Per capire davvero come difendersi online non basta installare un antivirus o usare una VPN: serve una cosa più fondamentale, spesso trascurata da chiunque si avvicini alla sicurezza digitale.
Serve un modello di minaccia.
Il “modello di minaccia” è semplicemente una risposta strutturata a questa domanda:
“Cosa sto proteggendo, e da chi lo sto proteggendo?”
Niente paranoia, niente complessità teoriche: solo buon senso.
È la base che permette di interpretare correttamente strumenti, tecniche e consigli.
Senza un modello di minaccia, si rischia di:
- proteggere troppo ciò che non serve
- proteggere troppo poco ciò che è davvero importante
- complicarsi la vita inutilmente
- fraintendere come funzionano le minacce reali
Vediamo allora come costruirne uno in maniera sensata.
Esempi pratici di modelli di minaccia
Capire un modello di minaccia è molto più facile attraverso esempi concreti.
Giornalista
Un giornalista d’inchiesta deve proteggere:
- l’identità delle fonti
- i luoghi in cui si incontrano
- conversazioni, file e documenti
Le minacce includono:
- governi
- aziende
- gruppi criminali
Le difese potrebbero includere:
- crittografia end-to-end
- eliminazione dei metadati
- uso di Tor o VPN affidabili
- dispositivi separati e isolati
Membro delle forze dell’ordine
L’obiettivo è proteggere:
- la posizione della propria abitazione
- la sicurezza della famiglia
- informazioni sensibili di indagini
Le minacce:
- criminali
- persone che cercano vendetta
Le difese:
- OPSEC personale
- anonimizzazione social
- minimizzazione dei dati online
Attivista in un regime repressivo
Probabilmente il modello di minaccia più grave.
Obiettivi:
- evitare identificazione
- proteggere comunicazioni
- evitare il tracciamento
Minacce:
- governo
- forze di sicurezza statali
Difese:
- Tor
- uso di dispositivi puliti
- crittografia forte
- pseudonimato
- sistemi operativi amnesici (es. Tails).
Persona comune
Il caso più diffuso.
Obiettivi:
- evitare furto d’identità
- evitare phishing
- evitare perdite finanziarie
- difendere la privacy quotidiana
Minacce:
- hacker generici
- aziende che raccolgono dati
- truffatori
- data broker
Difese:
- password manager
- 2FA
- backup
- privacy settings
- cura dei social
Cosa sono i “dati”?
La Electronic Frontier Foundation definisce i dati come: “qualsiasi tipo di informazione archiviata digitalmente: documenti, immagini, chiavi, messaggi, programmi e file”.
Quindi, quando parliamo di proteggere i dati, parliamo di proteggere:
- conversazioni
- foto
- documenti
- password
- contenuti sensibili
- dati bancari
- posizione geografica
- preferenze personali
- abitudini di navigazione
Tutto questo rientra nel tuo modello di minaccia personale.
La domanda chiave diventa:
“Quali dati sto proteggendo, e da chi?”
Non esiste un modello di minaccia universale
E questo è un punto cruciale.
Non esistono strumenti “migliori” in assoluto.
Esistono strumenti che funzionano per il tuo modello di minaccia.
- Alcune persone necessitano massima privacy
- Altre hanno bisogno solo del livello base
- Altre hanno minacce specifiche legate al lavoro, alla famiglia o alla posizione geografica
Il segreto è trovare equilibrio.
Un sistema super-sicuro ma ingestibile non serve.
Un sistema comodissimo ma vulnerabile neppure.
Attacchi comuni non mirati
La maggior parte degli utenti deve proteggersi da minacce non mirate, cioè attacchi a larga scala che colpiscono chiunque, senza distinzione.
Per capirlo, usiamo un esempio fuori dall’informatica: il serial killer Richard Trenton Chase.
Durante le indagini confessò una cosa assurda ma illuminante: non forzava mai una porta o una finestra.
Entrava solo nelle case aperte.
Se una casa aveva porte e finestre chiuse, la ignorava.
Lo stesso vale per gli attacchi informatici non mirati.
Gli hacker non scelgono te.
Scelgono chi è più facile da colpire.
Il tuo obiettivo non è diventare invisibile… ma diventare meno vulnerabile degli altri.
Così un attaccante passerà oltre e colpirà un bersaglio più semplice.
Creare il proprio modello di minaccia
Ora costruiamo il modello rispondendo a 5 domande fondamentali.
1. Cosa voglio proteggere?
Chiamati “asset”.
Fisici
- computer
- smartphone
- hard disk
- documenti fisici
- luoghi dove sono conservati i dati
Non fisici
- account email
- conti bancari
- dati cloud
- social network
- conversazioni private
- foto e ricordi
Annotali.
Vederli elencati cambia tutto.
2. Da chi voglio proteggerlo?
Il “nemico” varia in base ai dati.
Esempi:
- hacker generici → attacchi di massa
- criminali → furto soldi / identità
- datore di lavoro → reputazione / carriera
- ex partner → sorveglianza / stalking
- concorrenti → informazioni sensibili
- governo → opinioni politiche / attivismo
Ogni minaccia richiede difese diverse.
3. Quanto sono gravi le conseguenze se fallisco?
Valuta gli scenari.
Esempi:
- hacker → perdita soldi, email violate, social rubati
- datore di lavoro → danni reputazionali
- concorrente → perdita strategica
- criminali → ricatti, furti, estorsioni
Devi associare a ogni minaccia un impatto.
Più l’impatto è grave, più serve protezione.
4. Quante probabilità ci sono che accada?
Dipende dal tuo comportamento.
Chi:
- usa molte app diverse
- compra spesso online
- ha decine di account
- naviga senza protezioni
ha un rischio molto più alto.
Un buon modello di minaccia include sempre una valutazione delle probabilità.
5. Quanto sforzo sono disposto a fare?
Ogni misura di sicurezza ha un costo:
- tempo
- soldi
- complessità
- impatto sulla vita quotidiana
È la classica analisi costi/benefici.
Bisogna evitare estremi:
- né paranoia totale,
- né totale lassismo.
Gene Spafford lo riassume perfettamente:
“L’unico sistema completamente sicuro è spento, colato nel cemento, chiuso in una stanza di piombo, sorvegliato da guardie armate. Ma anche in quel caso ho dei dubbi.”
La sicurezza assoluta non esiste.
Esiste solo un buon equilibrio.
A questo punto puoi definire un modello di minaccia realistico, personale e utile.
Con quel modello in mano puoi capire davvero:
- quali strumenti usare,
- quali guide seguire,
- quali rischi evitare,
- come proteggere i tuoi dati senza complicarti la vita.