Come i criminali informatici rubano i tuoi dati personali (e come difenderti)

furto di dati personali online phishing
  • Il furto di dati personali online è oggi più redditizio del semplice sabotaggio informatico: i criminali puntano a nomi, contatti e dati finanziari per truffe, furti d'identità e rivendita sul dark web
  • Le tecniche principali sono social engineering, ransomware e attacchi adversary-in-the-middle, spesso affiancate da violazioni di database aziendali su larga scala
  • La difesa efficace è a più livelli: antivirus, password manager, VPN, estensioni per il browser e cancellazione degli account inutilizzati

Chi attacca i tuoi dispositivi oggi non vuole bloccare il tuo computer: vuole il tuo nome, il tuo numero di telefono, i dati della tua carta di credito. Il furto di dati personali online è diventato il modello di business più redditizio per i criminali informatici, capaci di guadagnare migliaia di euro per ogni vittima trascinata in truffe personalizzate, aperture fraudolente di conti correnti o furti di identità a lungo termine. Secondo il rapporto FBI del 2025 sulla criminalità informatica, solo negli Stati Uniti questi reati hanno sottratto circa 21 miliardi di dollari in un anno.

In Italia il quadro non è più tranquillo. Le segnalazioni di frode informatica raccolte dalla Polizia Postale sono passate da circa 240.000 nel 2020 a oltre un milione nel 2025. Il danno medio per vittima è salito da 800 euro nel 2018 a una forbice tra 1.500 e 3.000 euro oggi, con punte oltre i 50.000 euro nelle truffe da investimento e nei furti di identità più elaborati.

Tradotto in termini pratici: circa una persona su 30 viene truffata online ogni anno nel nostro paese, e le statistiche della Polizia Postale mostrano che le vittime si distribuiscono uniformemente per età, istruzione e professione. Professionisti, dirigenti e sviluppatori hanno tutti casi documentati di caduta nel phishing: non è mai stata solo una questione di ingenuità.

Vi spieghiamo quali sono e come funzionano le tecniche più comuni e come difendersi.

Come vengono rubati i dati personali online

Le tecniche sono diverse e spesso si combinano tra loro. Il social engineering resta la base di quasi ogni attacco: un truffatore si finge la tua banca, ti avvisa che il conto è a rischio e ti spinge a fornire codice fiscale o dati della carta. Con l’intelligenza artificiale queste truffe sono diventate molto più insidiose, perché i sistemi generano email in italiano fluente e perfettamente impaginate, e possono clonare la voce di una persona reale a partire da appena 20-30 secondi di audio, magari preso da un messaggio vocale condiviso su una chat di gruppo.

Il ransomware cifra i tuoi file rendendoli inaccessibili e chiede un pagamento in cambio del ripristino. Pagare non garantisce nulla: i criminali possono rifiutarsi di sbloccare i dati o copiarli comunque per usarli in attacchi successivi, e chi paga una volta viene spesso identificato come un bersaglio più facile per il round successivo.

Gli attacchi adversary-in-the-middle (AiTM) sono diventati il vettore più preoccupante degli ultimi due anni perché aggirano una difesa che fino a poco tempo fa era considerata solida: l’autenticazione a più fattori. Framework come EvilGinx2 e Modlishka intercettano il cookie di sessione subito dopo che la vittima ha completato l’accesso con il secondo fattore, rendendo inutile la protezione una volta che l’attaccante ha già catturato quella sessione attiva. Microsoft ha segnalato oltre 10.000 attacchi AiTM al mese verso i propri utenti. Solo le chiavi di sicurezza basate su standard FIDO2 resistono davvero a questo tipo di attacco, perché verificano crittograficamente il dominio del sito prima di completare l’accesso.

Esiste poi una categoria di frode più mirata e più costosa per le vittime, il Business Email Compromise (BEC): l’attaccante usurpa l’identità di un dirigente o di un fornitore per ottenere un bonifico fraudolento, spesso con un’email dal tono urgente inviata da un account realmente compromesso. L’FBI stima le perdite globali legate al BEC a 2,9 miliardi di dollari solo nel 2023, e la caratteristica che rende questo attacco così efficace è che non sfrutta una falla tecnica ma la fiducia e la fretta di chi riceve la richiesta.

A queste tecniche dirette si aggiungono il SIM swap, in cui il criminale si presenta a un operatore telefonico fingendosi la vittima e ottiene una nuova SIM con il suo numero, prendendo così il controllo dei codici di verifica via SMS e potenzialmente di conti bancari, SPID e account social, e il credential stuffing, dove combinazioni email-password rubate da un servizio vengono provate automaticamente su decine di altri siti, sfruttando il fatto che molte persone riusano la stessa password ovunque.

Leggi anche:  Claude ora tiene traccia di come lo usi: ecco la funzione Reflect

Un’ultima tecnica meno visibile ma diffusa nell’e-commerce è l’iniezione di codice malevolo nei siti di acquisto legittimi, che cattura i dati della carta al momento del checkout senza che la vittima si accorga di nulla: l’ordine viene completato normalmente, ma i dati di pagamento finiscono comunque nelle mani sbagliate.

I settori più bersagliati e perché

Secondo i report trimestrali dell’APWG, l’organizzazione internazionale che monitora il phishing su scala globale, la distribuzione degli attacchi resta concentrata su pochi settori precisi. I servizi finanziari, tra banche, assicurazioni e fintech, assorbono circa il 23,5% degli attacchi, perché le pagine di login bancarie restano il bersaglio numero uno in assoluto.

SaaS e webmail come Microsoft 365 e Google Workspace pesano per il 19,4%, dato che rubare un solo set di credenziali può aprire l’accesso a un intero ecosistema aziendale. L’e-commerce segue con il 14,2%, trainato dai falsi avvisi di consegna che esplodono durante i periodi di saldi, mentre social media e logistica chiudono la classifica rispettivamente con il 12,8% e l’8,1%. Il filo conduttore è sempre lo stesso: gli attaccanti colpiscono i servizi dove la vittima ha un riflesso di accesso rapido, perché un’email che dice “il tuo account è stato bloccato” scatena quasi sempre una reazione immediata e poco riflessiva.

Va aggiunto che la protezione lato azienda resta largamente insufficiente. Diversi settori ad alto rischio, dalla sanità alle telecomunicazioni fino ai trasporti, mostrano ancora oggi percentuali elevate di domini privi del protocollo DMARC, lo standard che dovrebbe impedire la falsificazione dell’indirizzo del mittente nelle email. In alcuni comparti la copertura resta sotto il 60%, un varco che lascia ampio spazio a campagne di phishing costruite proprio sfruttando domini apparentemente legittimi.

A queste tecniche dirette si aggiunge la minaccia delle violazioni di database aziendali. Nel 2025 il centro americano per la prevenzione del furto di identità ha registrato oltre 3.300 data breach, e in Italia il Garante per la Protezione dei Dati Personali ne ha contate 2.204 solo nel 2024. Attaccare un’organizzazione permette ai criminali di ottenere i dati di migliaia di persone in una sola operazione: uno dei casi più estesi degli ultimi mesi ha coinvolto il fornitore di verifica identità IDMerit, con oltre un miliardo di record esposti a livello globale, inclusi 53 milioni di record riconducibili all’Italia, comprensivi di nomi completi, indirizzi, date di nascita e codici identificativi nazionali.

Anche noi di The Clipboard abbiamo raccontato casi simili, come l’attacco informatico a Tata Electronics che ha messo a rischio documenti riservati di Apple e Tesla, oppure le truffe su Vinted portate avanti grazie all’AI. Una volta esposti, indirizzo email e codice fiscale sono i dati che compaiono più spesso in vendita sul dark web italiano, rispettivamente nel 48,6% e nel 42,2% dei casi monitorati.

I segnali che indicano un furto già in corso

Riconoscere per tempo un furto di identità già avvenuto può fare la differenza tra un danno contenuto e uno molto più esteso. I segnali da non ignorare includono notifiche di accesso da dispositivi o località che non riconosci, email di conferma per registrazioni o acquisti che non hai effettuato, codici di autenticazione a due fattori ricevuti senza averli richiesti, movimenti sospetti sul conto corrente e la comparsa improvvisa del tuo numero di telefono come “non più attivo” senza aver fatto nulla, un campanello d’allarme tipico del SIM swap.

Anche i tuoi contatti possono darti un indizio importante, se iniziano a ricevere messaggi strani a tuo nome o richieste di amicizia da un profilo identico al tuo. Vale la pena controllare periodicamente se il proprio indirizzo email compare nei principali servizi di monitoraggio dei data breach, come Have I Been Pwned, che raccolgono e segnalano pubblicamente le violazioni note.

I dati che cedi ogni giorno senza saperlo

Non tutti i rischi arrivano da attacchi diretti. Ogni sito che visiti raccoglie informazioni su di te attraverso strumenti spesso invisibili. I cookie tracciano il tuo comportamento di navigazione, usati sia per migliorare l’esperienza utente sia per la pubblicità profilata. I tracker pubblicitari come i pixel di tracciamento inviano dati a terze parti: solo Facebook Pixel è attivo su quasi cinque milioni di siti web.

Leggi anche:  Murena /e/OS 4.0: l’alternativa ai servizi Google con un solo tap

Gli scraper automatici raccolgono poi informazioni pubbliche da più fonti per alimentare i siti di data broker, rendendo i tuoi dati accessibili a chiunque abbia una connessione internet, senza contare che l’AI è anche in grado di tracciare un nostro profilo basandosi sulle pubblicità che visualizziamo. Questi strumenti non sono necessariamente illegali, ma creano un archivio di informazioni che può essere usato contro di te in caso di violazione o vendita dei dati raccolti.

Come proteggere i tuoi dati in modo concreto

Non esiste una soluzione singola. La strategia più efficace è a più livelli e richiede continuità nel tempo. Un antivirus resta la prima linea di difesa: quello integrato nel sistema operativo può bastare, ma soluzioni di terze parti offrono più controllo sulla copertura anti-malware. Un password manager genera e conserva password complesse senza doverle ricordare a memoria e resta uno degli strumenti più efficaci in assoluto proprio perché elimina il rischio dovuto al riutilizzo della stessa password su più siti, il fattore che rende possibile il credential stuffing su larga scala.

L’autenticazione a due fattori va attivata ovunque possibile, preferendo sempre un’app authenticator come Google Authenticator, Microsoft Authenticator o Authy rispetto ai codici via SMS, vulnerabili proprio al SIM swap descritto sopra. Attivarla su tutti gli account critici richiede circa 30-60 minuti in totale e offre anni di protezione robusta contro le conseguenze più gravi del phishing. Dove disponibili, le passkey basate su standard FIDO2 offrono un livello di sicurezza ancora superiore, perché richiedono un collegamento diretto e verificato crittograficamente tra il sito legittimo e il tuo dispositivo, rendendole resistenti anche agli attacchi adversary-in-the-middle che aggirano l’autenticazione a due fattori tradizionale.

Una VPN nasconde il tuo indirizzo IP e cifra il traffico, rendendo più difficile per siti e provider tracciare la tua navigazione. Vale la pena ricordare che l’uso delle VPN è oggetto di attenzione da parte di alcune agenzie di intelligence, il che rende ancora più importante scegliere provider affidabili e trasparenti. Le estensioni di sicurezza per il browser bloccano tracker e pubblicità riducendo la superficie di raccolta dati, mentre i servizi di monitoraggio dell’identità avvisano in caso di data breach e possono aiutare a limitare i danni.

O, ancora meglio, sarebbe preferibile utilizzare un browser che integri già al suo interno una serie di protezioni contro il tracciamento; al momento Brave rappresenta lo stato dell’arte sotto questo aspetto. Infine, cancellare gli account inutilizzati elimina punti di esposizione concreti: ogni account abbandonato resta un potenziale bersaglio in una futura violazione, anche anni dopo l’ultimo accesso.

Cosa fare se si rimane vittime di un furto di dati personali online

Il tempo conta più di ogni altra cosa in questa fase. I phisher automatizzano l’accesso agli account compromessi entro pochi minuti dal furto delle credenziali, quindi cambiare la password entro un quarto d’ora spesso blocca l’accesso prima che vengano causati danni reali.

Fondamentale è anche mantenere la lucidità: alcune truffe fanno leva proprio sul panico e sul nostro istinto di agire immediatamente per risolvere la situazione. Esempio classico è l’SMS che ci avvisa dell’autorizzazione di un addebito di migliaia di euro sulla nostra carta, che si può bloccare chiamando un certo numero controllato dai truffatori.

Inoltre, se non siete sicuri che il vostro interlocutore sia effettivamente chi dice di essere, sarebbe utile concordare delle domande le cui risposte siano note solamente a voi e non siano in alcun modo conoscibili da altri. Meglio ancora se non-sense, così da rendere impossibile indovinare la risposta tirando a caso o studiando le vostre abitudini, ad esempio D: qual è il mio gusto di gelato preferito? R: una bicicletta gialla.

Se hai inserito numero di carta, CVV o scadenza in un sito sospetto, chiama subito la banca al numero verde stampato sul retro della carta, mai altri numeri trovati altrove e disconosci le eventuali transazioni fraudolente: per legge la banca rimborsa la maggior parte degli addebiti non riconosciuti entro 30 giorni dalla segnalazione, che andrà accompagnata da una denuncia. Se hai già inviato un bonifico al truffatore, chiama immediatamente la banca per verificare se è possibile bloccarlo, cosa realistica soprattutto nelle prime una o due ore se il pagamento non è ancora stato processato, e sporgi denuncia alla Polizia Postale entro 24-48 ore.

Leggi anche:  Il nuovo sistema reCAPTCHA blocca gli smartphone Android senza servizi Google

Se sospetti che il tuo SPID sia stato compromesso, contatta subito il tuo gestore di riferimento, che sia Aruba, Poste, InfoCert, TIM o Sielte, per richiederne il blocco immediato. Per la Carta d’Identità Elettronica compromessa è possibile chiederne la revoca direttamente al Comune o tramite il portale dedicato del Ministero dell’Interno. In ogni caso, conserva ogni prova disponibile: screenshot di profili clonati, header completi delle email sospette e non solo il testo visibile, URL delle pagine fraudolente, log di accesso dai servizi compromessi e copie degli SMS ricevuti.

Questi elementi sono fondamentali sia in sede di denuncia sia per un eventuale procedimento civile successivo, oltre che per tutelarci nel caso in cui vengano portate avanti ulteriori truffe o illeciti utilizzando i nostri documenti.

Proteggere i propri dati non è un’operazione una tantum. Le minacce evolvono, i servizi cambiano le proprie politiche e le abitudini online lasciano tracce continue. Restare aggiornati su cosa si condivide e dove resta la forma più concreta di difesa disponibile a chiunque.

Domande frequenti

Cosa fare se i miei dati sono già stati rubati? Cambia subito le password degli account coinvolti, attiva l’autenticazione a due fattori con un’app authenticator, e monitora estratti conto e movimenti bancari nelle settimane successive. Se il furto riguarda il codice fiscale o lo SPID, contatta subito il tuo gestore e valuta una denuncia alla Polizia Postale.

Le VPN gratuite proteggono davvero i dati? Molte VPN gratuite si finanziano rivendendo i dati di navigazione degli utenti, lo stesso problema che dovrebbero risolvere. Un provider a pagamento con una politica di no-log verificabile è quasi sempre più affidabile.

Come mi difendo dal SIM swap? Passa dall’autenticazione via SMS a un’app authenticator per tutti gli account critici, ed è possibile attivare un PIN di port-out presso il tuo operatore mobile per bloccare trasferimenti non autorizzati del tuo numero.

Come faccio a sapere se la mia email è stata coinvolta in un data breach? Il modo più semplice è controllare il proprio indirizzo su un servizio di monitoraggio breach come Have I Been Pwned, che raccoglie pubblicamente le violazioni note e segnala se la tua email compare tra i dati esposti. Vale la pena ripetere il controllo periodicamente, non solo una volta.

Qual è la differenza tra phishing, smishing e vishing? Sono la stessa tecnica di manipolazione psicologica veicolata su canali diversi: il phishing arriva via email, lo smishing via SMS e il vishing tramite una chiamata vocale, spesso oggi resa più credibile da voci clonate con l’AI a partire da pochi secondi di audio reale.

Denunciare un furto di identità serve davvero a qualcosa? Sì, ed è un passaggio importante anche a livello pratico, non solo formale: la denuncia alla Polizia Postale entro 24-48 ore è spesso richiesta dalla banca per procedere al rimborso di transazioni fraudolente e resta un documento necessario per qualsiasi contestazione legale successiva.

L’autenticazione a due fattori è ancora sicura nel 2026? Sì, resta molto più sicura di una password da sola, ma non è invulnerabile: gli attacchi adversary-in-the-middle possono aggirare l’MFA basata su SMS o app intercettando il cookie di sessione dopo l’accesso. Le chiavi di sicurezza FIDO2 restano oggi la protezione più solida disponibile.

Cosa rischio se riutilizzo la stessa password su più siti? Se anche uno solo di quei siti subisce una violazione, la combinazione email-password rubata viene testata automaticamente su decine di altre piattaforme attraverso il credential stuffing, spesso nel giro di poche ore. Una password unica per servizio, gestita con un password manager, elimina questo rischio alla radice.