«La porta non si apre da sola»: dalla cyber-igiene aziendale ai rischi per i minori, i consigli di Fabio Ferraro

Non servono competenze da hacker né strumenti sofisticati. La sicurezza informatica, oggi, si gioca su un terreno molto più semplice e, proprio per questo, più fragile: quello delle abitudini quotidiane. È lì che si aprono le falle, nei gesti ripetuti senza pensarci, nelle scorciatoie, nella fiducia mal riposta. In fondo, è una questione di comportamento.

Lo sintetizza senza giri di parole Fabio Ferraro, ispettore della Polizia di Stato e responsabile della sezione operativa per la sicurezza cibernetica di Cosenza: «La porta non si apre mai da sola: è l’uomo che la lascia aperta oppure fa in modo che venga aperta facilmente».

Cyber-igiene: la prima linea di difesa

Da qui si entra nel cuore di un concetto sempre più centrale: la cyber-igiene. «Con questo termine intendiamo una serie di pratiche da adottare per evitare di essere vittima di un utilizzo indebito dei nostri dati personali», spiega Ferraro, chiarendo che non è materia per specialisti ma una responsabilità quotidiana diffusa.

Il primo livello di difesa resta il più elementare e, allo stesso tempo, il più trascurato: «Il primo baluardo di sicurezza informatica è l’utilizzo di una password sicura». Non basta evitare quelle più ovvie: «Deve avere almeno otto caratteri, contenere numeri e lettere, una maiuscola o una minuscola». Regole minime, ma ancora largamente disattese.

A questa base si aggiunge un secondo livello spesso decisivo: «L’attivazione dell’autenticazione a due fattori, anche se non tutti i servizi digitali sono dotati di questa tecnologia». Il problema, però, resta nelle abitudini. «Consigliamo di non utilizzare il salvataggio delle password sul browser», avverte Ferraro, così come è fondamentale «aggiornare sistema operativo e applicazioni» e «diffidare dal concedere dati a persone che fingono di essere fonti autorevoli».

Un tema che non riguarda solo i singoli. «La cybersecurity è dappertutto», sottolinea l’ispettore, ricordando come anche il territorio cosentino sia attraversato da infrastrutture digitali complesse. Eppure, anche davanti a sistemi avanzati, il punto resta invariato: «L’anello debole della catena della sicurezza cibernetica resta l’uomo».

Truffe online: riconoscere i segnali prima del danno

Sul fronte delle truffe, il quadro locale ricalca quello nazionale ed europeo. Con una differenza sostanziale: «Il truffatore digitale oggi opera dappertutto», spiega Ferraro. «Così come colpisce a Cosenza, può colpire in Danimarca o in Gran Bretagna».

Tra i casi più frequenti ci sono le truffe nella compravendita online tra privati. «Viene pubblicizzata la vendita di un oggetto dietro pagamento», racconta. Ma il vero segnale non è l’oggetto: è il comportamento. «Quando il venditore affretta la conclusione dell’acquisto, quasi sempre si nasconde un truffatore».

Un modo per smascherarlo è metterlo alla prova: «Fare domande specifiche sull’oggetto. Il truffatore spesso non saprà rispondere». Nei contesti di e-commerce più strutturati, invece, l’attenzione si sposta sui dettagli tecnici: «Bisogna verificare il protocollo di sicurezza, il lucchetto nella barra del browser», ma soprattutto «fare attenzione al metodo di pagamento».

E qui cade uno degli equivoci più diffusi: «Il bonifico non è sinonimo di sicurezza». Anzi, strumenti come ricariche o bonifici istantanei espongono ancora di più. «Meglio utilizzare sistemi di pagamento assicurati che consentano all’acquirente di rivalersi».

Minori e rete: prevenzione prima del danno

Non solo lotta alle truffe oggi più in voga come la romance scam, il falso trading o il finto professionista. Il contrasto agli abusi sessuali online – dalla produzione di materiale pedopornografico alle dinamiche di adescamento – è una delle missioni centrali della sezione operativa per la sicurezza cibernetica di Cosenza.

«Il fenomeno è cambiato quando i più piccoli hanno avuto accesso a smartphone e tablet», spiega Ferraro. «Durante la pandemia questa esposizione è aumentata drasticamente». L’esposizione dei minori online e l’anonimato della rete, in tal senso, alimenta la devianza di alcuni soggetti adulti: «In questo modo sono state adescate moltissime ragazzine, anche di 10, 11, 12 anni».

Il meccanismo è sempre lo stesso: «Dopo la prima foto segue un ricatto, una pressione psicologica importante». E spesso avviene tutto nel silenzio: «I genitori si accorgono solo quando notano cambiamenti di comportamento». Ma, avverte Ferraro, «arrivare dopo è quasi inutile, il danno psicologico è già fatto. E non si ripara con un arresto o una condanna».

Per questo la prevenzione è centrale. «Nel solo anno scolastico 2025-2026 abbiamo incontrato circa 15.000 studenti», spiega. Dalle elementari alle superiori, perché «già alle elementari c’è disponibilità di smartphone, spesso senza limitazioni». Il consiglio ai genitori è concreto: «Utilizzare strumenti di parental control che consentano di monitorare attività e filtrare contenuti».

E poi c’è un altro fronte, destinato a pesare sempre di più: «La web reputation sarà sempre più importante. Non è escluso che un’azienda valuti un giovane candidato anche da ciò che emerge sui suoi social». Con una consapevolezza non del tutto assorbita: «C’è una linea sottile tra gioco e reato».

Imprese e attacchi invisibili: il rischio nelle email

Se per i cittadini il rischio è spesso legato alla distrazione, per le imprese assume forme più strutturate. Una delle più diffuse è il cosiddetto “man in the mail”, una vera attività di spionaggio delle caselle di posta aziendali.

Anche qui, però, l’origine è banale. Password deboli o mai cambiate, oppure credenziali già compromesse e reperite in un data breach nel dark web. Da lì, il truffatore osserva le comunicazioni tra clienti e fornitori e colpisce nel momento giusto: «Intercetta una fattura che il cliente si aspetta di dover pagare, modifica l’Iban e la reinvia al destinatario. Quest’ultimo dà così l’autorizzazione del pagamento, che va a finire sul conto corrente di un prestanome dell’organizzazione criminale».

Il problema, dunque, emerge solo dopo: «Quando il fornitore sollecita il pagamento, ci si accorge dell’anomalia». A quel punto, recuperare le somme è difficilissimo.

Le contromisure sono semplici e decisive: «Verificare sempre la corrispondenza tra destinatario del bonifico e relativo Iban» e controllare eventuali anomalie nei sistemi di posta. A supporto dall’anno scorso, grazie a una nuova disposizione SEPA rispetto ai bonifici, «le banche segnalano incongruenze con messaggi di alert».

Un dettaglio che può evitare danni enormi. «Qualche anno fa ci è capitata un’azienda stava per pagare una fattura da circa un milione di euro su un conto in Lituania invece che al fornitore francese», racconta Ferraro. «L’anomalia, per fortuna, è stata notata in tempo e l’azienda ha evitato una chiusura certa».

Il sommerso e la vera sfida

C’è infine un dato che sfugge alle statistiche: quello sommerso. «Il dato delle denunce non rappresenta la gravità del fenomeno», osserva Ferraro. Molte vittime. infatti, non denunciano, per importi bassi o per vergogna – come nel caso delle romance scam o del trading. Essere colpito\a nei propri sentimenti da un criminale che si finge una celebrità chiedendo dei soldi, o sperperare questi ultimi assecondando falsi broker, non è una prospettiva allettante per una vittima che deve denunciare.

Spesso, infatti, le vittime emergono solo in un secondo momento, analizzando conti correnti sequestrati o dispositivi sotto indagine. 

È il segnale più chiaro che la questione è prima di tutto culturale. Perché, al di là degli strumenti, resta una verità semplice e difficile da aggirare: la sicurezza non dipende solo dai sistemi, ma da chi li usa. E quella porta, ancora una volta, «non si apre mai da sola».