Furti di e-mail e numeri di telefono, frodi sui dati della carta di credito, hackeraggi dei profili social. Chi più ne ha, più ne metta. Proteggere i propri dati online è una vera priorità.

L’Italia è al 5° posto per furto di e-mail e password online e al 7° posto per numero di indirizzi e-mail compromessi. Il 36,8% degli italiani ha ricevuto alert per dati rilevati sul dark web e le regioni più colpite risultano Lazio, Lombardia, Sicilia e Campania. Sono alcuni dei dati che arrivano dall’Osservatorio Cyber di CRIF, che analizza la vulnerabilità degli utenti e delle aziende agli attacchi cyber, nel mese dedicato alla Cybersecurity.

Più esposti a frodi e furti di identità

Secondo i dati, nel primo semestre del 2024 è aumentato del 10% il numero di alert relativi al rischio che i propri dati finiscano in mano ai criminali informatici e, in particolare, nel dark web, quella zona grigia in cui le potenzialità del web sono sfruttate a scopi illegali. Per intenderci, dove avvengono le truffe. Il furto di informazioni e le frodi relative alle carte di credito sono un problema anche in Italia, che si colloca al 18° posto nella classifica globale per questo tipo di illeciti. Fatali sono spesso alcuni errori commessi dagli utenti, come la combinazione dell’indirizzo di residenza completo, associato alla e-mail (+146% rispetto al secondo semestre 2023), oppure la combinazione del numero di telefono associato con le e-mail (+142%). Non si dovrebbero fornire troppe informazioni insieme, insomma, a meno che non si tratti di documenti ufficiali e form istituzionali. Non va meglio se si parla di account social.

Come proteggere i dati online: i rischi sui social media

I propri dati sensibili spesso sono resi pubblici con troppa leggerezza anche e soprattutto quando si accede ai social media. Secondo l’Osservatorio CRIF, le fasce di età maggiormente coinvolte sono quelle dei 51-60 anni (25,8%), seguite dai 41-50 anni (25,5%), a pari con gli over 60 (25,5%). Gli uomini rappresentano la maggioranza degli utenti (64,0%). Come proteggersi, quindi? A fornire consigli preziosi è Walter Narisoni, Sales Engineering Director SOUTH EMEA Sophos, che affianca le aziende nella difesa dai cyberattacchi.

Sì alle scansioni facciali e alle impronte digitali

La prima indicazione riguarda le modalità di accesso ai propri dispositivi: «Scansioni facciali e impronte digitali sono più sicure rispetto ai codici di accesso: i codici di accesso possono essere facilmente indovinati e offrono agli aggressori maggiori opportunità di compromettere i dispositivi rispetto alle scansioni del volto. Inoltre, le informazioni biometriche usate per sbloccare i dispositivi sono memorizzate in forma crittografata nei dispositivi stessi e non vengono condivise con il produttore del device», spiega l’esperto.

Come proteggere i dati online: autenticazione a più fattori

«Utilizzare l’autenticazione a più fattori (MFA) ogni volta che è possibile fornisce un elevato livello di sicurezza che rende più difficile l’accesso ai propri account da parte dei criminali informatici – spiega Narisoni – In alternativa è consigliabile utilizzare il proprio numero di telefono: è più sicuro che non utilizzare nulla. È importante proteggere con la MFA anche la posta elettronica, che rappresenta il bersaglio preferito dai cybercriminali».

Un errore nel quale si può cadere è condividere pubblicamente informazioni personali, anche in modo ingenuo: «Ad esempio quei sondaggi su Facebook con domande relative alla città di nascita, la prima auto posseduta ecc.: questi sono il tipo di informazione che i criminali informatici possono usare per fingere di essere voi, accedere e prendere il controllo dei vostri account o per convincere qualcuno di essere voi», sottolinea l’esperto.

Non scaricare troppe App inutili

«Non è obbligatorio scaricare ogni volta un’applicazione – chiarisce l’esperto – Spesso è possibile usare il sito web del servizio. Le app raccolgono molti più dati rispetto ai siti web, tra cui la posizione, l’elenco dei propri contatti e altre informazioni che l’utente potrebbe invece non voler condividere. Se si scarica una app, è meglio cancellarla quando non se ne ha più bisogno e qualora si ripresentasse la necessità di riutilizzarla, basteranno pochi minuti per reinstallarla».

Acquistare all’interno degli store online

Un altro aspetto delicato è proprio la fase di acquisto delle App: «È importante prestare attenzione alle app scaricate al di fuori dei grandi store: le applicazioni provenienti da app store e siti web che non sono quelli ufficiali come Google Play, App Store di Apple e Galaxy Store di Samsung possono essere pericolose. Gli store ufficiali hanno standard di sicurezza e privacy in grado di identificare attività dannose. Per scaricare le applicazioni, è meglio attenersi sempre alle fonti ufficiali o, se non sono presenti negli app store ufficiali, scaricare dal sito web ufficiale dello sviluppatore o utilizzare la versione web dell’applicazione».

Email inaspettate o SMS sospetti

«Attenzione anche a e-mail e messaggi di testo inaspettati: il phishing continua a essere una delle tattiche più efficaci utilizzate dai criminali informatici per accedere e sottrarre dati agli utenti. Se arriva una mail o un SMS inusuale, è fondamentale non aprire gli allegati e non cliccare sui link. Qualora ci sia il dubbio che il messaggio possa in realtà essere autentico, si può contattare direttamente il mittente e verificarne la veridicità», spiega Narisoni. Un altro consiglio è non cadere nel tranello dell’urgenza: «Se si riceve una mail o una chiamata da qualcuno che afferma di chiamare per conto di un’organizzazione fidata come il fisco, la polizia o la banca e vi invita ad agire rapidamente o succederà qualcosa di brutto, fermatevi e fate un’ulteriore verifica rivolgendovi direttamente alla fonte».

Come scegliere la password

«È fondamentale ribadire che ogni account deve avere una password unica e complessa, ovvero composta da almeno 12 caratteri, con un mix di numeri, lettere maiuscole e minuscole e caratteri di punteggiatura. Le password non dovrebbero basarsi su informazioni personali e le migliori utilizzano una frase piuttosto che singole parole. Se fossero troppo difficili da gestire, esistono gestori di password che semplificano la questione: registrano le vostre credenziali (username e password) precedentemente create la prima volta che le inserite per accedere a un sito web e poi le memorizzano in un database cifrato da cui poterle richiamare la prossima volta che ne avrete bisogno».

Quali sono le password efficaci?

Per fare qualche esempio, «alcune password efficaci sono: 1Password; Dashlane; LastPass; KeePass. Utilizzare un password manager risolve il problema di dover ricordare moltissime credenziali quindi è un’ottima soluzione se temete di dimenticare le vostre password. È comunque inutile negare che per alcune persone, specie con poca dimestichezza con la tecnologia, annotare scrivere le password in un apposito quaderno da custodire ovviamente in un luogo sicuro e personale non è da considerarsi per forza un’alternativa sbagliata, soprattutto se ciò significa che l’utente sceglierà e utilizzerà password lunghe e uniche per ognuno dei suoi account online», spiega Narisoni.

Parola d’ordine: aggiornare

L’importanza dell’aggiornamento riguarda tutte le applicazioni e i dispositivi: «Naturalmente è necessario installare software di sicurezza informatica su ogni device (anche se si tratta di un Mac) – sottolinea Narisoni – Tutto, dai sistemi operativi ai servizi, diventa obsoleto e prima o poi deve essere sostituito. Ad esempio, anche il router Internet è in genere supportato da aggiornamenti solo per alcuni anni dopo l’acquisto. I cybercriminali amano i dispositivi non aggiornati», sottolinea l’esperto, perché questi strumenti diventano con gli anni più vulnerabili.

Il backup dei dati

Sulla necessità di effettuare periodici backup, gli esperti concordano da tempo: «Sebbene i gruppi di ransomware puntino soprattutto alle aziende che possono pagare riscatti più alti, non esitano a colpire anche utenti privati ed è dunque importante eseguire il backup dei dati per evitare di dover pagare un riscatto», o anche solo di perdere tutte le informazioni che occorrono anche quotidianamente, compresa la rubrica dei contatti o messaggi e email, scambiati anche per motivi professionali tramite il proprio cellulare o altro dispositivo».

Ogni quanto (e dove) salvare

Ogni quanto effettuare un back up, però? «L’unico backup di cui vi pentirete è quello che non avete fatto, tanto più che è un’operazione che non richiede molto tempo né denaro. La regola da applicare è quella del 3-2-1 che suggerisce di avere almeno 3 copie dei dati, compresa quella principale; usare 2 tipi diversi di backup, in modo che se uno si guasta, è meno probabile che anche l’altro subisca lo stesso effetto; e tenerne uno offline, preferibilmente in un luogo diverso da quello in cui si trova il dispositivo principale su cui sono salvati i dati, in modo da poterlo utilizzare anche se si è chiusi fuori da casa o dall’ufficio». Una chiavetta esterna o un hard disk potrebbero essere utili in quest’ultimo caso.

Wi-Fi pubblico: ci si può fidare?

Un dubbio ricorrente è se sfruttare il Wi-Fi pubblico: «È più sicuro di quanto si pensi: contrariamente a quanto si dice in giro, il Wi-Fi pubblico è generalmente sicuro grazie alla crittografia utilizzata dalla maggior parte dei siti web e delle app. Utilizzatelo liberamente negli aeroporti o nelle caffetterie, ma è comunque opportuno evitare di svolgere attività online che prevedano la condivisione di dati sensibili quando si utilizza questa tipologia di connessione», rassicura Narisoni.

“Juice jacking” e Namedrop: cosa sapere

Infine, si possono evitare eccessivi timori riguardo al cosiddetto “juice jacking”. «Con questa espressione di intende il furto di dati da caricatori pubblici. Possiamo rassicurare che si tratta di un rischio estremamente basso», dice l’esperto. Quanto alle nuove tecnologie, «non tutte sono così rischiose come sono presentate. Ad esempio, NameDrop è generalmente sicura e richiede condizioni specifiche per funzionare. È una funzione Apple per iOS che consente di condividere facilmente e rapidamente le informazioni di contatto con qualcuno, o ricevere le sue, senza consegnargli il proprio iPhone bensì semplicemente avvicinando i propri dispositivi o avvicinando un iPhone e un Apple Watch. Attualmente, però, non esiste un equivalente per Android», conclude l’esperto.