Fino a qualche tempo fa capire come proteggere i propri dati online era più facile. Una "è" sbagliata, un articolo fuori posto, una traduzione automatica che inciampava sui pronomi. Per anni l'email di phishing si è riconosciuta così: dal lessico approssimativo, dalla sintassi che traballava, dal saluto in stampatello fuori contesto. Era la firma involontaria del truffatore, e funzionava da campanello d'allarme. Quel tempo è finito.Nel 2025 la Polizia Postale italiana ha gestito 51.560 casi di reati informatici, di cui oltre 27.000 frodi economico-finanziarie, per un danno superiore a 269 milioni di euro. Il rapporto Clusit di marzo 2026 conta 507 incidenti gravi, in crescita del 42% sull'anno precedente, con phishing e social engineering in aumento del 75%. L'Agenzia per la Cybersicurezza Nazionale (Acn), nell'Operational Summary del secondo semestre 2025, registra 1253 eventi cyber in sei mesi e il numero di url malevoli individuati quasi raddoppiato in un anno.Tradotto: i dati personali non sono mai stati così appetibili, e gli attaccanti non sono mai stati così bravi a prenderseli. In pratica difendersi non può più essere considerato un hobby per smanettoni. È manutenzione ordinaria. Come cancellare saltuariamente la cache del browser del proprio smartphone.Il petrolio digitale è nel cluster dei dati personaliNome, indirizzo, abitudini di acquisto, posizioni Gps e like sui social messi insieme valgono molto di più della somma delle parti. Per le aziende sono profilazione pubblicitaria di precisione; per i criminali sono la materia prima per costruire una truffa su misura. Con l'intelligenza artificiale generativa basta un dataset minuscolo per dar vita a mail che sembrano scritte dal capo, un video del medico di base, una telefonata della banca che pronuncia un iban corretto prima ancora che l'utente apra bocca.Le frodi alimentate dall'AI, secondo l'analisi globale di Vectra, sono cresciute del 1210% nel 2025. Le mail di phishing generate da modelli linguistici hanno tassi di click quattro volte superiori a quelle scritte da umani. Il vecchio motto "occhio agli errori di grammatica" andrebbe pensionato.Le password non devono essere più un problemaPasskey: la rivoluzione silenziosaIl secondo scudo: l’autenticazione a più fattori (Mfa)Vpn: utile, ma non miracolosaBrowser, tracker e l'arte di sparire un po'Aggiornamenti software, sempre e comunqueSmartphone e smart home: il fronte che tutti dimenticanoLe password non devono essere più un problemaLa regola è una sola: una password diversa per ogni servizio, lunga, generata in modo casuale. Memorizzarne cinquanta è impossibile, quindi serve un password manager. Un servizio capace di ricordare ogni password, generarne e soprattutto renderle disponibili quando c’è bisogno, a prescindere che si tratta di pc, smartphone o tablet.Ne abbiamo parlato nella nostra guida Come gestire le password in modo sicuro: browser, password manager e autenticazione a due fattori e abbiamo evidenziato non solo le qualità di LastPass, 1Password, Bitwarden e NordPass, ma anche quelle delle funzioni integrate su sistemi operativi e browser.Come abbiamo spiegato, il metodo di adottare password basate "maiuscola + numero + simbolo" è da pensionare. Una passphrase di quattro parole casuali (cavallo-rame-finestra-luglio) è statisticamente più sicura di P@ssw0rd!2026 e si memorizza meglio. Lo dice da anni anche l’Agenzia dell'Unione europea per la cybersicurezza. L'ideale però è farsi creare codici alfanumerici lunghi dai password manager.Passkey: la rivoluzione silenziosaNel 2026 la grande novità non è più "fare password più forti". È eliminarle. Le passkey sono credenziali crittografiche legate al dispositivo (sblocco biometrico o Pin) che mandano in pensione username e password. Le supportano già Google, Apple, Microsoft, Amazon, eBay, PayPal e decine di altri servizi.Non si possono rubare via phishing, perché non c'è niente da digitare e niente da intercettare. Sono la chiave magnetica dell'hotel: funziona solo davanti alla porta giusta, e leggerla da lontano non serve a nessuno. Quando un servizio la propone, accettarla significa fare il salto generazionale che renderà obsolete metà delle truffe descritte sopra. Ed è silenziosa. Come tutte le vere rivoluzioni.Il secondo scudo: l’autenticazione a più fattori (Mfa)Per chi rimane affezionato alle password oppure non ha scelta, l'autenticazione multi-fattore resta la diga decisiva. Blocca circa il 99% degli attacchi automatizzati alle credenziali: è il miglior rapporto costo/beneficio di tutta la cybersecurity domestica. Due regole, in ordine di importanza. La prima: vanno usate app di autenticazione (fra le più note Google Authenticator e Microsoft Authenticator), non gli sms. Gli sms sono vulnerabili allo swapping, una tecnica con cui i criminali si fanno trasferire il numero di telefono su una loro sim e ricevono i codici al posto del titolare. La seconda: per gli account critici (mail principale, banca, cloud personale) il passo successivo sono le chiavi hardware (YubiKey, Google Titan), oggetti fisici da inserire o avvicinare al dispositivo, senza i quali nessuno entra. Costano tra i 30 e i 70 euro. Valgono ogni centesimo.Vpn: utile, ma non miracolosaUna Vpn serve principalmente a cifrare il traffico soprattutto sulle reti pubbliche (l'hotspot del bar, il wi-fi dell'aeroporto), in quelle private magari per superare la geolocalizzazione e nascondere il proprio indirizzo Ip. Non rende totalmente anonimi, non protegge dal phishing, non scaccia i virus. È un passamontagna, non un mantello dell'invisibilità. Le scelte sono tante: da NordVpn a ExpressVpn, senza contare Surfshark, Proton Vpn e tanti altri. L’unica certezza è che quelle gratuite degli app store sono da evitare. Spesso il prodotto sono gli utenti stessi.Browser, tracker e l'arte di sparire un po'Navigare ad esempio su Chrome senza estensioni significa cedere a Google e a una rete di partner praticamente tutto. Tre mosse recuperano grandi pezzi di privacy senza cambiare abitudini. Primo, cambiare browser, e poi come alternativa magari su Firefox con le protezioni avanzate attive, o Brave: bloccano gran parte dei tracker per default. Oppure ancora installare uBlock Origin: è gratuito, open source, e fa il suo mestiere meglio di qualsiasi soluzione a pagamento. Infine idealmente bisognerebe rifiutare i consensi non essenziali ai cookie. È noioso. È un diritto previsto dal Gdpr. Una volta al mese, bisognerebbe dare un’occhiata ai permessi delle app sul telefono. E ricordare che geolocalizzazione sempre attiva, accesso al microfono, lista contatti completa dovrebbero essere concessi con il lumicino. Quasi nessuna app ha bisogno di sapere dove si trova chi la usa in questo momento. Tranne, magari, le mappe.Aggiornamenti software, sempre e comunqueIl 90% delle vulnerabilità sfruttate dai criminali ha già una patch disponibile. Gli attaccanti contano solo sul fatto che non sia stata installata. Aggiornamenti automatici attivi su sistema operativo, browser, app bancarie e router (sì, anche il router si aggiorna). Un antivirus serio basta: Windows Defender, integrato in Windows 11, è ormai paragonabile alle soluzioni commerciali. Per una seconda opinione, Malwarebytes in versione gratuita fa scansioni on-demand decenti.Smartphone e smart home: il fronte che tutti dimenticanoLo smartphone è il dispositivo più sensibile in circolazione. Contiene mail, utenze bancarie, foto, identità digitale, app dell'Inps, app del Fascicolo sanitario. Il minimo sindacale: blocco con biometria e pin di almeno sei cifre ("123456" non vale, e neanche "000000"); installazione solo dagli store ufficiali; revoca dei permessi alle app che non li usano davvero.Le app "modificate" scaricate da link esterni sono uno dei vettori principali di malware del 2026; sarebbe meglio evitare a me che non si abbia un buon livello di competenza. In casa, ogni dispositivo smart è di fatto un computer connesso a internet. La telecamera, il termostato, l'assistente vocale, perfino certi frigoriferi. Le password di default vanno cambiate e i dispositivi andrebbero tenuti su una rete wi-fi separata, se il router lo permette. Si disattiva tutto quello che non si usa. Lo standard Matter sta finalmente uniformando il caos, ma per adesso la regola per proteggere i propri dati online resta antica: meno cose connesse, meglio è.Per chi vuole un piano d'azione concreto, il minimo da fare:Installare un password manager e cambiare almeno le parole chiave di mail, banca, social.Attivare la Mfa con un'app di autenticazione su quei tre account.Quando un servizio le propone, accettare le passkey.Installare uBlock Origin sul browser usato di più.Verificare che gli aggiornamenti automatici siano attivi su telefono, computer e router.Revocare i permessi superflui alle app del telefono.