by Antonello Camilotto

Cambio password ogni 90 giorni: una necessità di sicurezza o un'illusione?

Una delle raccomandazioni più comuni che ci viene data è quella di cambiare le password regolarmente, solitamente ogni 90 giorni. L'idea dietro a questa pratica è semplice: se una password è compromessa, cambiarla a intervalli regolari dovrebbe ridurre il rischio di accessi non autorizzati. Ma questa misura è veramente efficace o si tratta solo di un'illusione di sicurezza?


La logica dietro il cambio frequente delle password


Il concetto di cambiare le password ogni 90 giorni nasce con l'intento di limitare i danni in caso di attacco informatico. Se un hacker riesce a scoprire una password, il tempo che intercorre prima che la password venga cambiata è limitato, riducendo le possibilità che la violazione possa essere sfruttata per un lungo periodo. Inoltre, cambia la "routine" degli utenti, rendendo più difficile per i cybercriminali sfruttare le informazioni compromesse.


Problemi legati al cambio frequente delle password


Nonostante la sua apparente efficacia, la pratica del cambio forzato delle password ha suscitato diverse critiche negli ultimi anni. Ecco alcune delle principali problematiche:


  • Complessità crescente delle password
    Quando si è costretti a cambiare frequentemente la propria password, molti utenti tendono a scegliere password più semplici e facili da ricordare, rendendo più probabile che queste vengano compromesse. Inoltre, per non dimenticare le nuove combinazioni, si può essere tentati di scrivere le password o usare la stessa combinazione per più account, aumentando così il rischio di attacchi a catena.
  • Impatto sulla produttività
    Il cambio continuo delle password può creare frustrazione tra gli utenti. Molti lavoratori, ad esempio, devono gestire una molteplicità di credenziali per differenti applicazioni e servizi, il che può rallentare le attività quotidiane e causare errori umani, come la scrittura di password sbagliate o la perdita di accesso a sistemi cruciali.
  • Effetto placebo sulla sicurezza
    L'idea che il cambio regolare delle password sia una panacea per la sicurezza informatica può portare a una falsa sensazione di protezione. In realtà, la sicurezza di un sistema dipende da molti altri fattori, come la gestione delle credenziali, la protezione contro il phishing, l'uso di autenticazione multifattore (MFA) e la protezione da vulnerabilità nei software. Il cambio delle password non risolve questi problemi fondamentali.
  • Password compromesse prima del cambio
    Se una password è stata compromessa, il cambiamento ogni 90 giorni non garantisce che l'attaccante non abbia già sfruttato l'accesso durante il periodo in cui la password era valida. Il danno potrebbe essere stato fatto prima che l'utente avesse la possibilità di cambiarla.


Alternative al cambio regolare delle password


Con l'evoluzione delle minacce informatiche, molte organizzazioni e esperti di sicurezza stanno rivedendo l'efficacia del cambio periodico delle password. Tra le alternative più promettenti ci sono:


  • Autenticazione multifattore (MFA)
    L'adozione dell'autenticazione a più fattori è una delle soluzioni più sicure. La MFA aggiunge uno strato di protezione extra, richiedendo non solo la password, ma anche un altro fattore di autenticazione (ad esempio, un codice inviato via SMS o generato da un'app di autenticazione). Questo rende molto più difficile per gli hacker accedere agli account anche se hanno la password corretta.
  • Gestori di password
    Utilizzare un gestore di password per creare e conservare password complesse e uniche per ogni account può ridurre significativamente il rischio di attacchi. Questi strumenti permettono agli utenti di gestire in sicurezza le loro credenziali senza doverle ricordare tutte, e senza doversi affidare a password deboli o facilmente indovinabili.
  • Monitoraggio e gestione attiva degli accessi
    Un'altra strategia utile consiste nel monitorare costantemente gli accessi a sistemi e account, utilizzando strumenti di rilevamento delle anomalie per identificare attività sospette. In questo modo, anche se una password viene compromessa, gli amministratori possono intervenire rapidamente per bloccare l'accesso non autorizzato.
  • Educazione degli utenti
    La formazione continua degli utenti sulle best practice in tema di sicurezza, come il riconoscimento delle email di phishing e l'adozione di password forti, è una delle misure più efficaci per ridurre i rischi. Gli utenti consapevoli sono meno inclini a cadere in trappole di social engineering e sono più in grado di adottare abitudini sicure.


Il cambio regolare delle password ogni 90 giorni non è più considerato da molti esperti di sicurezza come una misura sufficiente per proteggere adeguatamente gli utenti e le organizzazioni. Sebbene possa avere un ruolo limitato in alcuni contesti, da solo non è sufficiente a proteggere gli account da minacce sofisticate.


È essenziale adottare un approccio più completo alla sicurezza, che includa l'autenticazione multifattore, l'uso di password forti e un monitoraggio costante degli accessi. Solo così si può garantire una protezione adeguata contro le minacce informatiche sempre più avanzate.


© 𝗯𝘆 𝗔𝗻𝘁𝗼𝗻𝗲𝗹𝗹𝗼 𝗖𝗮𝗺𝗶𝗹𝗼𝘁𝘁𝗼

Tutti i diritti riservati | All rights reserved



Informazioni Legali

I testi, le informazioni e gli altri dati pubblicati in questo sito nonché i link ad altri siti presenti sul web hanno esclusivamente scopo informativo e non assumono alcun carattere di ufficialità.

Non si assume alcuna responsabilità per eventuali errori od omissioni di qualsiasi tipo e per qualunque tipo di danno diretto, indiretto o accidentale derivante dalla lettura o dall'impiego delle informazioni pubblicate, o di qualsiasi forma di contenuto presente nel sito o per l'accesso o l'uso del materiale contenuto in altri siti.


Autore: News 6 luglio 2026
Il Dipartimento per la trasformazione digitale ha annunciato un importante passo avanti nel processo di digitalizzazione della Pubblica Amministrazione. Da ora tutte le amministrazioni pubbliche e i gestori di servizi pubblici possono accedere direttamente all'Anagrafe Nazionale della Popolazione Residente (ANPR) attraverso la Piattaforma Digitale Nazionale Dati (PDND), semplificando lo scambio di informazioni e riducendo gli adempimenti per cittadini e uffici. L'accesso all'ANPR tramite la PDND consente agli enti di consultare in modo automatico e sicuro i dati anagrafici aggiornati, senza dover richiedere ai cittadini certificati o autocertificazioni relative a informazioni già presenti nelle banche dati pubbliche. L'interoperabilità tra le amministrazioni elimina così numerose procedure ridondanti, evita verifiche manuali e riduce la duplicazione dei dati. La novità si traduce in una significativa semplificazione amministrativa: i cittadini non saranno più costretti a presentare gli stessi documenti a uffici diversi, mentre le amministrazioni potranno erogare i servizi in tempi più rapidi e con minori costi di gestione. L'accesso ai dati resta comunque soggetto a rigorose regole. Ogni amministrazione potrà consultare esclusivamente le informazioni necessarie allo svolgimento delle proprie funzioni istituzionali, nel rispetto dei principi di proporzionalità, della normativa sulla protezione dei dati personali e delle misure di sicurezza previste per il trattamento delle informazioni. Il Ministero dell'Interno monitorerà gli accessi effettuati tramite la PDND. Qualora vengano rilevate anomalie o utilizzi non coerenti con le finalità dichiarate, gli enti interessati saranno chiamati a effettuare le verifiche necessarie. In caso di mancati controlli o irregolarità, il servizio di accesso ai dati potrà essere sospeso. 
Autore: Educazione Digitale 2 luglio 2026
Il SIM swapping è una forma di frode informatica che colpisce i numeri di telefono cellulari e può avere conseguenze molto serie, soprattutto perché spesso viene utilizzato per accedere a conti bancari, account social e servizi digitali protetti da autenticazione a due fattori tramite SMS. Cos’è il SIM swapping Il SIM swapping (o “scambio di SIM”) è una tecnica con cui un criminale riesce a far attivare una nuova SIM card con il numero di telefono della vittima. In pratica, il numero telefonico viene “trasferito” senza autorizzazione su una SIM in possesso dell’attaccante. Una volta completato il trasferimento, la SIM originale della vittima smette di funzionare: non riceve più chiamate, SMS o dati. Da quel momento, il truffatore può ricevere tutti i messaggi destinati al numero, inclusi i codici di sicurezza per accedere a servizi online. Come avviene l’attacco Il SIM swapping non richiede necessariamente competenze tecniche avanzate, ma si basa soprattutto sull’ingegneria sociale. Le fasi tipiche sono: Raccolta di informazioni sulla vittima Gli attaccanti raccolgono dati personali tramite social network, phishing, fughe di dati o altre fonti pubbliche. Contatto con l’operatore telefonico Il criminale si spaccia per la vittima e contatta l’operatore telefonico, cercando di convincerlo a trasferire il numero su una nuova SIM. Attivazione della nuova SIM Se la procedura va a buon fine, la SIM della vittima viene disattivata e il numero passa all’attaccante. Accesso agli account personali Con il controllo del numero, il criminale può resettare password e ricevere codici OTP (one-time password) via SMS per accedere a email, conti bancari e social media. Perché è pericoloso Il SIM swapping è particolarmente pericoloso perché sfrutta un punto debole comune: l’uso degli SMS come metodo di autenticazione a due fattori. I principali rischi includono: furto di denaro da conti bancari o wallet digitali accesso a email personali (che spesso permettono ulteriori reset password) compromissione di account social e identità digitale possibili danni reputazionali o estorsioni In molti casi, la vittima si accorge del problema solo quando il telefono smette improvvisamente di funzionare. Segnali di un possibile attacco Alcuni indizi possono aiutare a riconoscere un SIM swapping in corso: perdita improvvisa del segnale senza motivo impossibilità di ricevere chiamate o SMS notifiche di accessi sospetti agli account email o messaggi di reset password non richiesti Come proteggersi Anche se non esiste una protezione assoluta, ci sono diverse misure efficaci per ridurre il rischio: evitare di usare SMS come unico metodo di autenticazione a due fattori preferire app di autenticazione come Google Authenticator o sistemi simili impostare un PIN o una password con il proprio operatore telefonico limitare la quantità di informazioni personali condivise online attivare notifiche di accesso sugli account più importanti utilizzare password diverse e complesse per ogni servizio Cosa fare in caso di attacco Se si sospetta un SIM swapping: contattare immediatamente il proprio operatore telefonico per bloccare la linea modificare le password degli account principali da un dispositivo sicuro avvisare la banca e controllare eventuali movimenti sospetti segnalare l’accaduto alle autorità competenti Il SIM swapping è una minaccia in crescita che sfrutta la fiducia nei sistemi telefonici e la debolezza dell’autenticazione via SMS. La consapevolezza e l’adozione di metodi di sicurezza più moderni sono fondamentali per ridurre il rischio di diventare vittime di questo tipo di attacco. 
Autore: Educazione Digitale 2 luglio 2026
Negli ultimi anni i codici QR sono diventati uno strumento di uso quotidiano. Li utilizziamo per consultare il menu di un ristorante, effettuare pagamenti digitali, scaricare applicazioni, accedere a siti web o ottenere informazioni su prodotti e servizi. Proprio questa diffusione ha attirato l'attenzione dei cybercriminali, che hanno sviluppato una nuova tecnica di frode chiamata QRishing. Cos'è il QRishing Il termine QRishing nasce dalla combinazione di "QR" e "phishing". Si tratta di una truffa informatica nella quale i criminali utilizzano un codice QR per indirizzare la vittima verso un sito web fraudolento o per indurla a compiere azioni che compromettono la sicurezza dei propri dati. A differenza delle tradizionali email di phishing, nelle quali è possibile controllare il link prima di cliccare, con un codice QR l'indirizzo del sito rimane nascosto fino alla scansione. Questo rende più difficile riconoscere un tentativo di frode. Come funziona la truffa Il meccanismo è semplice ma estremamente efficace. I truffatori creano un codice QR che rimanda a una pagina web contraffatta, progettata per imitare siti affidabili come banche, corrieri, enti pubblici o piattaforme di pagamento. La vittima scansiona il codice con lo smartphone e viene invitata a: inserire le credenziali di accesso; digitare i dati della carta di credito; confermare un pagamento; scaricare un'applicazione dannosa; autorizzare operazioni bancarie. Una volta ottenute queste informazioni, i criminali possono rubare denaro, accedere agli account personali o utilizzare i dati per ulteriori frodi. Dove si possono trovare i codici QR fraudolenti I codici QR malevoli possono comparire praticamente ovunque. Tra i casi più comuni troviamo: adesivi applicati sopra i QR originali nei parcheggi o nei parcometri; volantini e manifesti pubblicitari; email che invitano a scansionare un codice per verificare un pagamento o aggiornare un account; messaggi SMS o applicazioni di messaggistica; social network; finte fatture o comunicazioni di presunti corrieri. In alcuni casi i truffatori sostituiscono persino il codice QR autentico con uno falso, rendendo molto difficile accorgersi dell'inganno. I rischi per gli utenti Le conseguenze del QRishing possono essere molto serie. Tra i principali rischi figurano: furto di password e credenziali; sottrazione di dati bancari; installazione di malware sul dispositivo; accesso non autorizzato agli account personali; perdite economiche dovute a pagamenti fraudolenti. Le aziende non sono immuni da questa minaccia: un dipendente che scansiona un QR compromesso potrebbe esporre anche i sistemi informatici dell'organizzazione. Come difendersi La prevenzione rimane l'arma più efficace contro il QRishing. Alcuni semplici accorgimenti possono ridurre notevolmente il rischio. Prima di scansionare un codice QR è opportuno verificare che non sia stato coperto da adesivi sospetti o alterato. Dopo la scansione, è consigliabile controllare attentamente l'indirizzo web visualizzato dallo smartphone prima di aprirlo. È inoltre importante non inserire mai dati personali o bancari su siti di cui non si è certi dell'autenticità e diffidare dei messaggi che creano un senso di urgenza, come richieste di pagamento immediato o aggiornamenti obbligatori dell'account. Mantenere aggiornato il sistema operativo dello smartphone e utilizzare software di sicurezza affidabili rappresenta un'ulteriore misura di protezione. Il ruolo della consapevolezza Come accade per molte truffe informatiche, il QRishing sfrutta soprattutto la fiducia e la distrazione delle persone. I criminali fanno leva sull'abitudine di scansionare rapidamente un codice senza verificarne la provenienza. Per questo motivo è fondamentale promuovere la cultura della sicurezza digitale, sia tra i privati sia nelle aziende, attraverso attività di formazione e sensibilizzazione. I codici QR sono strumenti estremamente utili e continueranno a essere parte integrante della nostra vita quotidiana. Tuttavia, la loro praticità può trasformarsi in un punto debole se utilizzati senza le dovute precauzioni. Prestare attenzione alla provenienza dei codici, verificare sempre i siti web prima di inserire dati sensibili e mantenere un atteggiamento prudente rappresentano le migliori difese contro il QRishing.  In un contesto in cui le minacce informatiche evolvono continuamente, la consapevolezza resta il primo e più efficace strumento di protezione.
Autore: Educazione Digitale 2 luglio 2026
Il mercato dell’eCommerce in Italia continua a crescere e a consolidarsi come uno dei pilastri del sistema economico digitale del Paese. Nel 2026, il valore degli acquisti online degli italiani ha superato i 66,6 miliardi di euro, registrando un incremento del +6% rispetto all’anno precedente, segnando una fase di maturità ma ancora di espansione costante del settore. Questa crescita è trainata sia dal comparto dei prodotti sia da quello dei servizi. L’eCommerce di prodotto raggiunge circa 42,6 miliardi di euro, mentre i servizi si attestano attorno ai 24 miliardi. Entrambi i segmenti crescono con un ritmo simile, a conferma di un mercato ormai strutturato e diversificato. Uno degli indicatori più significativi è la penetrazione dell’online sul totale del retail, che nei prodotti arriva all’11,5%. Questo dato evidenzia come una parte sempre più rilevante dei consumi si stia spostando verso i canali digitali, pur rimanendo ancora spazio per una crescita futura rispetto ad altri Paesi europei più avanzati nella digitalizzazione dei consumi. Dal lato dei consumatori, l’eCommerce italiano coinvolge circa 35 milioni di persone. Il profilo dell’acquirente online è cambiato profondamente negli ultimi anni: l’età media si è allineata a quella della popolazione generale (circa 48 anni) e la diffusione è diventata più omogenea sul territorio, non più concentrata solo nelle grandi città. Anche il tessuto delle imprese digitali mostra segnali di trasformazione. Le aziende attive nell’eCommerce sono circa 87.000, con una lieve contrazione rispetto all’anno precedente. Tuttavia, il mercato si sta selezionando: diminuiscono gli operatori meno solidi mentre cresce la qualità media delle imprese, in particolare tra le micro e piccole aziende che rappresentano oltre il 90% del totale. I settori più dinamici includono Beauty & Pharma, che cresce più della media, insieme a comparti come elettronica, moda, arredamento e food & grocery. Anche i servizi, in particolare assicurazioni e turismo, mostrano una forte spinta verso la digitalizzazione. Il mercato eCommerce in Italia si trova in una fase di maturità evolutiva: non cresce più in modo esplosivo come negli anni della diffusione iniziale, ma continua a espandersi in modo stabile e strutturale. Il futuro del settore sarà sempre più legato alla qualità dell’esperienza utente, alla logistica, ai pagamenti digitali e all’integrazione con nuove tecnologie come l’intelligenza artificiale e i sistemi di personalizzazione avanzata. 
Autore: News 2 luglio 2026
Il CERT-AgID, il Computer Emergency Response Team dell’Agenzia per l’Italia Digitale, ha segnalato una nuova campagna di phishing che prende di mira i cittadini con false comunicazioni sulla presunta sostituzione della tessera. Le email, che ripropongono uno schema già emerso nei mesi di gennaio e febbraio, informano il destinatario della necessità di richiedere una nuova tessera sanitaria e lo invitano a inserire dati personali e informazioni di pagamento per completare la procedura. Si tratta di un tentativo di frode finalizzato al furto di dati sensibili e delle credenziali di pagamento. Le autorità ricordano che il Ministero della Salute non invia mai email per chiedere la sostituzione della tessera sanitaria né richiede pagamenti online. Il rinnovo avviene automaticamente e la nuova tessera viene spedita gratuitamente dall’Agenzia delle Entrate all'indirizzo di residenza dell'intestatario. In caso di dubbi, è consigliabile non cliccare sui link contenuti nei messaggi sospetti, non fornire dati personali e segnalare l'accaduto alle autorità competenti. 
Autore: News 2 luglio 2026
I bambini stanno adottando l'intelligenza artificiale a un ritmo nettamente superiore rispetto agli adulti, ma le misure di tutela non tengono il passo. È quanto emerge da una nuova analisi dell'UNICEF, secondo cui almeno 20 milioni di minori in dieci Paesi hanno già utilizzato strumenti di IA, spesso per studiare, svolgere i compiti o persino cercare consigli su questioni personali. L'agenzia delle Nazioni Unite per l'infanzia evidenzia che i più giovani stanno integrando l'intelligenza artificiale nella vita quotidiana con una velocità oltre tre volte superiore a quella degli adulti, sulla base dei dati raccolti nei dieci Paesi analizzati. Tra i risultati più significativi, oltre 2 milioni di bambini, pari a circa uno su dieci, affermano di ricorrere all'IA per ricevere consigli su problemi e preoccupazioni personali. Sono invece circa 13 milioni quelli che utilizzano questi strumenti come supporto per lo studio e i compiti scolastici. Per l'UNICEF, la rapida diffusione dell'intelligenza artificiale sta superando la capacità di governi e istituzioni di regolamentarne l'impiego, lasciando i minori particolarmente vulnerabili. "I bambini sono maggiormente esposti ai sistemi di IA, al modo in cui sono progettati, ai modelli di business su cui si basano e all'utilizzo dei loro dati personali, ma hanno molte meno possibilità di evitarli o contestarli", sottolinea l'agenzia, evidenziando come la maggior parte degli attuali sistemi di governance dell'IA non metta i diritti e gli interessi dei minori al centro. L'organizzazione richiama inoltre l'attenzione sull'incertezza che ancora circonda gli effetti a lungo termine dell'intelligenza artificiale sullo sviluppo dei più giovani. Le evidenze scientifiche sul suo impatto in termini di sviluppo cognitivo, dipendenza emotiva ed esposizione ai rischi sono ancora limitate. "Di fatto, un'intera generazione sta crescendo all'interno di un esperimento globale", avverte il rapporto. Anche i bambini esprimono forti preoccupazioni sull'uso di questa tecnologia. Un terzo degli intervistati teme che l'intelligenza artificiale possa essere impiegata per truffare, ingannare le persone o diffondere disinformazione, mentre un quarto dichiara di avere paura che immagini o video personali possano essere manipolati per creare deepfake a contenuto sessualmente esplicito. Secondo l'UNICEF, molti sistemi di intelligenza artificiale raggiungono oggi i minori senza adeguate misure di protezione. La sicurezza, conclude l'agenzia, sembra essere stata considerata "solo in un secondo momento", anziché rappresentare un elemento fondamentale nella progettazione di queste tecnologie. 
Mostra Altri