12 cattive abitudini di tutti i giorni che ti trasformano in un bersaglio facile per gli hacker

La verità, molto meno cinematografica, è che spesso basta una piccola distrazione nella vita digitale di tutti i giorni per spalancare le porte a truffatori e malware. In Italia, nel solo primo semestre 2025, si sono registrati 346 cyber eventi con impatto confermato (+98% rispetto all’anno precedente), a dimostrazione che l’errore umano continua a essere un fattore di enorme importanza.

Vediamo insieme dodici abitudini di tutti i giorni che ti rendono più vulnerabile… e cosa puoi fare per cambiarle.

1. Collegarsi a Wi-Fi aperti al pubblico senza VPN

Bar, hotel, aeroporti, stazioni: qui possiamo spesso trovare internet gratis. Queste connessioni Wi-Fi sono comode, sì, ma di certo non sicure. Le connessioni pubbliche non protette possono essere terreno fertile per attacchi Man-in-the-Middle, soprattutto d’estate quando la gente viaggia di più. È consigliabile, quindi, usare reti sicure o, ancora meglio, una VPN per limitare l’accesso ai dati sensibili.

2. Scansionare QR code “a caso”

Il “quishing” è l’evoluzione del phishing: QR code appiccicati su menù, cartelli dei parcheggi o volantini che ti portano su siti malevoli o ti installano malware. È stato segnalato in diverse campagne informative per viaggiatori nell’estate 2025. La regola giusta da seguire? Scannerizza solo QR di cui puoi verificare la provenienza.

3. Fidarsi dei link post-prenotazione

Prenoti un hotel su Booking, ricevi un messaggio che sembra ufficiale: “Problema con il pagamento, clicca qui per confermare.” Peccato che il sito sia un clone. Tra maggio e giugno 2025, casi simili hanno causato perdite superiori a 1.500 € a singoli utenti. Non seguire link ricevuti via email o chat: entra nel portale ufficiale e controlla da lì.

4. Ignorare gli avvisi di smishing

SMS e messaggi WhatsApp che imitano la tua banca, il corriere o app come Hype: ti invitano a “verificare un addebito” cliccando un link. Il CSIRT e l’ACN hanno segnalato un ritorno in forze di queste campagne nel 2025. Un click di troppo e addio credenziali.

5. Condividere troppo sui social mentre viaggi

Il post “Ciao a tutti! Vado in vacanza per due settimane!” con geotag incluso è un invito a nozze per chi vuole rubarti account o fare peggio. La campagna “Estate in privacy” del Garante ricorda di disattivare la geolocalizzazione, limitare il pubblico dei post e rivedere i permessi delle app.

6. Riutilizzare password deboli

La Giornata Mondiale della Password 2025 ha ribadito un fatto che dovrebbe essere ormai arcinoto: usare la stessa credenziale per email, social e home banking è come avere un’unica serratura per casa, ufficio e macchina. La soluzione? Password uniche, lunghe e un gestore di password affidabile.

7. Non attivare la 2FA

Senza autenticazione a due fattori, un attacco di phishing ben fatto può mettere a repentaglio la tua sicurezza digitale. La truffa WhatsApp del codice a 6 cifre è un esempio lampante. Attiva la 2FA ovunque: i fastidi in fase di login non sono nulla rispetto al danno che può evitare.

8. Rimandare i backup

Quanti file “importanti” hai sul telefono o sul portatile? Foto, documenti, dati di lavoro. Se un ransomware li blocca, senza backup regolari potresti perderli per sempre. Come ribadito in occasione del World Backup Day 2025, è necessario effettuare copie di recupero con frequenze per ridurre al minimo i tempi morti.

9. Cedere alle offerte “troppo allettanti”

Prezzi stracciati, urgenza (“solo per oggi!”), pagamento immediato: così i truffatori spingono le vittime a staccare il senso critico. L’estate 2025 ha visto un aumento di finte offerte di voli e alloggi last-minute. Regola d’oro: se l’offerta ti sembra troppo bella per essere vera, forse sotto sotto qualche problema c’è.

10. Non aggiornare sistema e app

Ogni update contiene codice capace di correggere le vulnerabilità che gli hacker possono sfruttare. Il rapporto ACN del primo semestre 2025 lega una parte degli incidenti a dispositivi e software non aggiornati. Prendi la buona abitudine di installare gli aggiornamenti non appena sono disponibili.

11. Usare sempre la stessa email “principale”

Il fenomeno del credential stuffing sfrutta le email trapelate in data breach per colpire più account contemporaneamente. Gli avvisi 2025 invitano a diversificare gli indirizzi: uno per le iscrizioni dei servizi usati tutti i giorni, uno per la banca, uno per il lavoro… E così via.

12. Pensare “a me non capita”

Considerando che circa il 10% circa degli attacchi globali hanno preso di mira l’Italia, ignorare il rischio è di per sé un’abitudine pericolosa. La sicurezza non è questione di paranoia ma di prevenzione.