L’estate 2026 porta con sé un dato scomodo: secondo il report CISA (Cybersecurity and Infrastructure Security Agency) del 2025, il 60% degli attacchi informatici su reti domestiche sfrutta vulnerabilità note nei router — vulnerabilità per le quali esiste già una patch, mai installata. Non è un problema di hacker sofisticati. È un problema di aggiornamenti saltati e configurazioni predefinite mai cambiate. La buona notizia è che i rimedi sono gratuiti e richiedono meno di un’ora.
Il router: primo anello debole della catena
Il router è il dispositivo più critico della rete domestica — e il più trascurato. Gestisce tutto il traffico in entrata e in uscita, ma la maggior parte degli utenti non lo tocca dall’installazione del provider.
Per aggiornare il firmware, accedi al pannello di amministrazione del router digitando nella barra del browser il suo indirizzo IP locale: di solito 192.168.1.1 o 192.168.0.1 (lo trovi sull’etichetta del dispositivo o con il comando ipconfig /all su Windows, voce «Default Gateway»). Credenziali di default: admin/admin, admin/password o admin/vuoto — se non le hai mai cambiate, cambiale subito. Nella sezione «Firmware» o «Aggiornamento», verifica se è disponibile una versione più recente e installa. Operazione: 5 minuti.
Se il tuo router ha più di 5 anni e il produttore non rilascia più aggiornamenti, considera la sostituzione. I router entry-level costano oggi 30-60 euro e integrano già WPA3 e aggiornamenti automatici. I modelli abbandonati dal vendor restano esposti indefinitamente a vulnerabilità pubblicamente note (CVE database NIST).
Il database CVE del NIST è pubblico: chiunque può cercare marca e modello del proprio router e verificare se esistono vulnerabilità note non ancora corrette. Il problema è che i produttori di router consumer smettono spesso di rilasciare aggiornamenti dopo 2-3 anni. Un router del 2020 senza firmware aggiornato da due anni è un rischio concreto — le falle note vengono sfruttate attivamente, non sono scenari teorici.
Una configurazione spesso ignorata: disabilita la gestione remota (Remote Management / Remote Access) se non la usi. Questa funzione — attiva per default su molti router — espone il pannello admin sull’IP pubblico, raggiungibile da chiunque su internet.
WPA3 vs WPA2: la password Wi-Fi che conta davvero
WPA3 (Wi-Fi Protected Access 3, standard IEEE 802.11ax del 2018) sostituisce WPA2 con un meccanismo di autenticazione SAE (Simultaneous Authentication of Equals) che elimina gli attacchi a dizionario offline — quelli in cui un attaccante cattura l’handshake Wi-Fi e lo attacca con un tool come Hashcat senza mai dover stare vicino alla rete.
Con WPA2, una password di 8 caratteri comuni può essere violata offline in meno di 24 ore su hardware consumer (GPU RTX 4090: circa 100 miliardi di hash al secondo per WPA2-PSK). Con WPA3-SAE, questo tipo di attacco non funziona.
Se il tuo router supporta WPA3 (verifica nelle impostazioni wireless), attivalo. Se i tuoi dispositivi più vecchi non lo supportano, usa la modalità WPA3/WPA2 transition mode disponibile sulla maggior parte dei router recenti. Per la password Wi-Fi, il minimo accettabile nel 2026:
- Lunghezza minima 16 caratteri — non 8, non 12
- Mix di lettere maiuscole, minuscole, numeri e simboli
- Niente nomi di persone, date di nascita, indirizzi, parole del dizionario
- Una passphrase di 4-5 parole casuali è più sicura e più memorabile di «P@ssw0rd123»
Rete guest per dispositivi IoT: isola ciò che non puoi aggiornare
Ogni smart TV, telecamera IP, lampadina smart, campanello connesso o termostato Wi-Fi è un potenziale punto d’accesso alla tua rete. Molti di questi dispositivi IoT (Internet of Things) ricevono aggiornamenti di sicurezza raramente o mai — e girano su firmware con vulnerabilità note.
La soluzione non è disconnetterli, ma isolarli. Quasi tutti i router moderni (anche quelli di operatori come TIM Hub+, FritzBox, eero) permettono di creare una rete guest separata con SSID dedicato. Metti tutti i dispositivi IoT sulla rete guest: così se uno viene compromesso, l’attaccante si trova in una subnet isolata, senza accesso ai tuoi PC, NAS o smartphone.
Configurazione: pannello router → Rete wireless → Rete ospite → Abilita → Imposta SSID e password separati → Attiva «Isolamento client» se disponibile (impedisce ai dispositivi guest di comunicare tra loro). Cinque minuti. Impatto sulla sicurezza: significativo.
VPN: quando serve davvero e quando è solo marketing
Il mercato VPN consumer è saturo di promesse eccessive. La chiarezza è utile.
Quando una VPN serve davvero:
- Wi-Fi pubblici non cifrati (aeroporti, hotel, bar, campeggi): senza VPN, chiunque sulla stessa rete può catturare traffico non HTTPS. Con VPN, il traffico è cifrato dal tuo dispositivo al server VPN anche su rete insicura.
- Accesso a risorse aziendali da remoto (VPN aziendale — diversa dalle VPN consumer).
- Protezione in paesi con sorveglianza attiva delle comunicazioni.
Quando una VPN non serve (o non aiuta):
- Sulla tua rete domestica con WPA3 correttamente configurata: non aggiunge sicurezza rilevante.
- Per «navigare anonimi»: il provider VPN vede il tuo traffico al posto dell’ISP. Stai spostando la fiducia, non eliminandola. Browser fingerprinting, cookie e account loggati ti identificano comunque.
- Per proteggerti da malware o phishing: una VPN non filtra contenuti malevoli — serve un DNS con filtro (NextDNS, Cloudflare 1.1.1.2) o un endpoint protection.
Se vuoi una VPN per i Wi-Fi in vacanza, Mullvad (5 euro/mese, no-log verificato da audit indipendenti) e ProtonVPN (piano gratuito con limitazioni) sono scelte solide senza abbonamenti a lungo termine vincolanti. Evita VPN gratuite senza audit pubblici: il prodotto sei tu.
Password manager e autenticazione a due fattori: il minimo non negoziabile
Il 65% delle violazioni di account analizzate da Verizon nel Data Breach Investigations Report 2025 è riconducibile a credenziali rubate o riutilizzate. Password diverse per ogni servizio non è un’opzione: è l’unico modo per contenere i danni quando uno dei siti che usi viene violato.
Password manager:
- Bitwarden: open source, audit pubblici, gratuito per uso personale (cloud sync incluso). Disponibile per Windows, macOS, Linux, iOS, Android, estensioni browser. Il codice sorgente è verificabile. Prima scelta per chi vuole sicurezza senza costo.
- 1Password: 3 euro/mese (piano individuale), interfaccia curata, ottima integrazione macOS/iOS, travel mode per attraversare frontiere senza esporre la vault. Non open source ma con audit regolari di terze parti.
- KeePass / KeePassXC: database locale cifrato con AES-256, nessun cloud, massima privacy. Richiede gestione manuale della sincronizzazione (es. tramite Syncthing o Nextcloud self-hosted). Scelta per chi vuole zero dipendenza da servizi esterni.
Autenticazione a due fattori (2FA): attivala su tutti i servizi che la supportano — email, banca, social, accesso al lavoro. Le app TOTP (Time-based One-Time Password) sono più sicure degli SMS: un codice via SMS può essere intercettato con SIM swapping, un codice TOTP locale no.
- Aegis Authenticator (Android, open source, gratuito): backup cifrato della vault TOTP, interfaccia chiara. Prima scelta su Android.
- Google Authenticator (iOS/Android): funziona, ma il backup cloud è richiesto per il ripristino — configura un backup offline.
- 2FAS (iOS/Android): open source, backup end-to-end, widget nativo iOS.
Per verificare se la tua email è stata compromessa in un data breach noto: haveibeenpwned.com (database di Troy Hunt, ora parzialmente integrato con le forze dell’ordine internazionali). Inserisci l’indirizzo email: il sito non memorizza password, solo gli hash. Se appare in un breach, cambia la password di quel servizio e di qualunque altro dove hai usato la stessa credenziale.
Per chi gestisce la sicurezza di una piccola impresa, le misure descritte qui sono il punto di partenza: l’approfondimento è nella guida alla cybersecurity avanzata per le aziende.