Tag: Mondo Sicurezza 👁

Come usare Telegram senza numero
Telegram è una delle app di messaggistica più popolari grazie alla sua sicurezza e alle numerose funzionalità. Tuttavia, richiede un numero di telefono per la registrazione. È importante chiarire che, nonostante i metodi alternativi qui menzionati, è comunque necessario un numero di telefono per registrarsi su Telegram. Questo numero non deve necessariamente essere il tuo numero principale o ufficiale, ma un numero è comunque indispensabile per completare la procedura di registrazione.

Considera i seguenti aspetti:
- Sicurezza: Utilizzare numeri temporanei può essere meno sicuro rispetto all’utilizzo del proprio numero. Assicurati di scegliere un servizio affidabile.
- Accessibilità: Alcuni servizi potrebbero non essere disponibili in tutti i paesi.
- Uso Continuativo: Se utilizzi un numero temporaneo, tieni presente che potrebbe scadere. Verifica periodicamente per mantenere l’accesso al tuo account Telegram.
Seguendo questi metodi, puoi registrarti e utilizzare Telegram senza dover condividere il tuo numero di telefono principale.

Perché Telegram Richiede un Numero di Telefono?

Telegram utilizza il numero di telefono come identificatore unico per creare e gestire gli account utente. Questo consente di verificare l’identità dell’utente e di fornire un livello base di sicurezza contro la creazione di account falsi o spam. Ecco alcune opzioni su come ottenere un numero da usare:

Opzioni per Ottenere un Numero Alternativo
1. Numeri Virtuali: Puoi ottenere un numero virtuale tramite servizi come Google Voice, TextNow, Burner o Hushed. Questi numeri possono ricevere SMS e chiamate, utili per la verifica iniziale. Leggi qui
2. SIM Prepagate o Temporanee: Acquista una SIM prepagata a basso costo da usare esclusivamente per la registrazione su Telegram. Una volta registrato, non è necessario utilizzare nuovamente questa SIM, ma dovresti comunque conservarla per eventuali recuperi dell’account.
3. Numeri di Telefono Fissi: Alcuni utenti hanno utilizzato numeri di telefono fissi per registrarsi su Telegram. La verifica può avvenire tramite una chiamata vocale invece di un SMS.
4. App per Numeri Temporanei: Applicazioni come TextFree, Sideline e Twilio offrono numeri temporanei che puoi usare per la verifica. Tieni presente che questi numeri potrebbero scadere dopo un certo periodo.
Passaggi per la Registrazione
1. Scarica Telegram: Installa l’app Telegram sul tuo dispositivo mobile o sul tuo computer.
2. Inserisci il Numero Alternativo: Durante la registrazione, inserisci il numero ottenuto tramite uno dei metodi sopra elencati.
3. Ricevi il Codice di Verifica: Attendi di ricevere il codice di verifica tramite SMS o chiamata vocale sul numero inserito.
4. Completa la Registrazione: Inserisci il codice ricevuto per completare la registrazione.
Considerazioni sulla Sicurezza
- Affidabilità del Servizio: Scegli servizi di numeri virtuali o temporanei affidabili per evitare problemi di sicurezza.
- Accesso Continuativo: Se usi un numero temporaneo, tieni presente che potrebbe scadere. Assicurati di poter accedere al numero per recuperare l’account, se necessario.
- Privacy: Utilizzare un numero alternativo ti permette di mantenere la privacy del tuo numero principale, ma ricorda che Telegram richiede comunque un numero per la registrazione e l’identificazione.
In sintesi, anche se puoi utilizzare un numero alternativo per registrarti a Telegram, è essenziale avere un numero di telefono per completare il processo di registrazione. Questo numero non deve essere necessariamente il tuo numero ufficiale, ma uno che possa ricevere SMS o chiamate per la verifica.

Se desideri utilizzare Telegram senza utilizzare il tuo numero di telefono principale, ecco alcune possibili alternative.

Utilizzo di un Numero Virtuale

Puoi ottenere un numero di telefono virtuale tramite servizi online. Questi numeri possono essere utilizzati per ricevere SMS di verifica. Alcuni dei servizi più comuni sono:
- Google Voice (disponibile solo negli Stati Uniti)
- TextNow
- Burner
- Hushed
SIM Temporanea

Puoi acquistare una SIM prepagata a basso costo solo per la registrazione su Telegram. Questo ti permette di mantenere il tuo numero principale privato, anche se la SIM sarà sempre a nome tuo. Puoi acquistare una SIM prepagata a basso costo presso vari punti vendita, sia fisici che online.

Ecco alcune opzioni comuni:

Punti Vendita Fisici
1. Negozi di Telefonia Mobile: Tutti i principali operatori di telefonia mobile vendono SIM prepagate nei loro negozi fisici. Puoi visitare negozi come Vodafone, TIM, WindTre o Iliad.
2. Supermercati e Ipermercati: Catene di supermercati come Carrefour, Coop, Esselunga e Conad spesso vendono SIM prepagate alla cassa o nell’area dedicata ai servizi di telefonia.
3. Tabaccherie e Edicole: Molte tabaccherie e edicole vendono SIM prepagate di vari operatori mobili. Questo è un metodo conveniente per acquistare una SIM rapidamente.
4. Centri Commerciali: I centri commerciali spesso ospitano chioschi e negozi specializzati in telefonia mobile, dove puoi trovare offerte su SIM prepagate.
Acquisti Online
1. Siti Web degli Operatori Mobili: Puoi acquistare una SIM prepagata direttamente dai siti web ufficiali degli operatori mobili. Ad esempio:
  - Vodafone
  - TIM
  - WindTre
  - Iliad
2. Amazon: Amazon vende SIM prepagate di vari operatori. Puoi ordinare una SIM e riceverla direttamente a casa tua. Visita Amazon SIM prepagate.
3. Ebay: Su eBay puoi trovare SIM prepagate di diversi operatori, spesso a prezzi scontati o con offerte speciali. Visita Ebay SIM prepagate.
Considera inoltre che:
- Copertura di Rete: Verifica la copertura di rete dell’operatore nella tua zona per assicurarti di avere un buon segnale.
- Costo e Offerte: Controlla le offerte attuali per le SIM prepagate. Spesso gli operatori offrono pacchetti promozionali con minuti, SMS e dati inclusi.
- Documenti Necessari: In Italia, per acquistare una SIM prepagata è necessario presentare un documento di identità valido. Questo vale sia per gli acquisti fisici che online.
Acquistando una SIM prepagata a basso costo, puoi facilmente registrarti su Telegram senza usare il tuo numero principale, mantenendo così la tua privacy.

3. Utilizzo di un Numero di Fisso

Alcuni utenti hanno riportato successo nell’utilizzo di numeri di telefono fissi per la registrazione a Telegram. Potrebbe essere necessario un po’ di tentativi e, in alcuni casi, potresti dover ricevere una chiamata vocale per completare la verifica. L’uso di numeri di telefono fissi per la registrazione a Telegram non è una pratica comune né ufficialmente supportata da Telegram. Tuttavia, alcuni utenti hanno riportato di aver avuto successo con questo metodo. La registrazione tramite un numero di telefono fisso può funzionare in alcuni casi, ma non è garantito.

Procedura per Usare un Numero di Telefono Fisso su Telegram
1. Inserimento del Numero Fisso: Durante la registrazione, inserisci il numero di telefono fisso nel formato internazionale corretto.
2. Ricezione del Codice di Verifica: Telegram di solito invia un SMS per la verifica. Tuttavia, poiché un numero fisso non può ricevere SMS, potrebbe apparire l’opzione per ricevere una chiamata vocale.
3. Verifica tramite Chiamata: Se disponibile, seleziona l’opzione per ricevere una chiamata. Telegram chiamerà il numero fisso e ti comunicherà il codice di verifica tramite un messaggio vocale.
4. Inserimento del Codice: Inserisci il codice ricevuto per completare la registrazione.
Considerazioni Importanti
- Successo Non Garantito: Questo metodo potrebbe non funzionare in tutte le regioni o con tutti i numeri fissi. La capacità di Telegram di effettuare chiamate vocali per la verifica dipende dalle politiche locali e dal supporto tecnico dell’app.
- Limitazioni Geografiche: Alcuni paesi potrebbero non supportare affatto la verifica tramite chiamata vocale, rendendo impossibile l’uso di numeri fissi.
- Alternativa: Se questo metodo non funziona, considera l’acquisto di una SIM prepagata o l’utilizzo di un numero virtuale, come descritto in precedenza.
Passaggi Alternativi per la Verifica
1. Numeri Virtuali: Servizi come Google Voice (solo USA), TextNow, Hushed, e altri offrono numeri virtuali che possono ricevere SMS e chiamate.
2. SIM Prepagate: Acquistare una SIM prepagata rimane uno dei metodi più affidabili per registrarsi su Telegram senza usare il proprio numero principale.
App per Numeri Temporanei

Ci sono applicazioni che offrono numeri temporanei per ricevere SMS. Alcune di queste includono:
- TextFree
- Sideline
- Twilio
Passaggi da effettuare per la Registrazione su Telegram senza Numero Principale:
1. Scarica Telegram: Installa l’app Telegram sul tuo dispositivo.
2. Inserisci il Numero Virtuale o Temporaneo: Durante la registrazione, inserisci il numero ottenuto tramite uno dei metodi sopra descritti.
3. Ricevi il Codice di Verifica: Attendi di ricevere il codice di verifica tramite SMS o chiamata.
4. Completa la Registrazione: Inserisci il codice ricevuto per completare la registrazione.
08/07/2025
Come accedere a ChatGPT senza account
OpenAI da pochissimo ha lanciato una nuova iniziativa che consente agli utenti di accedere a ChatGPT senza la necessità di un account, al fine di ampliare la base degli utilizzatori del suo servizio. Se una volta serviva registrarsi per forza con un’email, adesso non serve più farlo e basta seguire le istruzioni che abbiamo messo in questa guida. Seguitela per scoprire come accedere a ChatGPT ed usarlo senza un account.

L’idea è rendere ChatGPT accessibile a tutti, senza login. Per accedere, ad oggi, è possibile andare su uno dei seguenti siti web, ed iniziare immediatamente a fare uso di ChatGPT:

https://anonchatgpt.com/

https://talkai.info/

Fino a marzo 2024, per usare ChatGPT gratis, dovevi registrarti. Ma da aprile, in Italia è stato annunciato che sia possibile usarlo senza registrazione. La versione sarà la stessa di quella degli utenti registrati, GPT 3.5. Non dovrebbe essere possibile, in questo modo, salvare o condividere le chat né personalizzarle.

Devi tenere conto una cosa importante, pero’: la funzionalità è attualmente disponibile solo sul sito web ufficiale dell’applicazione. Devi andare su Gli utenti che utilizzano dispositivi Apple e Android, invece, devono ancora avere un account per accedere al chatbot. Al momento della scrittura di questo articolo non siamo riusciti ad accedere anonimamente a ChatGPT, e questo – considerando il fatto che l’annuncio era stato fatto il 1 aprile – fa pensare ad un pesce d’Aprile gigantesco in cui sono cascati un po’ tutti. Ad oggi, se vai tu ChatGPT.com l’autenticazione viene richiesta!

Se invece vai su uno di questi siti, che dovrebbero in teoria essere wrapper del servizio originale, puoi farlo:

Il problema è che non possiamo essere sicuri che sia davvero ChatGPT e non possiamo essere sicuri di dove andranno a finire i dati delle chat. Meglio, in generale, non condividere dati personali di nessun tipo su nessuno di questi servizi!

Secondo quanto dichiarato dall’azienda, l’aggiornamento è stato introdotto per rispondere alle preoccupazioni relative alla privacy dei dati personali. Consente a coloro che sono riluttanti a condividere informazioni sensibili con l’Intelligenza Artificiale di sperimentare ChatGPT senza dover creare un profilo, permettendo loro di valutare successivamente se desiderano iscriversi. L’obiettivo principale di OpenAI è quello di democratizzare l’accesso agli strumenti basati sull’Intelligenza Artificiale, come ChatGPT, al fine di consentire a un numero sempre maggiore di persone di sperimentare i benefici di questa tecnologia emergente.

Secondo le statistiche fornite dall’azienda, ad oggi più di 100 milioni di persone provenienti da 185 Paesi diversi utilizzano il chatbot ogni settimana. Non sappiamo, a questo punto, se davvero sia possibile accedere anonimamente, e forse il concetto andrebbe un po’ rivisto da tutti gli utenti e spiegato meglio dall’azienda. (immagine: ChatGPT “visto” dall’intelligenza artificiale generativa di MidJourney)
08/07/2025
Web e sicurezza: garanzie online grazie a certificazioni e protocolli

La sicurezza sul web è un tema discusso e sempre più attuale: dalle leggi sulla privacy alla retention di dati, dalla facilità di condividere dati e contenuti alla necessità sempre crescente di fare acquisti online in modo sicuro, per non parlare dell’home banking e delle nuove tendenze a digitalizzare i servizi tradizionali.

Come ottenere un sito web sicuro

La necessità di affidarsi a strumenti professionali è un’esigenza sempre più forte. Come fare dunque per assicurarsi che il proprio sito abbia di elevati standard di sicurezza, come quelli necessitati per pagamenti reali appoggiati alle proprie carte di credito, bancomat o prepagate? Ci sono diverse garanzie che si possono fornire ai propri utenti o clienti, l’importante è rimanere costantemente aggiornati e studiare con i propri web host le migliori soluzioni per la propria attività online, seguendo gli esempi di brand e aziende attivi nel settore da anni. Ricercare il giusto certificato o protocollo e impegnarsi per garantire sicurezza e affidabilità sono attività indispensabili per poter offrire un servizio qualificato e professionale.

IMAGE SOURCE: Unsplash.com

Certificati di qualità e sicurezza: gli esempi di eCOGRA e Trusted Shops

Quando si naviga la sicurezza è prioritaria, sia per quanto riguarda i dati che l’approccio etico del sito. L’azienda tedesca Trusted Shops fornisce un sigillo di qualità per i negozi online che aderiscono al proprio protocollo: l’eccellenza nella qualità dei prodotti, il customer care e i diritti dei clienti sono tutti criteri fondamentali per poterlo ottenere. Gli shop online che riportano il sigillo sono quindi testati e assicurano qualità e affidabilità , e se non bastasse è possibile anche inserire recensioni verificate dei propri prodotti, fornite da utenti che hanno acquistato online, tramite il servizio fornito dall’azienda danese Trustpilot. Il provider di gaming online Betway Casinò ha necessità di offrire un servizio estremamente sicuro vista la sua attività : per questo sfrutta la certificazione eCOGRA, specifica per il settore del gioco, nata a Londra nel 2003. Tale sistema fornisce infatti una certificazione accreditata per proteggere i giocatori e il corretto svolgimento dei giochi, ma anche promuovendo un comportamento etico da parte dei provider, sottoposti a precisi controlli dei propri standard.

IMAGE SOURCE: Unsplash.com

Home banking e privacy: come viene gestito in tutta sicurezza uno dei servizi più moderni

Alcune banche digitali, come la Fineco del gruppo UniCredit e Widiba del gruppo Monte dei Paschi di Siena, offrono servizi di home banking. Come viene garantita la sicurezza in questo caso? Di certo non basta solamente scegliere una buona password! Fineco, in crescita del +20% nel primo trimestre del 2018, utilizza come sistema di criptazione il SSL 128 bit, basato sul protocollo Secure Sockets Layer.Tutte le pagine vengono scaricate utilizzando tale protocollo che ne garantisce l’integrità e la provenienza. Per aumentare ulteriormente la sicurezza del servizio è previsto che, una volta entrati nell’area clienti, il sistema venga disattivato dopo un timeout di trenta minuti di inattività . La crittografia dei messaggi a 128 bit è attualmente il massimo sistema di sicurezza per l’invio di dati e informazioni riservate via internet, ed è per questo il sistema utilizzato dalle banche di tutto il mondo, Fineco e Widiba incluse.

IMAGE SOURCE: Unsplash.com

Sicurezza negli e-commerce: metodi di pagamento elettronici

Per quanto riguarda gli e-commerce, inoltre, una delle garanzie di sicurezza maggiori è fornita ai clienti dalla possibilità di pagare con PayPal: si tratta di una società che offre servizi per il pagamento e il trasferimento digitale di denaro tramite Internet, operando in Italia anche come istituto di credito per i propri clienti. PayPal è stata fondata nel 1999 ed è quotata in borsa dal 2015, nel 2017 ha riportato un fatturato di oltre 13,09 miliardi di dollari USA e ricavi operativi per 3,24 miliardi di dollari USA. Negli anni l’utilizzo di PayPal si è imposto come metodo di pagamento elettronico prediletto per gli acquisti online di buona parte degli utenti del web di tutto il mondo, grazie alla comodità e alla rapidità di utilizzo e soprattutto alla sicurezza fornita dal non dover inserire direttamente i propri dati personali durante i pagamenti.

Offrire un servizio affidabile e competitivo è dunque possibile: sono tantissime le certificazioni che è possibile ottenere se il proprio sito risponde a delle specifiche ben precise: le linee guida fornite consentono di adeguarsi e concorrere all’eccellenza insieme a tante altre attività .

Image by Free-Photos from Pixabay

08/07/2025
Cos’è il rischio overblocking del Piracy Shield
La piattaforma di blocco Piracy Shield in Italia è il meccanismo attraverso il quale i detentori dei diritti sportivi esercitano il loro diritto di utilizzare strumenti approvati dallo stato nella lotta contro la pirateria che opera essenzialmente nella forma di IPTV.

Da circa tre settimane come forse saprete è attivo il Privacy Shield in Italia, ovvero la legge che blocca DNS e indirizzi IP dei servizi online che trasmettono il cosiddetto “pezzotto” o materiale pirata in streaming (tipicamente partite di calcio a prezzo ribassato o nullo). Il provvedimento è in parte criticato da alcuni addetti ai lavori per via del fatto che bloccherebbe, secondo alcuni report indipendenti, anche indirizzi IP che non c’entrano nulla, per via del comunissimo meccanismo di condivisione dell’IP (shared IP) molto diffuso in rete.

Non concordo nemmeno con chi dice che la legge sia scritta bene e sia sbagliata l’applicazione: la legge si basa su un principio, e cioè che si possa sapere come un IP è usato senza chiedere a chi lo possiede, che non è proprio applicabile tecnicamente. https://t.co/Q1pgiUajzm
— Giorgio Bonfiglio (@g_bonfiglio) February 24, 2024

La legge 93 del 14 luglio 2023 è in vigore dall’8 agosto dello stesso anno e, in nome della tutela della proprietà intellettuale, obbliga i prestatori di servizio – compresi gli ISP (Internet Service Provider) – ad impedire l’accesso alle risorse che diffondono materiale pirata in tempi relativamente molto brevi. La rapidità dell’intervento sembra essere l’intervento più sostanziale di questa legge, alla fine, visto che si parla di un software interamente automatizzato che effettua il blocco sulla base di un meccanismo proprio (algoritmo) e che, peraltro, non esplicita gli IP che sono stati bloccati ma solo il numero di blocchi effettuati. Di base, diventa possibile:
```
disabilitare l'accesso a contenuti diffusi abusivamente  mediante  il
blocco della  risoluzione  DNS  dei  nomi  di  dominio  e  il  blocco
dell'instradamento del  traffico  di  rete  verso  gli  indirizzi  IP
univocamente destinati ad attivita' illecite.
```
Il principio fondamentalmente corretto perché prevede che non possono essere bloccati indirizzi IP che non siano in modo in equivocabili destinati ad attività illecite, anche se poi sul piano tecnico le cose funzionano in maniera abbastanza complicata e, come al solito, non sembrano esserci riferimenti a come il blocco venga effettuato tecnicamente. In altri termini la realtà tecnologica di riferimento – IPv4 e IPv6, nello specifico – prevedono delle modalità di funzionamento che potrebbero rivoltarsi anche contro indirizzi IP “buoni”, anche solo per un fatto statistico. e naturalmente il blocco accidentale di un indirizzo IP non è un aspetto che depone particolarmente a favore della legge, se non per tutelare gli interessi di chi fornisce i servizi di streaming legale. Il che sicuramente non è un delitto e ci può anche stare, ci mancherebbe altro, ma alla fine fare i conti con la complessità tecnologica è sempre necessario.

Cos’è l’overblocking

Overblocking è un termine tecnico usato da TorrentFreak per indicare questa forma di potenziale “sovrabloccaggio“, dovuto ad un firewall che impedisce la connessione (verificabile da terminale ad esempio mediante ping o dig) ad un sito web che in realtà è lecito, e che viene identificato per errore come tale.

Di fatto, come molti altri sistemi in uso in tutta Europa, Piracy Shield agisce sulle informazioni fornite dai detentori dei diritti stessi: dopo aver identificato un bersaglio da bloccare, i nomi di dominio e gli indirizzi IP vengono inseriti nel sistema Piracy Shield. In seguito i dati vengono inviati direttamente agli ISP nazionali, che avranno il compito di bloccare nei fatto per non rischiare sanzioni.

Il rischio di overblocking non è semplicemente semplicemente legato ad una forma di paranoia, ma è frutto di situazioni reali che possono avvenire: le piattaforme che trasmettono in streaming pirata potrebbero ad esempio sfruttare risorse o IP di siti leciti ad insaputa degli stessi (per via di falle informatiche, ad esempio), risultando così in un blocco che prenderebbe completamente di sorpresa quei siti stessi (e – se parliamo di siti che monetizzano sulle visualizzazioni giornaliere – non è il massimo trovarsi col sito inaccessibile da un giorno all’altro, pena la loro stessa sopravvivenza). Un secondo caso potrebbe essere quello per cui, per fare un altro esempio, un mispelling nella digitazione dell’IP o dell’URL porta al blocco della stessa, senza contare che l’intero meccanismo si basa bonariamente sulla bona fide di chi effettua la segnalazione, che potrebbe anche sbagliare senza rendersene conto e a cui, in qualche modo, sembra essere stato dato troppo potere. Diciamo questo soprattutto perché la lista di più bloccati è incomprensibilmente non pubblica, e sarebbe utile che venisse invece pubblicata per una forma di trasparenza e per non alimentare alimentare sospetti di malfunzionamenti che stanno trapelando da un po’ tutte le parti nell’ambito IT.

E due: a questo giro il geniale Piracy Shield ha bloccato un IP di CloudFlare, quindi probabilmente coinvolge centinaia di migliaia di domini innocenti. Esattamente quello che chiunque aveva detto sarebbe successo, ma tranquilli, continuate, temo solo di finire il popcorn. https://t.co/zCWxBdypXL
— Stefano Zanero (@raistolo) February 24, 2024

Di recente, peraltro, Wired ha segnalato che l’indirizzo IP di una CDN (una risorsa condivisa che viene usata per velocizzare i tempi di caricamento di varie tipologie di siti, e che è “neutrale” per definizione) si è ritrovato ad essere bloccato in Italia, nonostante la portata della cosa non sia stata confermata ufficialmente o sia stata comunque ridimensionata. Anche perché la notizia del blocco è stata bollata senza troppi giri di parole come fake news, ma solo in relazione al blocco dei siti della pubblica amministrazione, come se esistessero solo quelli o se avessero il diritto di esistere solo quelli. Senza contare che la procedura di segnalazione esiste, ma non sembra troppo chiaro (a nostro avviso, s’intende) con quali modalità il proprietario di un sito debba fare presente il problema e in che termini possa ricevere una risposta. Viene il dubbio che nessuno si sia lamentato perchè non c’è stato modo agevole per farlo, ma naturalmente (e lo scriviamo senza sarcasmo) ci auguriamo che non sia così. Gioverebbe maggiore chiarezza e minore burocrazia, un form di contatto, una forma di assistenza che sia un po’ più sostanziale senza contare che poi, a conti fatti, in molti casi i problemi tecnici si possono risolvere cambiando IP, e questo vale sia per gli onesti che per i pirati per cui, alla fine dei conti, rischia di diventare un gioco di rincorsa reciproca lungo ed estenuante. Anche solo considerando il caso degli IPv6, che offrono un parco IP di numero esponenziale che potrebbero essere cambiati dai pirati informatici in modo molto veloce rendendo il blocco parziale, o in alcuni casi apparente.

Ovviamente staremo vedere quello che succede: non sembra molto probabile che le cose rimangano come sono, ed è possibile che vengano applicate delle ratifica alla legge o comunque si possa o si debba meglio il suo comportamento da un punto di vista tecnico. Probabilmente considerando la realtà dei casi che verranno testati direttamente, visto che per sua natura (viene da sospettare) questo tipo di provvedimento non può che essere stato testato in maniera parziale e/o solo su una piccolissima parte della rete (anche visti i tempi rapidi con cui è andata in atto). Addestrando il comportamento su un campione più ampio è possibile che si possa arrivare ad un qualcosa di più sostanziale, che sia anche più chiaro e se possibile più trasparente per tutti noi (inclusi proprietari di siti web, s’intende).
08/07/2025
VPN per Telegram: perché è importante

L’uso di una rete privata virtuale (VPN) è essenziale per proteggere i tuoi dati durante l’utilizzo di Internet. Con la crescente popolarità delle app di messaggistica, molti utenti ora scelgono di utilizzare le VPN per proteggere le proprie comunicazioni e la privacy. Telegram è una popolare app di messaggistica utilizzata da milioni di persone in tutto il mondo. Con la sua attenzione alla privacy e alla sicurezza, è aumentata la necessità per gli utenti di garantire che le loro conversazioni e i loro dati siano protetti da potenziali minacce. In questo articolo, discuteremo dell’importanza di utilizzare una VPN quando si utilizza l’app Telegram ed esploreremo le diverse opzioni disponibili per garantire che i tuoi dati rimangano al sicuro.

Comprendere la necessità di una connessione sicura

Il primo passo per utilizzare una VPN per Telegram è comprendere la necessità di una connessione sicura. La maggior parte delle attività online comporta l’invio e la ricezione di dati e questi dati sono vulnerabili all’intercettazione e alla manipolazione da parte di malintenzionati. Una VPN crea un tunnel sicuro tra il tuo dispositivo e Internet, crittografando i dati in modo che non possano essere intercettati o manomessi. Ciò fornisce un ulteriore livello di sicurezza per le tue informazioni e comunicazioni personali.

Panoramica delle funzionalità disponibili con una VPN per Telegram

Una rete privata virtuale (VPN) per Telegram è una connessione sicura e privata che consente agli utenti di accedere a Telegram senza doversi preoccupare che le loro attività online vengano monitorate. Questa funzione offre agli utenti un ulteriore livello di sicurezza e privacy durante l’utilizzo dell’app di messaggistica. Con una VPN per Telegram, gli utenti possono connettersi a qualsiasi server Telegram da qualsiasi luogo nel mondo, fornendo accesso a tutte le funzionalità di Telegram. Inoltre, la VPN maschererà l’indirizzo IP di un utente, consentendogli di rimanere anonimo e di proteggere i propri dati. Infine, le VPN possono anche essere utilizzate per aggirare la censura e accedere ai contenuti di Telegram bloccati.

Vantaggi dell’utilizzo di una VPN per Telegram

Una rete privata virtuale (VPN) può essere un ottimo strumento per garantire privacy e sicurezza durante l’utilizzo di Telegram. Le VPN forniscono una connessione sicura tra il tuo dispositivo e Internet, che aiuta a proteggere i tuoi dati da malintenzionati. Ecco tre vantaggi specifici dell’utilizzo di una VPN per Telegram:

Innanzitutto, una VPN ti aiuterà a proteggere i tuoi dati da ficcanaso e altre violazioni della privacy. Crittografando i tuoi dati, una VPN può aiutarti a garantire che nessuno stia intercettando le tue conversazioni o monitorando i messaggi che invii e ricevi.

In secondo luogo, una VPN può aiutarti ad accedere a canali e gruppi di Telegram con restrizioni geografiche. Con una VPN, puoi facilmente aggirare qualsiasi restrizione geografica impostata dall’app Telegram.

Infine, una VPN può aiutarti a proteggerti dagli attacchi DDoS. Crittografando i tuoi dati, una VPN può aiutarti a garantire che il tuo dispositivo non sia vulnerabile a malintenzionati che tentano di disattivare il servizio. Con una VPN, puoi aiutare a proteggere il servizio Telegram da attacchi DDoS potenzialmente devastanti.

Suggerimenti per selezionare una VPN affidabile e sicura per Telegram

Quando si seleziona una VPN affidabile e sicura per Telegram, è importante considerare alcuni fattori chiave. Innanzitutto, assicurati che il servizio VPN sia affidabile e abbia una solida esperienza nel fornire una connessione sicura. In secondo luogo, assicurati di leggere le recensioni degli utenti e cerca eventuali segnali di allarme. In terzo luogo, assicurati che la VPN offra funzionalità come la crittografia dei dati, offrendo allo stesso tempo un completo anonimato. Infine, controlla se la VPN è compatibile con l’app Telegram e con qualsiasi altra app che potresti utilizzare sul tuo dispositivo. Con questi suggerimenti in mente, puoi essere sicuro di selezionare la VPN giusta per Telegram e goderti la messaggistica sicura senza preoccupazioni.

Passaggi per configurare una VPN per Telegram

VPN per Telegram è una guida semplice che fornisce istruzioni dettagliate su come configurare una VPN per Telegram. Questo documento è progettato per aiutare sia i principianti che gli esperti a configurare la propria VPN per Telegram in modo sicuro ed efficiente. I cinque passaggi descritti di seguito ti aiuteranno a configurare la tua VPN per Telegram in pochissimo tempo.

Innanzitutto, seleziona un provider VPN affidabile e crea un account con lui. In secondo luogo, scarica l’app VPN sul tuo dispositivo. Terzo, connettiti al server VPN di tua scelta. In quarto luogo, apri l’app Telegram e seleziona l’opzione “Usa proxy” dal menu Impostazioni. Infine, inserisci i dettagli della tua VPN e sei pronto per partire. Con questi passaggi, sarai in grado di utilizzare Telegram in modo sicuro con una VPN.

In conclusione, VPN per Telegram è un ottimo strumento per coloro che vogliono garantire la propria privacy e sicurezza quando utilizzano la popolare app di messaggistica. Può aiutarti a proteggere i tuoi dati e la tua identità da potenziali hacker, oltre a darti accesso a siti Web e servizi che potrebbero altrimenti essere bloccati nella tua zona. Per coloro che vogliono godersi la comodità e la privacy che derivano dall’utilizzo di Telegram, VPN per Telegram è un modo semplice ed efficiente per farlo.

08/07/2025
Come criptare un file
Crittografia di uno o più file: su Windows, Mac, iOS e Android

Quando crittografi i file sul tuo computer, è come se li custodissi in una cassaforte: solo chi possiede la chiave giusta può accedervi. Questo è particolarmente utile se temi che hacker possano rubare documenti sensibili o che aziende analizzino i tuoi dati per fini pubblicitari.

In questa guida, esploreremo i metodi più semplici per crittografare i tuoi file su Windows, Mac, iOS e Android. Vedremo anche come proteggere i tuoi file sul cloud e accedervi da qualsiasi dispositivo.

Cos’è la crittografia

La crittografia è alla base della sicurezza informatica: è ciò che consente di fare acquisti online e condividere foto in modo privato. Tuttavia, non tutta la crittografia è sicura come sembra. Ad esempio, quando condividi foto tramite Google Photos o carichi documenti su Dropbox, l’azienda potrebbe avere accesso ai tuoi file. Inoltre, in caso di richieste governative o sorveglianza di massa, i tuoi dati potrebbero non essere privati. Esistono due tipologie principali di crittografia, che consistono nella generazione di una chiave singola (crittografia simmetrica), il che sarà più facile da usare ma meno sicuro, ed una seconda opzione che prevede l’uso di una chiave doppia (crittografia asimmetrica), più sicura e difficile da rompere per un malintenzionato.

Quando usare la crittografia

La crittografia può essere utile in vari scenari, tra cui (a titolo di esempi non esaustivi):
- Backup di documenti sensibili: foto private, documenti ufficiali, documenti formali, documenti d’identità.
- Ore-condivisione di file online o pre-salvataggio nel cloud.
- Conservazione di dati lavorativi soggetti a regolamenti sulla privacy come GDPR e analoghi.
- Protezione dei tuoi documenti più importanti in caso di smarrimento del dispositivo o furto dei dati.
- Riduzione della quantità di dati personali condivisi con aziende come Google, Facebook, Dropbox e Microsoft.
Come crittografare i file col Mac

Sui dispositivi Apple non esiste un metodo universale per crittografare file singoli, ma puoi crittografare solo una cartella contenente i file che desideri proteggere.

Ecco come fare, spiegato passo passo.
1. Sposta i file che desideri crittografare in una nuova o esistente cartella.
2. Vai su Finder → Applicazioni → Utility e apri Utility Disco.
3. In Utility Disco, seleziona File dal menu in alto e scegli Nuova Immagine → Immagine da Cartella.
4. Seleziona la cartella da crittografare e clicca su Scegli.
5. Nella finestra che appare, seleziona il tipo di crittografia (sia 128 bit che 256 bit sono sicuri) e inserisci una password. Non perdere questa password, poiché è necessaria per accedere ai tuoi file. Clicca su Scegli quando hai finito.
6. Accanto a Formato immagine, seleziona Lettura/Scrittura e clicca su Salva.
Come crittografare i file su un iPhone

Gli iPhone non offrono un metodo integrato per crittografare file singoli, ma puoi crittografare l’intero dispositivo.

Per farlo, vai su Impostazioni → Face ID e codice per attivare Face ID e un codice di accesso.

Come crittografare i file con Windows

Crittografare file singoli su Windows è semplice, ma nota che questa funzione non è disponibile su Windows 10 Home.
1. Clicca con il tasto destro sul file o sulla cartella da crittografare e seleziona Proprietà.
2. Clicca su Avanzate… e seleziona la casella Crittografa contenuto per proteggere i dati.
3. Seleziona OK per chiudere la finestra Attributi Avanzati, poi clicca su Applica.
4. Clicca OK.
Come crittografare i file con Windows 10 Home

Per crittografare un file su Windows 10 Home puoi ancora proteggere i tuoi file utilizzando metodi alternativi. Ecco alcune opzioni per crittografare i file su Windows 10 Home, che riportiamo per completezza. Esistono diverse applicazioni di crittografia gratuite e a pagamento che puoi installare su Windows 10 Home per crittografare file e cartelle. Ecco alcuni strumenti popolari:
- 7-Zip: È un software di compressione che supporta la crittografia dei file. Puoi usare 7-Zip per creare un archivio protetto da password.
- VeraCrypt: È un software di crittografia open source che permette di creare volumi crittografati e cifrare intere unità.
Come usare 7-Zip per crittografare un file:
1. Scarica e installa 7-Zip dal sito ufficiale.
2. Clicca con il tasto destro sul file o sulla cartella che vuoi crittografare.
3. Seleziona 7-Zip → Aggiungi all’archivio….
4. Nella finestra che si apre, sotto Formato archivio, seleziona zip o 7z.
5. Nella sezione Crittografia, inserisci una Password e seleziona il metodo di crittografia desiderato (AES-256 è raccomandato).
6. Clicca su OK per creare l’archivio crittografato.
Come usare VeraCrypt per crittografare una cartella:
1. Scarica e installa VeraCrypt dal sito ufficiale.
2. Apri VeraCrypt e clicca su Crea un volume.
3. Seleziona Crea un volume cifrato e scegli Volume di file singolo.
4. Scegli una posizione per il volume e imposta la dimensione desiderata.
5. Seleziona il tipo di crittografia e inserisci una password.
6. Segui le istruzioni per formattare e montare il volume crittografato come una nuova unità.
7. Sposta i file che desideri proteggere all’interno di questo volume e poi smonta il volume quando hai finito.
Come crittografare i file su Android

Crittografare i file direttamente su un dispositivo Android senza utilizzare un servizio cloud può essere un po’ complicato, poiché Android non offre opzioni di crittografia integrate per singoli file. Tuttavia, puoi usare alcune app di terze parti per ottenere questo risultato. Mentre Android non ha funzionalità integrate per crittografare singoli file senza utilizzare il cloud, esistono molte app di terze parti che possono aiutarti a proteggere i tuoi dati. È importante scegliere un’app affidabile e assicurarti di ricordare le password utilizzate per crittografare i tuoi file, poiché senza di esse sarà impossibile accedere ai dati.

Ecco una guida su come farlo utilizzando app dedicate.

Utilizzare App di Crittografia per File

Esistono diverse app di crittografia che puoi scaricare dal Google Play Store per proteggere i tuoi file. Ecco alcune delle opzioni più popolari:

**a. Andrognito
- Caratteristiche: Crittografia e protezione delle cartelle, supporto per diversi tipi di file.
- Come Usare:
  1. Scarica e installa Andrognito dal Google Play Store.
  2. Apri l’app e imposta una password di accesso.
  3. Clicca sul pulsante + per aggiungere i file che desideri crittografare.
  4. Seleziona i file o le cartelle da proteggere e conferma.
**b. AES Encryption
- Caratteristiche: Crittografia AES per file singoli, facile da usare.
- Come Usare:
  1. Scarica e installa AES Encryption dal Google Play Store.
  2. Apri l’app e seleziona Encrypt Files.
  3. Scegli il file che desideri crittografare.
  4. Inserisci una password e conferma per criptare il file.
**c. File Locker
- Caratteristiche: Protezione tramite PIN o password, crittografia dei file.
- Come Usare:
  1. Scarica e installa File Locker dal Google Play Store.
  2. Apri l’app e imposta un PIN o una password.
  3. Aggiungi i file che desideri crittografare.
  4. Usa l’opzione per bloccare e criptare i file selezionati.
Utilizzare Applicazioni di Archiviazione con Crittografia

Alcune app di archiviazione possono crittografare gli archivi che creano. Un esempio è RAR.

Come usare RAR per crittografare file:
1. Scarica e installa l’app RAR dal Google Play Store.
2. Apri l’app e seleziona i file che desideri crittografare.
3. Tocca l’icona + per creare un nuovo archivio.
4. Inserisci una password nella sezione Crittografia.
5. Seleziona il formato di archiviazione (ad esempio, RAR o ZIP) e crea l’archivio crittografato.
Utilizzare un File Manager con Funzionalità di Crittografia

Alcuni file manager offrono opzioni di crittografia. Ad esempio, Solid Explorer (va installato come app a parte).

Come usare Solid Explorer per crittografare file è subito detto:
1. Scarica e installa Solid Explorer dal Google Play Store.
2. Apri l’app e naviga fino al file o alla cartella che desideri crittografare.
3. Tocca e tieni premuto il file o la cartella e seleziona Crea archivio dal menu.
4. Imposta una password nella sezione Crittografia e scegli il tipo di crittografia (AES-256 è raccomandato).
5. Completa il processo per creare un archivio crittografato.
08/07/2025
Truffa SPID: i cybercriminali possono clonare identità (e fare altri danni)
Negli ultimi anni, lo SPID (Sistema Pubblico di Identità Digitale) è diventato il metodo principale per accedere online a gran parte dei servizi della Pubblica Amministrazione italiana, nonché a numerosi servizi privati. Grazie all’autenticazione forte a due fattori e ai vari livelli di sicurezza previsti, SPID ha aumentato notevolmente la protezione dei dati personali degli utenti. Tuttavia, l’inasprimento delle normative di digitalizzazione e la diffusione di servizi remoti hanno spinto i malintenzionati a elaborare tattiche sempre più sofisticate per “bucare” le difese e appropriarsi di più identità digitali legate allo stesso codice fiscale.

In questo articolo analizzeremo come funzionano le truffe basate su SPID, quali tecniche utilizzano i criminali informatici (dalle frodi in fase di riconoscimento remoto ai deepfake biometrici), quali sono le conseguenze per le vittime e, soprattutto, come tutelarsi per ridurre al minimo i rischi.

1. SPID in breve: cos’è e come funziona

Prima di addentrarci nelle tecniche di attacco, è fondamentale comprendere come SPID è strutturato, quali meccanismi di sicurezza prevede e dove possono insorgere eventuali criticità.
1. Cosa è SPID
  
  SPID è il sistema di autenticazione digitale che permette a cittadini e imprese di utilizzare, con un’unica identità digitale, tutti i servizi online offerti dalla Pubblica Amministrazione e da privati aderenti. In pratica, anziché creare credenziali diverse per ogni portale, l’utente si autentica tramite un Identity Provider (IdP) affidabile e riconosciuto da AgID (Agenzia per l’Italia Digitale), che verifica la reale identità del richiedente e rilascia le credenziali SPID.
2. Livelli di sicurezza e autenticazione forte
  
  Ogni SPID associato a un cittadino è caratterizzato da:
  - Livello di garanzia 1 (basso): consente solo l’uso di username e password (autenticazione a singolo fattore).
  - Livello di garanzia 2 (medio): obbliga l’uso di password + secondo fattore (es. OTP tramite app, SMS OTP, token fisico, certificato di firma digitale, CIE, CNS, etc.).
  - Livello di garanzia 3 (alto): richiede un autenticatore qualificato (es. smart card, token hardware) e il riconoscimento biometrico, quindi è difficile da compromettere.
  In pratica, per accedere a servizi sensibili (come: consultazione del Cassetto Fiscale, accesso a INPS, Home Banking collegati, etc.) è quasi sempre necessario utilizzare almeno il livello di garanzia 2, il quale include l’invio di un codice monouso sul cellulare o di un token generato da app. Questo ostacola attacchi “a distanza” basati unicamente su password rubate, ma non elimina del tutto la possibilità di frodi in fase di registrazione o di agenti malevoli che intercettano l’OTP.
3. Modalità di registrazione
  
  Per ottenere lo SPID, un utente deve rivolgersi a uno dei tanti IdP accreditati (es.: Aruba, Poste, Intesa, Infocert, etc.) e seguire una delle seguenti procedure di identificazione:
  - Identificazione di persona: recandosi presso un punto fisico (sportello, filiale, ufficio postale) e mostrando un documento di riconoscimento valido.
  - Identificazione remota tramite webcam o videochiamata: un operatore in tempo reale verifica documento, faccia e firma digitale.
  - Identificazione con CIE (Carta d’Identità Elettronica) o CNS (Carta Nazionale dei Servizi): lettura via NFC e riconoscimento del certificato dei documenti.
  - Identificazione tramite firma digitale: se l’utente possiede già una firma digitale valida.
  Per ogni procedura, il provider deve rispettare le “Regole tecniche SPID” emanate da AgID. Tali regole prevedono controlli biometrici, verifica di autenticità del documento, raccolta di metadati (fotografie, timestamp, indirizzo IP, etc.) e l’adozione di misure anti-manomissione.
2. Come i cybercriminali clonano l’identità SPID

Nonostante le robuste misure di protezione, i cybercriminali hanno messo a punto diverse strategie per sfruttare i punti deboli dei processi di registrazione SPID e di passaggio delle credenziali. Vediamone le principali.

2.1 Iscrizione multipla: più SPID per lo stesso codice fiscale
- Possibilità di avere SPID multipli:
  
  I cittadini possono possedere più di una identità SPID, ognuna erogata da un IdP diverso. Ciò può essere utile ad esempio per separare l’uso personale da quello lavorativo o per passare a un provider che offre funzionalità aggiuntive.
- Vantaggio per i criminali:
  
  Nel momento in cui un attaccante riesce a ingannare un IdP diverso da quello “ufficiale” della vittima (es. utilizzando dati rubati o documenti falsificati), potrà attivare un secondo SPID su nome e codice fiscale della vittima, pur non avendo accesso all’account SPID “originale”. Questo SPID fraudolento diventa autonomo: viene creato un nuovo set di credenziali, un nuovo indirizzo e-mail e un nuovo numero di telefono (poi in logica malevola possono reindirizzare OTP, etc.), ed è indistinguibile dalla prospettiva dei portali pubblici fino a quando non emergono incongruenze.
2.2 Frodi in fase di riconoscimento remoto
- Riconoscimento via webcam/videochiamata
  
  Molti IdP offrono la possibilità di identificare la persona dall’esterno, tramite una webcam o una videochiamata seguita da un operatore. Questo è diventato molto popolare durante la pandemia, per ridurre gli spostamenti e velocizzare l’attivazione.
- Rischio deepfake e manipolazione
  
  Gli attaccanti possono registrare in anticipo un video deepfake creato con strumenti d’intelligenza artificiale, dove il volto della vittima è riprodotto in modo sufficientemente realistico da superare i controlli biometrici basici (ad esempio riconoscimento 2D senza misurazione 3D).
  - Se l’IdP non implementa adeguati controlli anti-spoofing (es. richiesta di movimenti specifici, analisi delle proprietà 3D del volto, verifica dell’illuminazione), il deepfake può passare come “vera” interazione del richiedente.
  - Anche l’uso di un documento di identità contraffatto, magari generato con stampante ad alta definizione o modificato digitalmente, può ingannare l’operatore umano se non vengono fatti controlli incrociati approfonditi (es.: verifica dei microtesti di sicurezza, ologrammi, filigrana UV, ecc.).
2.3 Phishing e ingegneria sociale
- Finta email di rinnovo o verifica SPID
  
  Il criminale invia alla vittima un’email dall’aspetto apparentemente ufficiale (logo AgID, link camuffati con domini simili), chiedendo di reinserire credenziali SPID, confermare dati personali o aggiornare documenti. Se la vittima cade nella trappola, fornirà utente, password e OTP, permettendo al truffatore di accedere all’account.
- Reclutamento di “operatori” compiacenti
  
  Esistono casi in cui gruppi criminali offrono – tramite canali Telegram o forum sul dark web – il servizio di attivare SPID falsi a pagamento. Questi “operatori” lavorano come IdP non autorizzati o entrano in contatto con dipendenti infedeli di IdP legittimi per velocizzare l’attivazione senza controlli stringenti. Il risultato è un SPID rilasciato senza che la vittima ne del codice fiscale ne sia consapevole.
3. Conseguenze per la vittima

Una volta che i cybercriminali sono in possesso di un secondo SPID fraudolento con il codice fiscale della vittima, entrano in possesso di credenziali perfettamente valide per i portali pubblici e privati. Vediamo gli scenari più frequenti.
1. Accesso ai dati fiscali e riscossione indebita
  - Tramite portali come l’Agenzia delle Entrate, i truffatori possono visualizzare il Cassetto Fiscale della vittima, controllare posizioni Irpef, Irap, detrazioni e verificare eventuali rimborsi in arrivo.
  - In alcuni casi, sfruttando il servizio di domiciliazione bancaria, potrebbero modificare l’IBAN per la ricezione dei rimborsi, incassandoli direttamente.
2. Accesso ai servizi INPS e indebite richieste di prestazioni
  - Con un SPID validato al livello di garanzia 2, è possibile accedere ai propri dati INPS: buste paga, versamenti contributivi, periodicità di NASpI, RD, etc.
  - L’attaccante potrebbe richiedere indennità o sussidi sociali a nome della vittima, deviando i pagamenti su un conto controllato.
3. Furto di identità in ambito sanitario
  - Con accesso alla tessera sanitaria e al Fascicolo Sanitario Elettronico, possono ottenere ricette elettroniche a nome della vittima o accedere a dati sanitari (anamnesi, malattie cromosomiche, etc.) che possono essere usati per estorsioni, ad esempio.
4. Accesso a servizi privati collegati a SPID
  - Molte piattaforme private (banche, assicurazioni, e-commerce, utilities) permettono l’autenticazione tramite SPID. Un SPID fraudolento permette di entrare in conti bancari, polizze, fatture, contratti e potenzialmente svuotare conti o trasferire fondi.
5. Danni reputazionali e procedurali
  - La vittima rischia di vedersi imputare attività illecite spese con un suo SPID: ad esempio, ordinazioni di beni costosi, agende di appuntamenti falsificate, false dichiarazioni.
  - Spesso la scoperta del misfatto avviene con ritardo: l’utente si accorge della truffa solo quando è già stornato denaro o il rimborso è incassato dal truffatore.
4. Come difendersi: misure preventive e strumenti di controllo

4.1 Verifica periodica degli SPID attivi
- Controllo diretto con ciascun provider
  
  Se sospetti che qualcuno stia attivando SPID a tuo nome, contatta tutti gli Identity Provider presso cui potresti aver richiesto SPID in passato (anche se non li ricordi tutti).
  - Cerca su ciascun portale SPID: tenta di registrarti nuovamente con il tuo codice fiscale. Se risulta che esiste già un’identità attiva, il sistema ti bloccherà la procedura.
  - Invia una richiesta formale (anche via PEC) di conferma: chiedi ai provider “Avete attivato un SPID sul mio codice fiscale e nome? Se sì, fornite data, modalità di riconoscimento e livello di garanzia”.
4.2 Monitoraggio degli accessi ai portali pubblici
- Registro accessi dei principali portali (Agenzia Entrate, INPS, ANPR)
  
  Molti di questi portali forniscono un registro di log con:
  - Data e ora dell’accesso
  - Provider SPID utilizzato
  - Tipo di servizio acceduto
    
    Controlla regolarmente il tuo Cassetto Fiscale e le “ultime sessioni” su INPS. Se vedi un accesso con provider a te sconosciuto, scatta subito l’allarme.
4.3 Richiedere lo storico degli accessi ai singoli provider
- Richiesta dati ex art. 15 GDPR
  
  Ogni provider SPID, in qualità di titolare del trattamento, è obbligato a fornire, su richiesta dell’interessato, i dati di accesso e le modalità di identificazione che hanno portato al rilascio del tuo SPID. Nel dettaglio, puoi chiedere:
  - Data e ora di ogni accesso SPID
  - Indirizzo IP da cui è avvenuto l’accesso
  - Tipo di livello di garanzia utilizzato
  - Modalità di registrazione (fisica, videochiamata, firma digitale, etc.)
  - Indirizzo e-mail e numero di telefono associati all’account SPID
- Come procedere:
  1. Prepara un modulo ufficiale di richiesta (meglio se in forma di PEC indirizzata al DPO del provider).
  2. Indica chiaramente che con “dati di accesso” intendi tutte le sessioni SPID, comprese quelle in fase di attivazione/registrazione.
  3. Conserva copia della PEC e attendi la risposta entro 30 giorni (termine massimo GDPR).
4.4 Attivare notifiche istantanee di accesso
- Alcuni provider SPID inviano alert via e-mail o push quando si effettua un accesso. Spesso l’avviso include:
  - Provider SPID utilizzato
  - Data/ora
  - Tipo di servizio
- Suggerimento:
  - Verifica le impostazioni di sicurezza del tuo SPID e attiva tutte le notifiche disponibili.
  - In assenza di una funzione nativa, valuta l’iscrizione a un servizio di monitoraggio via SMS o e-mail esterno, in modo da “tracciare” eventuali accessi sospetti ai tuoi documenti fiscali (ad esempio un alert quando viene scaricato il modello 730 precompilato).
4.5 Rafforzare l’autenticazione e le credenziali
- Utilizzare sempre il livello di garanzia 2 o 3
  
  Quando ti registri con un nuovo provider, opta per:
  - OTP via app (invece dell’SMS, meno sicuro)
  - Firma digitale o CIE/CNS (autenticazione a livello 2/3)
- Non utilizzare mai password ovvie o riutilizzate
  
  Evita di riutilizzare credenziali impiegate su altre piattaforme. Usa sempre password lunghe (almeno 12 caratteri), generate in modo casuale, e memorizzate in un password manager affidabile.
- Mai condividere OTP o credenziali
  
  Se ricevi un OTP via SMS o app mobile, non comunicarlo mai a terzi. Le PA e i provider SPID non ti chiederanno mai di inviarlo a un “operatore”: se ciò accade, è quasi certamente un tentativo di phishing.
4.6 Verifica dell’effettivo provider SPID utilizzato
- In fase di autenticazione, controlla sempre che:
  1. L’URL del provider SPID nella barra del browser sia esattamente quello ufficiale (es. https://www.spid.aruba.it, https://identity.infocert.it/spid).
  2. Sia presente il lucchetto di sicurezza (HTTPS) e che il certificato sia valido.
  3. Non ci siano pop‐up o reindirizzamenti improvvisi su domini strani, anche per una sola schermata.
4.7 Sensibilizzazione e formazione
- Diffondere la conoscenza dei rischi:
  - Spiega a familiari, colleghi e conoscenti che è possibile avere più SPID per lo stesso codice fiscale e che i criminali cercano di sfruttare questa “opportunità”.
  - Mostra esempi concreti di e-mail di phishing: segnala i domini ingannevoli (come sp1d.gov.it in luogo di spid.gov.it) o le richieste di OTP fuori contesto.
- Simulazioni aziendali:
  - Nelle realtà aziendali o negli enti pubblici, organizza giornate di phishing test e corsi di formazione per “insegnare” ai dipendenti come riconoscere un sito SPID falso o una videochiamata deepfake.
5. Cosa fare se sospetti un abuso o un secondo SPID fraudolento

5.1 Segnalazione e revoca
1. Contatta immediatamente il provider SPID sospetto:
  - Chiedi conferma dell’esistenza di un tuo SPID a quel provider.
  - Se ti viene confermato che c’è un account a tuo nome, richiedi di revocarlo per “identità rubata o falsificata”.
  - Invia una PEC formale, specificando:
    
    Nome, cognome e codice fiscale
    
    Motivazione: “Revoca SPID per attivazione non autorizzata”
    
    Prova di identità (copia carta d’identità, firma, ecc.)
2. Denuncia alla Polizia Postale
  - Raccogli tutte le prove:
    
    Email di phishing ricevute
    
    Log di accesso da portali PA (screenshot o PDF)
    
    Comunicazioni con l’IdP
  - Recati presso la Polizia Postale più vicina o invia una segnalazione online su https://www.commissariatodips.it/.
  - Specifica che hai subito un furto di identità digitale, fornisci l’eventuale IP con cui l’attaccante ha effettuato l’accesso.
3. Segnalazione ad AgID e Garante Privacy
  - AgID (Autorità per l’Italia Digitale) è responsabile della governance di SPID. Puoi inviare una segnalazione a protocollo@pec.agid.gov.it, indicando:
    
    Identità del provider sospetto
    
    Modalità e data di rilevazione dell’abuso
    
    Richiesta di verifica dei processi di riconoscimento remoto
  - Garante Privacy (https://www.garanteprivacy.it/) per violazione dei dati personali:
    
    Invia istanza di intervento, specificando che i tuoi dati (codice fiscale, documenti, dati biometrici) sono stati usati per creare un’identità falsa.
5.2 Richiesta di accesso ai dati (art. 15 GDPR)
- In parallelo alla revoca, richiedi ai provider interessati lo storico di tutte le sessioni SPID associate al tuo codice fiscale (sia quella ufficiale sia eventuali altre).
- Chiedi di avere:
  - Data e ora di ogni accesso SPID
  - Provider SPID usato
  - Metadati (IP, User‐Agent, servizio utilizzato)
- Così potrai ricostruire eventuali anomalie (es. accesso da provider mai richiesto, in zone geografiche sospette).
5.3 Ripristino della situazione e tutela dei danni
1. Aggiorna tutte le credenziali:
  - Cambia password SPID ufficiale (livello 2) e verifica che il tuo dispositivo autenticatore (app mobile o token) non sia compromesso. Questa è una buona pratica in generale, in quanto le password vanno cambiate periodicamente ed è sempre importante farlo. Non risolve, tuttavia, il problema in questione, che riguarda la possibilità che si possano creare due SPID per la stessa persona su due provider differenti, almeno in teoria.
  - Se l’abuso ha comportato l’accesso a conti correnti o a servizi bancari, avvisa immediatamente la tua banca e blocca l’IBAN.
2. Controlla le transazioni:
  - Se sospetti riscossioni indebite (rimborsi fiscali, sussidi INPS), contatta direttamente l’Agenzia delle Entrate o l’INPS per bloccare la pratica o predisporre reclami.
3. Valuta l’azione legale civile:
  - Potresti voler rivalerti sul provider SPID che ha rilasciato l’identità falsa per negligenza o violazione delle regole tecniche AgID.
  - Consulta un avvocato esperto in diritto dell’ICT e tutela della privacy.
6. Raccomandazioni operative e buone pratiche
1. Mantieni sempre aggiornati telefoni e dispositivi
  - Assicurati che il sistema operativo e l’app SPID (o l’app di autenticazione OTP) siano all’ultima versione per beneficiare delle patch di sicurezza.
  - Disabilita il “jailbreak” o “root” sui dispositivi mobili: rende più semplice installare malware che intercettano OTP.
2. Usa un password manager
  - Non memorizzare la password SPID nel browser. Adotta un password manager affidabile (con crittografia AES-256) in modo da generare e archiviare credenziali forti in modo sicuro.
3. Verifica sempre l’URL del provider SPID
  - Nei processi di login, controlla che il dominio inizi per https:// e che il certificato SSL/TLS sia valido.
  - Diffida di domini simili o di pop‐up che ti chiedano OTP senza passare per l’interfaccia ufficiale del tuo provider.
4. Non scaricare app SPID da store non ufficiali
  - Se usi l’applicazione mobile del provider, scaricala esclusivamente dagli store ufficiali (Google Play, App Store).
  - Diffida delle versioni “moddate” su siti terzi, possono contenere trojan che intercettano l’OTP.
5. Attiva l’autenticazione con CIE/CNS (se possibile)
  - L’autenticazione tramite Carta d’Identità Elettronica (CIE) o Carta Nazionale dei Servizi (CNS) riduce notevolmente il rischio di deepfake, perché l’identificazione avviene tramite NFC e certificati digitali.
  - Verifica con il tuo IdP se offrono questa modalità e, se la tua carta è compatibile, attivala.
6. Disabilita sempre SPID che non usi più
  - Se hai un vecchio SPID con un provider che non usi da anni, valuta di chiedere la revoca volontaria. Meno identità esistono, maggiori sono le tue possibilità di monitorarle e proteggerle.
7. Conclusioni

Le truffe SPID basate sulla clonazione dell’identità digitale rappresentano uno dei rischi più insidiosi per i cittadini nel panorama della digitalizzazione dei servizi pubblici. Ciò che rende queste frodi particolarmente pericolose è la possibilità di ottenere un secondo SPID, perfettamente valido, senza dover compromettere l’account SPID originale. Con un’attivazione fraudolenta, il truffatore può accedere a tutti i servizi connessi a SPID – dal cassetto fiscale al portale INPS – sottraendo denaro, raccogliendo dati sensibili e provocando danni economici e reputazionali rilevanti.

Tuttavia, non si tratta di una falla strutturale irrisolvibile:
1. Gli Identity Provider, in accordo con AgID, possono e devono rafforzare i controlli biometrici anti‐spoofing (es. verifica in 3D, challenge vocali o movimenti oculari random).
2. I cittadini dovrebbero (a nostro avviso) adottare un approccio proattivo: controllare periodicamente gli SPID attivi, attivare notifiche di accesso, usare livelli di garanzia elevati e segnalare tempestivamente ogni anomalia.
3. Le autorità competenti (Polizia Postale, AgID, Garante Privacy) devono continuare a monitorare e a sanzionare chi rilassa i controlli o attiva procedure di identificazione remota deboli.
In definitiva, per difendersi efficacemente da queste truffe è essenziale combinare tecnologie avanzate, buone pratiche individuali e un monitoraggio costante. Solo così sarà possibile impedire ai criminali informatici di sfruttare a danno delle vittime la possibilità di avere più SPID per lo stesso codice fiscale.

Seguendo queste linee guida, potrai ridurre almeno un po’ il rischio di vedere un tuo SPID “clonato” o attivato abusivamente, proteggendo i tuoi dati personali e i tuoi risparmi.

Riepilogo delle azioni consigliate
1. Verifica regolare degli SPID attivi con ogni Identity Provider.
2. Monitoraggio dei log di accesso ai portali pubblici (Agenzia Entrate, INPS, ANPR).
3. Richiesta dello storico accessi ai singoli provider ai sensi del GDPR.
4. Attivazione di notifiche istantanee ogni volta che viene effettuato un login SPID.
5. Rafforzamento delle credenziali: password uniche, autenticazione a due fattori a livello 2/3, autenticazione con CIE/CNS.
6. Sensibilizzazione di familiari, colleghi e amici sulle tecniche di phishing e deepfake.
7. Segnalazione tempestiva a provider SPID, Polizia Postale, AgID e Garante Privacy in caso di sospetto abuso.
08/07/2025
Caso studio: intelligenza artificiale per Cybersecurity e Tecnologia
L’intelligenza artificiale (IA) sta rivoluzionando il settore della cybersecurity, migliorando la capacità di rilevare e mitigare attacchi informatici in tempo reale. I modelli di Machine Learning (ML) e Natural Language Processing (NLP) possono essere applicati per individuare minacce avanzate, anomalie di rete e tentativi di phishing, offrendo una protezione proattiva contro le cyber-minacce.

Obiettivo del Caso Studio

Realizzare un sistema basato su IA per:
✅ Rilevare attacchi informatici in tempo reale
✅ Analizzare e classificare le minacce in base alla loro gravità
✅ Prevenire attacchi di phishing e malware tramite NLP

️ Il Modello: NLP per il Rilevamento delle Minacce

Abbiamo sviluppato un modello basato su Named Entity Recognition (NER) per identificare e classificare tipologie di attacchi informatici in log di sistema, e-mail e traffico di rete.

Esempio di Utilizzo del Modello

Il modello è addestrato per riconoscere:
Tipologie di attacco (es. SQL Injection, DDoS, Man-in-the-Middle)
Indirizzi IP sospetti
E-mail di phishing
Malware noti

Ecco un esempio pratico in Python per analizzare i log di sicurezza con un modello pre-addestrato su Hugging Face:
```
from transformers import pipeline

# Carichiamo un modello pre-addestrato per il riconoscimento delle minacce
nlp = pipeline("ner", model="DeepMount00/Cybersecurity_NER_IT", tokenizer="DeepMount00/Cybersecurity_NER_IT")

# Log di sicurezza da analizzare
log_test = "Connessione sospetta dall'IP 192.168.1.25. Possibile attacco SQL Injection rilevato sulla porta 443."

# Identificazione delle minacce
risultati = nlp(log_test)

# Stampa delle entità riconosciute
for r in risultati:
    print(f"Entità: {r['word']}, Tipo: {r['entity']}, Score: {r['score']:.2f}")
```
Output Atteso:
```
Entità: 192.168.1.25, Tipo: IP_SOSPETTO, Score: 0.98
Entità: SQL Injection, Tipo: ATTACCO, Score: 0.99
Entità: porta 443, Tipo: PORTA, Score: 0.96
```
Risultati e Benefici per la Cybersecurity

L’implementazione di questo modello ha portato a numerosi vantaggi:

✔ Rilevamento automatico delle minacce in log di sistema e e-mail
✔ Migliore protezione dalle frodi e dal phishing grazie all’analisi NLP
✔ Riduzione del tempo di risposta agli incidenti attraverso alert automatici

Un centro di cybersecurity ha testato il sistema su 100.000 log di rete, migliorando il tempo di rilevamento degli attacchi del 65% e riducendo i falsi positivi del 40% rispetto ai metodi tradizionali.

Prospettive Future

L’IA continuerà a trasformare la sicurezza informatica con applicazioni come:
Analisi predittiva per prevenire attacchi zero-day
Modelli di difesa adattativa che evolvono contro nuove minacce
Automazione nella risposta agli attacchi per ridurre il tempo di reazione

L’adozione dell’intelligenza artificiale permetterà alle aziende di anticipare e mitigare gli attacchi in modo sempre più rapido ed efficace.

L’uso dell’IA nella cybersecurity consente di migliorare il rilevamento delle minacce, ridurre i tempi di reazione e automatizzare la difesa informatica. Questo caso studio dimostra come i modelli NLP possono identificare e prevenire attacchi, garantendo maggiore protezione a infrastrutture critiche e dati sensibili.

La sicurezza informatica del futuro sarà sempre più guidata dall’intelligenza artificiale.
08/07/2025
OpenSSL 1.1.1 è arrivato a fine del ciclo vitale (EoL)

La versione 1.1.1 di OpenSSL (il celebre toolkit open source per implementare HTTPS9 ha raggiunto il suo EOL (End Of Life), il che vuol dire che non dovrà più essere utilizzato. Il motivo principale è che non riceverà più aggiornamenti e fix di sicurezza, motivo per cui chi lo stesse adottando dovrà passare ad una versione successiva. OpenSSL 1.1.1 era infatto stato pubblicato per la prima volta giorno 11 settembre 2018 come una versione a Lungo Termine (LTS), che pero’ è scaduta ieri.

Per chi gestisse sistemi Linux-based è bene sapere che: se la tua copia di OpenSSL 1.1.1 proviene da un fornitore di sistemi operativi (ad esempio, tramite pacchetti .rpm o .deb) o da un altro terzo, i periodi di supporto possono differire da quelli forniti dal progetto OpenSSL stesso. Verifica con il fornitore del sistema operativo/altro terzo quale supporto offrono per OpenSSL.

Se hai scaricato la tua copia di OpenSSL 1.1.1 direttamente dal progetto OpenSSL, è giunto il momento di effettuare un aggiornamento a una versione più recente. La nostra versione più recente è OpenSSL 3.1, che sarà supportata fino al 14 marzo 2025.

È altresì disponibile OpenSSL 3.0, che è una versione LTS e sarà supportata fino al 7 settembre 2026. La nostra guida alla migrazione fornisce informazioni utili sulle questioni da considerare durante l’aggiornamento.

Un’altra opzione è acquistare un contratto di supporto premium che offre supporto esteso (cioè accesso continuo alle correzioni di sicurezza) per 1.1.1 oltre la sua data di EOL pubblica. Per ulteriori informazioni si può fare riferimento al sito ufficiale da cui abbiamo tratto il comunicato.

Che significa EoL in informatica?

Se un software è arrivato alla data fissata per l’EoL significa che non sarà più aggiornato. Questo è importante da sapere per gli amministratori dei sistemi, dato che possono fare uso di uno specifico software che da quel momento poi rimarrà potenzialmente fallato e attaccabile da virus e malware. I software in EoL devono essere aggiornati alla versione più nuova, quasi sempre passando dalla release ad esempio 1.X (dove X va da 1 in poi) alla 2.Y, ad esempio.

Foto di Gerd Altmann da Pixabay

08/07/2025
Anatova: un nuovo ransomware arrivato anche in Italia

Nel settore della sicurezza informatica si parla, da qualche tempo, di Anatova: un malware diffuso a livello mondiale e legato al mondo delle criptovalute. Nello specifico si tratta di un ransomware, ovvero un virus che blocca i PC vittima e chiede un riscatto per riottenere il controllo dei propri file senza perdere tutto per sempre. Tra i paesi vittima della diffusione del virus, per certi versi simile a quello precedente noto come Ryuk (ma più pericoloso, a quanto pare), vi sarebbe anche l’Italia.

Il riscatto viene richiesto mediante pagamento su un conto in criptovaluta, precisamente in DASH (una delle cripto più famose dopo bitcoin), ed equivale a circa 630 euro.

Il ransomware Anatova

La scoperta del virus è attribuita all’azienda produttrice di antivirus McAfee, che racconta come la minaccia sembri sostanzialmente innocua la minaccia si nasconde dietro le apparenze di un’innocua icona per il lancio di un gioco o di un’applicazione, portando così il malcapitato a effettuare il download del malware (del peso di soli 302 kB). Una volta lanciato, infatti, l’eseguibile chiede all’utente i diritti di amministratore, da’ per scontata la buonafede dell’utente e dà il via alla cifratura dei documenti contenuti nel disco fisso, limitandosi a quelli di dimensione inferiori a 1 MB: in questo modo può infettare può velocemente il dispositivo colpito.

Un rischio che riguarda da vicino anche il nostro paese, stando a quanto si legge nel report della software house: in Italia sono già stati identificati almeno una decina casi di infezione, negli Stati Uniti più di 100.

Il riscatto in DASH

I cybercriminali chiedono l’equivalente di circa 630 euro nella moneta virtuale DASH, preferita a Bitcoin per i protocolli impiegati, ritenuti maggiormente rispettosi della privacy e di conseguenza in grado di meglio nascondere i destinatari del versamento. A rendere particolarmente pericoloso il ransomware è la sua natura modulare, così descritta da Christiaan Beek di McAfee. Anatova può costituire un serio rischio per via della sua architettura modulare che gli permette di arricchirsi nel tempo e in modo semplice di nuove funzionalità .

Fonte

07/07/2025