Sicurezza personale e sicurezza in azienda
Dalla banca online allo smart working: contesti diversi, stesso metodo di verifica per accessi, documenti, pagamenti e responsabilità.
Obiettivi e quadro pratico
Al termine di questo modulo, il partecipante sarà in grado di:
- 01
distinguere i rischi digitali della vita personale da quelli dell’ambiente aziendale.
- 02
proteggere home banking, identità digitale, email, social, documenti e dispositivi personali.
- 03
riconoscere truffe ricorrenti in acquisti online, marketplace, falsi supporti tecnici e investimenti.
- 04
capire perché in azienda sicurezza, ruoli e procedure devono essere organizzati e non improvvisati.
- 05
applicare controlli minimi su pagamenti, cambio IBAN, documenti clienti, smart working e accessi remoti.
- 06
definire regole semplici per un piccolo ufficio senza creare procedure inutilmente complicate.
14.1 Introduzione
La sicurezza informatica riguarda sia la vita personale sia il lavoro. Nella vita privata protegge identità, denaro, comunicazioni, foto, documenti, account, smartphone e dati familiari. In azienda protegge clienti, fornitori, pagamenti, processi, strumenti, reputazione e continuità operativa.
I principi sono simili, ma il contesto cambia. Una persona, nella vita privata, decide spesso da sola come gestire password, backup e dispositivi. In azienda, invece, la sicurezza deve diventare organizzazione: ruoli chiari, permessi coerenti, strumenti approvati, procedure semplici e responsabilità definite.
Il buon senso è utile, ma non basta quando ci sono urgenze, soldi, dati di clienti e molte persone coinvolte. Le procedure servono proprio nei momenti in cui il buon senso è sotto pressione.
14.1.1 Home banking
L’home banking è uno degli account personali più importanti perché permette di controllare saldo, movimenti, carte, bonifici e pagamenti. Per un truffatore non è solo un accesso digitale: è una via diretta verso denaro, dati bancari e operazioni autorizzabili con codici temporanei.
I rischi principali sono phishing bancario, SMS falsi, telefonate da finti operatori, app contraffatte, siti imitati, password riutilizzate e richieste di spostare denaro su un presunto “conto sicuro”. La difesa parte da accesso tramite app ufficiale o sito digitato manualmente, password unica, MFA e rifiuto assoluto di comunicare OTP, PIN o password.
Una banca non dovrebbe chiederti codici temporanei al telefono per “annullare” una frode. Chi ti mette fretta e chiede codici sta probabilmente cercando di farti autorizzare l’operazione.
14.1.2 Acquisti online
Gli acquisti online espongono a negozi falsi, prodotti inesistenti, pagine di pagamento contraffatte, email di tracking fraudolente e offerte troppo convenienti. Il rischio aumenta quando si esce dalle piattaforme note o si paga con metodi poco tutelanti.
Prima di acquistare bisogna controllare dominio, reputazione, contatti, condizioni di vendita, recensioni e coerenza del prezzo. Le recensioni aiutano, ma non sono una garanzia: possono essere false, copiate o concentrate in un periodo sospetto. Su marketplace e piattaforme intermedie è meglio non pagare fuori dal sistema ufficiale.
Se il prezzo sembra costruito per impedirti di ragionare, fermati. Le truffe vendono urgenza prima ancora del prodotto.
14.1.3 SPID, CIE e identità digitale
SPID e CIE sono strumenti collegati all’identità personale e permettono l’accesso a servizi pubblici e privati. Vanno trattati come documenti digitali: non si prestano, non si condividono e non si usano partendo da link ricevuti in messaggi sospetti.
Le minacce più comuni imitano portali pubblici, chiedono credenziali, inviano SMS falsi o spingono l’utente a inserire codici su pagine non ufficiali. La protezione passa da email e smartphone sicuri, password robuste, controllo delle notifiche di accesso e conservazione attenta dei codici di recupero.
Se devi accedere a un servizio pubblico, parti dal sito ufficiale cercato o digitato da te. Non lasciare che sia un SMS a decidere da dove entri.
14.1.4 Email personale
L’email personale è spesso il centro della vita digitale. Serve per recuperare password, ricevere documenti, iscriversi a servizi, comunicare con banche e professionisti, conservare ricevute e gestire notifiche. Se viene compromessa, può diventare il punto di partenza per rubare altri account.
Una casella personale importante deve avere password unica, MFA, dispositivi collegati controllati, email di recupero aggiornata e attenzione a regole automatiche o inoltri sospetti. È anche utile distinguere l’email principale da indirizzi usati per iscrizioni a servizi poco affidabili.
Proteggere l’email personale significa proteggere anche tutto ciò che può essere recuperato tramite quell’email.
14.1.6 Figli, famiglia e dati di altre persone
La sicurezza personale riguarda anche i dati di familiari, figli e persone vicine. Foto di minori, documenti familiari, certificati, dati sanitari, tablet condivisi e account usati in casa possono esporre informazioni di persone che non hanno scelto consapevolmente quella condivisione.
È utile limitare la pubblicazione di dati e immagini di minori, evitare documenti familiari in chat non necessarie, proteggere dispositivi domestici e aiutare persone meno esperte a configurare password, MFA e blocco schermo. Molte truffe sfruttano proprio emergenze familiari e fiducia.
Prima di condividere dati di un’altra persona, chiediti se avresti lo stesso diritto di farlo se quella persona fosse presente e pienamente informata.
14.1.7 Documenti personali e foto private
Documenti di identità, tessere sanitarie, codice fiscale, passaporto, documenti bancari, contratti, certificati, buste paga e dichiarazioni fiscali possono essere usati per furto d’identità o truffe. Anche foto private e schermate possono contenere dati non evidenti al primo sguardo.
Questi file andrebbero inviati solo quando necessario, tramite canali ufficiali o sicuri, evitando gruppi e chat informali. Dopo l’invio conviene eliminare copie inutili, proteggere smartphone e cloud, controllare il destinatario e non lasciare documenti sparsi in cartelle pubbliche o gallerie disordinate.
Non conservare documenti sensibili dove finiscono automaticamente in backup, sincronizzazioni o chat che non controlli davvero.
14.1.8 Marketplace, annunci online e falsi supporti tecnici
Marketplace e siti di annunci sono ambienti utili, ma pieni di truffe ricorrenti: falso acquirente, falso pagamento, link per “ricevere” denaro, richiesta di spedire prima del pagamento reale, screenshot contraffatti e tentativo di portare la trattativa fuori piattaforma.
I falsi supporti tecnici usano una logica simile: creano urgenza, dicono che il computer è infetto o l’account bloccato, poi chiedono di installare software, concedere controllo remoto o comunicare codici. In entrambi i casi, la difesa è restare nei canali ufficiali e non affidare controllo o dati a sconosciuti.
Credere a uno screenshot di pagamento. Il pagamento si verifica solo nell’app o nel conto ufficiale, non nell’immagine inviata dall’altra persona.
14.1.9 Falsi investimenti
Le truffe con falsi investimenti promettono guadagni rapidi, sicuri e spesso “riservati a pochi”. Possono usare pubblicità social, gruppi Telegram, finti consulenti, piattaforme di trading, criptovalute, testimonianze inventate e personaggi famosi usati senza autorizzazione.
I segnali di allarme sono rendimento elevato e garantito, pressione a versare subito, difficoltà a prelevare, richiesta di altri soldi per sbloccare guadagni, siti poco trasparenti e consulenti insistenti. Prima di inviare documenti o denaro bisogna verificare autorizzazioni, reputazione e canali ufficiali.
Un investimento vero può essere rischioso; un investimento che promette zero rischio e guadagni certi è già un segnale di pericolo.
14.2 La sicurezza aziendale è organizzativa
In azienda la sicurezza non può dipendere solo dal singolo dipendente. Il comportamento individuale resta importante, ma deve essere sostenuto da procedure, ruoli chiari, permessi corretti, strumenti approvati, formazione, controlli, backup e referenti da contattare.
Dire “bisogna stare attenti” non basta. Le persone lavorano sotto pressione, ricevono molte email, gestiscono urgenze, interagiscono con clienti e fornitori e devono prendere decisioni rapide. Le procedure servono a rendere affidabili i momenti ripetuti, soprattutto quelli delicati.
Una buona procedura non complica il lavoro: toglie ambiguità quando la fretta potrebbe far sbagliare.
14.2.1 Account aziendali, ruoli e permessi
Gli account aziendali dovrebbero essere personali, tracciabili e proporzionati al ruolo. Account condivisi, permessi troppo ampi e accessi lasciati attivi dopo cambi ruolo o uscite dall’azienda rendono difficile capire chi ha fatto cosa e aumentano l’impatto di un account compromesso.
Gli account più critici sono email aziendali, gestionali, home banking aziendale, cloud, CRM, portali fatture, account amministrativi, social aziendali, hosting, sito web, strumenti di smart working e password manager aziendale. Su questi accessi MFA e revisione periodica non sono optional.
14.2.2 Procedure per pagamenti e cambio IBAN
Pagamenti e cambio IBAN sono tra i processi più esposti a truffe, perché combinano denaro, urgenza e fiducia nei rapporti con fornitori o responsabili. Una falsa email del fornitore, una fattura modificata o una richiesta urgente del capo possono produrre danni economici importanti.
La regola deve essere organizzativa: nessun cambio IBAN solo via email, verifica tramite contatto già noto, divieto di usare recapiti presenti nella richiesta sospetta, doppia approvazione per pagamenti rilevanti, registrazione della verifica e segnalazione delle anomalie.
Una procedura di verifica può sembrare lenta solo finché non evita il primo bonifico verso un conto fraudolento.
14.2.3 Gestione documenti dei clienti
I documenti dei clienti devono essere trattati con ordine e proporzione. Documenti di identità, contratti, dati fiscali, dati bancari, pratiche amministrative, comunicazioni riservate, preventivi e fatture devono stare in sistemi approvati, con accesso limitato a chi ne ha bisogno.
La raccolta dovrebbe limitarsi a ciò che serve davvero. L’invio deve avvenire verso destinatari verificati e attraverso canali coerenti, evitando chat personali e archivi improvvisati. Allegati e destinatari vanno controllati prima dell’invio, perché l’errore più banale può esporre dati delicati.
I documenti dei clienti non devono seguire la scorciatoia più comoda, ma il percorso più controllabile.
14.2.4 Dispositivi aziendali
Un dispositivo aziendale contiene accessi, documenti e responsabilità dell’organizzazione. Non dovrebbe essere usato come computer familiare, archivio personale o ambiente di prova per software non autorizzati. Anche quando è fisicamente in mano a una persona, rappresenta un punto di ingresso verso l’azienda.
Le regole minime sono bloccare lo schermo, non far usare il dispositivo ad altri, non installare software non autorizzato, non salvare file aziendali in cloud personali, usare reti e VPN previste, segnalare furti o smarrimenti e rispettare le indicazioni IT.
“Lo uso solo cinque minuti per una cosa personale.” Su un dispositivo aziendale, anche una piccola deviazione può introdurre rischi non necessari.
14.2.5 Smart working
Lo smart working aumenta flessibilità e produttività, ma sposta parte del perimetro aziendale dentro casa, in viaggio o in spazi condivisi. Reti domestiche poco protette, computer visibili ai familiari, documenti stampati, chiamate riservate in ambienti aperti e Wi-Fi pubblici possono creare esposizione.
Servono dispositivi aziendali quando previsti, Wi-Fi domestico protetto, VPN se richiesta, blocco schermo anche a casa, separazione dai dispositivi familiari, attenzione a documenti in vista e uso di cuffie o spazi adeguati per conversazioni sensibili.
Lavorare da casa non trasforma i dati aziendali in dati domestici. Cambia il luogo, non la responsabilità.
14.2.6 Wi-Fi, VPN e accessi remoti in azienda
L’accesso remoto alle risorse aziendali deve essere protetto perché consente di lavorare fuori dalla sede o fuori dalla rete interna. VPN, MFA, strumenti autorizzati e revoca degli accessi non più necessari sono elementi fondamentali per mantenere il controllo.
La rete ospiti deve restare separata dalla rete interna, le credenziali VPN non vanno condivise e i dispositivi smarriti devono essere segnalati subito. La VPN è utile, ma non elimina phishing, malware, password deboli o errori dell’utente.
L’accesso remoto deve essere concesso per necessità reale, protetto con MFA e rimosso quando non serve più.
14.2.7 Backup, aggiornamenti e continuità operativa
In azienda backup e aggiornamenti non sono dettagli tecnici: sono continuità operativa. Un blocco dei sistemi, un ransomware, un guasto o una cancellazione possono fermare attività, consegne, fatturazione e assistenza ai clienti.
L’azienda deve sapere quali dati sono essenziali, dove sono salvati, quali backup esistono, se sono testati, chi può ripristinarli e in quanto tempo. Gli aggiornamenti devono essere pianificati e gli errori di backup controllati, perché un backup fallito in silenzio è una falsa sicurezza.
Il momento giusto per scoprire quanto tempo serve a ripartire non è il giorno dell’incidente.
14.3 Formazione periodica
La formazione non deve essere un evento isolato. Le minacce cambiano, gli strumenti cambiano e le persone dimenticano. Riprendere periodicamente phishing, link sospetti, password, MFA, allegati, cambio IBAN, documenti, incidenti e uso del cloud riduce errori ricorrenti.
Una formazione utile è concreta: usa esempi vicini al lavoro quotidiano, mostra procedure reali, chiarisce chi contattare e normalizza la segnalazione dei dubbi. Non deve creare allarmismo, ma abitudine al controllo.
La formazione funziona quando una persona, davanti a un messaggio sospetto, riconosce una situazione già vista e sa cosa fare.
14.3.1 Policy chiare e semplici
Una policy è utile solo se viene capita e applicata. Documenti lunghi, astratti o scollegati dal lavoro quotidiano rischiano di essere ignorati proprio nei momenti in cui servirebbero. Le policy devono dire cosa fare, cosa non fare, chi contattare, quando segnalare e quali strumenti usare.
Le aree più importanti sono password, MFA, email, allegati, cambio IBAN, pagamenti, cloud, dispositivi aziendali, smart working, segnalazione incidenti, backup, uso social e comunicazione esterna. Ogni regola dovrebbe essere concreta e verificabile.
Una policy semplice non è una policy debole. È una regola che le persone riescono davvero a seguire.
14.3.2 Cultura della segnalazione
Una buona azienda non ridicolizza chi segnala un dubbio in buona fede. Se le persone hanno paura di essere punite o giudicate, tenderanno a nascondere errori e incidenti, aumentando il rischio per tutti.
La cultura della segnalazione richiede canali chiari, risposte rapide, procedure semplici e comunicazione rispettosa. Gli errori vanno usati per migliorare sistemi e processi, non per creare silenzio.
Una segnalazione tempestiva è un comportamento di protezione, anche quando alla fine si scopre che non era un incidente.
14.3.3 Separazione tra strumenti personali e aziendali
Separare strumenti personali e aziendali riduce confusione, dispersione e responsabilità poco chiare. Usare email personale per lavoro, cloud personale per documenti aziendali, chat private per dati clienti o PC aziendale per attività familiari crea archivi fuori controllo.
La separazione richiede strumenti aziendali approvati, account distinti, password non mischiate, cloud aziendale per documenti aziendali e rispetto delle procedure interne. Non serve rigidità fine a sé stessa: serve poter sapere dove sono i dati e chi può accedervi.
Scegliere il canale personale perché è più veloce. Se il dato esce dai sistemi aziendali, la velocità diventa perdita di controllo.
14.3.4 Regole minime per un piccolo ufficio
Anche una piccola azienda o uno studio professionale può ridurre molto il rischio con poche regole chiare. Non servono documenti complicati: servono comportamenti obbligatori nei punti in cui l’errore costa di più.
Stesso metodo in scenari diversi
Home banking personale, acquisti online troppo convenienti, cambio IBAN in azienda, smart working da casa e documenti cliente inviati via chat personale sembrano casi diversi. In realtà richiedono la stessa disciplina: verificare il canale, limitare i dati e non saltare i controlli per fretta.
Nella vita personale proteggi identità, soldi e documenti; in azienda proteggi processi, dati e responsabilità con procedure chiare. La sicurezza migliore è quella che rende semplice fare la cosa giusta proprio quando il contesto spinge a fare in fretta.