The PracticalCyberSecGuide

Cosa fare in caso di incidente

I primi minuti contano: fermarsi, conservare prove, cambiare canale e segnalare in modo ordinato riduce danni e confusione.

Brief operativo

Obiettivi e quadro pratico

Al termine di questo modulo, il partecipante sarà in grado di:

  1. 01

    riconoscere quando un evento può essere trattato come possibile incidente di sicurezza.

  2. 02

    agire nei primi minuti senza peggiorare la situazione e senza cancellare informazioni utili.

  3. 03

    distinguere le azioni corrette per link sospetti, password inserite, OTP comunicati e allegati aperti.

  4. 04

    gestire smarrimento di dispositivi, account compromessi, invii errati e truffe bancarie con priorità chiare.

  5. 05

    documentare i fatti in modo semplice, preciso e utile per chi dovrà intervenire.

  6. 06

    capire perché segnalare presto è quasi sempre meglio che aspettare di avere una certezza.

13.1 Introduzione

Anche una persona attenta può sbagliare. Può cliccare un link sospetto, aprire un allegato, inserire una password in una pagina falsa, comunicare un codice, inviare un documento al destinatario sbagliato o fidarsi di una richiesta costruita bene. La differenza non sta nell’assenza assoluta di errori, ma nella qualità della reazione.

Molti incidenti diventano gravi non per il primo clic, ma per ciò che accade dopo: si nasconde l’errore, si continua a usare il dispositivo, si cancellano messaggi, si cambia password dal computer sospetto, si collega un backup o si perde tempo cercando di risolvere tutto da soli.

Nota

In caso di dubbio, la regola è semplice: meglio segnalare un falso allarme che ignorare un incidente reale. La velocità protegge più dell’orgoglio.

13.2 Che cos’è un incidente di sicurezza

Un incidente di sicurezza è un evento che può compromettere dati, account, dispositivi, sistemi, reti o informazioni. Non deve essere per forza un attacco confermato: anche un sospetto merita attenzione finché non viene verificato.

Sono possibili incidenti un clic su un link sospetto, l’inserimento di credenziali in una pagina falsa, l’apertura di un allegato non verificato, un computer che si comporta in modo anomalo, un account che invia messaggi da solo, uno smartphone rubato, un documento inviato alla persona sbagliata o un pagamento verso coordinate fraudolente.

Attenzione

In azienda un evento piccolo può avere conseguenze ampie perché può coinvolgere clienti, fornitori, colleghi, sistemi interni e responsabilità organizzative.

13.3 I primi principi da ricordare

Davanti a un possibile incidente bisogna rallentare. Il panico porta a cliccare ancora, cancellare file, spegnere dispositivi senza criterio o comunicare informazioni imprecise. Fermarsi non significa perdere tempo: significa evitare di aggiungere danno al danno.

I principi sono pochi: non nascondere l’errore, non cancellare prove, non continuare a usare un dispositivo sospetto, non inserire altre password e avvisare subito chi può aiutare. Email, screenshot, orari, link e messaggi possono essere elementi utili per ricostruire la sequenza.

Buona pratica

Non devi diagnosticare tutto da solo. Devi conservare i fatti, interrompere le azioni rischiose e portare il problema alla persona giusta.

13.4 Procedura generale in caso di incidente

Una procedura generale serve quando non è ancora chiaro quanto sia grave la situazione. Il primo passaggio è fermarsi: smettere di cliccare, rispondere, scaricare, installare o inserire dati. Poi bisogna capire che cosa è successo: link aperto, password inserita, codice comunicato, allegato aperto, file scaricato, documento inviato o pagamento autorizzato.

Subito dopo vanno conservate le informazioni utili: data, ora, canale, mittente, link, allegato, dati inseriti, messaggi comparsi e persone coinvolte. In azienda bisogna avvisare il referente corretto; nella vita personale può essere necessario contattare banca, gestore dell’account, assistenza ufficiale o un tecnico affidabile.

13.4.2 Ho inserito una password in un sito falso

Inserire una password in un sito falso è una situazione urgente. Gli attaccanti possono usare le credenziali rapidamente, provando accessi, cambiando impostazioni di recupero, creando sessioni persistenti o cercando altri servizi dove la stessa password è stata riutilizzata.

La password va cambiata da un dispositivo sicuro, accedendo al servizio dal sito ufficiale digitato manualmente o dall’app ufficiale. Bisogna revocare sessioni attive, controllare accessi recenti, verificare email e telefono di recupero, controllare MFA e, nel caso della posta, verificare regole di inoltro automatico.

13.4.3 Ho comunicato un codice OTP

Un codice OTP serve a confermare un accesso o un’operazione. Se viene comunicato a un attaccante, potrebbe essere già stato usato per entrare in un account, autorizzare una modifica o completare un pagamento. La reazione deve essere immediata.

Interrompi la comunicazione, non fornire altri codici e accedi al servizio dal canale ufficiale. Controlla attività recenti, revoca sessioni sospette e cambia password se il codice riguardava un accesso. Se il codice riguardava banca o carte, contatta subito la banca tramite numero ufficiale.

Attenzione

Un codice temporaneo non va mai comunicato a voce, via chat, via email o a un presunto operatore. Chi lo chiede sta quasi sempre tentando di farti autorizzare qualcosa.

13.4.4 Ho aperto un allegato sospetto

Un allegato sospetto può contenere malware, macro dannose, link nascosti o documenti costruiti per rubare credenziali. Se lo hai aperto, smetti di interagire con il file, non aprire allegati collegati, non inoltrarlo ad altri e non cancellare l’email senza indicazioni.

Su un dispositivo aziendale bisogna avvisare il referente IT indicando quale email è stata aperta e a che ora. Se richiesto, il computer può essere scollegato dalla rete, ma non bisogna improvvisare. Su un dispositivo personale conviene chiudere il file, eseguire controlli con strumenti affidabili e cambiare password da un dispositivo sicuro se c’è sospetto di furto credenziali.

Buona pratica

Non collegare dischi esterni o chiavette a un computer che potrebbe essere compromesso. Prima si verifica, poi si recupera.

13.4.5 Il PC si comporta in modo strano

Un computer lento non è sempre infetto, ma alcuni segnali vanno presi sul serio: finestre pubblicitarie continue, browser che apre pagine strane, motore di ricerca modificato, programmi sconosciuti, antivirus disattivato, file che cambiano estensione, richieste di pagamento o messaggi inviati senza intervento dell’utente.

In questi casi è prudente evitare accessi importanti, non inserire password, non collegare backup e annotare quando sono iniziati i comportamenti. Se il dispositivo è aziendale, va segnalato; se è personale, i controlli devono essere fatti con strumenti affidabili o con supporto tecnico competente.

Nota

Il segnale più importante non è sempre “il computer non funziona”. A volte è “il computer fa cose che non ho chiesto”.

13.4.6 Arriva una richiesta di riscatto

Una richiesta di riscatto può indicare ransomware: i file sono stati cifrati e qualcuno chiede denaro per recuperarli. È una situazione da gestire con metodo, perché può coinvolgere cartelle condivise, altri dispositivi e backup.

Non pagare autonomamente, non cancellare file o messaggi, non collegare backup e non usare altri dispositivi della stessa rete senza indicazioni. In azienda bisogna avvisare immediatamente IT o responsabile e seguire la procedura di incidente; se richiesto, si può scollegare il dispositivo dalla rete per limitare la propagazione.

Attenzione

Riavviare, spegnere o “pulire” senza sapere cosa si sta facendo può cancellare elementi utili all’analisi o peggiorare il recupero.

13.4.7 Ho perso lo smartphone o mi è stato rubato

Lo smartphone contiene spesso email, codici, app bancarie, chat, documenti e strumenti di autenticazione. Perderlo non è solo perdere un oggetto: può significare esporre accessi e informazioni personali o aziendali.

Bisogna provare a localizzarlo, bloccarlo da remoto, cambiare password degli account principali da un dispositivo sicuro, revocare sessioni attive, bloccare la SIM se necessario e avvisare banca o referente IT quando il rischio lo richiede. La cancellazione da remoto va valutata se il recupero è improbabile.

Buona pratica

La risposta allo smarrimento si prepara prima: blocco schermo, backup, trova dispositivo, notifiche nascoste e MFA ben configurata.

13.4.8 Mi hanno rubato un account

Un account può essere considerato compromesso quando qualcuno accede senza autorizzazione, modifica dati di recupero, pubblica contenuti, invia messaggi, condivide file o crea regole che l’utente non riconosce. Il primo obiettivo è recuperare il controllo senza usare dispositivi sospetti.

La procedura passa dal recupero ufficiale dell’account, cambio password, revoca delle sessioni, verifica di email e telefono di recupero, attivazione o controllo della MFA e avviso ai contatti se l’account ha inviato messaggi falsi. Se la password era riutilizzata, va cambiata anche altrove.

Errore

Recuperare l’account e fermarsi lì. Dopo il recupero bisogna controllare impostazioni, sessioni, inoltri, app collegate e attività recenti.

13.4.9 Ho inviato un documento alla persona sbagliata

L’invio errato di un documento è un incidente da gestire, soprattutto se contiene dati personali, aziendali o sensibili. Ignorarlo espone a conseguenze peggiori perché impedisce di valutare il rischio e di applicare eventuali procedure privacy o interne.

Bisogna documentare ora, destinatario, file inviato e contenuto; avvisare il responsabile o referente interno; revocare il link se il documento era condiviso via cloud; evitare ulteriori invii impulsivi e seguire la procedura prevista. Se indicato, si può chiedere al destinatario errato di eliminare il messaggio.

Nota

La domanda non è “posso far finta di niente?”, ma “quali dati sono usciti e come limito l’esposizione adesso?”.

13.4.10 Sospetto una truffa bancaria

Le truffe bancarie richiedono priorità assoluta perché il tempo può incidere sulla possibilità di bloccare carte, operazioni o accessi. Se hai comunicato un OTP, inserito dati carta in un sito falso, autorizzato un’operazione sospetta o parlato con un falso operatore, devi interrompere la comunicazione e usare solo canali ufficiali.

Contatta la banca dal numero ufficiale, blocca carte o operazioni se necessario, cambia password dell’home banking da un dispositivo sicuro, controlla movimenti recenti e conserva messaggi, numeri, email e screenshot. Se riguarda un conto aziendale, vanno avvisati subito responsabile e amministrazione.

Attenzione

Non richiamare il numero che ti ha contattato e non usare link ricevuti nel messaggio. La verifica deve partire da un canale indipendente.

13.5 Cosa documentare

Documentare bene permette a chi interviene di capire cosa è successo senza perdere tempo. Servono fatti, non interpretazioni: data, ora, dispositivo usato, account coinvolto, mittente, numero, indirizzo email, link, allegato, dati inseriti, codice comunicato, pagamento effettuato, screenshot e persone già avvisate.

La documentazione deve essere semplice e precisa. Non bisogna inventare, minimizzare o ricostruire a memoria dettagli incerti come se fossero sicuri. Anche dire “non ricordo esattamente” è meglio che fornire un’informazione falsa.

Buona pratica

Scrivi la sequenza degli eventi come una piccola timeline: cosa ho ricevuto, cosa ho fatto, cosa è comparso, chi ho avvisato.

13.5.1 Cosa evitare sempre

Ci sono comportamenti che peggiorano quasi sempre la situazione: nascondere l’errore, aspettare troppo, cancellare email o messaggi, continuare a usare il dispositivo compromesso, cambiare password dal dispositivo sospetto, collegare backup, inoltrare file sospetti, installare strumenti trovati online o fidarsi di falsi tecnici comparsi dopo l’incidente.

Evitare questi errori è già una forma di contenimento. Quando non sai cosa fare, la scelta più sicura è fermarti, conservare le prove e chiedere indicazioni al referente corretto.

Errore

“Cancello tutto così risolvo.” In realtà potresti eliminare informazioni utili per bloccare mittenti, proteggere altri utenti e documentare l’incidente.

13.5.2 Mini-procedura dei primi 10 minuti

I primi dieci minuti sono decisivi perché separano un problema contenuto da una gestione confusa. Non servono azioni eroiche: serve una sequenza ordinata. Fermati, non cliccare altro, non inserire password, non cancellare messaggi, annota cosa è successo, fai uno screenshot se è utile e sicuro, avvisa il referente corretto e usa un dispositivo affidabile per eventuali cambi password.

Esempio

Primi minuti dopo un possibile incidente

Un link aperto senza inserire dati, una password email digitata in una pagina falsa, un allegato aperto in amministrazione, un documento inviato al destinatario sbagliato e una telefonata della falsa banca richiedono azioni diverse. Hanno però lo stesso punto di partenza: fermarsi e far emergere subito il problema.

In sintesi

Se pensi di aver fatto qualcosa di rischioso, fermati, non cancellare nulla e segnala subito. In un incidente la qualità della reazione vale quanto la prevenzione: più presto emergono i fatti, più è facile limitare il danno.