Guida alla cybersicurezza
La sicurezza perfetta non esiste. Ma dipende da te avvicinarti il più possibile.
Perché è importante adesso
La prevenzione è l'unica strategia di sicurezza che funziona sempre.
La cybersicurezza non è qualcosa che si attiva quando accadono le cose. È un insieme di abitudini che si applicano prima che accada qualcosa. Questa guida ti offre esattamente questo: le abitudini e gli strumenti per proteggere ciò che hai costruito.
Secondo studi di IBM e Microsoft, la grande maggioranza delle violazioni della sicurezza non sfrutta tecniche complesse. Sfrutta abitudini trascurate.
Il 43% degli attacchi informatici è diretto alle piccole imprese. Quelle che applicano misure di sicurezza di base riducono la loro esposizione di oltre il 90%.
Password
Una password unica per servizio: l'abitudine più semplice con il maggiore impatto.
Se usi la stessa password su più servizi e uno di essi viene compromesso, tutti restano esposti. Una password unica per servizio isola il problema. Non hai bisogno di memorizzarle: per questo esistono i gestori di password.
Se hai bisogno di dare accesso a qualcuno al tuo sito o server, fallo con un utente collaboratore, non condividendo la tua password principale.
Bitwarden (gratuito) o 1Password. Generano password sicure e uniche per ogni sito. Devi ricordare solo una master password robusta.
Doppio fattore (2FA)
Il 2FA protegge il tuo account anche se qualcuno ottiene la tua password.
Il doppio fattore è una seconda verifica al momento dell'accesso: oltre alla password, devi confermare la tua identità da un altro dispositivo. È la barriera più efficace contro gli accessi non autorizzati.
Il SIM swapping permette a un attaccante di convincere il tuo operatore a trasferire il tuo numero. Se il 2FA arriva via SMS, quella protezione può essere aggirata.
A differenza di Google Authenticator, Authy effettua un backup cifrato dei tuoi account. Se perdi il telefono, puoi recuperare tutti i tuoi codici. Scaricalo su authy.com.
Vai su Il mio account → Sicurezza → Attiva autenticazione a due fattori. Ci vogliono meno di tre minuti.
La tua email, la chiave maestra
La tua email è la chiave maestra di tutti i tuoi servizi — vale la pena proteggerla bene.
Quasi tutti i servizi usano l'email per recuperare le password. Se qualcuno accede alla tua email, può accedere a tutto il resto. È il punto più critico di tutta la tua sicurezza digitale.
Avere il 2FA su altri servizi ma non sulla tua email principale non ha molto senso. Inizia da lì.
- Attivare il 2FA con Authy sulla tua email principale
- Assicurarti che l'email abbia una password unica
- Verificare qual è la tua email di recupero e che sia anch'essa protetta
Phishing
Riconoscere un tentativo di phishing è un'abilità che si impara in pochi minuti.
Il phishing è quando qualcuno si finge un'azienda o una persona di fiducia per ottenere i tuoi dati o il tuo denaro. Il canale più comune è l'email, ma avviene anche tramite WhatsApp e social network.
- Verificare il mittente reale dell'email, non solo il nome visualizzato
- Non cliccare mai su link nelle email che richiedono denaro o dati sensibili
- Salvare nei preferiti gli accessi ai servizi critici (banca, Neolo, hosting)
Nessuna azienda seria ti chiederà la tua password via email. Se qualcuno la richiede, è un tentativo di phishing.
Nel 2023, il phishing ha rappresentato più del 36% di tutte le violazioni della sicurezza. È il vettore di attacco numero uno perché funziona.
WiFi pubblico
Navigare in sicurezza da qualsiasi luogo è più semplice di quanto sembri.
Le reti WiFi pubbliche (aeroporti, bar, hotel) possono essere intercettate. Qualcuno sulla stessa rete può vedere il traffico non cifrato.
- Operazioni bancarie o pagamenti
- Accesso ai pannelli di amministrazione del tuo sito o hosting
- Lettura di email aziendali con informazioni sensibili
Usa i tuoi dati mobili come hotspot personale. La tua connessione 4G/5G è privata e cifrata.
Funziona su 100 dispositivi, multipiattaforma, senza registro delle attività.
Vedi VPN di Neolo →Sicurezza sul telefono
Dieci minuti di configurazione trasformano il tuo telefono in una cassaforte digitale.
Il tuo telefono è il dispositivo più utilizzato durante la giornata. È anche il più esposto se non è configurato correttamente.
Molte persone credono che usare un iPhone le protegga dai virus. I dispositivi Apple possono essere infettati. Il phishing e il SIM swapping sono ugualmente efficaci su iOS.
- Attivare Face ID o impronta digitale nelle app sensibili (banca, email, Neolo)
- Blocco automatico entro massimo 1 minuto di inattività
- Attivare la cifratura dell'archiviazione (su Android: Impostazioni → Sicurezza)
- Disattivare le notifiche delle app sensibili sulla schermata di blocco
- Vecchio telefono come backup con 2FA, conservato a casa
Estensioni del browser
Meno estensioni significa più controllo sulla tua privacy.
Le estensioni del browser hanno accesso a tutto ciò che fai online: pagine visitate, moduli compilati, password inserite. Un'estensione dannosa è una porta sul retro permanente.
Installa solo estensioni di aziende riconosciute con milioni di utenti e aggiornamenti recenti. Se non la usi spesso, disinstallala.
Nel 2020, Google ha rimosso oltre 500 estensioni dannose che rubavano dati di navigazione a milioni di utenti senza che questi ne fossero a conoscenza.
Il tuo dominio e il tuo sito
Il tuo dominio e il tuo hosting devono essere a tuo nome. Sempre.
È più comune di quanto sembri: un web designer o un'agenzia registra il dominio a proprio nome. Quando il rapporto si interrompe, recuperarlo può richiedere mesi di gestioni legali.
Il dominio, l'hosting e le email vanno su un account a tuo nome. Se assumi qualcuno per lavorare sul tuo sito, dagli accesso collaboratore o FTP limitato, non le credenziali principali.
Cifra la connessione tra il tuo sito e il visitatore, elimina l'avviso 'Non sicuro' e migliora il tuo posizionamento su Google.
Vedi Certificati SSL →Protezione: antivirus
Un antivirus attivo su ogni dispositivo è la tua prima linea di difesa.
L'antivirus rileva e blocca le minacce note prima che causino danni. Combinato con buone abitudini, copre la maggior parte dei vettori di attacco.
- Windows: Windows Defender è incluso ma conviene affiancarlo a Malwarebytes
- Mac: macOS ha protezioni integrate ma non è infallibile. Malwarebytes per Mac è gratuito.
- Android: installa solo app dal Google Play e attiva Google Play Protect
- iPhone/iPad: iOS è più chiuso ma il phishing e il SIM swapping rimangono attivi
Aggiornamenti software
Aggiornare è l'abitudine di sicurezza più semplice e con il maggiore impatto.
Ogni aggiornamento include correzioni per le vulnerabilità identificate. Non aggiornare significa lasciare porte aperte che gli attaccanti conoscono perfettamente.
Ha colpito 200.000 computer in 150 paesi. Sfruttava una vulnerabilità per la quale Microsoft aveva pubblicato una patch due mesi prima. Tutti i computer infetti avrebbero potuto essere protetti con un semplice aggiornamento.
- Attivare gli aggiornamenti automatici su Windows e macOS
- Mantenere il browser sempre nella versione più recente
- Aggiornare regolarmente le app del telefono
- WordPress: core, plugin e temi sempre aggiornati
- Firmware del router (spesso dimenticato, ma critico)
WordPress e malware
Mantenere WordPress protetto è più semplice di quanto sembri.
WordPress alimenta più del 43% di tutti i siti web del mondo, il che lo rende il bersaglio preferito degli attacchi automatizzati. Un WordPress non aggiornato o con plugin obsoleti è il vettore di accesso più comune.
- Core, plugin e temi sempre aggiornati
- Eliminare plugin e temi che non utilizzi
- Password dell'amministratore unica e robusta
- Limitare i tentativi di login falliti
La maggior parte degli attacchi è automatizzata e cerca vulnerabilità note. Se il tuo WordPress è aggiornato, semplicemente non compare nei loro risultati.
Monitoraggio continuo, HTTPS forzato, Wordfence, blocchi in tempo reale. Tasso di risoluzione del 99% degli errori WordPress.
Vedi Neolo Care+ →Copie di sicurezza
Avere un backup aggiornato è la migliore decisione che puoi prendere oggi.
Non è questione di se qualcosa andrà storto, ma di quando. Un backup aggiornato trasforma qualsiasi catastrofe in un inconveniente temporaneo.
3 copie dei tuoi dati, su 2 supporti diversi, con 1 copia in una posizione remota. Se il backup si trova solo sullo stesso server del tuo sito, non è un vero backup.
Resistente a inondazioni, incendi e interruzioni di corrente. Ripristino in meno di 3 ore.
Vedi Backups+ →VPS e ambiente isolato
Quando l'hosting condiviso non è più sufficiente?
Nell'hosting condiviso convivono centinaia di siti sullo stesso server. Un VPS è un ambiente virtuale isolato: le tue risorse sono esclusive, la tua configurazione è tua e i problemi degli altri non ti riguardano.
- La tua attività è cresciuta e il traffico è aumentato
- Gestisci dati sensibili dei clienti
- Hai bisogno di installare software specifico
- Vuoi il controllo totale sulla sicurezza del server
- Le prestazioni dell'hosting condiviso non sono più sufficienti
Ambiente isolato con accesso root completo. Scalabile, sicuro e gestito.
Vedi VPS →Verifica se i tuoi dati sono stati violati
Verifica in 30 secondi se i tuoi dati sono esposti — è gratuito.
Miliardi di account sono stati sottratti da servizi come LinkedIn, Adobe, Dropbox e Yahoo nel corso degli anni. Le tue credenziali potrebbero circolare nel dark web senza che tu lo sappia.
Creato da Troy Hunt, ricercatore di sicurezza di Microsoft. Gratuito, confronta la tua email con oltre 12 miliardi di account violati.
Non farti prendere dal panico. Il passo successivo è semplice: cambia la password di quel servizio e attiva il 2FA se non lo avevi già.
Un elenco con 10 miliardi di password uniche compilato da violazioni storiche. Gli attaccanti lo usano per testare combinazioni automaticamente contro qualsiasi servizio.
Audit di cybersicurezza
Considera un audit professionale ogni uno o due anni.
Un audit ti offre una visione completa e obiettiva dello stato di sicurezza della tua attività: quali dispositivi sono esposti, quali servizi hanno configurazioni deboli, qual è la tua reale superficie di attacco.
- Quando il tuo team cresce e ci sono più persone con accesso
- Quando integri nuovi strumenti o fornitori
- Dopo una migrazione dell'infrastruttura
- Come revisione periodica annuale
Il nostro team analizza la sicurezza della tua azienda: dispositivi, accessi, servizi e configurazioni. Ti forniamo un piano d'azione chiaro, senza tecnicismi inutili.
La tua checklist di cybersicurezza
- ✓Password uniche per ogni servizio (Bitwarden o 1Password)
- ✓2FA con Authy attivato sulla tua email principale
- ✓2FA attivato sui tuoi servizi più importanti
- ✓2FA attivato nella tua area clienti Neolo
- ✓Mai gli SMS come secondo fattore di autenticazione
- ✓Link critici salvati nei preferiti del browser
- ✓Non cliccare su link nelle email che richiedono dati o denaro
- ✓Dati mobili o VPN sulle reti WiFi pubbliche
- ✓Face ID o impronta digitale nelle app del telefono
- ✓Estensioni del browser solo di aziende riconosciute
- ✓Dominio e hosting registrati a tuo nome
- ✓Certificato SSL attivo sul tuo sito web
- ✓Antivirus attivo su tutti i tuoi dispositivi
- ✓Sistema operativo, browser e app sempre aggiornati
- ✓WordPress (core, plugin e temi) sempre aggiornato
- ✓Backup recente archiviato fuori dal server
- ✓Email verificata su haveibeenpwned.com
- ✓Vecchio telefono come backup con 2FA, conservato a casa
- ✓Audit di cybersicurezza ogni 1 o 2 anni
Strumenti di Neolo per la tua sicurezza
Progettati per completare le tue buone abitudini e darti vera tranquillità, senza complicazioni tecniche.
Naviga cifrato da qualsiasi rete. Proteggi la tua identità online su fino a 100 dispositivi.
Vedi VPN →Il lucchetto sul tuo sito. Cifratura, fiducia e migliore posizionamento su Google.
Vedi SSL →Protezione attiva per WordPress. Elimina il malware e monitora 24/7.
Vedi Care+ →Copie di sicurezza in Svizzera. Ripristino in meno di 3 ore.
Vedi Backups+ →Le domande più frequenti sulla sicurezza informatica
Una per ogni servizio. Con un gestore come Bitwarden (gratuito) o 1Password non hai bisogno di ricordarle: le generano e le salvano loro. Devi ricordare solo una password principale forte.
È meglio che riutilizzarle, ma i gestori dedicati (Bitwarden, 1Password) sono superiori: sono crittografati, sincronizzati tra dispositivi e non dipendono da un singolo browser.
Lo SIM swapping consente a un attaccante di convincere il tuo operatore a trasferire il tuo numero a una SIM che controlla. In questo modo può ricevere i tuoi codici 2FA via SMS. L'alternativa è Authy.
Non inserire alcun dato. Chiudi il browser. Cambia la password del servizio a cui ti portava quel link. Se hai inserito dati bancari, contatta subito la tua banca.
No senza protezione aggiuntiva. Usa i tuoi dati mobili come hotspot, oppure attiva una VPN prima di connetterti a una rete che non sia la tua.
Sì. Il mito che i Mac non si infettino è falso. macOS ha buone protezioni integrate ma non è invulnerabile. Malwarebytes per Mac è gratuito ed efficace.
Moltissimo. Il 60% dei siti hackerati aveva versioni non aggiornate di WordPress, plugin o temi. Gli aggiornamenti chiudono le vulnerabilità che gli attaccanti conoscono e sfruttano attivamente.
No per tutti gli scenari. Se il problema colpisce l'intero server, il backup dell'hosting potrebbe essere anch'esso colpito. Hai bisogno di una copia esterna in una posizione diversa.
No. La VPN cifra la tua connessione e protegge dall'intercettazione sulle reti pubbliche. Non ti protegge dal phishing, dal malware installato sul tuo dispositivo o da password deboli.
Per la crittografia di base, sì. La differenza sta nella validazione dell'identità (quelli a pagamento verificano che l'azienda esiste) e nell'assicurazione contro i guasti di crittografia.
Il tuo dominio è la tua identità digitale. Se è intestato a un'altra persona (un'agenzia, un designer), loro hanno il controllo legale su di esso. Recuperarlo può richiedere mesi di pratiche.
Senza backup: settimane o mesi, e a volte è impossibile. Con un backup recente in una posizione esterna: ore o giorni. In Neolo, il recupero da Backups+ richiede meno di 3 ore.