ISR1 – Una password riutilizzata può mettere a rischio riservatezza, correttezza e accesso ai tuoi dati

Usare la stessa password, o password molto simili, per più account può sembrare una scelta pratica. In realtà, è una delle abitudini più rischiose per la sicurezza digitale.

Il motivo è semplice: se una password viene rubata, scoperta o indovinata, un attaccante può provarla anche su altri servizi. Per esempio, la stessa password usata su un vecchio sito potrebbe essere provata anche sulla tua email, sui social network, sul cloud o sui servizi bancari.

Questo può compromettere i tre principi fondamentali della sicurezza delle informazioni:

1. Confidenzialità
2. Integrità
3. Disponibilità

Vediamoli in modo semplice.

---

1. Confidenzialità: proteggere le informazioni da accessi non autorizzati

La confidenzialità significa impedire che persone non autorizzate possano leggere, vedere o usare le tue informazioni.

Riguarda tutto ciò che dovrebbe restare privato, per esempio:

• email;
• messaggi personali;
• documenti;
• fotografie;
• dati sanitari;
• dati bancari;
• informazioni di lavoro;
• file salvati nel cloud.

Se usi la stessa password su più account, basta che uno di questi venga compromesso per mettere a rischio anche gli altri.

---

Esempio pratico

Hai usato la stessa password per un vecchio forum, per la tua email e per il tuo account cloud.

Il vecchio forum subisce una violazione. Le credenziali degli utenti finiscono online. Un attaccante trova la tua email e la tua password, poi prova la stessa combinazione sul tuo account email.

Se riesce a entrare, può leggere messaggi privati, documenti allegati, comunicazioni bancarie, conferme d’ordine, fatture, codici di verifica e informazioni personali.

---

Scenario di incidente

Un attaccante entra nella tua email principale. Da lì può cercare parole come “banca”, “fattura”, “documento”, “password”, “contratto”, “codice” o “cloud”.

In poco tempo potrebbe raccogliere molte informazioni sulla tua vita personale e professionale.

La violazione non riguarda più solo un account. Può diventare una perdita di controllo sulla tua identità digitale.

---

Segnali di attenzione

Potresti notare:

• notifiche di accesso da luoghi sconosciuti;
• email già lette che tu non hai aperto;
• messaggi di reset password non richiesti;
• nuove regole automatiche nella casella email;
• dispositivi collegati che non riconosci;
• avvisi di password compromessa.

---

Comportamento consigliato

Per proteggere la confidenzialità:

• usa una password diversa per ogni account;
• cambia subito le password duplicate;
• proteggi prima l’email principale;
• attiva l’autenticazione a più fattori;
• evita password basate su dati personali;
• controlla periodicamente dispositivi e sessioni collegate.

L’autenticazione a più fattori, chiamata anche MFA, aggiunge un secondo controllo oltre alla password, per esempio un codice temporaneo o una conferma sullo smartphone.

---

2. Integrità: mantenere i dati corretti e non alterati

L’integrità significa mantenere dati, impostazioni e contenuti corretti, completi e non modificati da persone non autorizzate.

Non basta impedire a qualcuno di leggere le informazioni. Bisogna anche impedire che possa modificarle.

Se un attaccante entra in un account, potrebbe cambiare dati, impostazioni, contatti, documenti o contenuti pubblicati.

---

Esempio pratico

Un attaccante accede al tuo account social usando una password rubata da un altro sito.

Una volta dentro, può:

• cambiare la foto profilo;
• modificare le informazioni personali;
• pubblicare contenuti falsi;
• inviare messaggi ai tuoi contatti;
• aggiungere un nuovo indirizzo email;
• collegare app non autorizzate.

Il problema non è solo l’accesso. Il problema è che l’attaccante può alterare la tua presenza online.

---

Scenario di incidente

Immagina che un attaccante entri nella tua email di lavoro o nel tuo account cloud.

Potrebbe modificare un documento condiviso, eliminare informazioni importanti, cambiare autorizzazioni di accesso o inviare comunicazioni a tuo nome.

Chi riceve quei messaggi potrebbe pensare che provengano davvero da te. Questo può creare confusione, danni professionali e perdita di fiducia.

---

Segnali di attenzione

Potresti notare:

• messaggi inviati che non hai scritto;
• post pubblicati senza il tuo consenso;
• documenti modificati o cancellati;
• impostazioni di sicurezza cambiate;
• email di recupero modificata;
• numero di telefono associato cambiato;
• nuove app collegate all’account;
• contatti che ti chiedono spiegazioni su messaggi strani.

---

Comportamento consigliato

Per proteggere l’integrità:

• usa password uniche e robuste;
• controlla spesso le impostazioni di sicurezza degli account importanti;
• verifica email e numero di recupero;
• rimuovi app o dispositivi che non riconosci;
• attiva notifiche di accesso;
• usa MFA dove disponibile;
• cambia subito la password se noti modifiche sospette.

Una buona regola è questa: se un account contiene dati importanti o permette di comunicare con altre persone, deve essere protetto con particolare attenzione.

---

3. Disponibilità: poter accedere ai dati e ai servizi quando servono

La disponibilità significa poter accedere ai tuoi dati, account e servizi quando ne hai bisogno.

Un account sicuro non deve solo proteggere le informazioni. Deve anche restare accessibile al legittimo proprietario.

Se un attaccante entra in un account, può cambiare la password, modificare l’email di recupero, sostituire il numero di telefono o disconnettere i tuoi dispositivi.

A quel punto potresti non riuscire più ad accedere.

---

Esempio pratico

Usi la stessa password per email, social e servizio cloud.

Un attaccante scopre la password e accede alla tua email. Poi cambia la password dell’email e il numero di recupero. Subito dopo usa l’email per reimpostare anche la password del cloud e dei social.

In poco tempo perdi l’accesso a più servizi.

---

Scenario di incidente

È lunedì mattina. Devi recuperare un documento importante dal cloud per lavoro. Provi ad accedere, ma la password non funziona.

Poi ricevi una notifica: l’indirizzo email di recupero è stato modificato.

Non riesci più ad accedere al cloud, alla posta e magari anche ad altri servizi collegati. Il problema diventa operativo: non puoi lavorare, non puoi recuperare documenti, non puoi comunicare normalmente.

---

Segnali di attenzione

Potresti notare:

• password improvvisamente non funzionante;
• impossibilità di recuperare l’account;
• numero di telefono o email di recupero modificati;
• sessioni disconnesse senza motivo;
• notifiche di cambio password non richieste;
• accessi bloccati a più account nello stesso periodo;
• richieste di verifica che non hai avviato.

---

Comportamento consigliato

Per proteggere la disponibilità:

• proteggi prima l’account email principale;
• aggiorna i metodi di recupero;
• usa password diverse per gli account critici;
• attiva MFA;
• conserva in modo sicuro i codici di recupero;
• verifica periodicamente che email e numero di telefono associati siano corretti;
• non usare la stessa password su servizi importanti e servizi secondari.

I codici di recupero sono codici di emergenza forniti da alcuni servizi quando attivi l’autenticazione a più fattori. Servono per rientrare nell’account se perdi l’accesso al secondo fattore, per esempio lo smartphone.

---

Scenario pratico: il vecchio sito che apre troppe porte

Immagina questa situazione.

Anni fa ti sei registrato a un piccolo sito per scaricare un documento. Per comodità hai usato la stessa password che usi ancora oggi per l’email, per un social network, per il cloud e per un sito di shopping.

Quel vecchio sito viene violato. I dati degli utenti finiscono online.

Un attaccante trova la tua email e la tua password. Poi le prova automaticamente su altri servizi. Questo tipo di attacco si chiama credential stuffing: significa usare credenziali già rubate per tentare l’accesso ad altri account.

Se la password è la stessa, o molto simile, l’attaccante può entrare.

A quel punto può compromettere:

Principio	Cosa può succedere
Confidenzialità	Legge email, documenti, messaggi e dati personali.
Integrità	Modifica impostazioni, invia messaggi falsi, altera contenuti.
Disponibilità	Cambia password e metodi di recupero, impedendoti l’accesso.

Il problema nasce da una sola scelta: avere usato la stessa password in più posti.

---

Perché le password simili sono comunque rischiose

Molte persone pensano: “Non uso proprio la stessa password, cambio solo qualcosa”.

Per esempio:

• Sole2023!
• Sole2024!
• Sole2025!

Oppure:

• SoleEmail!
• SoleFacebook!
• SoleBanca!

Queste password sembrano diverse, ma sono costruite con la stessa logica.

Se un attaccante scopre una password, può provare varianti simili. Cambiare solo l’anno, il nome del servizio o un simbolo non offre una protezione sufficiente.

Una password sicura non deve essere solo “leggermente diversa”. Deve essere realmente unica.

---

Riepilogo finale

Non riutilizzare password identiche o simili protegge i tre pilastri della sicurezza delle informazioni:

Confidenzialità

Eviti che persone non autorizzate leggano dati, messaggi, documenti o informazioni private.

Integrità

Riduci il rischio che qualcuno modifichi dati, impostazioni, contenuti o comunicazioni a tuo nome.

Disponibilità

Proteggi il tuo accesso agli account, evitando che un attaccante possa bloccarti fuori dai tuoi servizi.

La regola pratica è semplice:

Ogni account importante deve avere una password unica.

E per rendere tutto più facile, puoi usare un password manager, cioè uno strumento che crea e conserva password diverse per ogni account. In questo modo non devi ricordarle tutte a memoria.

---

Azione concreta da fare subito

Scegli oggi i tuoi tre account più importanti, per esempio:

1. email principale;
2. home banking o account di pagamento;
3. cloud o account di lavoro.

Controlla se usano password uguali o simili ad altri servizi.

Se sì, cambia subito quelle password e attiva l’autenticazione a più fattori.

È un piccolo passo, ma può evitare che una sola password compromessa diventi un problema molto più grande.