Comportamenti sicuri su PC, smartphone, email e social
PC, smartphone, email e social diventano più gestibili quando impostazioni, controlli e abitudini quotidiane lavorano insieme.
Obiettivi e quadro pratico
Al termine di questo modulo, il partecipante sarà in grado di:
- 01
trasformare le regole di sicurezza in abitudini quotidiane su computer e smartphone.
- 02
riconoscere installazioni, link, notifiche e permessi che espongono dati personali o aziendali.
- 03
usare email, allegati e destinatari con maggiore controllo prima di inviare informazioni sensibili.
- 04
gestire social network e profili pubblici riducendo oversharing, impersonificazione e truffe mirate.
- 05
prepararsi a furto, smarrimento o compromissione dei dispositivi senza improvvisare nel momento critico.
- 06
costruire una checklist personale di miglioramento applicabile subito nel lavoro e nella vita privata.
11.1 Introduzione
La sicurezza informatica diventa concreta nel momento in cui entra nei gesti ripetuti: aggiornare un dispositivo, verificare un allegato, bloccare lo schermo, controllare un destinatario, decidere se un post può essere pubblico. Non sono azioni spettacolari, ma sono proprio quelle che evitano la maggior parte degli incidenti quotidiani.
Questo modulo collega PC, smartphone, email e social perché nella pratica non vivono separati. Una password recuperata tramite email può aprire un account cloud; un telefono perso può mostrare notifiche e codici; una foto pubblicata sui social può rivelare informazioni utili per una truffa mirata. L’obiettivo è imparare a vedere questi collegamenti prima che diventino un problema.
Non serve diventare tecnici per comportarsi meglio. Serve rallentare nei passaggi critici, riconoscere le situazioni ricorrenti e avere poche regole semplici da applicare con costanza.
11.2 Sicurezza quotidiana: il principio base
Il principio base è trattare ogni dispositivo come una porta d’accesso alla propria identità digitale. Computer e smartphone non contengono soltanto file: contengono sessioni aperte, app già autenticate, cronologie, notifiche, documenti, strumenti di lavoro, contatti e spesso anche metodi per recuperare altri account.
Per questo la sicurezza quotidiana non dipende da una singola misura, ma da una somma di comportamenti. Un dispositivo aggiornato, bloccato, usato con software affidabile e gestito con attenzione riduce molto la superficie d’attacco. Al contrario, tante piccole leggerezze creano una catena debole.
Quando stai per cliccare, installare, inviare o condividere, chiediti sempre: è necessario, è atteso, è coerente e posso annullarlo se sbaglio?
11.2.1 Aggiornare sistema operativo e programmi
Gli aggiornamenti correggono errori, migliorano la stabilità e chiudono vulnerabilità che potrebbero essere sfruttate da malware o attaccanti. Rimandarli per settimane significa lasciare aperti problemi già noti, spesso già documentati pubblicamente e quindi più facili da colpire.
Il controllo non riguarda solo il sistema operativo. Anche browser, suite da ufficio, lettori PDF, app di videoconferenza, strumenti di messaggistica e programmi usati raramente devono restare aggiornati. Un software dimenticato può diventare il punto più debole del computer.
Gli aggiornamenti falsi sono una tecnica comune. Se un sito casuale propone di installare un aggiornamento urgente, chiudi la pagina e usa le funzioni ufficiali del sistema o del programma.
11.2.2 Usare antivirus e antimalware
Antivirus e antimalware sono una rete di protezione utile, soprattutto contro file sospetti, download malevoli e comportamenti anomali. Non sostituiscono l’attenzione dell’utente, ma aiutano a intercettare minacce note e a bloccare alcune azioni prima che producano danni.
La protezione deve essere attiva, aggiornata e coerente con le policy aziendali. Installare più strumenti di sicurezza senza criterio può creare conflitti o rallentamenti; disattivarli perché “danno fastidio” elimina una difesa proprio quando potrebbe servire.
Considerare l’antivirus una garanzia assoluta. Se una persona inserisce volontariamente la password in una pagina falsa, nessun antivirus può trasformare automaticamente quella scelta in un’azione sicura.
11.2.3 Scaricare software solo da fonti ufficiali
Il software dovrebbe arrivare da store ufficiali, siti del produttore o repository aziendali approvati. Cercare il nome di un programma su un motore di ricerca e cliccare il primo risultato sponsorizzato può portare a installer modificati, versioni vecchie o pacchetti che aggiungono componenti indesiderati.
Prima di installare, conviene verificare il nome del produttore, il dominio, la reputazione, la presenza di recensioni attendibili e la coerenza della richiesta. Un programma gratuito può essere legittimo, ma se promette funzioni troppo convenienti o chiede permessi eccessivi va valutato con prudenza.
Download software da fonte ufficiale
Se devi installare un lettore PDF, scaricalo dal sito ufficiale o dallo store del sistema. Evita portali generici che offrono “download veloce” insieme ad altri software non richiesti.
11.2.4 Non installare software pirata
Il software pirata è uno dei canali più rischiosi per introdurre malware nel computer. Crack, attivatori e versioni modificate chiedono spesso di disattivare l’antivirus, eseguire file con privilegi elevati o ignorare avvisi del sistema. Sono esattamente le condizioni che un attaccante desidera.
Oltre al rischio legale e contrattuale, il problema pratico è la perdita di controllo. Non si sa chi abbia modificato il pacchetto, quali componenti siano stati aggiunti e quali dati vengano raccolti dopo l’installazione.
Se una procedura di installazione richiede di disattivare le protezioni per “funzionare”, fermati. È un segnale forte che qualcosa non va.
11.2.5 Controllare le estensioni del browser
Le estensioni del browser possono leggere pagine, modificare contenuti, intercettare dati inseriti nei moduli o accedere alla cronologia, a seconda dei permessi concessi. Anche un’estensione nata per uno scopo utile può diventare rischiosa se cambia proprietario, viene abbandonata o viene aggiornata con funzioni invasive.
Conviene tenere solo estensioni realmente necessarie, rimuovere quelle dimenticate e controllare periodicamente i permessi. Meno componenti hanno accesso al browser, più semplice diventa mantenere un ambiente prevedibile.
Una volta al mese apri l’elenco delle estensioni: se non sai perché un’estensione è installata, probabilmente non dovrebbe essere lì.
11.2.6 Bloccare lo schermo quando ci si allontana
Un computer sbloccato è un account aperto. Anche pochi minuti bastano per leggere email, vedere documenti, inviare messaggi, copiare file o accedere a gestionali già autenticati. In ufficio, in coworking, in sala riunioni o a casa con ospiti, lo schermo sbloccato espone più di quanto sembri.
Il blocco manuale deve diventare automatico nella memoria muscolare, ma va affiancato anche da un blocco automatico dopo un tempo breve di inattività. La protezione migliore è quella che non dipende solo dal ricordarsene ogni volta.
Blocco schermo quotidiano
Imposta un timeout di blocco ragionevole e prova per una giornata a bloccare lo schermo ogni volta che ti alzi. L’obiettivo è rendere il gesto naturale.
11.2.7 Usare account non amministratore quando possibile
Usare il computer ogni giorno con un account amministratore aumenta l’impatto degli errori. Se un malware o un installer malevolo viene eseguito con privilegi elevati, può modificare più parti del sistema, installare componenti persistenti e disattivare protezioni.
Quando possibile, è più prudente lavorare con un account standard e usare l’amministratore solo quando serve davvero. In ambito aziendale questa scelta dovrebbe essere gestita dall’IT; in ambito personale può comunque ridurre il danno di installazioni sbagliate.
Il privilegio amministrativo non è una comodità neutra: è una chiave potente. Più spesso la usi, più spesso la esponi.
11.2.8 Backup e protezione dei file sul PC
Un computer sicuro non è soltanto un computer protetto dagli attacchi, ma anche un computer da cui si può recuperare il lavoro quando qualcosa va male. Guasti, cancellazioni accidentali, furti e ransomware sono eventi diversi, ma hanno una domanda in comune: esiste una copia recuperabile dei file importanti?
Il backup deve includere i dati davvero necessari, essere aggiornato e non dipendere dallo stesso dispositivo che potrebbe rompersi o essere compromesso. Una cartella sincronizzata nel cloud può aiutare, ma non sempre sostituisce un vero piano di backup con versioni e ripristino verificabile.
Scegli tre file importanti e verifica oggi se sapresti recuperarli da un backup senza usare il computer principale.
11.2.9 Cifrare il disco sui portatili
I portatili sono facili da perdere, dimenticare o rubare. Se il disco non è cifrato, chi entra fisicamente in possesso del dispositivo potrebbe tentare di leggere i dati anche senza conoscere la password dell’account. La cifratura riduce questo rischio perché rende i contenuti inutilizzabili senza la chiave corretta.
Molti sistemi moderni offrono funzioni integrate di cifratura. Vanno attivate seguendo procedure affidabili e conservando con cura eventuali chiavi di recupero. Una cifratura senza recupero può proteggere dai ladri, ma può anche bloccare il proprietario se qualcosa va storto.
Prima di modificare impostazioni di cifratura su dispositivi aziendali, segui le indicazioni interne. La gestione delle chiavi deve essere ordinata.
11.2.10 Attenzione alle chiavette USB
Le chiavette USB sono comode, ma portano due rischi: possono contenere malware e possono disperdere dati. Una chiavetta trovata, ricevuta senza contesto o usata su computer non fidati non dovrebbe essere collegata con leggerezza a un dispositivo di lavoro.
Quando una chiavetta serve davvero, va trattata come un supporto temporaneo: contiene solo ciò che è necessario, meglio se protetto quando i dati sono sensibili, e non diventa l’unica copia di informazioni importanti.
Usare una chiavetta come archivio permanente. È piccola, facile da perdere e spesso non ha controlli adeguati.
11.2.11 Separare uso personale e lavoro
Mescolare uso personale e lavoro aumenta confusione e rischio. Account personali usati per documenti aziendali, file di lavoro salvati su dispositivi familiari, chat private usate per inviare allegati professionali e browser pieni di sessioni diverse rendono più difficile capire dove si trovano i dati e chi può accedervi.
La separazione non deve essere perfetta per essere utile. Basta usare strumenti approvati, profili distinti quando possibile, cartelle ordinate, account coerenti e una regola semplice: i dati di lavoro seguono i canali di lavoro.
Se per completare un’attività professionale stai usando un account personale, fermati e chiediti se esiste un canale aziendale più corretto.
11.3 Perché lo smartphone è un dispositivo critico
Lo smartphone è spesso più sensibile del computer. Contiene email, app bancarie, messaggistica, foto, documenti, social, codici OTP, notifiche e strumenti di autenticazione. Inoltre viaggia sempre con noi, viene usato in luoghi pubblici e può essere perso con facilità.
Chi controlla lo smartphone può spesso controllare anche altri accessi: ricevere codici, approvare login, leggere messaggi, recuperare password o impersonare il proprietario nelle chat. Per questo va trattato come una cassaforte portatile, non come un semplice telefono.
Un telefono sbloccato nelle mani sbagliate può creare danni in pochi minuti. La prevenzione deve essere pronta prima dello smarrimento.
11.3.1 Blocco schermo, PIN e biometria
Il blocco schermo è la prima barriera dello smartphone. Un PIN troppo breve, una sequenza evidente o un dispositivo senza blocco rendono facile accedere a informazioni personali e aziendali. La biometria è comoda, ma deve essere affiancata da un codice robusto perché il codice resta il metodo di fallback.
È utile impostare il blocco automatico dopo poco tempo, evitare di mostrare il codice mentre lo si digita e non condividere PIN con altre persone. Nei contesti di lavoro, le policy aziendali possono imporre requisiti più rigidi, e vanno rispettati.
La comodità è importante, ma non deve eliminare la barriera. Un buon blocco è quello che usi sempre e che non si indovina guardandoti una volta.
11.3.2 Aggiornamenti dello smartphone
Anche lo smartphone deve essere aggiornato. Sistema operativo e app ricevono correzioni di sicurezza, miglioramenti e chiusure di vulnerabilità. Rimandare gli aggiornamenti espone il dispositivo, soprattutto quando contiene app di lavoro o dati sensibili.
Quando un telefono non riceve più aggiornamenti, bisogna considerarlo un rischio crescente. Può continuare a funzionare, ma non è detto che sia ancora adeguato per email, banca, autenticazione o attività professionali.
Controlla nelle impostazioni se gli aggiornamenti automatici sono attivi e verifica manualmente almeno ogni tanto la presenza di aggiornamenti in sospeso.
11.3.3 App solo da store ufficiali
Le app dovrebbero essere installate da store ufficiali o da canali aziendali autorizzati. File APK, link ricevuti in chat, store alternativi e app distribuite fuori dai controlli standard aumentano la probabilità di installare software manipolato o non verificato.
Anche nello store ufficiale serve attenzione: nome dello sviluppatore, recensioni, numero di installazioni, permessi richiesti e coerenza della funzione sono segnali importanti. Una falsa app di supporto, una finta app bancaria o un’app “torcia” troppo invasiva possono raccogliere dati non necessari.
Se un messaggio ti invita a installare un’app per “risolvere subito” un problema bancario, di consegna o di assistenza, apri lo store ufficiale da solo e cerca il servizio manualmente.
11.3.4 Permessi delle app
I permessi definiscono a cosa può accedere un’app: fotocamera, microfono, posizione, contatti, calendario, file, notifiche, Bluetooth, rete locale e funzioni di accessibilità. Non tutti i permessi sono pericolosi, ma devono essere coerenti con ciò che l’app deve fare.
Un’app per modificare foto può avere senso che acceda alla galleria; è molto meno chiaro perché dovrebbe leggere SMS o contatti. Il permesso di accessibilità merita attenzione particolare perché può consentire azioni molto invasive se concesso ad app non affidabili.
11.3.5 Link in SMS e chat
SMS, WhatsApp, Telegram e messaggi social sono canali ideali per truffe rapide perché arrivano sul dispositivo che usiamo di più e spesso ci spingono ad agire subito. Sullo schermo piccolo è anche più difficile controllare l’indirizzo reale di un link.
La regola prudente è non inserire password, dati bancari o codici dopo aver aperto un link ricevuto in chat. Per banca, corrieri, servizi pubblici e account importanti è meglio aprire l’app ufficiale o digitare manualmente l’indirizzo.
Fidarsi di un messaggio solo perché sembra arrivare da una persona conosciuta. Anche gli account reali possono essere compromessi o usati per inoltrare truffe.
11.3.6 Notifiche visibili sulla schermata di blocco
Le notifiche possono mostrare codici OTP, messaggi privati, email, nomi di clienti, appuntamenti, chat aziendali o documenti condivisi anche quando il telefono è bloccato. Se il dispositivo è appoggiato su una scrivania, in riunione o in un luogo pubblico, quelle informazioni possono essere lette da altri.
È consigliabile nascondere il contenuto delle notifiche a schermo bloccato e mostrare solo l’app o un avviso generico. In questo modo il telefono resta utile, ma non diventa una finestra aperta sulle comunicazioni.
Per email, messaggistica, banca e autenticazione, usa anteprime ridotte o nascoste nella schermata di blocco.
11.3.7 Furto o smarrimento dello smartphone
In caso di furto o smarrimento bisogna agire rapidamente e senza improvvisare. La localizzazione, il blocco remoto, la revoca delle sessioni e il cambio delle password principali sono utili solo se si sa già dove intervenire e se le funzioni sono state configurate prima.
La prevenzione include blocco schermo, backup aggiornato, funzione “trova dispositivo”, cifratura, protezione dell’account cloud, PIN della SIM quando opportuno e conoscenza dei contatti da avvisare: banca, referente IT, operatore telefonico o amministratore degli account.
11.4 Perché l’email è uno strumento critico
L’email è uno degli strumenti più importanti da proteggere perché viene usata per comunicare, ricevere fatture, scambiare documenti, recuperare password, confermare accessi e gestire rapporti con clienti, fornitori e servizi online. Un account email compromesso può aprire molte altre porte.
Chi entra in una casella email può leggere comunicazioni, cercare allegati, inviare messaggi a nome della vittima, impostare filtri nascosti, recuperare password di altri servizi e truffare contatti che si fidano del mittente. Per questo password robusta e MFA sono fondamentali.
La casella email non è solo posta. È spesso il centro di recupero dell’identità digitale.
11.4.1 Verificare mittente e contenuto
Il nome visualizzato del mittente non basta. Un’email può mostrare il nome di una persona conosciuta ma arrivare da un dominio diverso, oppure può provenire da un account reale compromesso. La valutazione deve includere indirizzo completo, dominio, tono, richiesta, urgenza, allegati e coerenza con il contesto.
Le richieste più delicate sono quelle che chiedono password, dati personali, pagamenti, cambio IBAN, apertura di allegati inattesi o accesso tramite link. Se qualcosa non torna, bisogna verificare con un canale già noto, non usando i contatti presenti nel messaggio sospetto.
Prima di agire su un’email, chiediti se quella richiesta sarebbe normale anche senza l’urgenza con cui viene presentata.
11.4.2 Allegati email
Gli allegati sono un canale classico per malware, furti di credenziali e truffe. File compressi, documenti inattesi, fatture non previste, falsi PDF, file eseguibili e documenti che chiedono di abilitare macro devono essere trattati con cautela, anche se sembrano arrivare da un contatto reale.
Un allegato atteso è molto diverso da un allegato plausibile. La domanda non è solo “conosco il mittente?”, ma “mi aspettavo davvero questo file, con questo contenuto, in questo momento?”. Se la risposta è no, meglio verificare prima di aprire.
Inoltrare un allegato sospetto a colleghi per chiedere “secondo voi è vero?”. Così si moltiplica il rischio. Meglio segnalarlo secondo la procedura interna.
11.4.3 Link nelle email
I link nelle email vanno controllati perché possono portare a pagine di login false, moduli di raccolta dati, download malevoli o siti che imitano servizi reali. Da computer si può spesso passare con il mouse sul link per vedere la destinazione; da smartphone è più difficile, quindi serve ancora più prudenza.
Per servizi importanti come banca, cloud, email, SPID, CIE e gestionali, è preferibile usare preferiti salvati o digitare manualmente l’indirizzo. Se un messaggio chiede di “verificare subito l’account”, la strada più sicura è entrare nel servizio dal canale ufficiale.
Un link non va giudicato dal testo visibile. La parte mostrata può dire una cosa, la destinazione reale un’altra.
11.4.4 Invio di dati sensibili via email
L’email è comoda, ma non sempre è il canale migliore per documenti di identità, dati sanitari, informazioni bancarie, contratti, buste paga, file fiscali, dati clienti o archivi con molte informazioni personali. Prima di inviare, bisogna valutare necessità, destinatario, canale e protezione del documento.
Quando l’invio è necessario, il contenuto dovrebbe essere limitato al minimo, il destinatario controllato con attenzione e l’eventuale password comunicata su un canale diverso. In azienda vanno preferiti strumenti approvati e procedure già definite.
Se un documento non serve completo, non inviarlo completo. Ridurre il dato è una forma concreta di sicurezza.
11.4.5 Completamento automatico destinatari
Il completamento automatico degli indirizzi email velocizza il lavoro, ma può proporre persone sbagliate con nomi simili, vecchi contatti, clienti al posto di colleghi o indirizzi non più corretti. L’errore spesso avviene in pochi secondi, proprio perché la funzione sembra innocua.
Prima di inviare documenti sensibili, bisogna controllare destinatari, CC, CCN e allegati. Una breve pausa prima del clic può evitare invii fuori controllo, esposizione di dati e necessità di gestione dell’incidente.
Controllo prima dell’invio
Prima della prossima email importante, leggi ad alta voce destinatario e allegato nella tua testa. È un controllo banale, ma interrompe l’automatismo.
11.4.6 CC e CCN
CC e CCN hanno effetti diversi sulla privacy dei destinatari. In CC gli indirizzi sono visibili agli altri; in CCN restano nascosti. Usare CC per comunicazioni a gruppi esterni può esporre indirizzi email che non dovevano essere condivisi.
Anche “Rispondi a tutti” merita attenzione: può reinserire persone non necessarie in una conversazione, diffondere allegati o prolungare thread che contengono informazioni sensibili. Ogni destinatario aggiunto aumenta la superficie di esposizione del messaggio.
Usa CC solo per chi deve davvero vedere la conversazione. Usa CCN quando gli indirizzi dei destinatari non devono essere condivisi tra loro.
11.4.7 Richieste di pagamento e cambio IBAN
Le richieste di pagamento, cambio IBAN o modifica di coordinate bancarie sono tra le più delicate. Gli attaccanti sfruttano urgenza, tono autoritario, finte comunicazioni di fornitori e domini quasi identici per spingere qualcuno ad agire senza verifica.
La regola operativa è semplice: non si cambia IBAN e non si autorizza un pagamento solo sulla base di un’email. Serve una verifica tramite un contatto già noto, una procedura interna, una seconda approvazione e, dove previsto, una registrazione del controllo effettuato.
Non usare il numero di telefono indicato nell’email sospetta per verificare la richiesta. Potrebbe far parte della truffa.
11.5.1 Oversharing
Oversharing significa condividere più informazioni di quelle necessarie. Posizione in tempo reale, ferie, routine quotidiane, scuola dei figli, foto della casa, dettagli aziendali o lamentele su clienti e colleghi possono creare rischi personali, professionali e reputazionali.
Il punto non è vivere con sospetto, ma scegliere il pubblico giusto e il momento giusto. Pubblicare una vacanza mentre si è via comunica anche un’assenza; mostrare un badge o uno schermo può dare informazioni operative; raccontare un problema interno può uscire dal contesto previsto.
Se un contenuto funzionerebbe anche pubblicandolo domani, forse non serve pubblicarlo in tempo reale.
11.5.2 Profili falsi e messaggi privati
I profili falsi possono imitare persone, aziende, supporti tecnici, recruiter o servizi reali. Possono chiedere denaro, documenti, link, informazioni personali o spingere a spostare la conversazione su un canale più privato. Spesso costruiscono fiducia prima di fare la richiesta principale.
Segnali utili sono profili appena creati, poche informazioni, foto generiche, urgenza, promesse troppo convenienti, richieste di soldi, link sospetti e messaggi copiati. Quando il profilo dice di essere una persona conosciuta, la verifica deve avvenire su un canale indipendente.
Accettare una richiesta perché ci sono amici in comune. Anche gli amici in comune possono aver accettato senza verificare.
11.5.3 Separazione tra personale e professionale
Sui social è utile distinguere ciò che appartiene alla sfera personale da ciò che riguarda il lavoro. Contenuti privati visibili a contatti professionali, dettagli aziendali pubblicati su profili personali o commenti impulsivi possono generare problemi di reputazione e riservatezza.
La separazione può essere ottenuta con impostazioni privacy, profili distinti dove opportuno, attenzione ai tag, controllo del pubblico dei post e regola di non pubblicare documenti, schermi o informazioni interne. Non tutto ciò che è tecnicamente condivisibile è professionalmente opportuno.
Tratta ogni post pubblico come se potesse essere letto da un cliente, da un collega, da un fornitore e da una persona che vuole truffarti.
11.5.4 Link sponsorizzati, pubblicità e commenti
Nei social i link non arrivano solo dai messaggi privati. Possono comparire in annunci, commenti sotto post popolari, finti concorsi, offerte troppo convenienti, false pagine di investimento o finte assistenze tecniche. Il formato pubblicitario non garantisce affidabilità.
Prima di inserire credenziali o dati di pagamento, bisogna controllare dominio, reputazione, condizioni dell’offerta e canale ufficiale. Per app, servizi bancari e acquisti importanti è meglio cercare il sito o l’app in modo autonomo invece di passare dal link sponsorizzato.
Un’offerta che ti costringe ad agire subito, pagare subito o inserire credenziali subito sta usando la fretta come leva.
11.6 Checklist personale: cosa migliorare subito
La checklist finale serve a trasformare il modulo in azioni concrete. Non deve essere completata tutta in una volta: è più utile scegliere pochi interventi, applicarli bene e poi tornare periodicamente a controllare il resto.
Computer lasciato sbloccato
Un computer aziendale lasciato sbloccato, uno smartphone con notifiche visibili, un’email inviata al destinatario sbagliato e una foto social con dati sullo sfondo sembrano incidenti diversi. In realtà nascono dalla stessa causa: un automatismo non controllato nel momento giusto.
Aggiorna i dispositivi, blocca gli accessi, verifica prima di cliccare o inviare, e condividi online solo ciò che è davvero necessario. La sicurezza quotidiana non è una teoria: è il modo in cui ti comporti quando nessuno ti sta guardando.