Cosa fare se una password è stata rubata: guida per proteggere subito i tuoi account
Una password rubata può mettere a rischio email, social, conti online, servizi cloud e dati personali. In questa guida vediamo cosa fare subito se sospetti che una password sia stata compromessa, come cambiare le credenziali in modo sicuro, quali accessi controllare e come ridurre il rischio che il problema si ripeta.
Scoprire che una password potrebbe essere stata rubata è una situazione da non sottovalutare. A volte ce ne accorgiamo perché riceviamo un avviso dal browser, dal gestore password o dal servizio che usiamo. Altre volte il sospetto nasce da un accesso insolito, da un’email di sicurezza, da un messaggio di recupero password che non abbiamo richiesto o da movimenti strani su un account. La cosa più importante è non farsi prendere dal panico, ma agire con ordine. Una password compromessa non significa automaticamente che tutti i tuoi account siano stati violati, ma può diventare un problema serio se la stessa password è stata usata su più servizi.
In questa guida vediamo cosa fare se una password è stata rubata, quali controlli eseguire subito, come cambiare le credenziali in modo corretto e quali impostazioni attivare per proteggere meglio email, social network, servizi cloud, app bancarie e account personali. Nota importante: se una password è stata rubata, non basta eliminarla dal browser o dal telefono. Devi cambiarla dal sito o dall’app del servizio interessato e controllare se qualcuno ha già avuto accesso al tuo account.
Non sempre una password rubata viene usata subito. In molti casi le credenziali finiscono in database sottratti durante violazioni di dati, vengono vendute online o usate in modo automatico per provare ad accedere ad altri servizi. Ci sono alcuni segnali che dovrebbero farti intervenire rapidamente:
ricevi un avviso che la password è compromessa;
il browser o il gestore password segnala una password rubata o riutilizzata;
ricevi codici di verifica che non hai richiesto;
arrivano email di accesso da dispositivi o località che non riconosci;
qualcuno prova a reimpostare la password di un tuo account;
noti messaggi inviati dal tuo profilo senza il tuo intervento;
trovi modifiche a email, numero di telefono, nome utente o impostazioni di sicurezza;
un servizio ti comunica che ha subito una violazione dei dati.
In tutti questi casi conviene agire subito, partendo dall’account più importante: di solito l’email principale. Se un malintenzionato riesce a entrare nella tua casella email, può provare a recuperare le password di molti altri servizi collegati.
Cosa fare subito se una password è stata rubata
Quando hai il dubbio che una password sia stata rubata, la prima cosa da fare è cambiare quella password dal sito ufficiale del servizio. Non usare link ricevuti via email o messaggio, soprattutto se il tono è urgente o minaccioso. Apri direttamente il sito digitando l’indirizzo nel browser oppure usa l’app ufficiale. Il percorso corretto è questo:
apri il sito o l’app ufficiale del servizio;
accedi al tuo account, se riesci ancora a entrare;
vai nelle impostazioni di sicurezza;
cambia subito la password;
scegli una password nuova, lunga e diversa da tutte le altre;
salva la nuova password in modo sicuro;
attiva l’autenticazione a due fattori, se disponibile;
controlla dispositivi collegati, sessioni attive e attività recenti.
Se non riesci più ad accedere, usa la procedura ufficiale di recupero account. Anche in questo caso evita i link sospetti e parti sempre dalla pagina ufficiale del servizio.
Regola pratica: se la password rubata era usata anche su altri account, devi cambiarla ovunque. Non basta cambiarla sul sito che ha segnalato il problema.
Cambia prima la password dell’email principale
L’email principale è spesso il centro della tua identità digitale. Serve per ricevere codici di verifica, conferme di accesso, link di recupero password, fatture, documenti, comunicazioni bancarie e notifiche dai social network. Per questo motivo, se sospetti una compromissione, devi dare priorità alla casella email più importante. Controlla subito:
se la password dell’email è unica e non usata altrove;
se ci sono accessi recenti da dispositivi sconosciuti;
se sono state create regole di inoltro automatico;
se esistono filtri strani che spostano o nascondono messaggi;
se l’email di recupero e il numero di telefono sono ancora tuoi;
se l’autenticazione a due fattori è attiva.
Un attaccante che entra nella tua email può cercare messaggi contenenti dati personali, password vecchie, documenti, ricevute, dati fiscali o riferimenti a servizi che usi. Può anche tentare di reimpostare la password di altri account collegati.
Usa una password nuova e diversa da tutte le altre
Quando cambi una password rubata, non fare piccole variazioni della vecchia. Cambiare una lettera, aggiungere un numero o mettere un simbolo alla fine non è una soluzione sicura. Se la password precedente era nota, anche le varianti simili possono essere facili da indovinare. Una buona password dovrebbe essere:
lunga;
unica per quell’account;
non collegata al tuo nome, alla data di nascita o ad altre informazioni personali;
non riutilizzata su altri siti;
difficile da indovinare anche per chi ti conosce.
Puoi usare un gestore password per generare e conservare credenziali complesse. È molto meglio avere password lunghe e diverse salvate in modo sicuro, piuttosto che usare la stessa password semplice su molti account.
Controlla se la stessa password è stata usata altrove
Il rischio più grande non è sempre la singola password rubata, ma il riutilizzo della stessa password su più account. Questo perché molti attacchi automatici provano coppie di email e password già rubate su altri siti. Per esempio, se usi la stessa combinazione di email e password su un vecchio forum, su un social network e su un servizio di posta elettronica, la violazione del vecchio forum potrebbe mettere a rischio anche gli altri account. Fai quindi un controllo mentale e pratico:
dove hai usato la stessa password?
quali account hanno la stessa email di accesso?
quali servizi contengono dati personali o pagamenti?
quali account permettono di recuperare altri account?
quali password sono simili a quella rubata?
Parti dagli account più sensibili: email, home banking, servizi di pagamento, social network, cloud, e-commerce, account Apple, Account Google, strumenti di lavoro e servizi con dati personali.
Attiva l’autenticazione a due fattori
L’autenticazione a due fattori aggiunge un secondo passaggio oltre alla password. Può essere un codice generato da un’app, una notifica sul telefono, una chiave di sicurezza fisica, un codice ricevuto via SMS o un altro metodo previsto dal servizio. È una protezione importante perché rende più difficile l’accesso anche se qualcuno conosce la password. Non è una garanzia assoluta, ma riduce molto il rischio di accessi non autorizzati. Quando puoi scegliere, preferisci:
app di autenticazione;
passkey;
chiavi di sicurezza fisiche;
notifiche di conferma su dispositivo affidabile.
Gli SMS sono meglio di niente, ma possono essere meno sicuri rispetto ad altri metodi. In ogni caso, attivare un secondo fattore è quasi sempre una scelta migliore rispetto a usare solo la password.
Da ricordare: dopo aver attivato l’autenticazione a due fattori, salva anche i codici di recupero in un luogo sicuro. Servono se perdi il telefono o non puoi usare il metodo principale di verifica.
Esci da tutti i dispositivi collegati
Dopo aver cambiato una password compromessa, controlla le sessioni attive. Molti servizi permettono di vedere da quali dispositivi, browser o app è stato effettuato l’accesso. Cerca voci come:
dispositivi collegati;
sessioni attive;
accessi recenti;
attività di sicurezza;
dove hai effettuato l’accesso;
gestisci dispositivi.
Se trovi un dispositivo che non riconosci, scollegalo. Se il servizio offre l’opzione Esci da tutti i dispositivi, usala dopo aver cambiato la password. In questo modo eventuali sessioni aperte da altre persone vengono interrotte. Questo passaggio è particolarmente importante per email, social network, account Google, Apple Account, servizi cloud, piattaforme di lavoro e app collegate a pagamenti.
Controlla email, numero di telefono e metodi di recupero
Quando qualcuno riesce a entrare in un account, potrebbe modificare i dati di recupero per mantenere l’accesso anche dopo il cambio password. Per questo devi controllare che email, numero di telefono e metodi di recupero siano ancora corretti. Verifica:
email principale;
email secondaria;
numero di telefono;
dispositivi fidati;
app di autenticazione collegate;
chiavi di sicurezza;
codici di backup;
domande di sicurezza, se ancora presenti.
Se trovi un dato che non riconosci, rimuovilo subito. Poi cambia nuovamente la password, perché l’account potrebbe essere stato già manipolato.
Controlla app collegate e autorizzazioni
Molti account consentono ad app, estensioni o servizi esterni di accedere ai dati. È comodo, ma può diventare un rischio se nel tempo hai autorizzato strumenti che non usi più o che non riconosci. Dopo una possibile compromissione, entra nella sezione dedicata alle app collegate e rimuovi tutto ciò che non è necessario. Controlla in particolare:
app di terze parti collegate all’account;
estensioni del browser;
servizi che hanno accesso a email, calendario, file o contatti;
Controlla il dispositivo: potrebbe esserci malware
Una password può essere rubata in molti modi: violazione di un sito, phishing, malware, estensioni malevole, app non affidabili, rete Wi-Fi compromessa o pagine false che imitano servizi conosciuti. Se la password è stata rubata dopo aver installato qualcosa, aperto un allegato o cliccato su un link sospetto, non limitarti al cambio password. Controlla anche il dispositivo.
Puoi fare questi passaggi:
aggiorna sistema operativo, browser e app;
rimuovi programmi o app che non riconosci;
disinstalla estensioni del browser inutili o sospette;
esegui una scansione con un software di sicurezza affidabile;
controlla se il browser apre pagine strane o mostra notifiche sospette;
evita di cambiare password da un dispositivo che pensi sia infetto.
Se hai un dubbio serio, cambia le password più importanti da un dispositivo diverso e affidabile. Cambiarle da un computer compromesso potrebbe esporre subito anche le nuove credenziali.
Attenzione alle false email di violazione dati
Dopo una violazione reale o presunta, possono arrivare email truffa che fingono di avvisarti di un problema di sicurezza. Il messaggio può invitarti a cliccare un link, scaricare un file o inserire la password per “verificare” l’account. Questi messaggi spesso usano frasi urgenti, loghi simili agli originali e toni allarmistici. Il consiglio è semplice: non cliccare sui link contenuti nell’email. Vai direttamente sul sito ufficiale o apri l’app ufficiale del servizio.
Fai attenzione se il messaggio:
ti chiede di inserire la password in una pagina raggiunta da link;
contiene errori strani o un dominio simile ma non identico a quello ufficiale;
minaccia la chiusura immediata dell’account;
chiede codici di verifica o dati bancari;
invita a scaricare allegati;
arriva da un mittente che non corrisponde al servizio reale.
Una regola utile è questa: le password non si comunicano via email, chat o telefono. Se qualcuno te la chiede, è quasi certamente un tentativo di truffa.
Cosa fare se non riesci più ad accedere
Se la password è stata cambiata da qualcun altro e non riesci più a entrare nell’account, devi usare la procedura ufficiale di recupero. Ogni servizio ha un percorso diverso, ma in genere ti chiederà di confermare la tua identità tramite email, numero di telefono, dispositivo già riconosciuto o documenti. In questa situazione:
non creare subito un nuovo account se puoi recuperare quello vecchio;
usa solo la pagina ufficiale di recupero;
controlla anche la casella spam o posta indesiderata;
prepara dati utili per dimostrare che l’account è tuo;
avvisa i tuoi contatti se l’account è stato usato per inviare messaggi sospetti;
se ci sono pagamenti collegati, controlla movimenti e metodi di pagamento.
Se l’account compromesso è collegato a lavoro, pagamenti, documenti o dati sensibili, valuta anche di contattare l’assistenza del servizio e, nei casi più gravi, la banca o le autorità competenti.
Quando avvisare banca, contatti o assistenza
Non tutte le password rubate hanno lo stesso livello di rischio. Se la password riguardava un vecchio forum o un account secondario, può bastare cambiarla e controllare eventuali riutilizzi. Se invece riguarda email, banca, social o servizi professionali, serve maggiore attenzione. Avvisa la banca o il servizio di pagamento se:
noti operazioni che non riconosci;
la password rubata era collegata a un account con carte salvate;
ricevi notifiche di pagamento sospette;
il tuo account è stato usato per fare acquisti;
hai inserito dati bancari in una pagina sospetta.
Avvisa i tuoi contatti se:
dal tuo profilo sono partiti messaggi strani;
qualcuno sta usando il tuo nome per chiedere soldi o codici;
l’account social è stato usato per pubblicare contenuti non tuoi;
sono state inviate email di phishing dalla tua casella.
Può essere imbarazzante, ma è meglio avvisare subito. In questo modo riduci il rischio che altre persone cadano nella truffa usando la fiducia che hanno nel tuo nome.
Come prevenire il problema in futuro
Non puoi controllare ogni violazione di dati che avviene online, ma puoi ridurre molto i rischi seguendo alcune buone pratiche.
usa una password diversa per ogni account;
attiva l’autenticazione a due fattori sui servizi più importanti;
usa un gestore password affidabile;
evita di salvare password su dispositivi condivisi;
mantieni aggiornati sistema operativo, browser e app;
non installare estensioni inutili o sconosciute;
non cliccare link sospetti ricevuti via email, SMS o chat;
controlla periodicamente dispositivi collegati e accessi recenti;
rimuovi gli account che non usi più;
preferisci le passkey quando il servizio le supporta.
Le passkey sono un sistema di accesso diverso dalle password tradizionali. Invece di digitare una password, confermi l’accesso con il dispositivo, il volto, l’impronta digitale o un codice di sblocco. Questo riduce il rischio di phishing perché non c’è una password classica da copiare e riutilizzare. Non tutti i servizi supportano ancora le passkey, ma quando sono disponibili possono essere una buona scelta, soprattutto per gli account più importanti. Anche in questo caso, però, devi proteggere bene il dispositivo, mantenere attivi i metodi di recupero e sapere cosa fare se perdi il telefono o il computer. Le passkey non eliminano ogni rischio, ma riducono uno dei problemi più comuni: il riutilizzo della stessa password su più siti.
Errori da evitare dopo una password rubata
Dopo una possibile compromissione, alcune reazioni istintive possono peggiorare la situazione. Ecco gli errori più comuni da evitare.
Cambiare solo una password: se la stessa credenziale era usata altrove, devi cambiarla anche sugli altri account.
Usare una variante simile: aggiungere un numero o un simbolo alla vecchia password non basta.
Cliccare link ricevuti via email: vai sempre dal sito ufficiale o dall’app ufficiale.
Dimenticare l’email principale: è spesso l’account più importante da proteggere.
Non controllare i dispositivi collegati: qualcuno potrebbe avere ancora una sessione aperta.
Non verificare app e autorizzazioni: un’app collegata può continuare ad accedere ai dati.
Cambiare password da un dispositivo sospetto: se il dispositivo è infetto, anche la nuova password può essere rubata.
In sintesi
Se una password è stata rubata, devi agire subito ma con metodo. Cambia la password dal sito ufficiale, scegli una credenziale nuova e unica, controlla se la stessa password era usata altrove e attiva l’autenticazione a due fattori. Subito dopo, verifica accessi recenti, dispositivi collegati, metodi di recupero, app autorizzate e possibili attività sospette. Se l’account riguarda email, banca, pagamenti o dati sensibili, dai priorità massima alla protezione e non aspettare.
La regola più importante è semplice: una password rubata non deve mai restare valida e non deve mai essere usata su più account. Più le tue password sono uniche, più è difficile che un singolo problema si trasformi in una violazione più ampia.
Domande frequenti
Come faccio a sapere se una password è stata rubata?
Puoi ricevere un avviso dal browser, dal gestore password o dal servizio che usi. Altri segnali sono accessi sospetti, codici di verifica non richiesti, email di sicurezza insolite o modifiche all’account che non hai fatto tu.
Cosa devo fare per prima cosa se una password è stata rubata?
Devi cambiarla subito dal sito o dall’app ufficiale del servizio. Non usare link ricevuti via email o messaggio. Dopo il cambio, controlla accessi recenti, dispositivi collegati e metodi di recupero.
Basta eliminare la password salvata dal browser?
No. Eliminare una password salvata dal browser o dallo smartphone rimuove solo la credenziale memorizzata. Se la password è stata rubata, devi cambiarla davvero nell’account collegato.
Devo cambiare anche le password degli altri account?
Sì, se hai usato la stessa password o una password molto simile su altri servizi. Il riutilizzo delle password è uno dei principali motivi per cui una singola violazione può mettere a rischio più account.
È utile attivare l’autenticazione a due fattori?
Sì. L’autenticazione a due fattori aggiunge un secondo passaggio oltre alla password e rende più difficile l’accesso non autorizzato, anche se qualcuno conosce la tua password.
Cosa faccio se non riesco più ad accedere all’account?
Usa la procedura ufficiale di recupero account del servizio. Evita link sospetti, prepara i dati necessari per dimostrare che l’account è tuo e controlla anche email, telefono e dispositivi collegati.
Una passkey è più sicura di una password?
In molti casi sì, perché non si basa su una password tradizionale da digitare e riutilizzare. Le passkey riducono il rischio di phishing, ma richiedono comunque dispositivi protetti e metodi di recupero ben configurati.
Quando devo avvisare la banca?
Devi avvisare la banca o il servizio di pagamento se noti movimenti sospetti, se l’account compromesso aveva carte salvate o se pensi di aver inserito dati bancari in una pagina falsa.
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
