Hai presente quella sensazione di controllo quando tieni lo smartphone in mano? Quel piccolo oggetto contiene la tua banca, la tua identità digitale, le tue email, le foto dei tuoi figli. Eppure, mentre lo usi per un bonifico al bar o clicchi distrattamente su un SMS che sembra arrivare dalla tua banca, qualcuno potrebbe già averti aperto la porta di casa senza che tu ne abbia la minima idea.
I numeri fanno paura: nel 2024 il cybercrime ha rappresentato il 78% degli incidenti informatici in Italia, con un totale di 357 attacchi gravi, come riportato da Agenda Digitale. Il furto di dati è l’obiettivo nel 70% dei 2.461 fenomeni registrati, che includono attacchi, incidenti e violazioni della privacy, e nel 30% degli attacchi riusciti i criminali hanno usato l’intelligenza artificiale per affinare le loro trappole, secondo ANSA.
E noi? Siamo un paese iperconnesso: oltre 80 milioni di smartphone per 60 milioni di abitanti. Un ecosistema dove il dispositivo mobile è diventato il bersaglio perfetto per il furto d’identità digitale. Non serve essere un esperto di sicurezza per capire che qualcosa non va: serve solo smettere di pensare “tanto a me non capita”.
In questo articolo tracciamo una mappa pratica dei cinque vettori d’attacco più sfruttati in Italia, mostrandoti quali abitudini quotidiane li rendono possibili e, soprattutto, come disinnescarli uno per uno.
Metodologia: come abbiamo individuato i 5 punti di accesso
Non tutti i pericoli digitali sono uguali. Per costruire questa mappa abbiamo selezionato i cinque vettori più rilevanti per l’utente mobile italiano, valutandoli su cinque criteri precisi.
- Il primo è la diffusione in Italia: abbiamo incrociato i dati di CERT-AGID, Kaspersky e CRIF per identificare le minacce più frequenti.
- Poi abbiamo considerato la crescita recente, perché un attacco in forte aumento è un campanello d’allarme che non possiamo ignorare.
- Il terzo criterio è l’impatto sul furto d’identità: non tutti gli attacchi puntano allo stesso bottino. Abbiamo privilegiato quelli capaci di compromettere credenziali bancarie, identità SPID e dati personali sensibili.
- Il quarto è lo sfruttamento delle abitudini digitali: quanto il vettore si appoggia a gesti automatici come leggere un SMS, riutilizzare una password o connettersi a una rete Wi-Fi aperta.
- Infine, la difficoltà di riconoscimento per l’utente medio: più è facile cadere nella trappola senza accorgersene, più alta è la priorità.
Il caso d’uso di riferimento è chiaro: un cittadino italiano con smartphone, non specialista di sicurezza, che utilizza servizi bancari, social network e identità digitale (SPID) sul proprio dispositivo. Se ti riconosci in questa descrizione, continua a leggere.
1. Smishing: il phishing via SMS che sfrutta la lettura quasi automatica dei messaggi
Ammettiamolo: quando arriva un SMS, lo apriamo. È un riflesso. In Italia leggiamo il 98% degli SMS che riceviamo e rispondiamo al 45%. E i criminali lo sanno benissimo.
Lo smishing, ovvero il phishing via SMS, sfrutta proprio questa nostra reazione quasi automatica. I numeri sono impressionanti: gli SMS registrano tassi di clic tra l’8,9% e il 14,5%, contro una media delle email che si ferma al 2%, come evidenziato da IBM.
Nel 2024, il CERT-AGID ha censito 133 brand coinvolti in campagne di phishing e smishing in Italia, con un obiettivo chiaro: rubare credenziali bancarie, accessi alle webmail e, nel caso delle campagne contro l’INPS, documenti di identità completi, come documenta il CERT-AGID 2024 phishing report.
Il meccanismo è subdolo nella sua semplicità. Ricevi un SMS che sembra provenire dalla tua banca, da un corriere o dall’INPS. C’è un link, e c’è una sensazione di urgenza: “Il tuo account è stato bloccato”, “Il tuo pacco è in giacenza”, “Hai un rimborso in attesa”.
Clicchi, e in pochi secondi puoi finire su una pagina identica a quella ufficiale, dove inserisci le tue credenziali. In altri casi, il link scarica malware come Irata, un malware attivo su mobile in Italia, capace di rubare credenziali e codici OTP direttamente dal dispositivo.
L’abitudine che ci tradisce è la fiducia immediata nel messaggio e la risposta rapida. I cybercriminali fanno leva sulla nostra tendenza a cliccare senza verificare, e i risultati si vedono: nel 2024 gli utenti che hanno cliccato link di phishing sono quasi triplicati rispetto al 2023, con un incremento del 190%, come riportato da CyberSecurity360.
Ma perché questi messaggi sono così efficaci? In parte perché li leggiamo su uno schermo piccolo, dove l’URL completo è spesso nascosto. In parte perché il contesto mobile ci porta a decisioni più rapide e meno riflessive. E in parte perché i criminali stanno diventando bravissimi a imitare le comunicazioni ufficiali, usando loghi, formattazioni e toni identici a quelli delle aziende reali.
Per un approfondimento completo su questo tema, leggi il nostro articolo dedicato: cos’è lo smishing: come difendersi dal phishing su smartphone.
2. App malevole e Trojan bancari: il boom degli APK che svuotano il conto
Se pensi che i virus siano un problema da computer, ripensaci. Nel 2024 i Trojan banker Android sono aumentati del 196% in Italia: da 420.000 attacchi nel 2023 a 1.242.000. Un’esplosione. E a livello globale, Kaspersky ha rilevato oltre 33,3 milioni di attacchi mobile.
Il panorama italiano è ancora più preoccupante se guardiamo ai dati del CERT-AGID. Le campagne malware contro Android sono quasi triplicate in un anno: 76 nel 2024 contro 29 nel 2023. Gli infostealer, programmi progettati per rubare dati, rappresentano circa il 67% dei campioni analizzati.
Vengono distribuiti principalmente tramite archivi compressi ZIP e RAR, spesso veicolati da indirizzi PEC compromessi. Ma nel 9,8% dei casi si usano file APK malevoli per installare direttamente applicazioni dannose sul telefono, come riporta il CERT-AGID.
Come ci arrivano, questi APK? I canali sono subdoli. Link ricevuti via SMS, app di messaggistica, siti web fraudolenti. Spesso i criminali usano account già compromessi per dare credibilità ai messaggi, oppure cavalcano temi di attualità per creare urgenza, come spiega Intermedia Channel.
Il malware Irata è attivo su mobile in Italia, specializzato nel rubare credenziali e OTP. Su scala più ampia, AgentTesla, Formbook e Remcos dominano la scena tra i malware generici.
L’abitudine che ci rende vulnerabili? Scaricare app da fonti non ufficiali. Magari perché un amico ci ha girato un link, o perché un sito promette un’app a pagamento gratis. Ma anche ignorare i permessi richiesti da un’app durante l’installazione è un errore fatale. Quando un’app calcolatrice chiede l’accesso agli SMS, qualcosa non quadra. Eppure, in tanti cliccano “consenti” senza pensarci due volte.
Cosa succede dopo l’infezione? Il malware può restare silente per giorni, registrando ogni tasto che premi, leggendo i tuoi SMS per intercettare gli OTP, e svuotando il conto quando meno te lo aspetti. Il problema è che spesso non ci sono sintomi visibili: il telefono funziona normalmente, la batteria dura come prima, e tu non hai idea che qualcuno stia facendo la spesa con i tuoi soldi.
3. Reti Wi‑Fi pubbliche non protette: l’evil twin che intercetta tutto
Sei al bar, ti connetti al Wi‑Fi “Caffè_Centrale_WiFi” e controlli il conto corrente. Sembra innocuo, vero? Peccato che quella rete potrebbe non essere affatto del bar.
In luoghi pubblici, un attaccante può creare un access point falsificato con lo stesso nome di una rete legittima. È la tecnica dell’evil twin, e funziona così: ti connetti pensando di usare la rete del locale, ma in realtà stai passando attraverso il dispositivo del criminale, che può intercettare tutto ciò che trasmetti in chiaro. Password, email, sessioni bancarie.
Il comportamento a rischio è diffusissimo. Connessione automatica a reti aperte, uso di app sensibili come home banking o SPID senza protezione, e una percezione del pericolo sorprendentemente bassa.
Secondo Il Sole 24 Ore, il 41% degli italiani si sente esposto ai rischi di cybersicurezza, ma molti continuano a trascurare protezioni basilari. Siamo preoccupati, ma non abbastanza da cambiare abitudini.
L’assenza di una VPN trasforma ogni bar, aeroporto e hotel in una potenziale trappola. I codici OTP che visualizzi sullo schermo? Se sei su una rete compromessa, possono essere intercettati. Le password che digiti? Stessa storia. E la cosa peggiore è che non lascia tracce: non sai che ti hanno rubato i dati finché non vedi movimenti sospetti sul conto.
Ma perché continuiamo a farlo? In parte per abitudine, in parte per la falsa percezione che “tanto è solo un attimo”.
E poi c’è la questione della connessione automatica: molti smartphone sono configurati per agganciarsi automaticamente alle reti aperte conosciute. Il telefono non distingue tra la rete vera e il suo clone malevolo. Si connette e basta, esponendoti senza che tu muova un dito.
4. SIM swapping: quando il tuo numero di telefono diventa la chiave di tutto
Immagina di perdere improvvisamente il segnale. Il telefono non chiama, non riceve SMS. Pensi a un guasto, ma in realtà qualcuno ha appena trasferito il tuo numero su una nuova SIM. E con quel numero, ha le chiavi della tua vita digitale.
Il SIM swapping funziona così: il criminale convince l’operatore telefonico a trasferire il tuo numero su una nuova SIM in suo possesso, usando tecniche di ingegneria sociale e dati raccolti sul dark web. Da quel momento, tutte le tue chiamate e i tuoi SMS vengono dirottati sul suo telefono. Compresi i codici OTP per l’autenticazione a due fattori.
La rilevanza statistica è allarmante. Secondo i dati CRIF, nel primo semestre 2024 il 36,8% degli utenti italiani ha già ricevuto un alert per dati esposti nel dark web. E i numeri di telefono abbinati alle email sono cresciuti del 142% sul dark web nello stesso periodo.
Questo significa che i criminali hanno sempre più materiale per orchestrare un attacco di SIM swapping: sanno il tuo nome, il tuo numero, la tua email, e con questi dati possono fingersi te al call center del tuo operatore.
L’abitudine più diffusa e più pericolosa? Continuare a ricevere l’OTP via SMS. Lo facciamo tutti, è comodo, è immediato. Ma è anche la via più semplice per farci rubare l’accesso. Se non hai impostato un PIN di sicurezza sull’account del tuo operatore, il SIM swapping diventa un attacco sorprendentemente semplice da eseguire.
E non è solo una questione tecnica. Il problema è anche culturale: diamo per scontato che il nostro numero di telefono sia “nostro” e che nessuno possa rubarcelo. Ma non è così. Il numero è un asset digitale, e come tale va protetto.
La domanda scomoda è: quando è stata l’ultima volta che hai contattato il tuo operatore per chiedere quali misure di sicurezza ha attivato sul tuo account?
5. Password riutilizzate e dati nel dark web: la combinazione che apre ogni porta
Lo so, lo facciamo tutti. Creare una password unica per ogni servizio è una scocciatura. Ma c’è un dato che dovrebbe farti venire i brividi: i dati CRIF mostrano che nel primo semestre 2024 la combinazione email+password era presente nel 96,16% dei casi rilevati.
Le combinazioni numero di telefono+email sono cresciute del 142%, e indirizzo+email del 146%. Dati combinati che permettono attacchi di spear phishing mirati, dove il criminale sa esattamente chi sei e ti scrive come se ti conoscesse.
Quali account finiscono più spesso sul dark web? Servizi VPN al primo posto (30%), servizi finanziari al quarto (10%). Il caso più eclatante in Italia? L’attacco a Infocert, tra i fornitori di identità digitale SPID, che ha esposto 5,5 milioni di registrazioni: 1,1 milioni di numeri di telefono e 2,5 milioni di email, messi in vendita a 1.500 dollari.
L’uso di password ripetute trasforma ogni violazione passata in un passepartout per tutti gli altri servizi. E quando i dati sono combinati, il danno si moltiplica. Non è solo la password ad essere esposta: è la tua identità digitale completa, con nome, cognome, indirizzo, numero di telefono. Abbastanza per un furto di identità in piena regola.
Ma perché è così difficile smettere di riutilizzare le password? Il motivo è semplice: ricordare decine di password diverse è impossibile per il cervello umano. Ecco perché continuiamo a usare “password123” con piccole varianti. Il problema non è la pigrizia: è che non abbiamo gli strumenti giusti per gestire la complessità.
Il piano d’azione: chiudere le porte una per una
Bene, abbiamo visto i cinque vettori d’attacco. Ora la domanda è: cosa possiamo fare concretamente? La buona notizia è che per ciascuna di queste minacce esiste una contromisura semplice. Vediamole una per una.
Contro lo smishing: attiva i filtri antispam del tuo operatore. Non cliccare mai su link ricevuti via SMS da mittenti sconosciuti, e anche se il mittente sembra la tua banca, verifica sempre il dominio digitale prima di inserire credenziali. Se hai dubbi, apri il sito ufficiale dal browser invece di cliccare sul link.
Contro le app malevole: scarica solo da store ufficiali. Controlla sempre i permessi richiesti da un’app prima di installarla. Mantieni il sistema operativo aggiornato e valuta l’installazione di un antivirus mobile affidabile.
Per il Wi‑Fi pubblico: disabilita la connessione automatica alle reti aperte. Utilizza una VPN affidabile quando ti connetti fuori casa. E non fare mai operazioni bancarie su reti pubbliche non protette.
Contro il SIM swapping: imposta un PIN o un codice di sicurezza presso il tuo operatore. Per l’autenticazione a due fattori, usa app come Google Authenticator o Authy, mai gli SMS. Attiva il blocco di portabilità se il tuo operatore lo offre.
Per le password e il dark web: La prima linea di difesa è un gestore di password che genera credenziali univoche per ogni servizio. Adottare una gestione password, come Proton Pass, chiude la porta al credential stuffing e riduce drasticamente la superficie di attacco. Ogni account dovrebbe essere associato all’autenticazione a due fattori tramite un’app, mai tramite SMS.
Caveat e controindicazioni: ciò che questa mappa non copre
Questa mappa copre i cinque vettori più sfruttati in Italia, ma non è esaustiva. Il furto fisico dello smartphone, per esempio, è un rischio enorme: circa un milione di dispositivi vengono rubati o smarriti ogni anno nel nostro paese, e il 45% riguarda giovani sotto i 24 anni, secondo Assoutenti. Uno smartphone in mano a un malintenzionato dà accesso diretto a tutti i dati presenti, senza bisogno di attacchi sofisticati.
Anche il vishing, il phishing telefonico, e le campagne via email tradizionale non sono trattati in questa selezione. Richiederebbero una mappa dedicata, perché le dinamiche di attacco sono diverse.
E poi c’è un punto importante: la responsabilità non è soltanto individuale. Alcune vulnerabilità, come le procedure di SIM swapping, dipendono dalle policy di sicurezza degli operatori telefonici e dalla robustezza della verifica dell’identità che mettono in atto. Non tutto è sotto il nostro controllo.
Infine, nessuno strumento offre protezione assoluta. L’obiettivo non è la sicurezza totale, che non esiste. È la riduzione del rischio attraverso più livelli di difesa. Un password manager, una VPN, l’autenticazione a due fattori via app: sono mattoni che, messi insieme, costruiscono un muro difficile da scavalcare.
Conclusione
Smishing, app malevole, Wi‑Fi insicuri, SIM swapping e password riutilizzate: cinque vettori d’attacco, cinque abitudini quotidiane che li rendono possibili. La buona notizia è che non servono competenze tecniche avanzate per proteggersi. Serve consapevolezza e qualche strumento mirato.
Il mio consiglio è di fare un controllo immediato: verifica se la tua email è comparsa in violazioni note (puoi usare servizi come Have I Been Pwned), attiva l’autenticazione a due fattori via app su tutti gli account che lo permettono, e valuta seriamente l’adozione di un password manager. Non farlo domani, non farlo la prossima settimana. Fallo ora.
Il furto d’identità da smartphone non è un destino inevitabile. È una conseguenza di porte lasciate aperte. Chiudile prima che gli hacker le trovino.