La maggior parte dei consigli di cybersecurity è opprimente. Articoli che elencano 50 cose da fare, nessuna abbastanza concreta da partire davvero. Questo articolo è diverso. Ti dirò le cinque cose che, statisticamente, sconfiggono il 95 percento delle minacce informatiche al consumatore nel 2026. Se fai queste cinque cose nella prossima settimana, sei più sicuro del 90 percento degli utenti internet.

Tempo totale: circa 90 minuti, distribuiti nella settimana. Non serve software a pagamento per la versione base (esistono upgrade premium ma opzionali).

1. Installa un password manager (20 minuti, questa settimana)

La singola azione più importante di cybersecurity nel 2026 è usare password uniche generate casualmente per ogni account. Il motivo: quando un servizio viene compromesso, la tua password finisce in un database che viene venduto o leakato. Se riusi quella password altrove, gli attaccanti automatizzano testandola contro ogni altro servizio importante. Si chiama credential stuffing, ed è responsabile della maggior parte dei takeover di account consumer nel 2024-2026.

Un password manager genera una password casuale di 24 caratteri per ogni nuovo account, le memorizza criptate e le auto-compila su ogni dispositivo. Devi ricordare solo una master password.

Cosa installare: Bitwarden tier gratuito (copre la maggior parte degli utenti) o 1Password (36 USD/anno per privati).

Passi:

  1. Iscriviti a bitwarden.com (o 1password.com)
  2. Crea una master password robusta (24+ caratteri, scrivila su carta come backup)
  3. Installa l’estensione browser su Chrome, Firefox, Safari, Edge
  4. Installa l’app mobile su iPhone o Android
  5. Nel prossimo mese, quando accedi ad account esistenti, lascia che il password manager li salvi. Quando ti viene chiesto di cambiare password (la maggior parte dei servizi lo richiede occasionalmente), lascia che il manager ne generi una forte.

Dopo 3 mesi, non avrai più idea di quali siano le singole password. È esattamente il punto.

2. Abilita 2FA sugli account critici (15 minuti, questa settimana)

L’autenticazione a due fattori (2FA) significa che, oltre alla password, l’accesso richiede una seconda prova di identità: un codice dal tuo telefono, una chiave hardware, o un’impronta digitale. Anche se un attaccante ottiene la tua password (via phishing o breach), non può accedere senza il secondo fattore.

Account critici su cui abilitare 2FA per primi:

  • Email (Gmail, Outlook, Proton, iCloud)
  • Apple ID o account Google (controlla tutti i tuoi dispositivi)
  • Conti bancari e finanziari
  • Social media (Facebook, Instagram, X)
  • Account lavoro (Slack, Notion, etc.)

Come abilitare:

  1. Vai nelle impostazioni dell’account, trova “Sicurezza” o “Verifica in 2 passaggi”
  2. Abilita 2FA, scegli il metodo:
    • Migliore: App authenticator (Google Authenticator, 2FAS, Authy, 1Password, Bitwarden TOTP)
    • Accettabile: SMS al telefono (meglio di niente, ma vulnerabile ad attacchi SIM-swap)
    • Più sicuro: Chiave hardware (YubiKey, Google Titan) per account ad alto valore

Spendi i primi 15 minuti su email e banca. Aggiungi gli altri nelle settimane successive.

3. Abilita gli aggiornamenti software automatici (10 minuti, oggi)

Gli aggiornamenti software correggono vulnerabilità di sicurezza. Software non aggiornato è la seconda causa più comune di compromissione dispositivi consumer (dopo il riuso di credenziali). L’esempio più recente: bug Apple ImageIO febbraio 2025 ha esposto gli iPhone a un exploit one-tap via iMessage, patchato in iOS 18.2 entro 3 giorni ma dispositivi non aggiornati rimasti vulnerabili per settimane.

Abilita ovunque:

  • iPhone: Impostazioni > Generali > Aggiornamento Software > Aggiornamenti automatici > ATTIVO
  • iPad: stessa cosa
  • Android: Impostazioni > Sistema > Aggiornamento software > Aggiornamenti automatici > ATTIVO (varia per produttore)
  • macOS: Impostazioni Sistema > Generali > Aggiornamento software > Auto-update on
  • Windows: Windows Update > attiva aggiornamenti automatici
  • Browser: Chrome, Firefox, Safari, Edge si aggiornano automaticamente di default; verifica

Per le tue app (specialmente banking, password manager, email): abilita auto-update nelle impostazioni dell’App Store / Play Store.

Bastano 10 minuti totali su tutti i dispositivi e previene l’80 percento degli exploit consumer.

4. Impara a riconoscere le email phishing (skill continua, 20 minuti intro)

Il phishing rimane il metodo numero 1 con cui gli attaccanti ottengono la tua password nel 2026, nonostante tutte le difese tecniche. L’attaccante invia un’email che sembra una notifica legittima (allerta frode bancaria, consegna pacco, scadenza password, etc.) e linka a una pagina di login falsa. Inserisci le credenziali. Le rubano.

Tre regole che sconfiggono il 95 percento del phishing:

  1. Non cliccare mai un link in un’email per accedere a un account. Naviga sempre al sito manualmente (digita l’URL o usa un segnalibro). Se l’email dice “verifica il tuo conto bancario”, apri l’app della banca, non cliccare il link.
  2. Esame attento dell’indirizzo mittente. Le email di phishing spesso vengono da indirizzi che sembrano quasi corretti: “support@amaz0n.com” (zero invece di o), “security@apple-id-support.com” (non apple.com). Leggi l’indirizzo completo del mittente su ogni email che richiede un’azione.
  3. L’urgenza è un campanello d’allarme. Le aziende legittime non minacciano sospensione account entro 24 ore. Il phishing fa leva sul creare panico per agire prima di pensare. Quando un’email crea urgenza, rallenta e verifica.

Azione questa settimana: scorri le ultime 100 email in arrivo. Identifica quelle che sembrano phishing. Inoltralale a phishing@tuabanca.it o segnala alla Polizia Postale (commissariatodips.it). Cancella.

In Italia attenzione particolare a: false email INPS che chiedono dati bancari, false email Agenzia Entrate con bollette PDF, false email PostePay/Poste Italiane che chiedono verifica codici. Sono i pattern più comuni del 2025-2026.

5. Configura un backup off-device (25 minuti, questo weekend)

Gli attacchi ransomware colpiscono i consumatori, non solo le aziende. Le varianti Cryptolocker nel 2024-2026 criptano foto personali, documenti e file di lavoro fino al pagamento. L’unica difesa affidabile è avere un backup recente che il ransomware non possa raggiungere.

Strategia backup a due livelli:

Livello 1: Sync cloud automatico (copre la maggior parte degli scenari di perdita):

  • iPhone/iPad: iCloud Backup, abilita in Impostazioni > Apple ID > iCloud
  • Android: Google One backup
  • Mac: iCloud Foto + iCloud Drive
  • Windows: OneDrive

Costo: tier gratuito copre la maggior parte degli utenti (5GB iCloud, 15GB Google), tier a pagamento da 0,99 EUR/mese per 50GB.

Livello 2: Snapshot hard disk esterno (copre ransomware e compromissione account cloud):

  • Acquista un hard disk esterno da 2TB (60-100 EUR, USB-C)
  • macOS: Time Machine, backup automatico completo alla connessione
  • Windows: File History, backup automatico
  • Collega una volta al mese, lascia che si sincronizzi, scollega (questo conta: un disco sempre connesso può essere criptato dal ransomware)

Il disco scollegato è la difesa critica. Il ransomware può criptare solo ciò che è attualmente connesso.

Costi totali e cosa risparmi

Costo totale della versione base di queste cinque pratiche:

  • Bitwarden gratuito: 0 EUR
  • App authenticator telefono: 0 EUR
  • Aggiornamenti software: 0 EUR
  • Consapevolezza phishing: 0 EUR
  • Tier gratuito iCloud/Google: 0 EUR
  • Hard disk esterno: 60-100 EUR una tantum

Totale: 60-100 EUR, investimento una tantum.

Confrontato a: il costo medio del cleanup furto identità in Europa è 800-1.500 EUR più 200 ore di tempo personale secondo il rapporto Europol Cybercrime 2024. Pagamento medio ransomware per dispositivi consumer: 200-600 USD. Perdita media da takeover account via credential stuffing: 300-3.000 EUR a seconda di cosa c’è nell’account.

Le basi di cybersecurity costano 50-100 volte meno dell’outcome medio dell’attacco che prevengono.

Cosa fare questa settimana

Lunedì: installa Bitwarden, salva le prime 10 password (15 min). Martedì: abilita 2FA su email e banca (10 min). Mercoledì: abilita auto-update su tutti i dispositivi (10 min). Giovedì: controlla la posta per phishing, cancella + segnala (15 min). Venerdì: ordina un hard disk esterno (60-100 EUR, 5 min). Weekend: configura Time Machine o File History (20 min). Mese successivo: salva gradualmente tutte le vecchie password in Bitwarden, abilita 2FA su più account.

Dopo 30 giorni, la tua postura di cybersecurity consumer è nel top 10 percento degli utenti internet. Le cinque pratiche si compongono: ciascuna rende la successiva più efficace. Il password manager rende il phishing più difficile (l’autofill funziona solo sul sito legittimo). Il 2FA rende il furto di credenziali inutile. Gli aggiornamenti chiudono gli exploit prima che possano essere weaponizzati.

Hai fatto tutto questo senza comprare software enterprise, assumere un consulente o imparare a programmare. Hai letto un articolo e hai agito.

Benvenuto in Da Niubbo a Ninja. Questa è la lezione uno.