I dati dell’ultimo Rapporto Clusit mostrano uno scenario chiaro. In Italia, l’obiettivo principale dei pirati informatici non è più soltanto i grandi sistemi bancari o le infrastrutture critiche dello Stato, ma le identità dei singoli utenti. Il furto delle informazioni sensibili avviene un pezzo alla volta, con una pazienza che sorprende gli stessi analisti. I criminali informatici preferiscono rastrellare piccoli database poco protetti, come i moduli di iscrizione a servizi locali, le piattaforme delle palestre, i vecchi archivi di newsletter o i siti di e-commerce minori. Nome, cognome e indirizzo e-mail finiscono così nel dark web, pronti per essere rivenduti a reti di truffatori specializzati che li utilizzano per pianificare attacchi mirati e difficili da riconoscere.

Questi attacchi funzionano perché incrociano dati apparentemente innocui ma fortemente correlati tra loro. Usare la stessa casella per scopi diversi — dal lavoro agli acquisti occasionali — permette ai truffatori di ricostruire le abitudini quotidiane di una persona, i suoi interessi e persino i suoi orari di attività. Una contromisura efficace per interrompere questa catena consiste nel differenziare radicalmente i dati forniti online. Quando la registrazione a un portale è obbligatoria, l’uso di una email temporanea basata su server cifrati consente di generare un alias univoco per quel singolo servizio. L’indirizzo reale resta coperto. Un eventuale attacco informatico al sito terzo colpirebbe soltanto un recapito secondario e sacrificabile, lasciando al sicuro la casella postale principale e l’accesso ai servizi bancari o istituzionali collegati.

I limiti del lucchetto verde e la vulnerabilità degli SMS

Esiste un malinteso diffuso sulla presenza del simbolo del lucchetto nella barra del browser. Il protocollo HTTPS garantisce solo che il transito dei dati tra il computer dell’utente e il server sia protetto da occhi esterni, ma non dice nulla sull’onestà di chi gestisce la pagina web. La creazione di portali clone che imitano corrieri espressi, aziende energetiche o uffici pubblici è un’operazione frequente e dai costi irrisori per il cybercrime. Come riportato frequentemente nelle notizie di cronaca, le tecniche di ingegneria sociale permettono oggi di inserire messaggi fraudolenti persino all’interno dei canali di messaggistica legittimi dello smartphone, inducendo gli utenti a condividere le proprie credenziali in un momento di distrazione o sotto la pressione di una finta urgenza.

Le relazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) confermano l’insufficienza delle misure di protezione puramente passive. Riutilizzare le password o affidarsi ciecamente ai codici temporanei inviati tramite SMS ordinari presenta vulnerabilità strutturali profonde, legate anche alla possibilità di intercettazione delle linee telefoniche attraverso tecniche di clonazione della scheda SIM (il cosiddetto SIM swapping). La tutela della privacy richiede una protezione applicata direttamente all’origine, estesa anche ai metadati — ovvero alle informazioni su orari, posizioni geografiche e destinatari dei messaggi — che i truffatori analizzano dettagliatamente per pianificare le loro attività illecite sul territorio.

Verso una gestione consapevole delle informazioni in rete

La difesa della propria identità digitale non può più essere delegata esclusivamente alla speranza che le piattaforme terze rispettino i protocolli di sicurezza. Il quadro attuale richiede un cambio di mentalità da parte dell’utente, che deve diventare il primo custode dei propri dati sensibili. Spesso, la perdita di controllo sulle proprie credenziali comincia da passaggi considerati banali, come l’accettazione acritica di cookies di tracciamento o la compilazione di form per accedere a sconti temporanei. Le reti criminali sfruttano proprio questa tendenza alla semplificazione per accumulare materiale utile a violare profili ben più importanti, come quelli legati all’identità digitale pubblica o ai fascicoli sanitari.

L’impiego di strumenti di cifratura avanzati e la drastica riduzione dei dati reali lasciati in rete sottraggono la materia prima fondamentale a queste organizzazioni. Schermare i propri recapiti principali attraverso degli alias non deve essere considerato una misura straordinaria riservata agli esperti di tecnologia, ma una prassi quotidiana necessaria per mitigare rischi che potrebbero avere conseguenze concrete e pesanti sulla sicurezza finanziaria e sulla reputazione a lungo termine. Solo riducendo la visibilità dei propri punti di contatto sulla rete si può neutralizzare l’efficacia delle campagne di esfiltrazione di massa, ristabilendo una barriera di protezione reale tra i propri risparmi e le minacce del web.