Cybersecurity 21 maggio 2026 8 min di lettura

Come limitare le fughe di dati personali su internet?

È la domanda che tutti si pongono appena si sente parlare di un nuovo attacco massivo nei giornali. Tra ospedali, operatori telefonici e siti assicurativi, sembra che i nostri dati fuggano da ogni parte. Ecco i metodi che riducono davvero l'esposizione — e le illusioni da evitare.

In breve

Non si possono impedire i siti esterni di essere hackerati, ma si può compartimentare l'impatto. Tre pilastri: un gestore di password (una password unica per servizio, basta credential stuffing), alias email (ogni servizio ha il suo indirizzo, disattivabile con un click), l'autenticazione a due fattori (2FA) tramite app sugli account critici. In più, come bonus: cancellare i propri dati dai data brokers per ridurre l'esposizione iniziale.

Sezione 01

Capire da dove arriva la fuga

Il primo passo è accettare che non possiamo controllare la sicurezza dei server delle aziende a cui diamo i nostri dati. Se un sito di e-commerce viene hackerato, la tua password e la tua email finiscono in giro. È inevitabile.

~17 miliardi di account hackerati censiti nel database Have I Been Pwned nel 2026, aggregati da oltre 800 fughe pubbliche. Statisticamente, la tua email principale è quasi sicuramente lì dentro.

Quello che possiamo controllare, invece, è l'impatto che una fuga ha sul resto della tua vita digitale. È tutto il punto dell'igiene digitale: isolare i compartimenti perché una falla resti localizzata.

Sezione 02

L'errore classico: riutilizzare le credenziali

L'errore classico è il riutilizzo delle credenziali. Se usi la combinazione tuo.nome@email.com + la stessa password un po' ovunque, una sola fuga su un piccolo sito di prenotazione vacanze compromette tutti i tuoi account (banca, fisco, social network).

I pirati usano bot che testano questi database rubati — è quello che si chiama credential stuffing — su migliaia di siti al secondo. Niente competenze tecniche, niente target specifico: testano in massa e raccolgono quello che passa.

È l'attacco più redditizio del momento perché:

Non richiede alcuna competenza: strumenti pronti circolano sui forum specializzati.
Costa quasi nulla: i database rubati si comprano a pochi dollari.
Riesce in massa: secondo Akamai, circa il 30% dei login su alcuni siti e-commerce sono tentativi di credential stuffing.
È difficile da rilevare: i bot passano da proxy residenziali e imitano il comportamento umano.

Sezione 03

I tre pilastri dell'igiene digitale

Non serve diventare un esperto di cybersecurity per limitare i danni. L'approccio più efficace, in linea con le raccomandazioni dell'ACN (Agenzia per la Cybersicurezza Nazionale) e di ENISA, si articola in tre assi:

L'igiene delle password

Un gestore di password (Bitwarden, 1Password, Proton Pass) per generare sequenze di caratteri uniche e complesse. Devi ricordare solo una password master. Mai più riutilizzo.

Il mascheramento dei dati

Non dare più il tuo vero indirizzo email. I sistemi di alias (SimpleLogin, AnonAddy, iCloud Nascondi Email) reindirizzano verso la tua vera casella ma possono essere eliminati se la fonte inizia a spammare. Idem per il telefono: numero virtuale per le iscrizioni non essenziali.

L'autenticazione a due fattori (2FA)

Anche se la tua password trapela, mancherà sempre lo step di validazione sul tuo telefono perché il pirata possa collegarsi. Privilegia le app di autenticazione (Aegis, Authy) anziché gli SMS, vulnerabili al SIM swapping.

È proprio su questo bisogno di protezione preventiva che si posizionano piattaforme anti-spam come Sheeldy: evitare che i tuoi dati veri siano il bersaglio principale, cancellando alla fonte quelli che circolano già dai data brokers.

Sezione 04

Verificare se i tuoi dati sono già trapelati

Prima ancora di agire, puoi verificare cosa circola già sul tuo conto:

Have I Been Pwned

Il sito di riferimento creato dal ricercatore in cybersecurity Troy Hunt. Inserisci la tua email su haveibeenpwned.com: ottieni subito la lista delle fughe in cui il tuo indirizzo è apparso, con i tipi di dati interessati (password, telefono, indirizzo postale, ecc.).

Il servizio è gratuito, serio e usato dai CERT governativi di tutto il mondo

Iscriviti al servizio di notifica: verrai avvisato a ogni nuova fuga che ti riguarda. È la base di un monitoraggio personale minimo.

Complementi utili

Mozilla Monitor (ex Firefox Monitor) — interfaccia più accessibile basata su Have I Been Pwned.
I servizi «monitoraggio identità» proposti da alcune banche e assicurazioni (gratuiti o inclusi nei contratti).
acn.gov.it e commissariatodips.it — i portali ufficiali italiani che aggregano le raccomandazioni e le procedure in caso di fuga confermata.

Sezione 05

Riepilogo strumenti per utilizzo

Per passare all'azione, ecco una tabella sintetica che incrocia esigenza e soluzione consigliata nel 2026:

Esigenza	Strumento consigliato	Perché
Password	Bitwarden, 1Password, Proton Pass	Generazione + archiviazione cifrata, multi-dispositivo, audit delle password deboli
Alias email	SimpleLogin, AnonAddy, Hide My Email	Disattivazione con un click in caso di fuga, identificazione della fonte
2FA	Aegis (Android), Authy, YubiKey	Più sicuro dell'SMS, resistente al SIM swapping
Numero di telefono	Onoff, Hushed, secondo numero operatore	Compartimenta le tue iscrizioni non essenziali
Monitoraggio fughe	Have I Been Pwned, Mozilla Monitor	Notifica a ogni nuova fuga che ti riguarda
Cancellazione dai broker	Sheeldy	Esercita il tuo diritto GDPR alla cancellazione presso gli intermediari

Domande frequenti

Come faccio a sapere se i miei dati sono trapelati?

Il sito di riferimento è haveibeenpwned.com (creato dal ricercatore Troy Hunt). Inserisci la tua email e ti indica in quali fughe è stata rilevata. Il servizio è gratuito e usato dai servizi di cybersecurity di tutto il mondo. Puoi anche iscriverti per essere avvisato a ogni nuova fuga che ti riguarda.

Cos'è il credential stuffing?

Il credential stuffing consiste, per un pirata, nel prendere un database rubato da un sito (combinazioni email + password) e testare automaticamente queste combinazioni su migliaia di altri siti popolari. Se riutilizzi la tua password, l'attacco riesce. È l'attacco più redditizio del momento.

Qual è il miglior gestore di password nel 2026?

Bitwarden (open source, freemium), 1Password (ottima UX, a pagamento) e Proton Pass (integrato nell'ecosistema Proton) sono i riferimenti. Evita i gestori integrati nei browser per gli account critici, perché sono meno isolati in caso di compromissione del browser.

Perché usare alias email?

Un alias reindirizza i messaggi verso la tua vera casella ma può essere disattivato in qualsiasi momento. Se dai un alias unico a ogni servizio e uno di essi viene hackerato o rivende i tuoi dati, sai subito da dove arriva la fuga e tagli il disturbo senza toccare il tuo indirizzo principale. SimpleLogin, AnonAddy o Hide My Email di Apple sono le soluzioni più usate.

L'autenticazione 2FA via SMS è sicura?

Meglio di niente, ma nettamente meno sicura di un'app di autenticazione. L'SMS è vulnerabile al SIM swapping (un pirata convince il tuo operatore a trasferire il tuo numero sulla sua SIM) e all'intercettazione di rete. Preferisci Aegis Authenticator, Authy o le passkey / chiavi fisiche (YubiKey) quando possibile.

Fonti Raccomandazioni ufficiali dell'ACN (Agenzia per la Cybersicurezza Nazionale) sull'igiene digitale dei cittadini · Statistiche del sito di riferimento Have I Been Pwned (Troy Hunt) · Guide del Garante Privacy sulla messa in sicurezza degli account online · Piattaforma ufficiale commissariatodips.it della Polizia Postale.

In sintesi

Non si possono impedire i siti di essere hackerati. Si può, però, fare in modo che una fuga in uno non faccia cadere gli altri. Gestore di password, alias email, 2FA tramite app: queste tre abitudini riducono drasticamente la tua superficie d'attacco. Combinate con la cancellazione dei tuoi dati dai data brokers (quello che fa Sheeldy), formano la base di un'igiene digitale sostenibile nel 2026.