10 mosse per migliorare la protezione dei dati personali online

1. Scegli una password sicura

La password è il primo presidio di sicurezza per la protezione dei tuoi dati personali. È fondamentale scegliere una chiave robusta che possa fermare sia gli attacchi automatizzati sia chi ti conosce personalmente.

Le regole per una password sicura

• Non usare password troppo brevi: minimo 12-14 caratteri, meglio se ancora più lunghe;
• non utilizzare sequenze "da tastiera" come 12345 o qwerty: i bot le provano per primi;
• evita date e nomi riconducibili a te (compleanno tuo o di figli, partner, animali domestici, squadra del cuore);
• combina lettere maiuscole e minuscole, numeri e caratteri speciali (&, %, $, £, !);
• preferisci una passphrase di 4-5 parole casuali (es. balena-orso-violetto-12-mercoledì): è facile da ricordare e molto difficile da indovinare;
• usa una password diversa per ogni servizio: se una viene compromessa, le altre restano al sicuro.

Usa un password manager

Affidarsi a un password manager (Bitwarden, 1Password, Apple Portachiavi, Google Password Manager) è oggi il modo più semplice per avere password lunghe e diverse per ogni sito senza doverle memorizzare: te ne basta una sola, quella del manager. I migliori sono basati su crittografia zero-knowledge, quindi nemmeno il fornitore può leggere quello che salvi.

Imposta una master password robusta (idealmente una passphrase di 5-6 parole) e attiva la 2FA sull'account del manager stesso: in questo modo, anche se la master password venisse compromessa, l'archivio resterebbe protetto.

2. Abilita l'autenticazione a due fattori (2FA)

L'autenticazione a due fattori (2FA) aggiunge una seconda barriera oltre alla password: anche se qualcuno la scopre, non potrà accedere senza il secondo elemento di verifica.

Il secondo fattore può essere:

• un codice OTP via SMS o e-mail: comodo, ma meno sicuro (un SIM swap può intercettarlo);
• un'app di autenticazione come Google Authenticator, Microsoft Authenticator, Authy o Aegis: genera codici a 6 cifre ogni 30 secondi;
• una chiave fisica FIDO2/YubiKey: il livello massimo di sicurezza, particolarmente consigliato per profili professionali e dirigenti;
• le passkey: la nuova generazione di credenziali senza password, basate su crittografia asimmetrica, già supportate da Google, Apple, Microsoft e molti servizi bancari.

Il nostro consiglio: attiva la 2FA almeno su e-mail principale, conto in banca, profili social, area clienti del tuo operatore telefonico e cloud personale (Google, iCloud, OneDrive).

3. Esci dagli account dopo l'uso (specie sui dispositivi condivisi)

Quando finisci di usare un servizio online, soprattutto su computer condivisi o smartphone di altre persone, ricordati di fare log out. Pagine social, e-mail e portali di home banking non sempre si disconnettono automaticamente per inattività.

Ogni volta che resti loggato, è come se lasciassi una porta socchiusa: in quei momenti le informazioni del tuo account sono più vulnerabili. Vale soprattutto per i servizi di internet banking: chiudi la sessione e la pagina appena hai finito l'operazione, anche se il sistema prevede una disconnessione automatica.

4. Imposta correttamente la privacy sui profili social

Sui social network, oltre a fare attenzione a cosa pubblichi, è importante curare le impostazioni di privacy:

• limita la visibilità del profilo agli amici/follower di fiducia;
• controlla regolarmente le app e i siti collegati al tuo account e revoca quelli che non usi più;
• disattiva la geolocalizzazione automatica nei post quando non serve;
• blocca la possibilità di essere taggato senza approvazione preventiva;
• verifica le impostazioni della pubblicità: la maggior parte delle piattaforme permette di limitare la profilazione.

5. Attenzione alle e-mail: difenditi dal phishing

Le e-mail truffa (phishing) rappresentano una delle principali minacce per i dati personali. Negli ultimi anni, grazie all'IA generativa, sono diventate molto più credibili: testi senza errori grammaticali, grafica identica a quella delle banche, allegati che imitano fatture e bollette ufficiali.

Le tipiche e-mail di phishing ti invitano a:

• cliccare su un link "per verificare l'account" o "sbloccare un pacco";
• scaricare un allegato sospetto (fattura, ricevuta, foglio Excel);
• inserire credenziali su una pagina-copia di banca o servizio pubblico;
• effettuare un pagamento urgente per evitare presunti blocchi del servizio.

Come difenderti:

• non scaricare allegati o cliccare link strani: passa il cursore sul link (sul cellulare tieni premuto) per verificare l'URL effettivo;
• accedi alla banca, alle Poste o alla PA digitando direttamente l'indirizzo nel browser, non dalle e-mail;
• diffida di toni urgenti e minacce ("conto bloccato", "pacco in giacenza", "controllo Agenzia Entrate");
• ricorda: banche e istituzioni non chiedono mai password, PIN o codici OTP via e-mail o SMS.

6. Effettua pagamenti solo su siti sicuri (HTTPS) e con tokenizzazione

Lo shopping online è ormai parte della quotidianità di milioni di italiani. Per inserire in sicurezza i tuoi dati di pagamento controlla sempre che il sito sia in HTTPS: nella barra dell'indirizzo deve comparire il simbolo del lucchetto chiuso.

Ulteriori precauzioni:

• preferisci sistemi di pagamento tokenizzato (Apple Pay, Google Pay, PayPal, Satispay): il numero della carta non viene condiviso con il venditore;
• verifica che la carta sia abilitata al protocollo 3D Secure 2.0 (autorizzazione tramite app della banca o biometria);
• se acquisti da venditori sconosciuti, valuta l'uso di una carta prepagata o virtuale con saldo limitato;
• imposta nell'app della banca le notifiche istantanee per ogni movimento: se vedi qualcosa di sospetto puoi bloccare la carta in pochi secondi.

7. Non restare senza antivirus

Un consiglio che sembra banale ma non lo è: non disattivare mai l'antivirus, neanche temporaneamente. Senza una protezione attiva ti esponi a malware, spyware e trojan che possono scaricarsi anche solo visitando una pagina compromessa.

Per gli utenti Windows, l'antivirus integrato (Windows Defender / Microsoft Defender) offre una protezione di base oggi giudicata adeguata da molti laboratori indipendenti. Su Mac, le minacce sono storicamente inferiori ma esistono. Su smartphone Android, scarica solo dal Play Store e attiva Google Play Protect; su iPhone, il modello chiuso di iOS limita molto i rischi.

8. Aggiorna sistema operativo, browser e app

Gli aggiornamenti non sono solo nuove funzioni: nella maggior parte dei casi correggono vulnerabilità già sfruttate dai cybercriminali. Avere un sistema operativo vecchio o un browser non aggiornato è uno dei modi più semplici per esporsi a un'intrusione.

Cosa fare:

• abilita gli aggiornamenti automatici di Windows, macOS, Android, iOS;
• tieni aggiornati Chrome, Edge, Firefox, Safari e gli altri browser: spesso si aggiornano da soli, ma vale la pena dare un'occhiata ogni tanto;
• rinnova i router e modem molto vecchi: i firmware ricevono aggiornamenti di sicurezza solo per pochi anni;
• se possiedi ancora Windows 10 o iOS 16, valuta il passaggio a versioni supportate per continuare a ricevere patch.

9. Fai il backup periodico dei tuoi dati

Nonostante tutti i presidi di sicurezza, qualcosa può andare storto: un guasto hardware, un furto, un attacco ransomware che cifra i tuoi file in cambio di un riscatto. L'unica protezione davvero efficace è il backup.

La regola d'oro è quella del 3-2-1:

• 3 copie dei dati;
• 2 supporti diversi (es. cloud + disco esterno);
• 1 copia fuori sede (es. cloud o disco conservato altrove).

Le soluzioni cloud (Google Drive, iCloud, OneDrive, Dropbox) automatizzano questo processo, ma per i file più importanti vale comunque la pena tenere anche una copia su un disco esterno scollegato, al riparo da eventuali ransomware.

10. Usa una connessione WiFi sicura

La rete WiFi domestica è la porta d'ingresso a tutti i tuoi dispositivi. Proteggila con cura:

• cambia la password di default del modem alla prima accensione (i pattern di fabbrica sono noti agli aggressori);
• imposta una password lunga e complessa anche per la rete WiFi (non solo per l'amministrazione del router);
• usa il protocollo WPA2-PSK o, meglio, WPA3;
• aggiorna periodicamente il firmware del modem (alcuni operatori lo fanno automaticamente);
• disattiva il WPS (Wi-Fi Protected Setup): comodo ma vulnerabile;
• se hai un router compatibile, abilita la rete ospiti separata, per gli amici e i dispositivi IoT.

Sul WiFi pubblico, invece, la regola è semplice: evita pagine "delicate" (home banking, area clienti, PEC) o, se proprio devi connetterti, usa una VPN affidabile. Le reti aperte sono per loro natura meno sicure di una WiFi domestica protetta.