privata è fondamentale. Un link accessibile a chiunque lo possieda può essere inoltrato, copiato in una chat, inserito per errore in un’email o dimenticato attivo dopo la fine di un progetto. Non è detto che venga indicizzato dai motori di ricerca, ma può comunque circolare fuori dal pubblico previsto.

La condivisione privata o nominale limita l’accesso a utenti specifici, spesso identificati tramite email o account. Offre maggiore controllo, consente revoche individuali e riduce il rischio di inoltro incontrollato. Per documenti riservati, personali o aziendali, dovrebbe essere la scelta predefinita quando possibile.

12.5 Permessi di lettura, modifica e condivisione

Non tutte le persone devono poter fare le stesse cose su un file. Sola lettura, commento, modifica, download, ricondivisione e gestione completa sono livelli diversi di potere. Dare più permessi del necessario aumenta l’impatto di un errore o di un account compromesso.

Il principio da applicare è il minimo privilegio. Se un cliente deve leggere un PDF, non serve modifica. Se un collaboratore deve commentare una bozza, non serve accesso all’intero archivio. Se un fornitore deve caricare un documento, non deve vedere tutte le cartelle del progetto.

12.6 Scadenze dei link e revoca accessi

Molti servizi permettono di impostare scadenze sui link o sugli accessi. La scadenza riduce il rischio che una condivisione temporanea resti aperta per mesi o anni senza motivo, soprattutto quando riguarda consulenti, clienti, fornitori, eventi o pratiche concluse.

La revoca è l’altra metà del controllo. Quando una collaborazione finisce, quando un file non serve più o quando una persona cambia ruolo, l’accesso deve essere rimosso. Le condivisioni dimenticate sono tra gli errori più comuni perché non fanno rumore finché qualcuno non le usa nel modo sbagliato.

12.7 Errori comuni nella condivisione file

Gli errori più frequenti nascono dalla fretta: inviare il file alla persona sbagliata, condividere un’intera cartella al posto di un singolo documento, usare un link pubblico quando bastava un accesso nominale, concedere modifica quando bastava lettura o lasciare attiva una condivisione dopo la fine del lavoro.

Altri errori sono meno visibili ma ugualmente importanti: usare account personali per documenti aziendali, inviare password nello stesso canale del file protetto, lasciare accesso a ex collaboratori o caricare in cloud documenti sensibili senza una procedura chiara.

12.8 Buone pratiche per condividere file

Una condivisione sicura non richiede una procedura complessa, ma una sequenza stabile di controlli. Prima si verifica il file, poi il destinatario, poi il livello di permesso, poi la durata dell’accesso. Solo dopo si invia il link o l’invito.

Checklist: prima di condividere un file, controlla questi passaggi:

il file è quello corretto e non contiene dati inutili;

il destinatario è corretto e ha davvero bisogno dell’accesso;

il permesso è lettura, commento o modifica in base al bisogno reale;

il link non è pubblico se non è necessario;

la scadenza è impostata quando l’accesso è temporaneo;

la password, se presente, non viaggia nello stesso canale;

la revoca è prevista quando il lavoro termina.

12.9 Documenti sensibili e cloud

Documenti di identità, dati sanitari, buste paga, informazioni bancarie, contratti, file fiscali, archivi clienti, documenti legali e scansioni con molte informazioni personali richiedono maggiore prudenza. Non basta chiedersi se il cloud sia comodo: bisogna chiedersi se sia il posto giusto e con quali regole.

Per questi documenti contano account usato, tipo di condivisione, scadenza, permessi, protezione del file e cancellazione quando non serve più. In ambito aziendale è particolarmente importante usare strumenti approvati, perché gli account personali possono rendere difficile controllare accessi e responsabilità.

12.10 Che cos’è un backup

Un backup è una copia di sicurezza creata per recuperare dati in caso di guasto, errore, cancellazione, furto, smarrimento o attacco informatico. È utile solo nel momento in cui permette davvero di tornare operativi o recuperare file importanti.

Il backup riguarda aziende e persone. Foto, documenti, archivi, tesi, fatture, lavori, contatti, pratiche e file personali possono essere persi per cause banali. Senza backup, anche un problema piccolo può diventare definitivo.

12.11 Differenza tra copia e backup

Una copia occasionale non è automaticamente un backup. Copiare ogni tanto una cartella su una chiavetta può aiutare, ma non garantisce frequenza, completezza, protezione, versioni precedenti o possibilità di recupero quando serve davvero.

Un backup affidabile dovrebbe essere regolare, aggiornato, separato dal dispositivo principale, protetto da accessi non autorizzati, controllabile e ripristinabile. In azienda dovrebbe essere anche documentato, perché non può dipendere dalla memoria di una sola persona.

12.12 Tipi di backup

I backup possono essere locali, cloud o offline. Un backup locale su disco, NAS o server permette spesso recuperi rapidi, ma può essere esposto a furto, danni fisici o ransomware se resta sempre collegato. Un backup cloud protegge da alcuni problemi locali, ma dipende dall’account, dalla MFA, dai costi, dalle versioni e dalla corretta configurazione.

Il backup offline è una copia non sempre collegata al computer o alla rete. È meno comodo, ma può diventare prezioso contro ransomware e cancellazioni propagate automaticamente. La scelta migliore spesso combina più approcci, invece di affidarsi a un solo supporto.

12.13 La regola 3-2-1

La regola 3-2-1 aiuta a ragionare sui backup: tre copie dei dati, su due supporti diversi, con una copia separata o fuori sede. Non deve essere applicata in modo rigido a ogni file, ma esprime un principio importante: non dipendere mai da un’unica copia e da un unico luogo.

In un caso personale può significare dati sul computer, copia su disco esterno e copia cloud. In un caso aziendale può significare dati sul server o cloud principale, backup locale dedicato e backup esterno, offline o protetto da account separati.

12.14 Backup e ransomware

Il ransomware rende i backup fondamentali perché cifra i file principali e chiede un riscatto per recuperarli. Un backup può permettere di ripristinare senza pagare, ma solo se non viene cifrato insieme ai dati originali.

Sono a rischio i dischi esterni sempre collegati, le cartelle di rete accessibili con gli stessi permessi dell’utente infetto, i cloud senza versioni precedenti e gli account di backup non protetti. Per questo almeno una copia dovrebbe essere separata, offline, immutabile o comunque non modificabile dal dispositivo compromesso.

12.15 Test di ripristino

Un backup non testato è una promessa non verificata. Molte persone scoprono troppo tardi che il backup non era attivo, non includeva i dati giusti, era troppo vecchio, richiedeva una password dimenticata o non poteva essere recuperato nei tempi necessari.

Testare non significa cancellare tutto e ripristinare il sistema principale. Può bastare recuperare alcuni file campione, verificare che si aprano, controllare le versioni, documentare i passaggi e stimare il tempo necessario. In azienda, questi test dovrebbero essere pianificati e registrati.

12.16 Backup dello smartphone

Lo smartphone contiene foto, video, contatti, chat, documenti, impostazioni, app e talvolta file di lavoro. Perderlo senza backup può significare perdere anche informazioni difficili da ricostruire, oltre a complicare l’accesso agli account collegati.

I backup ufficiali del sistema sono spesso una buona base, ma bisogna verificare cosa includono davvero. Le app di autenticazione, le chat, le foto e alcuni file locali possono richiedere impostazioni specifiche. Anche il vecchio telefono va cancellato in modo sicuro prima di venderlo o regalarlo.

12.17 Backup delle password

Password manager, codici di recupero e metodi MFA fanno parte della continuità digitale. Se perdi il telefono o l’accesso al password manager senza un piano, potresti rimanere bloccato fuori da account importanti proprio nel momento in cui devi reagire a un problema.

Bisogna sapere come recuperare l’accesso, dove sono conservati i codici di emergenza, cosa prevede l’azienda per credenziali critiche e se eventuali esportazioni sono protette. Esportare password in file non cifrati è molto rischioso e va evitato o gestito con estrema cautela.

12.18 Wi-Fi domestico

La rete Wi-Fi di casa collega computer, smartphone, stampanti, TV, dispositivi smart e spesso strumenti usati per lavoro. Proteggerla significa ridurre il rischio che persone non autorizzate entrino nella rete o che dispositivi poco affidabili restino nello stesso ambiente dei dati importanti.

Una buona configurazione prevede password robusta, router aggiornato, credenziali amministrative non predefinite, rete ospiti per visitatori e dispositivi meno fidati, controllo periodico dei dispositivi collegati e disattivazione delle funzioni non usate.

12.19 Router e credenziali predefinite

Nel router bisogna distinguere due password: quella del Wi-Fi, che permette di collegarsi alla rete, e quella di amministrazione, che permette di modificare le impostazioni del dispositivo. Entrambe sono importanti, ma hanno funzioni diverse.

Se le credenziali amministrative restano predefinite o deboli, chi riesce ad accedere alla rete potrebbe modificare DNS, aprire servizi, cambiare configurazioni o compromettere la stabilità della connessione. Aggiornare il firmware e disattivare l’accesso remoto non necessario riduce ulteriormente il rischio.

12.20 Rete ospiti

La rete ospiti permette di dare accesso a Internet senza concedere accesso alla rete principale. È utile per amici, parenti, clienti, fornitori, dispositivi temporanei e dispositivi smart che non hanno bisogno di vedere computer, server, stampanti o archivi.

In azienda la separazione è ancora più importante: la rete ospiti dovrebbe essere isolata dai sistemi interni. In casa può servire a evitare che ogni dispositivo occasionale entri nello stesso spazio dove si trovano computer di lavoro e dati personali.

12.21 Wi-Fi pubblici

I Wi-Fi pubblici di bar, hotel, aeroporti, stazioni, biblioteche ed eventi sono comodi, ma non sono reti sotto il nostro controllo. Possono esistere reti false con nomi simili, pagine di login ingannevoli, utenti sconosciuti sulla stessa rete e configurazioni che non conosciamo.

Per operazioni sensibili è spesso meglio usare rete dati mobile o hotspot personale. Se devi usare un Wi-Fi pubblico, verifica il nome esatto con il personale del luogo, disattiva la connessione automatica a reti sconosciute, evita condivisione file e non ignorare avvisi del browser.

12.22 Hotspot personale

L’hotspot personale dello smartphone può essere una scelta più controllabile rispetto a un Wi-Fi pubblico sconosciuto, soprattutto per attività sensibili o lavoro in movimento. Anche qui però servono impostazioni corrette: password robusta, hotspot spento quando non serve e controllo dei dispositivi collegati.

Il nome della rete non dovrebbe rivelare troppe informazioni personali e bisogna considerare consumo dati, batteria e qualità della connessione. Un hotspot configurato bene non sostituisce tutte le altre misure di sicurezza, ma riduce la dipendenza da reti non fidate.

12.23 VPN

Una VPN crea un collegamento cifrato tra il dispositivo e un server VPN. Può essere utile per accedere a risorse aziendali, lavorare da remoto o usare reti pubbliche con un livello di protezione aggiuntivo. In ambito aziendale va usata secondo le policy interne.

La VPN, però, non rende automaticamente sicuri da tutto. Non impedisce di inserire password in un sito falso, non blocca un allegato malevolo aperto volontariamente, non risolve account senza MFA e non protegge un dispositivo già compromesso. È uno strumento, non una garanzia assoluta.

12.24 Separare dispositivi personali, aziendali e IoT

Computer aziendali, dispositivi personali e oggetti IoT non hanno lo stesso livello di affidabilità. Smart TV, telecamere, assistenti vocali, lampadine, termostati, stampanti ed elettrodomestici connessi possono ricevere pochi aggiornamenti o avere configurazioni deboli.

Separare questi dispositivi riduce il rischio che un problema su un oggetto secondario coinvolga sistemi più importanti. Quando possibile, dispositivi IoT e ospiti dovrebbero usare reti dedicate; i dispositivi aziendali dovrebbero seguire policy specifiche; le password predefinite andrebbero cambiate e le funzioni inutili disattivate.

Checklist: per una rete più ordinata, applica questi controlli:

router aggiornato e credenziali amministrative cambiate;

password Wi-Fi robusta e non condivisa inutilmente;

rete ospiti attiva per visitatori e dispositivi poco fidati;

dispositivi collegati controllati periodicamente;

Wi-Fi pubblici usati con prudenza e hotspot preferito per operazioni sensibili;

backup separati, testati e non tutti accessibili dallo stesso punto.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

riconoscere quando un evento può essere trattato come possibile incidente di sicurezza;

agire nei primi minuti senza peggiorare la situazione e senza cancellare informazioni utili;

distinguere le azioni corrette per link sospetti, password inserite, OTP comunicati e allegati aperti;

gestire smarrimento di dispositivi, account compromessi, invii errati e truffe bancarie con priorità chiare;

documentare i fatti in modo semplice, preciso e utile per chi dovrà intervenire;

capire perché segnalare presto è quasi sempre meglio che aspettare di avere una certezza.

13.1 Introduzione

Anche una persona attenta può sbagliare. Può cliccare un link sospetto, aprire un allegato, inserire una password in una pagina falsa, comunicare un codice, inviare un documento al destinatario sbagliato o fidarsi di una richiesta costruita bene. La differenza non sta nell’assenza assoluta di errori, ma nella qualità della reazione.

Molti incidenti diventano gravi non per il primo clic, ma per ciò che accade dopo: si nasconde l’errore, si continua a usare il dispositivo, si cancellano messaggi, si cambia password dal computer sospetto, si collega un backup o si perde tempo cercando di risolvere tutto da soli.

13.2 Che cos’è un incidente di sicurezza

Un incidente di sicurezza è un evento che può compromettere dati, account, dispositivi, sistemi, reti o informazioni. Non deve essere per forza un attacco confermato: anche un sospetto merita attenzione finché non viene verificato.

Sono possibili incidenti un clic su un link sospetto, l’inserimento di credenziali in una pagina falsa, l’apertura di un allegato non verificato, un computer che si comporta in modo anomalo, un account che invia messaggi da solo, uno smartphone rubato, un documento inviato alla persona sbagliata o un pagamento verso coordinate fraudolente.

13.3 I primi principi da ricordare

Davanti a un possibile incidente bisogna rallentare. Il panico porta a cliccare ancora, cancellare file, spegnere dispositivi senza criterio o comunicare informazioni imprecise. Fermarsi non significa perdere tempo: significa evitare di aggiungere danno al danno.

I principi sono pochi: non nascondere l’errore, non cancellare prove, non continuare a usare un dispositivo sospetto, non inserire altre password e avvisare subito chi può aiutare. Email, screenshot, orari, link e messaggi possono essere elementi utili per ricostruire la sequenza.

13.4 Procedura generale in caso di incidente

Una procedura generale serve quando non è ancora chiaro quanto sia grave la situazione. Il primo passaggio è fermarsi: smettere di cliccare, rispondere, scaricare, installare o inserire dati. Poi bisogna capire che cosa è successo: link aperto, password inserita, codice comunicato, allegato aperto, file scaricato, documento inviato o pagamento autorizzato.

Subito dopo vanno conservate le informazioni utili: data, ora, canale, mittente, link, allegato, dati inseriti, messaggi comparsi e persone coinvolte. In azienda bisogna avvisare il referente corretto; nella vita personale può essere necessario contattare banca, gestore dell’account, assistenza ufficiale o un tecnico affidabile.

Checklist: nei primi minuti segui questa sequenza:

fermati e non interagire ancora con il contenuto sospetto;

conserva messaggio, link, allegato e orario dell’evento;

usa un dispositivo sicuro per controlli o cambi password;

avvisa il referente corretto senza minimizzare;

documenta le azioni già fatte e segui la procedura ricevuta.

13.5 Ho cliccato un link sospetto

Cliccare un link sospetto non significa automaticamente aver subito un danno. Conta ciò che è accaduto dopo. Se hai solo aperto la pagina, chiudila, non inserire dati, non scaricare file, non concedere permessi e non accettare notifiche. Conserva il messaggio originale e segnalalo se sei in azienda.

Se la pagina ha scaricato un file, non aprirlo e non inoltrarlo. In un contesto aziendale avvisa il referente IT e non cancellare il file senza indicazioni, perché potrebbe servire per l’analisi. Se hai inserito dati, invece, bisogna passare subito alla procedura specifica per password, dati bancari o codici OTP.

13.6 Ho inserito una password in un sito falso

Inserire una password in un sito falso è una situazione urgente. Gli attaccanti possono usare le credenziali rapidamente, provando accessi, cambiando impostazioni di recupero, creando sessioni persistenti o cercando altri servizi dove la stessa password è stata riutilizzata.

La password va cambiata da un dispositivo sicuro, accedendo al servizio dal sito ufficiale digitato manualmente o dall’app ufficiale. Bisogna revocare sessioni attive, controllare accessi recenti, verificare email e telefono di recupero, controllare MFA e, nel caso della posta, verificare regole di inoltro automatico.

Checklist: se hai inserito una password in una pagina falsa:

non usare più il link ricevuto;

cambia password da un dispositivo affidabile;

cambia anche le password riutilizzate altrove;

revoca sessioni e dispositivi non riconosciuti;

avvisa subito il referente IT se riguarda un account aziendale.

13.7 Ho comunicato un codice OTP

Un codice OTP serve a confermare un accesso o un’operazione. Se viene comunicato a un attaccante, potrebbe essere già stato usato per entrare in un account, autorizzare una modifica o completare un pagamento. La reazione deve essere immediata.

Interrompi la comunicazione, non fornire altri codici e accedi al servizio dal canale ufficiale. Controlla attività recenti, revoca sessioni sospette e cambia password se il codice riguardava un accesso. Se il codice riguardava banca o carte, contatta subito la banca tramite numero ufficiale.

13.8 Ho aperto un allegato sospetto

Un allegato sospetto può contenere malware, macro dannose, link nascosti o documenti costruiti per rubare credenziali. Se lo hai aperto, smetti di interagire con il file, non aprire allegati collegati, non inoltrarlo ad altri e non cancellare l’email senza indicazioni.

Su un dispositivo aziendale bisogna avvisare il referente IT indicando quale email è stata aperta e a che ora. Se richiesto, il computer può essere scollegato dalla rete, ma non bisogna improvvisare. Su un dispositivo personale conviene chiudere il file, eseguire controlli con strumenti affidabili e cambiare password da un dispositivo sicuro se c’è sospetto di furto credenziali.

13.9 Il PC si comporta in modo strano

Un computer lento non è sempre infetto, ma alcuni segnali vanno presi sul serio: finestre pubblicitarie continue, browser che apre pagine strane, motore di ricerca modificato, programmi sconosciuti, antivirus disattivato, file che cambiano estensione, richieste di pagamento o messaggi inviati senza intervento dell’utente.

In questi casi è prudente evitare accessi importanti, non inserire password, non collegare backup e annotare quando sono iniziati i comportamenti. Se il dispositivo è aziendale, va segnalato; se è personale, i controlli devono essere fatti con strumenti affidabili o con supporto tecnico competente.

13.10 Arriva una richiesta di riscatto

Una richiesta di riscatto può indicare ransomware: i file sono stati cifrati e qualcuno chiede denaro per recuperarli. È una situazione da gestire con metodo, perché può coinvolgere cartelle condivise, altri dispositivi e backup.

Non pagare autonomamente, non cancellare file o messaggi, non collegare backup e non usare altri dispositivi della stessa rete senza indicazioni. In azienda bisogna avvisare immediatamente IT o responsabile e seguire la procedura di incidente; se richiesto, si può scollegare il dispositivo dalla rete per limitare la propagazione.

13.11 Ho perso lo smartphone o mi è stato rubato

Lo smartphone contiene spesso email, codici, app bancarie, chat, documenti e strumenti di autenticazione. Perderlo non è solo perdere un oggetto: può significare esporre accessi e informazioni personali o aziendali.

Bisogna provare a localizzarlo, bloccarlo da remoto, cambiare password degli account principali da un dispositivo sicuro, revocare sessioni attive, bloccare la SIM se necessario e avvisare banca o referente IT quando il rischio lo richiede. La cancellazione da remoto va valutata se il recupero è improbabile.

13.12 Mi hanno rubato un account

Un account può essere considerato compromesso quando qualcuno accede senza autorizzazione, modifica dati di recupero, pubblica contenuti, invia messaggi, condivide file o crea regole che l’utente non riconosce. Il primo obiettivo è recuperare il controllo senza usare dispositivi sospetti.

La procedura passa dal recupero ufficiale dell’account, cambio password, revoca delle sessioni, verifica di email e telefono di recupero, attivazione o controllo della MFA e avviso ai contatti se l’account ha inviato messaggi falsi. Se la password era riutilizzata, va cambiata anche altrove.

13.13 Ho inviato un documento alla persona sbagliata

L’invio errato di un documento è un incidente da gestire, soprattutto se contiene dati personali, aziendali o sensibili. Ignorarlo espone a conseguenze peggiori perché impedisce di valutare il rischio e di applicare eventuali procedure privacy o interne.

Bisogna documentare ora, destinatario, file inviato e contenuto; avvisare il responsabile o referente interno; revocare il link se il documento era condiviso via cloud; evitare ulteriori invii impulsivi e seguire la procedura prevista. Se indicato, si può chiedere al destinatario errato di eliminare il messaggio.

13.14 Sospetto una truffa bancaria

Le truffe bancarie richiedono priorità assoluta perché il tempo può incidere sulla possibilità di bloccare carte, operazioni o accessi. Se hai comunicato un OTP, inserito dati carta in un sito falso, autorizzato un’operazione sospetta o parlato con un falso operatore, devi interrompere la comunicazione e usare solo canali ufficiali.

Contatta la banca dal numero ufficiale, blocca carte o operazioni se necessario, cambia password dell’home banking da un dispositivo sicuro, controlla movimenti recenti e conserva messaggi, numeri, email e screenshot. Se riguarda un conto aziendale, vanno avvisati subito responsabile e amministrazione.

13.15 Cosa documentare

Documentare bene permette a chi interviene di capire cosa è successo senza perdere tempo. Servono fatti, non interpretazioni: data, ora, dispositivo usato, account coinvolto, mittente, numero, indirizzo email, link, allegato, dati inseriti, codice comunicato, pagamento effettuato, screenshot e persone già avvisate.

La documentazione deve essere semplice e precisa. Non bisogna inventare, minimizzare o ricostruire a memoria dettagli incerti come se fossero sicuri. Anche dire “non ricordo esattamente” è meglio che fornire un’informazione falsa.

13.16 Cosa evitare sempre

Ci sono comportamenti che peggiorano quasi sempre la situazione: nascondere l’errore, aspettare troppo, cancellare email o messaggi, continuare a usare il dispositivo compromesso, cambiare password dal dispositivo sospetto, collegare backup, inoltrare file sospetti, installare strumenti trovati online o fidarsi di falsi tecnici comparsi dopo l’incidente.

Evitare questi errori è già una forma di contenimento. Quando non sai cosa fare, la scelta più sicura è fermarti, conservare le prove e chiedere indicazioni al referente corretto.

13.17 Mini-procedura dei primi 10 minuti

I primi dieci minuti sono decisivi perché separano un problema contenuto da una gestione confusa. Non servono azioni eroiche: serve una sequenza ordinata. Fermati, non cliccare altro, non inserire password, non cancellare messaggi, annota cosa è successo, fai uno screenshot se è utile e sicuro, avvisa il referente corretto e usa un dispositivo affidabile per eventuali cambi password.

Checklist: tieni questa mini-procedura come riferimento:

fermati e interrompi ogni interazione con il contenuto sospetto;

non cancellare email, file, chat o schermate;

non collegare backup e non inserire nuove credenziali;

annota orario, canale, mittente e azione svolta;

segnala subito, anche se non sei sicuro della gravità.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

distinguere i rischi digitali della vita personale da quelli dell’ambiente aziendale;

proteggere home banking, identità digitale, email, social, documenti e dispositivi personali;

riconoscere truffe ricorrenti in acquisti online, marketplace, falsi supporti tecnici e investimenti;

capire perché in azienda sicurezza, ruoli e procedure devono essere organizzati e non improvvisati;

applicare controlli minimi su pagamenti, cambio IBAN, documenti clienti, smart working e accessi remoti;

definire regole semplici per un piccolo ufficio senza creare procedure inutilmente complicate.

14.1 Introduzione

La sicurezza informatica riguarda sia la vita personale sia il lavoro. Nella vita privata protegge identità, denaro, comunicazioni, foto, documenti, account, smartphone e dati familiari. In azienda protegge clienti, fornitori, pagamenti, processi, strumenti, reputazione e continuità operativa.

I principi sono simili, ma il contesto cambia. Una persona, nella vita privata, decide spesso da sola come gestire password, backup e dispositivi. In azienda, invece, la sicurezza deve diventare organizzazione: ruoli chiari, permessi coerenti, strumenti approvati, procedure semplici e responsabilità definite.

14.2 Home banking

L’home banking è uno degli account personali più importanti perché permette di controllare saldo, movimenti, carte, bonifici e pagamenti. Per un truffatore non è solo un accesso digitale: è una via diretta verso denaro, dati bancari e operazioni autorizzabili con codici temporanei.

I rischi principali sono phishing bancario, SMS falsi, telefonate da finti operatori, app contraffatte, siti imitati, password riutilizzate e richieste di spostare denaro su un presunto “conto sicuro”. La difesa parte da accesso tramite app ufficiale o sito digitato manualmente, password unica, MFA e rifiuto assoluto di comunicare OTP, PIN o password.

14.3 Acquisti online

Gli acquisti online espongono a negozi falsi, prodotti inesistenti, pagine di pagamento contraffatte, email di tracking fraudolente e offerte troppo convenienti. Il rischio aumenta quando si esce dalle piattaforme note o si paga con metodi poco tutelanti.

Prima di acquistare bisogna controllare dominio, reputazione, contatti, condizioni di vendita, recensioni e coerenza del prezzo. Le recensioni aiutano, ma non sono una garanzia: possono essere false, copiate o concentrate in un periodo sospetto. Su marketplace e piattaforme intermedie è meglio non pagare fuori dal sistema ufficiale.

14.4 SPID, CIE e identità digitale

SPID e CIE sono strumenti collegati all’identità personale e permettono l’accesso a servizi pubblici e privati. Vanno trattati come documenti digitali: non si prestano, non si condividono e non si usano partendo da link ricevuti in messaggi sospetti.

Le minacce più comuni imitano portali pubblici, chiedono credenziali, inviano SMS falsi o spingono l’utente a inserire codici su pagine non ufficiali. La protezione passa da email e smartphone sicuri, password robuste, controllo delle notifiche di accesso e conservazione attenta dei codici di recupero.

14.5 Email personale

L’email personale è spesso il centro della vita digitale. Serve per recuperare password, ricevere documenti, iscriversi a servizi, comunicare con banche e professionisti, conservare ricevute e gestire notifiche. Se viene compromessa, può diventare il punto di partenza per rubare altri account.

Una casella personale importante deve avere password unica, MFA, dispositivi collegati controllati, email di recupero aggiornata e attenzione a regole automatiche o inoltri sospetti. È anche utile distinguere l’email principale da indirizzi usati per iscrizioni a servizi poco affidabili.

14.6 Account social

Gli account social contengono messaggi privati, foto, contatti, informazioni personali e spesso tracce delle abitudini quotidiane. Possono essere usati per impersonare una persona, truffare contatti, inviare link malevoli o raccogliere dettagli per attacchi mirati.

Password unica, MFA, controllo delle sessioni attive e impostazioni privacy sono la base. A queste misure va aggiunta una scelta editoriale: non pubblicare informazioni eccessive su casa, figli, ferie, lavoro, routine e oggetti di valore. La visibilità di un post può cambiare, ma una copia può restare.

14.7 Figli, famiglia e dati di altre persone

La sicurezza personale riguarda anche i dati di familiari, figli e persone vicine. Foto di minori, documenti familiari, certificati, dati sanitari, tablet condivisi e account usati in casa possono esporre informazioni di persone che non hanno scelto consapevolmente quella condivisione.

È utile limitare la pubblicazione di dati e immagini di minori, evitare documenti familiari in chat non necessarie, proteggere dispositivi domestici e aiutare persone meno esperte a configurare password, MFA e blocco schermo. Molte truffe sfruttano proprio emergenze familiari e fiducia.

14.8 Documenti personali e foto private

Documenti di identità, tessere sanitarie, codice fiscale, passaporto, documenti bancari, contratti, certificati, buste paga e dichiarazioni fiscali possono essere usati per furto d’identità o truffe. Anche foto private e schermate possono contenere dati non evidenti al primo sguardo.

Questi file andrebbero inviati solo quando necessario, tramite canali ufficiali o sicuri, evitando gruppi e chat informali. Dopo l’invio conviene eliminare copie inutili, proteggere smartphone e cloud, controllare il destinatario e non lasciare documenti sparsi in cartelle pubbliche o gallerie disordinate.

14.9 Marketplace, annunci online e falsi supporti tecnici

Marketplace e siti di annunci sono ambienti utili, ma pieni di truffe ricorrenti: falso acquirente, falso pagamento, link per “ricevere” denaro, richiesta di spedire prima del pagamento reale, screenshot contraffatti e tentativo di portare la trattativa fuori piattaforma.

I falsi supporti tecnici usano una logica simile: creano urgenza, dicono che il computer è infetto o l’account bloccato, poi chiedono di installare software, concedere controllo remoto o comunicare codici. In entrambi i casi, la difesa è restare nei canali ufficiali e non affidare controllo o dati a sconosciuti.

14.10 Falsi investimenti

Le truffe con falsi investimenti promettono guadagni rapidi, sicuri e spesso “riservati a pochi”. Possono usare pubblicità social, gruppi Telegram, finti consulenti, piattaforme di trading, criptovalute, testimonianze inventate e personaggi famosi usati senza autorizzazione.

I segnali di allarme sono rendimento elevato e garantito, pressione a versare subito, difficoltà a prelevare, richiesta di altri soldi per sbloccare guadagni, siti poco trasparenti e consulenti insistenti. Prima di inviare documenti o denaro bisogna verificare autorizzazioni, reputazione e canali ufficiali.

14.11 La sicurezza aziendale è organizzativa

In azienda la sicurezza non può dipendere solo dal singolo dipendente. Il comportamento individuale resta importante, ma deve essere sostenuto da procedure, ruoli chiari, permessi corretti, strumenti approvati, formazione, controlli, backup e referenti da contattare.

Dire “bisogna stare attenti” non basta. Le persone lavorano sotto pressione, ricevono molte email, gestiscono urgenze, interagiscono con clienti e fornitori e devono prendere decisioni rapide. Le procedure servono a rendere affidabili i momenti ripetuti, soprattutto quelli delicati.

14.12 Account aziendali, ruoli e permessi

Gli account aziendali dovrebbero essere personali, tracciabili e proporzionati al ruolo. Account condivisi, permessi troppo ampi e accessi lasciati attivi dopo cambi ruolo o uscite dall’azienda rendono difficile capire chi ha fatto cosa e aumentano l’impatto di un account compromesso.

Gli account più critici sono email aziendali, gestionali, home banking aziendale, cloud, CRM, portali fatture, account amministrativi, social aziendali, hosting, sito web, strumenti di smart working e password manager aziendale. Su questi accessi MFA e revisione periodica non sono optional.

Checklist: per una revisione minima degli accessi aziendali:

ogni persona ha un account personale e non condiviso;

i permessi sono coerenti con il ruolo attuale;

gli account non più usati sono disattivati;

gli accessi critici hanno MFA attiva;

le modifiche di ruolo generano una revisione degli accessi.

14.13 Procedure per pagamenti e cambio IBAN

Pagamenti e cambio IBAN sono tra i processi più esposti a truffe, perché combinano denaro, urgenza e fiducia nei rapporti con fornitori o responsabili. Una falsa email del fornitore, una fattura modificata o una richiesta urgente del capo possono produrre danni economici importanti.

La regola deve essere organizzativa: nessun cambio IBAN solo via email, verifica tramite contatto già noto, divieto di usare recapiti presenti nella richiesta sospetta, doppia approvazione per pagamenti rilevanti, registrazione della verifica e segnalazione delle anomalie.

14.14 Gestione documenti dei clienti

I documenti dei clienti devono essere trattati con ordine e proporzione. Documenti di identità, contratti, dati fiscali, dati bancari, pratiche amministrative, comunicazioni riservate, preventivi e fatture devono stare in sistemi approvati, con accesso limitato a chi ne ha bisogno.

La raccolta dovrebbe limitarsi a ciò che serve davvero. L’invio deve avvenire verso destinatari verificati e attraverso canali coerenti, evitando chat personali e archivi improvvisati. Allegati e destinatari vanno controllati prima dell’invio, perché l’errore più banale può esporre dati delicati.

14.15 Dispositivi aziendali

Un dispositivo aziendale contiene accessi, documenti e responsabilità dell’organizzazione. Non dovrebbe essere usato come computer familiare, archivio personale o ambiente di prova per software non autorizzati. Anche quando è fisicamente in mano a una persona, rappresenta un punto di ingresso verso l’azienda.

Le regole minime sono bloccare lo schermo, non far usare il dispositivo ad altri, non installare software non autorizzato, non salvare file aziendali in cloud personali, usare reti e VPN previste, segnalare furti o smarrimenti e rispettare le indicazioni IT.

14.16 Smart working

Lo smart working aumenta flessibilità e produttività, ma sposta parte del perimetro aziendale dentro casa, in viaggio o in spazi condivisi. Reti domestiche poco protette, computer visibili ai familiari, documenti stampati, chiamate riservate in ambienti aperti e Wi-Fi pubblici possono creare esposizione.

Servono dispositivi aziendali quando previsti, Wi-Fi domestico protetto, VPN se richiesta, blocco schermo anche a casa, separazione dai dispositivi familiari, attenzione a documenti in vista e uso di cuffie o spazi adeguati per conversazioni sensibili.

14.17 Wi-Fi, VPN e accessi remoti in azienda

L’accesso remoto alle risorse aziendali deve essere protetto perché consente di lavorare fuori dalla sede o fuori dalla rete interna. VPN, MFA, strumenti autorizzati e revoca degli accessi non più necessari sono elementi fondamentali per mantenere il controllo.

La rete ospiti deve restare separata dalla rete interna, le credenziali VPN non vanno condivise e i dispositivi smarriti devono essere segnalati subito. La VPN è utile, ma non elimina phishing, malware, password deboli o errori dell’utente.

14.18 Backup, aggiornamenti e continuità operativa

In azienda backup e aggiornamenti non sono dettagli tecnici: sono continuità operativa. Un blocco dei sistemi, un ransomware, un guasto o una cancellazione possono fermare attività, consegne, fatturazione e assistenza ai clienti.

L’azienda deve sapere quali dati sono essenziali, dove sono salvati, quali backup esistono, se sono testati, chi può ripristinarli e in quanto tempo. Gli aggiornamenti devono essere pianificati e gli errori di backup controllati, perché un backup fallito in silenzio è una falsa sicurezza.

14.19 Formazione periodica

La formazione non deve essere un evento isolato. Le minacce cambiano, gli strumenti cambiano e le persone dimenticano. Riprendere periodicamente phishing, link sospetti, password, MFA, allegati, cambio IBAN, documenti, incidenti e uso del cloud riduce errori ricorrenti.

Una formazione utile è concreta: usa esempi vicini al lavoro quotidiano, mostra procedure reali, chiarisce chi contattare e normalizza la segnalazione dei dubbi. Non deve creare allarmismo, ma abitudine al controllo.

14.20 Policy chiare e semplici

Una policy è utile solo se viene capita e applicata. Documenti lunghi, astratti o scollegati dal lavoro quotidiano rischiano di essere ignorati proprio nei momenti in cui servirebbero. Le policy devono dire cosa fare, cosa non fare, chi contattare, quando segnalare e quali strumenti usare.

Le aree più importanti sono password, MFA, email, allegati, cambio IBAN, pagamenti, cloud, dispositivi aziendali, smart working, segnalazione incidenti, backup, uso social e comunicazione esterna. Ogni regola dovrebbe essere concreta e verificabile.

14.21 Cultura della segnalazione

Una buona azienda non ridicolizza chi segnala un dubbio in buona fede. Se le persone hanno paura di essere punite o giudicate, tenderanno a nascondere errori e incidenti, aumentando il rischio per tutti.

La cultura della segnalazione richiede canali chiari, risposte rapide, procedure semplici e comunicazione rispettosa. Gli errori vanno usati per migliorare sistemi e processi, non per creare silenzio.

14.22 Separazione tra strumenti personali e aziendali

Separare strumenti personali e aziendali riduce confusione, dispersione e responsabilità poco chiare. Usare email personale per lavoro, cloud personale per documenti aziendali, chat private per dati clienti o PC aziendale per attività familiari crea archivi fuori controllo.

La separazione richiede strumenti aziendali approvati, account distinti, password non mischiate, cloud aziendale per documenti aziendali e rispetto delle procedure interne. Non serve rigidità fine a sé stessa: serve poter sapere dove sono i dati e chi può accedervi.

14.23 Regole minime per un piccolo ufficio

Anche una piccola azienda o uno studio professionale può ridurre molto il rischio con poche regole chiare. Non servono documenti complicati: servono comportamenti obbligatori nei punti in cui l’errore costa di più.

Checklist: una base minima per un piccolo ufficio dovrebbe includere:

ogni persona usa il proprio account personale e tracciabile;

password robuste e MFA su email, cloud, gestionali e banca;

nessun cambio IBAN viene accettato solo via email;

i pagamenti rilevanti hanno doppio controllo;

i backup sono regolari e testati;

i PC vengono bloccati quando ci si allontana;

il software arriva solo da fonti autorizzate;

i documenti dei clienti restano nei sistemi approvati;

dubbi e incidenti vengono segnalati subito.

Obiettivi e quadro pratico

Obiettivi didattici

Al termine di questo modulo, il partecipante sarà in grado di:

riprendere i concetti principali del percorso e collegarli in una visione unica;

tradurre privacy, accessi, password, MFA, phishing, malware e backup in regole pratiche;

usare un vademecum finale per decidere cosa fare prima di cliccare, inviare o condividere;

riconoscere i segnali di rischio più comuni nella vita personale e nei processi aziendali;

sapere quando fermarsi, verificare, usare un secondo canale e segnalare un dubbio;

chiudere il percorso con una verifica ragionata su casi pratici e decisioni quotidiane.

15.1 Introduzione

Questo modulo chiude il percorso e serve a rimettere ordine. La sicurezza informatica non è un singolo comportamento e non dipende da un solo strumento: non basta un antivirus, non basta una password lunga, non basta attivare la MFA e non basta fare un backup ogni tanto.

La sicurezza nasce dalla combinazione di conoscenza dei rischi, attenzione quotidiana, buone password, autenticazione a più fattori, dispositivi aggiornati, protezione di PC e smartphone, prudenza con link e allegati, gestione corretta dei dati, backup affidabili, procedure aziendali e capacità di segnalare subito.

15.2 Sicurezza informatica: il concetto centrale

La sicurezza informatica è l’insieme di regole, strumenti, comportamenti e procedure che proteggono dispositivi, account, reti, sistemi e dati. Riguarda chiunque usi email, smartphone, computer, home banking, social network, servizi cloud, gestionali, app di messaggistica e documenti digitali.

Non serve solo a bloccare attacchi sofisticati. Serve anche a ridurre errori quotidiani: inviare un file alla persona sbagliata, cliccare un link falso, lasciare il computer sbloccato, aprire allegati inattesi, ignorare aggiornamenti, condividere troppi dati o non segnalare un problema.

15.3 Sicurezza e privacy

Sicurezza e privacy sono collegate, ma non sono la stessa cosa. La sicurezza protegge dispositivi, account, sistemi e dati; la privacy riguarda l’uso corretto delle informazioni personali, il loro accesso, la loro condivisione e la loro conservazione.

Un file può essere protetto da password ma condiviso con persone che non dovrebbero leggerlo. In quel caso esiste una misura tecnica, ma la gestione della privacy è sbagliata. Allo stesso modo, un servizio può dichiarare attenzione alla privacy ma essere tecnicamente debole.

15.4 Dati e metadati

I dati sono informazioni: nome, email, telefono, codice fiscale, documenti, IBAN, foto, messaggi, fatture, contratti, credenziali, dati dei clienti, dati sanitari e informazioni aziendali. I metadati sono informazioni sui dati: data e ora di una foto, posizione GPS, autore di un documento, cronologia modifiche, mittente, destinatario, dispositivo usato, indirizzo IP o permessi di un file cloud.

I metadati sembrano secondari, ma possono rivelare molto. Una foto può mostrare dove è stata scattata, un documento può rivelare autore e revisioni, una email può mostrare relazioni e abitudini, una condivisione cloud può indicare chi ha accesso e da quanto tempo.

15.5 Accessi, account e identità digitale

Ogni account è una porta di ingresso. Può dare accesso a email, cloud, social, home banking, gestionali, portali aziendali, documenti, pagamenti e strumenti di lavoro. Per questo gli accessi devono essere gestiti con cura e non trattati come semplici credenziali da ricordare.

Gli account personali e aziendali vanno separati, gli account condivisi vanno evitati quando possibile, gli account amministratore richiedono attenzione speciale, le sessioni aperte vanno controllate e gli accessi non più necessari devono essere rimossi. Il principio del minimo privilegio resta centrale: ogni persona, account o programma deve avere solo i permessi necessari.

15.6 Password e MFA

Le password restano una delle principali difese degli account. Devono essere lunghe, uniche, non legate alla vita personale, diverse per ogni servizio e conservate in modo sicuro. Il riutilizzo è uno degli errori più gravi, perché una password rubata da un servizio minore può essere provata su email, social, banca, cloud o account aziendali.

La MFA aggiunge un livello ulteriore, basato su qualcosa che sai, qualcosa che hai o qualcosa che sei. Non rende invincibili, ma riduce molto il rischio. Resta però fondamentale non comunicare codici OTP, non approvare notifiche di accesso non richieste e conservare bene i codici di backup.

Checklist: per gli account importanti verifica questi punti:

password unica e sufficientemente lunga;

MFA attiva quando disponibile;

codici di recupero conservati in modo sicuro;

sessioni e dispositivi collegati controllati;

password non riutilizzata su servizi personali e aziendali.

15.7 OSINT e punto di vista dell’attaccante

Molti attacchi iniziano dalla raccolta di informazioni pubbliche. Nomi, ruoli, email, fornitori, clienti, documenti, foto, profili social, annunci di lavoro, abitudini e vecchi account possono essere usati per costruire messaggi più credibili.

Una falsa email che cita un fornitore reale o un collega reale sembra più affidabile di un messaggio generico. L’OSINT ricorda che ogni informazione pubblica può essere interpretata fuori dal contesto originale e combinata con altre informazioni.

15.8 Ingegneria sociale

L’ingegneria sociale sfrutta emozioni e comportamenti normali: urgenza, paura, autorità, fiducia, curiosità, senso di colpa, desiderio di aiutare, pressione del tempo e riservatezza forzata. Gli attaccanti non cercano sempre di superare una barriera tecnica; spesso cercano di convincere una persona ad aprirla.

Finta email del capo, falso tecnico, falso corriere, falso fornitore, falso supporto bancario e messaggio WhatsApp da un numero sconosciuto funzionano quando la richiesta sembra plausibile e spinge a saltare la verifica. La difesa principale è usare un secondo canale e non agire sotto pressione.

15.9 Phishing, smishing, vishing e truffe digitali

Il phishing finge di provenire da un soggetto affidabile e può arrivare tramite email, SMS, telefonata, social network, chat, QR code, pubblicità, documenti o finti portali. Cambia il canale, ma l’obiettivo resta simile: ottenere credenziali, codici, dati, denaro o installazioni pericolose.

I segnali ricorrenti sono urgenza, paura, richiesta di password, richiesta di OTP, link inatteso, allegato inatteso, mittente simile ma non identico, promessa troppo conveniente, pagamento improvviso o invito ad agire subito. Business Email Compromise, falsi pacchi, finti rimborsi, truffe bancarie e falsi investimenti sono varianti della stessa logica.

15.10 Link sospetti

Un link può portare a una pagina falsa, un download malevolo, un falso portale cloud, una falsa banca, un falso pagamento o un modulo per raccogliere dati. Il testo visibile può ingannare, HTTPS non garantisce legittimità e i QR code sono semplicemente link mascherati in forma grafica.

Per banca, email, cloud, SPID, CIE, gestionali e servizi importanti non conviene partire dai link ricevuti. Meglio usare app ufficiali, preferiti salvati o indirizzi digitati manualmente. Questo riduce l’effetto della fretta e riporta il controllo all’utente.

15.11 Malware e ransomware

Il malware è software malevolo e può rubare dati, spiare l’utente, registrare password, installare altri componenti, controllare il dispositivo o diffondersi nella rete. Il ransomware merita attenzione particolare perché cifra file, blocca attività e può coinvolgere backup collegati o cartelle condivise.

La prevenzione passa da aggiornamenti, antivirus o antimalware, download da fonti ufficiali, niente software pirata, attenzione ad allegati e link, backup affidabili e segnalazione rapida. Nessuna misura singola basta da sola, ma più misure sovrapposte riducono molto il rischio.

15.12 PC, smartphone, email e social

La sicurezza quotidiana si vede nei comportamenti ripetuti. Sul PC contano aggiornamenti, software da fonti ufficiali, estensioni del browser controllate, blocco schermo, backup, cifratura dei portatili e separazione tra uso personale e lavoro. Sullo smartphone contano PIN, biometria, aggiornamenti, app da store ufficiali, permessi coerenti e notifiche sensibili nascoste.

Email e social richiedono lo stesso metodo: verificare mittente e dominio, trattare allegati e link con prudenza, controllare destinatari, usare correttamente CC e CCN, limitare oversharing, controllare foto e sfondi, verificare profili falsi e distinguere la sfera personale da quella professionale.

15.13 Cloud, backup, rete e Wi-Fi

Cloud, backup e reti sono strumenti utili solo se gestiti con criterio. Nel cloud bisogna condividere solo con chi serve, usare permessi minimi, evitare link pubblici quando non necessari, impostare scadenze, revocare accessi e proteggere documenti sensibili.

Per i backup bisogna distinguere copia e vero backup, creare copie regolari, conservare almeno una copia separata, testare il ripristino e proteggere gli account collegati. Per reti e Wi-Fi contano router aggiornato, credenziali non predefinite, rete ospiti, prudenza sui Wi-Fi pubblici, hotspot personale quando opportuno e VPN aziendale se prevista.

15.14 Incidenti: cosa fare quando qualcosa va storto

Un incidente può essere un link cliccato, una password inserita in un sito falso, un allegato aperto, un OTP comunicato, un account rubato, uno smartphone perso, un documento inviato male, una truffa bancaria, un ransomware o un PC con comportamento anomalo. La reazione corretta è fondamentale.

Bisogna fermarsi, non cliccare altro, non cancellare prove, non continuare a usare dispositivi sospetti, non collegare backup, cambiare password da un dispositivo sicuro, revocare sessioni, avvisare banca o servizio coinvolto quando serve e segnalare subito in azienda.

Checklist: se qualcosa va storto, ricorda questa sequenza:

fermati e interrompi l’azione rischiosa;

non cancellare messaggi, file o prove;

non inserire altre password dal dispositivo sospetto;

annota cosa è successo, quando e su quale canale;

usa un dispositivo sicuro per recupero e cambio password;

segnala subito al referente corretto.

15.15 Sicurezza personale e sicurezza aziendale

Nella vita personale bisogna proteggere identità digitale, home banking, smartphone, email, social, documenti, foto private, SPID, CIE, acquisti online, dati familiari e backup domestici. In azienda bisogna proteggere dati dei clienti, pagamenti, documenti, email aziendali, gestionali, cloud, account amministrativi, dispositivi, smart working, backup e processi.

La differenza principale è che in azienda la sicurezza non può dipendere solo dal singolo. Servono procedure chiare, ruoli definiti, permessi corretti, formazione, backup testati, MFA, regole per pagamenti e cambio IBAN, strumenti approvati e cultura della segnalazione.

15.16 Vademecum finale: cosa fare

Il vademecum finale è un promemoria operativo. Non sostituisce le procedure aziendali, ma aiuta a ricordare le decisioni minime che rendono più sicuro il comportamento quotidiano.

Checklist: cosa fare con costanza:

usa password lunghe, diverse e conservate in modo sicuro;

attiva MFA sugli account importanti e conserva i codici di recupero;

verifica mittente, dominio, link, allegati e destinatari;

accedi ai servizi importanti da app ufficiali o indirizzi digitati manualmente;

aggiorna sistema operativo, browser, app e programmi;

blocca PC e smartphone quando non li usi;

condividi solo i dati necessari e con permessi minimi;

fai backup regolari e testa il ripristino;

usa strumenti aziendali approvati per dati e documenti di lavoro;

segnala subito incidenti, dubbi e comportamenti anomali.

15.17 Vademecum finale: cosa non fare

Sapere cosa evitare è importante quanto sapere cosa fare. Molti incidenti nascono da scorciatoie: riutilizzare password, cliccare link arrivati via SMS, comunicare codici, aprire allegati inattesi, installare software pirata, usare cloud personali per documenti aziendali o nascondere un errore.

Checklist: cosa evitare sempre:

non riutilizzare la stessa password su più servizi;

non comunicare password, PIN o codici OTP;

non approvare notifiche MFA che non hai richiesto;

non inserire credenziali dopo un link ricevuto;

non aprire allegati inattesi senza verifica;

non installare software pirata o app fuori dai canali ufficiali;

non collegare chiavette USB sconosciute;

non lasciare dispositivi sbloccati o incustoditi;

non inviare dati sensibili senza controllare destinatario e canale;

non cancellare prove o nascondere un incidente.

15.18 Mini-checklist prima di cliccare o inviare

Prima di cliccare un link, aprire un allegato, inserire dati o inviare un documento, serve una pausa breve. Non deve rallentare il lavoro: deve evitare che l’automatismo decida al posto tuo.

Checklist: prima di cliccare o inserire dati chiediti:

me lo aspettavo davvero;

il mittente e il dominio sono corretti;

il tono è urgente, minaccioso o strano;

mi stanno chiedendo password, codici, dati o soldi;

posso arrivare allo stesso servizio dal canale ufficiale;

posso verificare su un secondo canale.

Checklist: prima di inviare un documento chiediti:

il destinatario è corretto;

l’allegato è quello giusto;

sto inviando solo le informazioni necessarie;

il canale è adeguato al contenuto;

CC, CCN, permessi cloud e scadenze sono corretti;

il file contiene commenti, revisioni o metadati da controllare.

15.19 Attività conclusiva: casi pratici

La verifica conclusiva funziona meglio se parte da casi realistici. Una falsa banca che invia un SMS, un fornitore che comunica un nuovo IBAN, una fattura urgente inattesa, uno smartphone perso o un documento inviato per errore permettono di applicare tutto il percorso senza trasformarlo in teoria astratta.

In ogni caso le domande sono simili: quali segnali di allarme vedo, cosa non devo fare, quale canale ufficiale posso usare, quali dati sono coinvolti, chi devo avvisare e come posso prevenire che accada di nuovo. La risposta corretta non è memorizzare una frase, ma usare un metodo.

15.20 Domande finali di verifica

Le domande finali servono a controllare la comprensione, non a cercare definizioni perfette. Una buona risposta deve dimostrare capacità di riconoscere il rischio e scegliere il comportamento corretto.

Checklist: verifica di saper rispondere a queste domande:

qual è la differenza tra sicurezza informatica e privacy;

perché i metadati possono essere sensibili;

perché ogni account è una porta di ingresso;

perché riutilizzare la stessa password è pericoloso;

perché non bisogna comunicare codici OTP;

quali sono tre segnali tipici di phishing;

perché HTTPS non basta per fidarsi di un sito;

che cos’è un ransomware e perché i backup contano;

quali controlli bisogna fare prima di inviare un documento;

cosa bisogna fare se si inserisce una password in un sito falso.