Ascolta il Podcast >
Stavo leggendo gli aggiornamenti sugli ultimi attacchi e mi sono reso conto che il punto non è spaventare, ma allenare buone abitudini.
La sicurezza online non è un antivirus: è un modo di stare in rete. E se devo dirlo a mio figlio, devo essere pratico, non accademico.
La domanda vera è semplice: cosa fare e cosa no, oggi, con uno smartphone in mano e mille app che ti chiedono di cliccare ovunque?
Prima faccio un check rapido delle minacce che contano davvero
In questi giorni i feed di Cybersecurity360 sono chiari: gli attacchi crescono e non colpiscono solo le grandi aziende. Ho letto di:
– FortiBleed: decine di migliaia di firewall compromessi nel mondo. Cosa cambia per noi? Che le vulnerabilità ai “bordi” della rete non sono teoria.
– Attacchi NFC e furti via smartphone Android: basta un tap distratto in metro per attivare azioni non volute se non abbiamo impostazioni sane.
– BTMOB: un trojan di accesso remoto per Android. In pratica: se installi app da fonti sbagliate, qualcuno può prendersi il telefono da remoto.
– SearchLeak su Microsoft 365 Copilot: anche gli strumenti nuovi (e intelligenti) hanno falle. Belle le scorciatoie, ma sempre con il freno a mano tirato.
– E poi il ransomware, che non si limita più a bloccare i file: ruba i dati e minaccia di pubblicarli (la doppia estorsione). Qui l’errore più comune è pensare “a me non capiterà”.
Mi sono chiesto: come lo traduco per Riccardo senza fare terrorismo?
La risposta è nel fattore umano. Gli attacchi funzionano spesso perché qualcuno clicca dove non dovrebbe, riusa la stessa password ovunque o lascia servizi non aggiornati. La cybersecurity è prima di tutto cultura: abitudini. Ha senso? Sì, perché è quello che possiamo controllare.
Parto dalle basi: password e accessi, senza scuse
Google è netto: servono password lunghe, uniche e non ovvie. La scorciatoia è il gestore di password. Quindi con Riccardo abbiamo fatto così:
– Una passphrase da almeno 12 caratteri. Metodo semplice: prendi una frase personale e trasformala. Esempio: “I mie gatti corrono alle 7 di sera!” → “ImegattiCorronoAlle7DiSera!” (meglio ancora con un paio di simboli).
– Una password diversa per ogni account importante (email, banca, social principali). Per ricordarle? Non le ricordiamo: le salva un password manager affidabile.
– Attiviamo l’autenticazione a due fattori (2FA) ovunque, meglio con app di autenticazione che con l’SMS.
– Aggiungiamo email e numero di recupero. Sembra noioso, ma quando serve ti salva la vita digitale.
Domanda pratica: perché tutto questo lavoro?
Perché se un servizio viene violato e rubano la tua password, con il riuso si aprono tutti gli altri. Con 2FA e password uniche, la catena si spezza. È corretto? Sì, è qui che si vincono il 70% delle partite.
Smartphone: come lo metto davvero in sicurezza
Riccardo usa Android, quindi siamo andati dritti al punto:
– Aggiornamenti: sistema e app sempre aggiornati. Se non aggiorni, lasci aperte porte note.
– Store ufficiali: niente APK da link ricevuti in chat o trovati in giro. Le app si installano da Play Store/App Store.
– Permessi: le torce non hanno bisogno dei contatti. Le app di foto non hanno bisogno del microfono sempre attivo. Controlliamo e togliamo il superfluo.
– NFC e Bluetooth: disattivati quando non servono, soprattutto in luoghi affollati.
– Schermo bloccato: PIN o password, non lo “swipe artistico”. E attiviamo “Trova il mio dispositivo” con la possibilità di cancellare da remoto.
– Backup: almeno quello delle foto e dei dati principali. Il giorno che perdi il telefono, ringrazi il te-stesso del passato.
E i social?
Qui il rischio non è solo “l’hacker”: è anche l’oversharing. Con Riccardo abbiamo messo a terra tre regole secche:
– Niente dati sensibili in chiaro: scuola, orari, indirizzo, tesserini, biglietti con QR.
– Privacy by default: profilo chiuso dove possibile, amicizie/seguaci verificati, posizione disattivata nei post.
– Messaggi privati: se qualcuno ti chiede dati o soldi, anche se sembra un amico, fermati e verifica su un altro canale. Le truffe oggi simulano perfino lo stile di scrittura di chi conosci.
Phishing: il gioco del “quale link clicco?”
A Riccardo ho detto: “Il trucco più usato è farti cliccare di fretta”. Come si riconosce?
– Urgenza e minaccia: “Il tuo account verrà chiuso in 2 ore”.
– Mittente che non torna: il nome è giusto, il dominio no.
– Link mascherati: passa il mouse (o tieni premuto) e controlla l’URL reale.
– Allegati strani: .zip, .exe, .scr, o documenti che chiedono di “attivare macro”.
Cosa fare? Semplice: non cliccare. Vai diretto sull’app o sul sito ufficiale. E se sbagli? Stacca la rete, avvisa, cambia password, attiva il recupero: prima si agisce, meno danni fai.
Casa e rete: il router non è un soprammobile
Dal mondo AWS prendo un principio utile per tutti: difesa a strati. Non serve essere tecnici per applicarla in casa.
– Router aggiornato e con password amministratore diversa da “admin/admin”.
– Crittografia WPA2 o WPA3 e password del Wi‑Fi lunga e non riutilizzata.
– Rete ospiti separata per amici e dispositivi IoT.
– Dispositivi che non usi? Spegnili o scollegali. Meno superfici, meno rischi.
“Zero trust” spiegato a un ragazzo
Non fidarti mai, verifica sempre. Anche se sei già dentro. In pratica: ogni app, ogni sito, ogni richiesta va guadagnata a ogni accesso. Per Riccardo significa tre domande oneste prima di cliccare:
– So chi è davvero questa app/persona?
– Ha senso che mi chieda questi permessi/questi dati?
– Posso verificare con una fonte ufficiale in 30 secondi?
E se l’AI rende gli attacchi più furbi?
Sì, gli attaccanti usano l’intelligenza artificiale per personalizzare i messaggi e automatizzare le campagne. Che si fa? Torniamo alle basi: 2FA, password manager, aggiornamenti, diffidenza costruttiva sui messaggi urgenti. È low tech, ma funziona.
Il protocollo di famiglia: cosa fare quando qualcosa va storto
– Stacca internet (Wi‑Fi e dati) dal dispositivo coinvolto.
– Avvisa subito (genitore, IT della scuola, banca se c’è di mezzo il denaro).
– Cambia la password dell’email principale e attiva 2FA, poi a cascata sugli altri servizi.
– Controlla accessi sospetti e sessioni aperte negli account.
– Se hai cliccato su un link di banca/marketplace, entra dall’app ufficiale e verifica movimenti; se serve, blocca la carta.
– Fai una scansione antivirus/antimalware. In caso di dubbi seri, fai il reset del dispositivo e ripristina dal backup pulito.
– Conserva prove (screenshot, email) per eventuali segnalazioni.
Cosa non fare mai
– Pagare riscatti. Non garantisce il ritorno dei dati e ti rende un bersaglio.
– Vergognarti e tacere. Il tempo è la difesa principale.
– “Tanto è andata bene stavolta”. Se hai avuto un quasi-incidente, cambia le abitudini.
Regole essenziali per Riccardo (e per chiunque)
Fare:
– Password uniche e lunghe, salvate in un gestore affidabile.
– 2FA attiva ovunque.
– Aggiornamenti regolari di sistema e app.
– App solo dagli store ufficiali, permessi minimi.
– NFC/Bluetooth off quando non servono.
– Privacy by default sui social.
– Verifica delle richieste anomale su un secondo canale.
– Backup attivo e “Trova il mio dispositivo”.
– Router aggiornato, rete ospiti per IoT, password Wi‑Fi robusta.
– Fermarsi 10 secondi prima di cliccare.
Non fare:
– Riutilizzare le password.
– Condividere dati sensibili in chat o nei post.
– Installare app da link ricevuti in DM.
– Attivare macro o aprire allegati sospetti.
– Lasciare attivi permessi inutili a microfono, fotocamera, posizione.
– Connettersi a Wi‑Fi pubblici senza cautela; se serve, usare una VPN affidabile.
Un esempio concreto: il finto messaggio della scuola
Arriva un’email “dalla scuola” che chiede di scaricare un “calendario aggiornato” da un link. Cosa facciamo?
– Guardiamo l’indirizzo: è davvero quello della scuola?
– Il link porta a un dominio ufficiale? Se no, alt.
– Verifichiamo sul registro elettronico o su WhatsApp della classe.
– Se abbiamo cliccato e ci chiede di fare login… fermiamoci. Chiudiamo tutto e accediamo dal canale ufficiale.
E gli attacchi via telefono?
Esiste il “vishing”, la finta telefonata che mette fretta (“sono dell’assistenza, devi darmi il codice o perdi l’account”). Ricetta: nessun codice via telefono. Se qualcuno insiste, si riaggancia e si chiama il numero ufficiale.
Perché insisto su queste cose con Riccardo?
Perché gli attacchi non sono solo tecnici: sono psicologici. Giocano su urgenza, autorità, paura, curiosità. La vera difesa è una cultura digitale semplice, quotidiana. La domanda è: lo stiamo facendo davvero?
Prima di chiudere, due idee operative per la famiglia
1) Un’ora al mese di “manutenzione digitale” insieme: aggiornamenti, backup, verifica permessi app, controllo password deboli nel gestore.
2) Un patto chiaro: se succede qualcosa, ci diciamo tutto subito. Niente colpe, solo soluzione.
A volte basta fermarsi e guardare meglio. È lì che la sicurezza smette di essere un problema tecnico e diventa una competenza di vita.