Sicurezza dei dati: crittografia, 2FA e protezione account

Una mattina qualunque e l’e-mail che non doveva arrivare

Apri la posta, bevi un caffè, vedi un avviso: “La tua password è scaduta. Clicca qui.” Sembra vero. Il logo è giusto. Il tono è urgente. Un clic, e il danno è fatto. Chi ti scrive ha il tuo login. In pochi minuti cambia la password, entra nella posta, fa reset sugli altri siti. È così che molti perdono account, soldi, tempo. Come evitarlo? Rallenta. Verifica l’indirizzo del mittente. Non cliccare da e-mail; vai diretto sul sito. E impara a leggere i segnali. Qui una guida chiara su come riconoscere un’e-mail di phishing. Bastano due minuti ora per risparmiarti settimane di caos.

Mappa del rischio in 90 secondi

  • Attiva la 2FA su e-mail, banca, social, cloud. Evita l’SMS se puoi.
  • Usa un gestore di password. Una password unica e lunga per ogni sito.
  • Passa a passkey dove disponibile. Riduce il rischio di phishing.
  • Fai backup 3-2-1. Tre copie, due supporti, una off-site.
  • Cifra il disco del laptop e del telefono. Se lo perdi, i dati restano al sicuro.

2FA oggi: cos’è, cosa cambia e perché l’SMS non basta più

La 2FA (autenticazione a due fattori) chiede due prove: qualcosa che sai (password) e qualcosa che hai (telefono o chiave). L’SMS è meglio di niente, ma è attaccabile. Esiste il SIM swap. Esistono inoltri di SMS. La ricezione può essere deviata. Meglio usare un codice TOTP da app (tipo “Authenticator”), una notifica push con numero di conferma, o una chiave hardware (U2F/FIDO2). Per i servizi critici, la chiave hardware o le passkey sono lo standard più alto oggi.

Per capire cosa è “accettabile” e cosa è “forte”, leggi le linee guida NIST sulla MFA e le raccomandazioni NCSC per la 2FA. In breve: evita solo-SMS quando puoi, usa app TOTP come base, e preferisci chiavi hardware o passkey per account chiave.

Tavola pratica: metodi di 2FA a confronto e quando usarli

Non tutti i fattori sono uguali. Questa tabella ti aiuta a scegliere cosa attivare per ogni tipo di servizio. Se un sito offre più metodi, imposta il migliore e lascia un metodo di riserva come backup.

SMS Basso-Medio (vulnerabile) SIM swap, intercettazione, phishing Facile Servizi non critici o come fallback Disattivalo se puoi. Non usarlo per banca o e-mail principale.
TOTP via app Medio-Alto Malware, phishing mirato Medio E-mail, social, cloud Salva i codici di recupero. Fai backup cifrato dell’app.
Notifica push Alto (se numero-matching) Prompt bombing, tocchi distratti Facile Account principali Usa app con “number matching”. Non accettare richieste non attese.
Chiave hardware U2F/FIDO2 Molto alto Perdita chiave, gestione di riserva Avanzato Banca, lavoro, crypto, admin Tieni una chiave di backup. Conserva i codici in cassaforte.
Passkey (FIDO2/WebAuthn) Molto alto (anti-phishing) Perdita dispositivo, sincronizzazione Facile Account principali, pubblici e aziendali Attiva la sincronizzazione sicura. Imposta metodi di recupero.

Tre idee rapide: 1) Per pagamenti e crypto, scegli chiavi hardware o passkey. 2) Disattiva l’SMS dove hai alternative. 3) Tieni un metodo di riserva sicuro e testato.

Laboratorio tascabile: attiva la protezione in 5 scenari tipici

1) E-mail principale (Gmail/Outlook e simili)

  • Controlla “Sicurezza” e attiva 2FA. Scegli TOTP o passkey come prima scelta.
  • Aggiungi una chiave hardware per recupero. Staccala dal portachiavi.
  • Verifica le sessioni attive. Esci da quelle che non riconosci.
  • Regola gli avvisi di login: ricevi notifiche per nuovi dispositivi.

2) Social network

  • Disattiva l’SMS se puoi. Passa a app TOTP o passkey.
  • Chiudi il login da app o browser che non usi più.
  • Controlla i permessi di app di terze parti. Revoca ciò che non serve.

3) Cloud storage

  • Attiva 2FA forte. Verifica i log di accesso e i link condivisi.
  • Metti cartelle sensibili in aree cifrate o protette.
  • Imposta avvisi per download massivi o nuovi login.

4) Wallet, exchange, crypto

  • Usa chiavi hardware U2F/FIDO2. Evita l’SMS.
  • Conserva seed e codici offline, su carta o hardware cifrato.
  • Imposta limiti di prelievo e whitelist di indirizzi.

5) Siti ad alto rischio (fintech/crypto/gaming)

Prima di registrarti, controlla se la piattaforma offre 2FA forte, crittografia, KYC serio, limiti anti-frode, tempi rapidi di supporto. Vuoi una lista di controlli chiari e recensioni? Vedi la guida su onlinecasinoguide.co.nz per capire come valutare la sicurezza di portali di gioco e i loro standard di protezione account.

Passkey e WebAuthn: il salto che semplifica la sicurezza

Le passkey sono credenziali basate su chiavi pubbliche. Usi impronta, volto o PIN del dispositivo. Il sito non vede password. La verifica avviene tra il tuo dispositivo e il sito. Il phishing perde efficacia, perché la chiave vale solo per quel dominio. Lo standard è WebAuthn, parte di FIDO2. Vuoi una panoramica semplice? Leggi le passkey spiegate dalla FIDO Alliance.

Consigli pratici: attiva le passkey sull’e-mail e sul cloud. Abilita la sincronizzazione sicura con il tuo ecosistema. Tieni un metodo di recupero (chiave hardware o codici). Prova il login su due dispositivi diversi prima di disattivare la password.

Crittografia senza fumo: cosa proteggere e con cosa

  • Traffico web: usa siti con TLS moderno. Il riferimento tecnico è TLS 1.3 (RFC 8446). Evita reti Wi‑Fi pubbliche non protette.
  • Dischi: su Mac attiva FileVault per macOS. Su Windows attiva Panoramica BitLocker. Se perdi il portatile, i tuoi dati restano cifrati.
  • Chat: preferisci app con cifratura end‑to‑end robusta. Il Signal Protocol è un buon esempio.
  • E‑mail: per invii sensibili usa allegati cifrati o PGP. Valuta servizi con protezione per messaggi riservati.

Nota: la crittografia non sostituisce la 2FA. Lavora insieme: canale sicuro + identità forte + igiene dell’account.

Sei già esposto? Come capirlo e cosa fare

Inserisci la tua e‑mail in verificare se un account è stato compromesso. Se risulta in un data breach, cambia subito la password con una unica e lunga. Attiva 2FA/Passkey. Esci da tutte le sessioni. Revoca token di app collegate. Se il breach tocca l’e-mail principale, controlla i filtri e gli inoltri: un attaccante può aver creato regole per nascondere alert di sicurezza.

SIM swap, inoltri e altri colpi bassi

Il SIM swap è quando qualcuno sposta il tuo numero su un’altra SIM. Se usi 2FA via SMS, l’attaccante riceve i codici. Proteggiti con un PIN presso l’operatore e con 2FA non‑SMS. Impara anche a riconoscere inoltri e regole strane in e‑mail. La guida della FCC per proteggersi dal SIM swap è breve e utile.

Norme e fiducia: GDPR, ISO 27001 e policy chiare

La sicurezza non è solo strumenti: è anche processo. Un servizio serio rispetta il GDPR, spiega come tratta i dati, quanto li conserva, come puoi cancellarli. Verifica se cita standard come ISO/IEC 27001 e se ha un DPO o un contatto privacy. Le regole UE sulla protezione dei dati ti danno i tuoi diritti: accesso, rettifica, cancellazione.

Miti da sfatare in 90 secondi

  • “Ho una password lunga, non mi serve 2FA.” Sbagliato. La 2FA blocca molti attacchi.
  • “L’SMS va bene per tutto.” No. È il fattore più debole.
  • “VPN = sono anonimo.” Falso. Riduce alcuni rischi, ma non ti rende invisibile.
  • “Backup nel cloud = backup sicuro.” Non basta. Serve la regola 3-2-1 e test di ripristino.
  • “Le passkey sono solo marketing.” No. Tagliano il phishing alla radice.

Incidenti che insegnano: tre micro-casi

1) Phishing + niente 2FA

  • Cosa è successo: loghi copiati, clic su link falso, password rubata. Accesso all’e-mail.
  • Danno: reset su altri siti, richiesta soldi a contatti, perdita dati.
  • Prevenzione: 2FA forte su e‑mail, passkey attiva, verifica link digitando l’URL a mano.

2) Stessa password ovunque

  • Cosa è successo: un vecchio forum è stato violato. La password era uguale a quella della banca.
  • Danno: credential stuffing riuscito, accesso al conto.
  • Prevenzione: gestore di password, password uniche lunghe, 2FA obbligatoria sui servizi critici.

3) Laptop senza cifratura

  • Cosa è successo: furto in treno. Dispositivo protetto solo da PIN.
  • Danno: dati aziendali e personali esposti. GDPR a rischio.
  • Prevenzione: FileVault/BitLocker attivi, screen lock breve, wipe da remoto.

Ransomware e backup: la regola 3-2-1

Per i tuoi file: tre copie, su due tipi di supporto, una off-site (o cloud immutabile). Aggiungi una copia “air-gapped” se puoi. Programma backup automatici e prova il ripristino ogni mese. Se vieni colpito, non pagare alla cieca: esistono risorse No More Ransom con chiavi di sblocco e istruzioni.

Strumenti consigliati (criteri, non marche)

  • Password manager: cifratura forte, audit delle password, 2FA nativa, export/import sicuri.
  • Authenticator: supporto TOTP e passkey, backup cifrato, number matching, sblocco biometrico.
  • Backup: versioning, test di ripristino facile, opzione immutabile, avvisi errori.
  • Cifratura disco: chip sicuro, recovery key stampata e conservata, gestione centralizzata se in azienda.

Mini‑FAQ (risposte brevi e chiare)

Che cos’è la 2FA e in cosa differisce dalla MFA?

La 2FA usa due fattori. La MFA può usarne due o più. Nel parlare comune, spesso si usano come sinonimi. L’importante è aggiungere un secondo fattore forte.

È meglio TOTP, push o chiave hardware per l’account principale?

Ordine consigliato: passkey o chiave hardware; poi push con number matching; poi TOTP. Evita l’SMS per account critici.

Le passkey sono sicure? Cosa succede se perdo il telefono?

Sono molto sicure e anti‑phishing. Abilita la sincronizzazione sicura e tieni una chiave hardware o codici di recupero. Prova il recupero prima del bisogno.

Come faccio a sapere se la mia e‑mail è in un data breach?

Usa Have I Been Pwned. Se è esposta, cambia password, attiva 2FA, chiudi le sessioni, verifica filtri e inoltri.

La crittografia del disco rallenta il computer?

Su hardware recente, l’impatto è minimo. I vantaggi superano di molto il costo in prestazioni.

L’SMS come 2FA è ancora accettabile? In quali casi?

Solo come fallback o per servizi minori. Per e‑mail, banca, lavoro: usa passkey, chiavi hardware o almeno TOTP/push.

Se oggi avessi 10 minuti…

  • Attiva 2FA sull’e‑mail con passkey o TOTP. Stampa i codici di recupero.
  • Cambia la password più riutilizzata. Rendila unica e lunga.
  • Accendi FileVault/BitLocker. Salva la recovery key in luogo sicuro.
  • Imposta un backup automatico e prova un ripristino di un file.
  • Controlla se la tua e‑mail è in un breach e agisci di conseguenza.

Note per chi sviluppa o gestisce sistemi: basi solide su autenticazione, sessioni e reset password? Vedi l’OWASP: Authentication Cheat Sheet. Piccoli dettagli fanno la differenza.

Autore: Consulente sicurezza IT, ISO 27001 Lead Implementer. Ha guidato migrazioni a passkey e 2FA in PMI (50–500 persone) e in progetti consumer. Lavora con team legali su conformità GDPR e gestione incidenti.

Aggiornato: febbraio 2026. La guida viene rivista ogni 6–12 mesi. Suggerimenti o segnalazioni? Scrivici.

Trasparenza: Nessun link affiliato in questa guida. Le fonti esterne sono standard e siti istituzionali. Questa guida è informativa e non sostituisce le policy della tua azienda.