Esattamente un anno fa, il 18 giugno 2025, i ricercatori di Cybernews hanno reso pubblica la scoperta più allarmante nella storia della sicurezza informatica: 16 miliardi di credenziali di accesso esposte in rete, raccolte da 30 database separati contenenti URL, login e password in chiaro. Un anno dopo, la maggior parte di quegli account è ancora vulnerabile. Per gli utenti italiani, il rischio non è passato.
La violazione, frutto di anni di campagne di infostealer malware, ha coinvolto servizi usati ogni giorno da milioni di italiani: Google, Apple, Facebook, Telegram, GitHub e portali governativi. I dati esposti non erano hash crittografici: erano password in chiaro, direttamente sfruttabili dai criminali per account takeover, phishing mirato e campagne ransomware. Il team di Cybernews ha definito l’evento “un manuale per lo sfruttamento di massa”, una valutazione che a distanza di dodici mesi non ha perso nulla della sua urgenza.
Questo articolo ricostruisce cosa è successo, analizza il contesto italiano ed europeo, e indica le misure concrete che ogni utente e ogni organizzazione deve adottare oggi.
La scoperta di Cybernews: 30 dataset, 16 miliardi di record
I ricercatori di Cybernews hanno trascorso la prima metà del 2025 a monitorare sistematicamente repository non protetti e archivi del dark web. In sei mesi hanno identificato e analizzato 30 dataset distinti, ciascuno contenente tra decine di milioni e oltre 3,5 miliardi di record. Il conteggio finale ha raggiunto 16 miliardi di credenziali esposte, nella forma di combinazioni URL, login e password in chiaro.
Il dataset più grande conteneva 3,5 miliardi di record legati alla popolazione di lingua portoghese. Un secondo dataset comprendeva circa 455 milioni di record connessi a utenti russi. Un terzo, da 60 milioni di record, era probabilmente collegato a Telegram. Kaspersky, che ha analizzato i dati in modo indipendente, ha confermato che la struttura del database seguiva uno schema preciso: URL del servizio, poi login, poi password.
“Questa non è una semplice violazione”, ha dichiarato il team di Cybernews al momento della scoperta. “Con oltre 16 miliardi di record di accesso esposti, i criminali informatici dispongono ora di un accesso senza precedenti a credenziali personali utilizzabili per account takeover, furto d’identità e phishing altamente mirato.” Kaspersky ha descritto l’evento come “la più grande fuga di dati nella storia dell’umanità”, un titolo che, a dodici mesi di distanza, nessun altro incidente ha ancora superato.
Non una singola violazione: come si accumula un leak da 16 miliardi
Un dettaglio critico distingue questo evento dalla maggior parte delle violazioni tradizionali: nessuna singola azienda è stata hackerata. I 16 miliardi di credenziali non provengono da un’irruzione nei server di Google o Apple. Provengono dai dispositivi degli utenti, compromessi nel tempo da infostealer malware installati in modo silenzioso.
I ricercatori dell’Università del Connecticut hanno spiegato il meccanismo in un’analisi pubblicata il 25 giugno 2025: “Il dataset esposto è una curata amalgamazione di credenziali rubate, raccolte attraverso vari tipi di infostealer malware, programmi malevoli che raccolgono silenziosamente password, cookie, token e dati di sessione dai dispositivi infetti.” Non si tratta di un attacco a una piattaforma: è il risultato cumulativo di anni di infezioni diffuse su scala globale.
La compilazione includeva anche dati da set di credenziali già circolati in precedenti violazioni, riconfezionati e arricchiti con materiale fresco. Per questo il numero ha potuto raggiungere una dimensione mai vista prima. Il confronto con RockYou2024, la più grande raccolta di password uniche mai pubblicata su un forum hacker nel luglio 2024 con quasi 9,9 miliardi di voci, illustra l’escalation nel giro di un solo anno.
Come funziona l’infostealer malware: il vettore dietro 16 miliardi di furti
Gli infostealer sono una categoria di malware progettati specificamente per sottrarre dati di accesso dai dispositivi infetti. A differenza del ransomware, che blocca i file in modo visibile, gli infostealer operano in modo silenzioso, spesso per settimane o mesi prima di essere rilevati. Questa invisibilità è la loro caratteristica distintiva e la ragione per cui sono diventati il vettore di accesso iniziale preferito dai criminali informatici.
I vettori di infezione più comuni includono: allegati email malevoli, installer di software pirata, estensioni browser compromesse e aggiornamenti falsi. Una volta attivo, il malware estrae i dati salvati nel browser (password, cookie, token di sessione), li comprime in un archivio e li invia ai server di comando e controllo degli attaccanti. Famiglie di infostealer come RedLine, Raccoon Stealer e Lumma Stealer hanno dominato il panorama delle minacce nel 2024-2025.
Secondo il rapporto Unit 42 2026 di Palo Alto Networks, che ha analizzato oltre 750 incidenti maggiori nel corso del 2025, il 90% delle violazioni includeva un elemento legato all’identità digitale compromessa. Gli infostealer rimangono il metodo di accesso iniziale più efficace per i criminali informatici proprio perché raccolgono credenziali su vasta scala, con costi operativi bassissimi per gli attaccanti. Lo stesso rapporto rileva che nel 2025 il 22% degli incidenti ha visto l’esfiltrazione completarsi in meno di un’ora, rispetto al 19% del 2024: la velocità degli attacchi cresce ogni anno.
I servizi colpiti: Google, Apple, Facebook e portali governativi
I dataset scoperti da Cybernews contenevano credenziali per praticamente ogni servizio online di rilievo. Google, Apple, Facebook, Telegram, GitHub: nessuna piattaforma principale era esclusa. Ma l’aspetto più preoccupante per gli utenti italiani riguarda la presenza di credenziali per portali governativi, come confermato dai ricercatori dell’Università del Connecticut nella loro analisi pubblicata su UConn Today.
In Italia, questa categoria potrebbe includere credenziali per servizi come SPID, portali INPS, piattaforme sanitarie regionali o sistemi di accesso alle pubbliche amministrazioni. Molti cittadini italiani riutilizzano le stesse password su più servizi, il che significa che una credenziale rubata da un servizio privato può aprire l’accesso a un portale governativo, e viceversa.
La caratteristica che rende questo leak eccezionalmente pericoloso rispetto alle violazioni tradizionali è la natura dei dati esposti: password in chiaro, non hash crittografici. Quando una piattaforma subisce una violazione convenzionale, le password sono spesso protette con algoritmi come bcrypt o Argon2, richiedendo agli attaccanti un lavoro di cracking computazionalmente costoso. Qui, invece, le credenziali erano direttamente utilizzabili senza alcun ulteriore passaggio tecnico.
Confronto storico: le maggiori violazioni di credenziali di sempre
Per comprendere la portata del leak scoperto nel giugno 2025, è utile confrontarlo con i principali incidenti storici di esposizione di credenziali su scala globale. Il dato emerge chiaramente: nessun evento precedente si avvicina alla scala di questa compilazione.
| Anno | Evento | Record Esposti | Tipo di Dati | Origine |
|---|---|---|---|---|
| 2025 | Leak Cybernews (Compilation) | 16 miliardi | Login, password in chiaro, cookie, token | Infostealer malware (30 dataset) |
| 2024 | RockYou2024 | 9,9 miliardi | Password uniche compilate | Raccolta di leak precedenti su forum hacker |
| 2021 | COMB (Compilation of Many Breaches) | 3,2 miliardi | Email + password | Compilazione di leak multipli |
| 2019 | Collection #1-5 | 2,2 miliardi | Email + password | Compilazione di leak multipli |
| 2016 | Yahoo (incidente avvenuto nel 2013) | 3 miliardi | Email, hash password, domande sicurezza | Accesso non autorizzato ai server Yahoo |
| 2013 | Adobe Systems | 153 milioni | Email, password cifrate (non hash) | Accesso non autorizzato |
Il dato del 2025 non è paragonabile ai leak precedenti solo per volume. La differenza qualitativa sta nel fatto che questi 16 miliardi di record includevano dati freschi, raccolti da dispositivi attivi nel 2024-2025, non riciclati da violazioni di anni fa. Questo li rende direttamente sfruttabili per attacchi di credential stuffing contro account correnti, senza necessità di cracking o elaborazione.
L’impatto sugli utenti italiani: cosa è concretamente a rischio
L’Italia è uno dei Paesi europei più esposti alle campagne infostealer. Secondo il Rapporto Cybersecurity TIM 2026, il Paese ha registrato 166 attacchi significativi nel 2025, con un incremento del 14% rispetto all’anno precedente. Il settore maggiormente colpito rimane la pubblica amministrazione, seguita dal settore finanziario e sanitario. La crescita delle infezioni da infostealer ha contribuito direttamente a questo aumento.
Per un cittadino italiano, il rischio concreto si manifesta su tre livelli distinti. Il primo è l’account takeover: se le credenziali dell’account email principale sono nel dataset, un attaccante può accedere alla casella, reimpostare le password degli altri servizi collegati e prendere il controllo dell’intera identità digitale in pochi minuti. Il secondo livello è il furto d’identità finanziario: credenziali bancarie o per portali di pagamento permettono transazioni non autorizzate, potenzialmente irreversibili. Il terzo, più subdolo, è la profilazione per attacchi di spear phishing: conoscere il login di una persona su LinkedIn, il suo indirizzo email e la sua password permette di costruire messaggi ingannevoli altamente personalizzati che possono ingannare anche utenti esperti.
A un anno dalla scoperta, l’ENISA stima che una parte significativa di quei dati circoli ancora nei mercati del dark web. Il prezzo per set di credenziali verificate si è ridotto nel tempo, segnale che il volume disponibile supera la domanda corrente, ma questo abbassamento delle barriere di accesso allarga la platea di chi può permettersi di sfruttarle.
Le voci degli esperti: analisi e raccomandazioni
Chester Wisniewski, ricercatore principal di sicurezza presso Sophos, ha articolato la risposta in tre livelli in base al profilo tecnico dell’utente. Per chi ha dimestichezza con la tecnologia, la priorità assoluta è attivare l’autenticazione multifattore su ogni servizio che la supporta. Per gli utenti meno avanzati, la raccomandazione è adottare un password manager come Bitwarden o 1Password, che genera e memorizza password uniche per ogni account. Per chi è ancora meno tecnico, ha suggerito pragmaticamente di annotare le password in un quaderno fisico, soluzione imperfetta ma significativamente superiore al riutilizzo della stessa password su più servizi.
Adam Fennell, esperto di sicurezza digitale, ha ricordato la regola fondamentale per prevenire il phishing conseguente a queste violazioni: “Recatevi sempre direttamente sul sito ufficiale del servizio. Non cliccate mai su link sospetti in email o messaggi di testo.” Questo consiglio è particolarmente rilevante perché i criminali sfruttano sistematicamente i dati rubati per costruire email di phishing che replicano le notifiche ufficiali dei servizi colpiti, ingannando anche utenti normalmente attenti.
I ricercatori di UConn hanno inquadrato l’evento in termini più ampi: “Un dataset così vasto crea una condizione asimmetrica di accesso alle informazioni in cui i criminali informatici sanno più cose sui vostri account di quanto non ne sappiate voi stessi.” Questa asimmetria, che persiste un anno dopo l’incidente, è il vero fattore di pericolo. La FIDO Alliance ha usato questo evento per ribadire l’urgenza della transizione verso le passkey, tecnologie di accesso basate su chiavi crittografiche che rendono strutturalmente impossibile il riutilizzo di credenziali rubate perché non esiste una password da sottrarre.
Verifica immediata: come sapere se le proprie credenziali sono esposte
Il primo passo per ogni utente italiano è verificare se le proprie credenziali sono incluse in database di violazioni documentate. Lo strumento più affidabile e gratuito è Have I Been Pwned, creato dal ricercatore di sicurezza Troy Hunt, che gestisce un database di oltre 15 miliardi di record compromessi. Inserendo il proprio indirizzo email si ottiene un elenco di tutte le violazioni documentate che lo coinvolgono, con la data e il tipo di dati esposti.
Google offre uno strumento analogo integrato in Chrome e nei dispositivi Android: il Password Checkup, accessibile da myaccount.google.com, che confronta le password salvate con database di credenziali compromesse e segnala quelle a rischio. Apple fornisce una funzionalità simile nell’app Passwords di iOS e macOS, con avvisi automatici quando una password salvata compare in una violazione nota. Entrambi gli strumenti usano un processo di verifica che non trasmette le password in chiaro ai server, preservando la privacy dell’utente durante il controllo.
Per le password specifiche (senza inserirle in chiaro), Have I Been Pwned offre anche il Pwned Passwords, un servizio che permette di verificare se una password è presente nel database usando solo un hash parziale. La FIDO Alliance ha pubblicato una guida dettagliata su come usare questi strumenti dopo la scoperta del leak del giugno 2025.
Guida pratica: 7 passi per proteggere gli account ora
Un anno dopo la scoperta del leak, le raccomandazioni degli esperti rimangono le stesse ma l’urgenza è cresciuta perché il problema non si è risolto da solo. Questi sette passi, in ordine di priorità, costituiscono il piano di risposta minimo per chiunque utilizzi servizi online.
- Cambiare le password critiche subito. Account email, banking online, SPID, portali sanitari: sono le priorità assolute. La nuova password deve essere unica per ogni servizio e lunga almeno 16 caratteri, con una combinazione di lettere, numeri e simboli.
- Adottare un password manager. Bitwarden (open source, gratuito) e KeePassXC (offline, gratuito) sono le soluzioni raccomandate per la maggior parte degli utenti italiani. Un gestore elimina la necessità di ricordare password diverse per ogni servizio, rendendo praticabile l’uso di password uniche e complesse ovunque.
- Attivare l’autenticazione a due fattori (2FA). Su ogni servizio che la supporta, specialmente email, banking e social media. Le app dedicate come 2FAS o Google Authenticator sono preferibili agli SMS, più vulnerabili agli attacchi SIM swap.
- Rimuovere le password salvate nel browser. Kaspersky identifica i browser come uno dei vettori principali attraverso cui gli infostealer raccolgono le credenziali. Spostare le password su un gestore dedicato riduce significativamente questa superficie di attacco.
- Attivare le passkey dove disponibili. Google, Apple, Microsoft, GitHub e molti altri servizi supportano le passkey FIDO2, che sostituiscono la password con una chiave crittografica legata al dispositivo. Sono immuni al phishing e al credential stuffing per design, perché non esiste una password da rubare.
- Verificare le sessioni attive. Su Google, Facebook e altri servizi, controllare le sessioni aperte e terminare quelle non riconoscibili. Un attaccante che ha già ottenuto l’accesso può mantenere una sessione attiva anche dopo il cambio password, se questa non viene revocata esplicitamente.
- Proteggere il dispositivo con un antivirus aggiornato. Gli infostealer si diffondono tramite software pirata, allegati malevoli e aggiornamenti falsi. Una soluzione di sicurezza aggiornata riduce il rischio di nuove infezioni che alimenterebbero futuri leak.
Strumenti di protezione a confronto: opzioni per gli utenti italiani
| Strumento | Funzione | Costo | Interfaccia in italiano | Consigliato per |
|---|---|---|---|---|
| Have I Been Pwned | Verifica esposizione email e password | Gratuito | No (inglese) | Primo controllo immediato |
| Google Password Checkup | Verifica password salvate Chrome/Android | Gratuito | Si | Utenti ecosistema Google |
| Bitwarden | Gestore password open source (cloud) | Gratuito / €10/anno premium | Si | Tutti gli utenti |
| KeePassXC | Gestore password offline | Gratuito | Si | Utenti avanzati, nessun cloud |
| 2FAS Auth | App 2FA open source | Gratuito | Si | Autenticazione a due fattori |
| Passkey FIDO2 | Autenticazione senza password | Gratuito (integrato nei servizi) | Dipende dal servizio | Standard futuro per tutti i servizi |
Il contesto normativo italiano: GDPR, NIS2 e AgID
Per le organizzazioni italiane, il leak del 2025 si inserisce in un contesto normativo in rapida evoluzione. Il GDPR rimane lo strumento principale per le notifiche di violazione dei dati in Italia: le aziende che scoprono di essere state colpite da un infostealer hanno 72 ore per notificare il Garante per la Protezione dei Dati Personali, se la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche. Il mancato rispetto di questo termine ha portato a sanzioni documentate in numerosi casi europei nel corso del 2025.
La Direttiva NIS2, pienamente vigente in Italia con il D.Lgs. 138/2024, obbliga le circa 12.000 aziende nei settori essenziali e importanti a implementare misure di gestione dei rischi informatici che includono esplicitamente la protezione delle credenziali di accesso e l’autenticazione multifattore. La violazione di questi obblighi, in particolare se porta a una compromissione di dati, può risultare in sanzioni fino a 10 milioni di euro per i soggetti essenziali. Le scadenze principali per la piena conformità convergono al 1° ottobre 2026.
L’Agenzia per l’Italia Digitale (AgID), nel documento “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, aggiornato nel 2025, include tra i requisiti minimi la scansione periodica delle credenziali degli utenti rispetto a database di violazioni note. Le pubbliche amministrazioni italiane che non hanno implementato queste misure rimangono esposte sia agli attacchi sia alle conseguenze regolamentari. Le risorse ufficiali sono disponibili sul portale sicurezza di AgID.
L’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza) ha incluso nel suo ENISA Threat Landscape 2025 un’analisi specifica sul crescente ruolo degli infostealer come vettore primario per la raccolta di credenziali su scala industriale, evidenziando come questo fenomeno si intrecci direttamente con gli obblighi di sicurezza imposti dalla NIS2 alle organizzazioni europee.
Analisi tecnica: perché 16 miliardi di credenziali restano pericolose nel 2026
Potrebbe sembrare che, a distanza di un anno, le credenziali del leak del 2025 abbiano perso parte del loro valore operativo. La realtà è più complessa e il rischio è ancora concreto per tre ragioni specifiche.
La prima è il comportamento degli utenti dopo le violazioni: gli studi mostrano che la maggioranza delle persone non cambia le proprie password dopo un leak, a meno di non ricevere una notifica diretta dal servizio coinvolto. Poiché questo leak non proveniva da un singolo provider che potesse inviare email di allerta massive, la maggior parte degli interessati non ha mai ricevuto alcuna comunicazione. Questo significa che migliaia di credenziali italiane nel dataset sono probabilmente ancora attive.
La seconda è il credential stuffing automatizzato. I criminali utilizzano strumenti che testano milioni di combinazioni login/password al secondo contro decine di servizi contemporaneamente. Anche se solo l’1% delle credenziali del leak funziona ancora su un dato servizio, stiamo parlando di 160 milioni di account potenzialmente compromettibili con strumenti automatici.
La terza è la segmentazione del mercato criminale. I grandi dataset vengono venduti, divisi in subset più piccoli, rivenduti a prezzi ridotti e utilizzati da attori con capacità diverse. Un dataset che costava migliaia di dollari a giugno 2025 può essere disponibile per decine di dollari a giugno 2026, ampliando la platea di chi può permettersi di sfruttarlo. L’abbassamento dei prezzi non riduce il rischio: lo distribuisce su un numero maggiore di attori.
5 previsioni: dove va il problema delle credenziali nel secondo semestre 2026
1. Nuovo record di credenziali esposte entro fine 2026. La traiettoria degli infostealer non mostra segnali di rallentamento. Con la proliferazione di nuove famiglie di malware e l’espansione degli ecosistemi di Malware-as-a-Service, la prossima grande compilazione supererà probabilmente i 16 miliardi, inglobando dati più recenti e freschi. Il modello è consolidato: i criminali accumulano dati per mesi prima di pubblicare o vendere le compilazioni.
2. Accelerazione dell’adozione delle passkey in Italia. La pressione combinata della NIS2, del Cyber Resilience Act e della crescente consapevolezza degli utenti spingerà i principali servizi italiani (banking, sanità, PA) a implementare il supporto FIDO2 come opzione principale di autenticazione. La transizione non sarà completa nel 2026, ma i segnali sono già visibili nelle scelte di prodotto dei principali istituti bancari italiani.
3. Aumento degli attacchi di phishing post-breach mirati all’Italia. Il subset da 60 milioni di record legati a Telegram, combinato con l’alta penetrazione di Telegram tra gli utenti italiani, creerà le condizioni per campagne di phishing mirate che sfruttano le credenziali rubate per costruire messaggi credibili. L’Italy è già nel radar dei gruppi di phishing organizzato europeo.
4. Sanzioni GDPR per gestione inadeguata degli incidenti infostealer. Il Garante italiano per la Protezione dei Dati Personali ha già avviato accertamenti su diverse organizzazioni che non hanno rispettato l’obbligo di notifica degli incidenti. Le prime sanzioni significative legate specificamente alla gestione degli infostealer sono attese nel secondo semestre 2026, con un effetto deterrente su tutte le organizzazioni che hanno sottovalutato il problema.
5. Consolidamento dei servizi di monitoraggio delle credenziali B2B. Il segmento dei servizi che monitorano in tempo reale l’esposizione delle credenziali aziendali sui mercati criminali, già in crescita, vedrà fusioni e acquisizioni significative in Europa nel corso del 2026-2027. La domanda è trainata direttamente dagli obblighi NIS2 di gestione del rischio della supply chain: le organizzazioni devono verificare non solo le proprie credenziali ma quelle dei propri fornitori critici.
Risorse per verificare la propria esposizione
Per accedere direttamente alle risorse di verifica e alle analisi ufficiali sull’evento, questi sono i riferimenti più affidabili:
- Have I Been Pwned: verifica gratuita dell’esposizione email e password, aggiornato con oltre 15 miliardi di record
- Analisi Kaspersky del leak da 16 miliardi: guida tecnica dettagliata su cosa fare subito
- UConn Today: “A Blueprint for Mass Cybercrime”: analisi accademica dell’evento e delle sue implicazioni
- FIDO Alliance: guida alla protezione dopo il leak: raccomandazioni ufficiali sulle passkey e sui passi immediati
- ENISA Threat Landscape 2025: panorama ufficiale delle minacce informatiche in Europa
- AgID Sicurezza: misure minime per la pubblica amministrazione italiana e risorse per le organizzazioni
Copertura Correlata
- Rapporto TIM 2026: Ransomware +14% in Italia, 166 Attacchi e 48.500 CVE
- Unit 42 2026: Attacchi 4x Veloci, 89% delle Violazioni su Identità
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- Bitwarden vs KeePassXC: Cloud vs Locale
- Violazione Dati Odido: 6,2 Milioni di Utenti Colpiti
- Sicurezza delle Password: Cosa Protegge Davvero gli Account
FAQ: 16 miliardi di credenziali esposte
Le mie credenziali Google o Apple sono nel leak?
Impossibile saperlo con certezza senza verificare direttamente. Il dataset include credenziali di utenti Google e Apple raccolte dagli infostealer sui dispositivi infetti, non da una violazione diretta dei server di Google o Apple. Usate Have I Been Pwned per verificare il vostro indirizzo email e Google Password Checkup per le password salvate: sono entrambi gratuiti e non richiedono di inserire le password in chiaro.
Devo cambiare tutte le mie password?
Non necessariamente tutte in una volta, ma sicuramente quelle degli account critici: email principale, banking online, SPID, social media con accesso ad altri servizi. Iniziate verificando con Have I Been Pwned quali indirizzi email sono esposti, poi cambiate le password di quei servizi con priorità. Un password manager rende questo processo gestibile anche per chi ha decine di account.
Il mio account è già stato violato se le mie credenziali sono nel dataset?
Non necessariamente. La presenza nel dataset significa che le credenziali erano accessibili agli attaccanti, non che l’account sia già stato compromesso. Se avevate attivato l’autenticazione a due fattori prima che le credenziali venissero usate dagli attaccanti, l’accesso non autorizzato era comunque bloccato anche con la password corretta in mano all’attaccante.
Come mai non ho ricevuto nessuna notifica?
Perché questo non è stato un attacco a un singolo provider. Google, Apple e Facebook non sono state violate direttamente: i dati provengono dai dispositivi degli utenti, compromessi da malware sui loro computer o smartphone. Nessuna singola azienda poteva inviare notifiche perché nessuna azienda sapeva quali dei propri utenti fossero stati colpiti da infostealer sui loro dispositivi personali. La responsabilità della verifica ricade interamente sull’utente.
Le passkey mi proteggono da questo tipo di leak?
Sì, in modo strutturale e definitivo. Le passkey non usano password: sono basate su chiavi crittografiche generate sul dispositivo e legate al servizio specifico. Non possono essere rubate da un infostealer perché non esiste una password da sottrarre. Se avete attivato le passkey su un servizio, quel servizio diventa immune da attacchi di credential stuffing basati su dati rubati, indipendentemente da quante credenziali circolino nei mercati criminali.
Il 2FA via SMS è sufficiente?
Il 2FA via SMS è significativamente meglio di nessuna protezione aggiuntiva, ma rimane vulnerabile agli attacchi SIM swap, in cui un attaccante convince l’operatore telefonico a trasferire il numero di telefono su una SIM controllata dall’attaccante. Per account critici come email e banking, preferite app di autenticazione come 2FAS, Authy o Google Authenticator, che non dipendono dalla rete telefonica e sono immune al SIM swap.
Dove posso segnalare se il mio account è stato violato?
In Italia, gli incidenti informatici che colpiscono privati cittadini possono essere segnalati al CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale tramite il portale commissariatodips.it. Se i dati personali violati ricadono sotto il GDPR e l’incidente ha riguardato un’organizzazione, è possibile anche presentare un reclamo al Garante per la Protezione dei Dati Personali su garanteprivacy.it.
Questo tipo di leak può ripetersi?
Molto probabilmente sì, e su scala ancora maggiore. Il modello degli infostealer-as-a-service è economicamente consolidato: i criminali raccolgono dati in modo continuativo, li accumulano e li pubblicano o vendono periodicamente. L’unica difesa strutturale è ridurre il valore delle credenziali rubate attraverso l’autenticazione multifattore e, dove possibile, sostituire le password con passkey che non possono essere rubate dagli infostealer perché non esistono come dato statico.
