The PracticalCyberSecGuide

Sicurezza personale e sicurezza in azienda

Dalla banca online allo smart working: contesti diversi, stesso metodo di verifica per accessi, documenti, pagamenti e responsabilità.

Brief operativo

Obiettivi e quadro pratico

Al termine di questo modulo, il partecipante sarà in grado di:

  1. 01

    distinguere i rischi digitali della vita personale da quelli dell’ambiente aziendale.

  2. 02

    proteggere home banking, identità digitale, email, social, documenti e dispositivi personali.

  3. 03

    riconoscere truffe ricorrenti in acquisti online, marketplace, falsi supporti tecnici e investimenti.

  4. 04

    capire perché in azienda sicurezza, ruoli e procedure devono essere organizzati e non improvvisati.

  5. 05

    applicare controlli minimi su pagamenti, cambio IBAN, documenti clienti, smart working e accessi remoti.

  6. 06

    definire regole semplici per un piccolo ufficio senza creare procedure inutilmente complicate.

14.1 Introduzione

La sicurezza informatica riguarda sia la vita personale sia il lavoro. Nella vita privata protegge identità, denaro, comunicazioni, foto, documenti, account, smartphone e dati familiari. In azienda protegge clienti, fornitori, pagamenti, processi, strumenti, reputazione e continuità operativa.

I principi sono simili, ma il contesto cambia. Una persona, nella vita privata, decide spesso da sola come gestire password, backup e dispositivi. In azienda, invece, la sicurezza deve diventare organizzazione: ruoli chiari, permessi coerenti, strumenti approvati, procedure semplici e responsabilità definite.

Nota

Il buon senso è utile, ma non basta quando ci sono urgenze, soldi, dati di clienti e molte persone coinvolte. Le procedure servono proprio nei momenti in cui il buon senso è sotto pressione.

14.1.1 Home banking

L’home banking è uno degli account personali più importanti perché permette di controllare saldo, movimenti, carte, bonifici e pagamenti. Per un truffatore non è solo un accesso digitale: è una via diretta verso denaro, dati bancari e operazioni autorizzabili con codici temporanei.

I rischi principali sono phishing bancario, SMS falsi, telefonate da finti operatori, app contraffatte, siti imitati, password riutilizzate e richieste di spostare denaro su un presunto “conto sicuro”. La difesa parte da accesso tramite app ufficiale o sito digitato manualmente, password unica, MFA e rifiuto assoluto di comunicare OTP, PIN o password.

Attenzione

Una banca non dovrebbe chiederti codici temporanei al telefono per “annullare” una frode. Chi ti mette fretta e chiede codici sta probabilmente cercando di farti autorizzare l’operazione.

14.1.2 Acquisti online

Gli acquisti online espongono a negozi falsi, prodotti inesistenti, pagine di pagamento contraffatte, email di tracking fraudolente e offerte troppo convenienti. Il rischio aumenta quando si esce dalle piattaforme note o si paga con metodi poco tutelanti.

Prima di acquistare bisogna controllare dominio, reputazione, contatti, condizioni di vendita, recensioni e coerenza del prezzo. Le recensioni aiutano, ma non sono una garanzia: possono essere false, copiate o concentrate in un periodo sospetto. Su marketplace e piattaforme intermedie è meglio non pagare fuori dal sistema ufficiale.

Buona pratica

Se il prezzo sembra costruito per impedirti di ragionare, fermati. Le truffe vendono urgenza prima ancora del prodotto.

14.1.3 SPID, CIE e identità digitale

SPID e CIE sono strumenti collegati all’identità personale e permettono l’accesso a servizi pubblici e privati. Vanno trattati come documenti digitali: non si prestano, non si condividono e non si usano partendo da link ricevuti in messaggi sospetti.

Le minacce più comuni imitano portali pubblici, chiedono credenziali, inviano SMS falsi o spingono l’utente a inserire codici su pagine non ufficiali. La protezione passa da email e smartphone sicuri, password robuste, controllo delle notifiche di accesso e conservazione attenta dei codici di recupero.

Nota

Se devi accedere a un servizio pubblico, parti dal sito ufficiale cercato o digitato da te. Non lasciare che sia un SMS a decidere da dove entri.

14.1.4 Email personale

L’email personale è spesso il centro della vita digitale. Serve per recuperare password, ricevere documenti, iscriversi a servizi, comunicare con banche e professionisti, conservare ricevute e gestire notifiche. Se viene compromessa, può diventare il punto di partenza per rubare altri account.

Una casella personale importante deve avere password unica, MFA, dispositivi collegati controllati, email di recupero aggiornata e attenzione a regole automatiche o inoltri sospetti. È anche utile distinguere l’email principale da indirizzi usati per iscrizioni a servizi poco affidabili.

Attenzione

Proteggere l’email personale significa proteggere anche tutto ciò che può essere recuperato tramite quell’email.

14.1.5 Account social

Gli account social contengono messaggi privati, foto, contatti, informazioni personali e spesso tracce delle abitudini quotidiane. Possono essere usati per impersonare una persona, truffare contatti, inviare link malevoli o raccogliere dettagli per attacchi mirati.

Password unica, MFA, controllo delle sessioni attive e impostazioni privacy sono la base. A queste misure va aggiunta una scelta editoriale: non pubblicare informazioni eccessive su casa, figli, ferie, lavoro, routine e oggetti di valore. La visibilità di un post può cambiare, ma una copia può restare.

Buona pratica

Se un account social viene compromesso, avvisa i contatti. Il furto dell’account spesso serve proprio a truffare chi si fida di te.

14.1.6 Figli, famiglia e dati di altre persone

La sicurezza personale riguarda anche i dati di familiari, figli e persone vicine. Foto di minori, documenti familiari, certificati, dati sanitari, tablet condivisi e account usati in casa possono esporre informazioni di persone che non hanno scelto consapevolmente quella condivisione.

È utile limitare la pubblicazione di dati e immagini di minori, evitare documenti familiari in chat non necessarie, proteggere dispositivi domestici e aiutare persone meno esperte a configurare password, MFA e blocco schermo. Molte truffe sfruttano proprio emergenze familiari e fiducia.

Nota

Prima di condividere dati di un’altra persona, chiediti se avresti lo stesso diritto di farlo se quella persona fosse presente e pienamente informata.

14.1.7 Documenti personali e foto private

Documenti di identità, tessere sanitarie, codice fiscale, passaporto, documenti bancari, contratti, certificati, buste paga e dichiarazioni fiscali possono essere usati per furto d’identità o truffe. Anche foto private e schermate possono contenere dati non evidenti al primo sguardo.

Questi file andrebbero inviati solo quando necessario, tramite canali ufficiali o sicuri, evitando gruppi e chat informali. Dopo l’invio conviene eliminare copie inutili, proteggere smartphone e cloud, controllare il destinatario e non lasciare documenti sparsi in cartelle pubbliche o gallerie disordinate.

Buona pratica

Non conservare documenti sensibili dove finiscono automaticamente in backup, sincronizzazioni o chat che non controlli davvero.

14.1.8 Marketplace, annunci online e falsi supporti tecnici

Marketplace e siti di annunci sono ambienti utili, ma pieni di truffe ricorrenti: falso acquirente, falso pagamento, link per “ricevere” denaro, richiesta di spedire prima del pagamento reale, screenshot contraffatti e tentativo di portare la trattativa fuori piattaforma.

I falsi supporti tecnici usano una logica simile: creano urgenza, dicono che il computer è infetto o l’account bloccato, poi chiedono di installare software, concedere controllo remoto o comunicare codici. In entrambi i casi, la difesa è restare nei canali ufficiali e non affidare controllo o dati a sconosciuti.

Errore

Credere a uno screenshot di pagamento. Il pagamento si verifica solo nell’app o nel conto ufficiale, non nell’immagine inviata dall’altra persona.

14.1.9 Falsi investimenti

Le truffe con falsi investimenti promettono guadagni rapidi, sicuri e spesso “riservati a pochi”. Possono usare pubblicità social, gruppi Telegram, finti consulenti, piattaforme di trading, criptovalute, testimonianze inventate e personaggi famosi usati senza autorizzazione.

I segnali di allarme sono rendimento elevato e garantito, pressione a versare subito, difficoltà a prelevare, richiesta di altri soldi per sbloccare guadagni, siti poco trasparenti e consulenti insistenti. Prima di inviare documenti o denaro bisogna verificare autorizzazioni, reputazione e canali ufficiali.

Attenzione

Un investimento vero può essere rischioso; un investimento che promette zero rischio e guadagni certi è già un segnale di pericolo.

14.2 La sicurezza aziendale è organizzativa

In azienda la sicurezza non può dipendere solo dal singolo dipendente. Il comportamento individuale resta importante, ma deve essere sostenuto da procedure, ruoli chiari, permessi corretti, strumenti approvati, formazione, controlli, backup e referenti da contattare.

Dire “bisogna stare attenti” non basta. Le persone lavorano sotto pressione, ricevono molte email, gestiscono urgenze, interagiscono con clienti e fornitori e devono prendere decisioni rapide. Le procedure servono a rendere affidabili i momenti ripetuti, soprattutto quelli delicati.

Buona pratica

Una buona procedura non complica il lavoro: toglie ambiguità quando la fretta potrebbe far sbagliare.

14.2.1 Account aziendali, ruoli e permessi

Gli account aziendali dovrebbero essere personali, tracciabili e proporzionati al ruolo. Account condivisi, permessi troppo ampi e accessi lasciati attivi dopo cambi ruolo o uscite dall’azienda rendono difficile capire chi ha fatto cosa e aumentano l’impatto di un account compromesso.

Gli account più critici sono email aziendali, gestionali, home banking aziendale, cloud, CRM, portali fatture, account amministrativi, social aziendali, hosting, sito web, strumenti di smart working e password manager aziendale. Su questi accessi MFA e revisione periodica non sono optional.

14.2.2 Procedure per pagamenti e cambio IBAN

Pagamenti e cambio IBAN sono tra i processi più esposti a truffe, perché combinano denaro, urgenza e fiducia nei rapporti con fornitori o responsabili. Una falsa email del fornitore, una fattura modificata o una richiesta urgente del capo possono produrre danni economici importanti.

La regola deve essere organizzativa: nessun cambio IBAN solo via email, verifica tramite contatto già noto, divieto di usare recapiti presenti nella richiesta sospetta, doppia approvazione per pagamenti rilevanti, registrazione della verifica e segnalazione delle anomalie.

Attenzione

Una procedura di verifica può sembrare lenta solo finché non evita il primo bonifico verso un conto fraudolento.

14.2.3 Gestione documenti dei clienti

I documenti dei clienti devono essere trattati con ordine e proporzione. Documenti di identità, contratti, dati fiscali, dati bancari, pratiche amministrative, comunicazioni riservate, preventivi e fatture devono stare in sistemi approvati, con accesso limitato a chi ne ha bisogno.

La raccolta dovrebbe limitarsi a ciò che serve davvero. L’invio deve avvenire verso destinatari verificati e attraverso canali coerenti, evitando chat personali e archivi improvvisati. Allegati e destinatari vanno controllati prima dell’invio, perché l’errore più banale può esporre dati delicati.

Buona pratica

I documenti dei clienti non devono seguire la scorciatoia più comoda, ma il percorso più controllabile.

14.2.4 Dispositivi aziendali

Un dispositivo aziendale contiene accessi, documenti e responsabilità dell’organizzazione. Non dovrebbe essere usato come computer familiare, archivio personale o ambiente di prova per software non autorizzati. Anche quando è fisicamente in mano a una persona, rappresenta un punto di ingresso verso l’azienda.

Le regole minime sono bloccare lo schermo, non far usare il dispositivo ad altri, non installare software non autorizzato, non salvare file aziendali in cloud personali, usare reti e VPN previste, segnalare furti o smarrimenti e rispettare le indicazioni IT.

Errore

“Lo uso solo cinque minuti per una cosa personale.” Su un dispositivo aziendale, anche una piccola deviazione può introdurre rischi non necessari.

14.2.5 Smart working

Lo smart working aumenta flessibilità e produttività, ma sposta parte del perimetro aziendale dentro casa, in viaggio o in spazi condivisi. Reti domestiche poco protette, computer visibili ai familiari, documenti stampati, chiamate riservate in ambienti aperti e Wi-Fi pubblici possono creare esposizione.

Servono dispositivi aziendali quando previsti, Wi-Fi domestico protetto, VPN se richiesta, blocco schermo anche a casa, separazione dai dispositivi familiari, attenzione a documenti in vista e uso di cuffie o spazi adeguati per conversazioni sensibili.

Nota

Lavorare da casa non trasforma i dati aziendali in dati domestici. Cambia il luogo, non la responsabilità.

14.2.6 Wi-Fi, VPN e accessi remoti in azienda

L’accesso remoto alle risorse aziendali deve essere protetto perché consente di lavorare fuori dalla sede o fuori dalla rete interna. VPN, MFA, strumenti autorizzati e revoca degli accessi non più necessari sono elementi fondamentali per mantenere il controllo.

La rete ospiti deve restare separata dalla rete interna, le credenziali VPN non vanno condivise e i dispositivi smarriti devono essere segnalati subito. La VPN è utile, ma non elimina phishing, malware, password deboli o errori dell’utente.

Buona pratica

L’accesso remoto deve essere concesso per necessità reale, protetto con MFA e rimosso quando non serve più.

14.2.7 Backup, aggiornamenti e continuità operativa

In azienda backup e aggiornamenti non sono dettagli tecnici: sono continuità operativa. Un blocco dei sistemi, un ransomware, un guasto o una cancellazione possono fermare attività, consegne, fatturazione e assistenza ai clienti.

L’azienda deve sapere quali dati sono essenziali, dove sono salvati, quali backup esistono, se sono testati, chi può ripristinarli e in quanto tempo. Gli aggiornamenti devono essere pianificati e gli errori di backup controllati, perché un backup fallito in silenzio è una falsa sicurezza.

Attenzione

Il momento giusto per scoprire quanto tempo serve a ripartire non è il giorno dell’incidente.

14.3 Formazione periodica

La formazione non deve essere un evento isolato. Le minacce cambiano, gli strumenti cambiano e le persone dimenticano. Riprendere periodicamente phishing, link sospetti, password, MFA, allegati, cambio IBAN, documenti, incidenti e uso del cloud riduce errori ricorrenti.

Una formazione utile è concreta: usa esempi vicini al lavoro quotidiano, mostra procedure reali, chiarisce chi contattare e normalizza la segnalazione dei dubbi. Non deve creare allarmismo, ma abitudine al controllo.

Buona pratica

La formazione funziona quando una persona, davanti a un messaggio sospetto, riconosce una situazione già vista e sa cosa fare.

14.3.1 Policy chiare e semplici

Una policy è utile solo se viene capita e applicata. Documenti lunghi, astratti o scollegati dal lavoro quotidiano rischiano di essere ignorati proprio nei momenti in cui servirebbero. Le policy devono dire cosa fare, cosa non fare, chi contattare, quando segnalare e quali strumenti usare.

Le aree più importanti sono password, MFA, email, allegati, cambio IBAN, pagamenti, cloud, dispositivi aziendali, smart working, segnalazione incidenti, backup, uso social e comunicazione esterna. Ogni regola dovrebbe essere concreta e verificabile.

Nota

Una policy semplice non è una policy debole. È una regola che le persone riescono davvero a seguire.

14.3.2 Cultura della segnalazione

Una buona azienda non ridicolizza chi segnala un dubbio in buona fede. Se le persone hanno paura di essere punite o giudicate, tenderanno a nascondere errori e incidenti, aumentando il rischio per tutti.

La cultura della segnalazione richiede canali chiari, risposte rapide, procedure semplici e comunicazione rispettosa. Gli errori vanno usati per migliorare sistemi e processi, non per creare silenzio.

Buona pratica

Una segnalazione tempestiva è un comportamento di protezione, anche quando alla fine si scopre che non era un incidente.

14.3.3 Separazione tra strumenti personali e aziendali

Separare strumenti personali e aziendali riduce confusione, dispersione e responsabilità poco chiare. Usare email personale per lavoro, cloud personale per documenti aziendali, chat private per dati clienti o PC aziendale per attività familiari crea archivi fuori controllo.

La separazione richiede strumenti aziendali approvati, account distinti, password non mischiate, cloud aziendale per documenti aziendali e rispetto delle procedure interne. Non serve rigidità fine a sé stessa: serve poter sapere dove sono i dati e chi può accedervi.

Errore

Scegliere il canale personale perché è più veloce. Se il dato esce dai sistemi aziendali, la velocità diventa perdita di controllo.

14.3.4 Regole minime per un piccolo ufficio

Anche una piccola azienda o uno studio professionale può ridurre molto il rischio con poche regole chiare. Non servono documenti complicati: servono comportamenti obbligatori nei punti in cui l’errore costa di più.

Esempio

Stesso metodo in scenari diversi

Home banking personale, acquisti online troppo convenienti, cambio IBAN in azienda, smart working da casa e documenti cliente inviati via chat personale sembrano casi diversi. In realtà richiedono la stessa disciplina: verificare il canale, limitare i dati e non saltare i controlli per fretta.

In sintesi

Nella vita personale proteggi identità, soldi e documenti; in azienda proteggi processi, dati e responsabilità con procedure chiare. La sicurezza migliore è quella che rende semplice fare la cosa giusta proprio quando il contesto spinge a fare in fretta.