Molte aziende spendono cifre sempre più alte per sistemi di sicurezza informatica avanzata: firewall di ultima generazione, crittografia end-to-end, autenticazione a più fattori, monitoraggio h24. Poi un collaboratore trova una chiavetta USB nel parcheggio e la collega al computer aziendale “per vedere di chi è”. E tutto crolla. Ne sentiamo parlare da anni, ma ce ne dimentichiamo, sempre. O no? Ci siamo assuefatti all’idea che la cybersecurity sia una questione software, da super specialisti o, peggio, solo da nerd.
Siamo convinti che il punto di accesso ormai sia nel codice: un exploit zero-day, un attacco sofisticato, una forza bruta. E invece, come sappiamo ma dimentichiamo, siamo noi. Le persone normali che usano la tecnologia per vivere, lavorare, pagare il caffè. Colleghiamo chiavette trovate per caso, ci attacchiamo a porte USB nelle stazioni, teniamo aperta la porta dell’ufficio a sconosciuti per educazione. Ci fidiamo di una porta USB pubblica perché “tanto sto solo caricando il telefono”.
Indice degli argomenti
Quando la cybersecurity fisica passa in secondo piano
Ci fidiamo ciecamente degli oggetti tangibili. Quella fiducia è la galleria spalancata. La dimensione fisica, quella fatta di atomi, non si patcha con un aggiornamento. Eppure continuiamo a trattarla come se fosse neutra, innocua, priva di conseguenze. Il paradosso è che, mentre aumentano strumenti e linguaggi della sicurezza digitale, diminuisce la soglia di attenzione su tutto ciò che coinvolge mani, occhi, spazi e abitudini.
La falla “umana” che rende utile anche l’attacco più banale
Siamo noi a trasformare un dettaglio in un incidente. La distrazione, la fretta, la cortesia, la curiosità: sono queste le leve che funzionano meglio di un exploit. E funzionano perché appartengono alla vita quotidiana, quindi sembrano “normali”. Il risultato è che l’attacco fisico non appare come un attacco: appare come una piccola deviazione dalla routine, un gesto automatico che “non può fare danni”.
QR code e cybersecurity fisica: il link che non leggiamo
Prendete i QR code. Dopo la pandemia sono diventati onnipresenti: menu dei ristoranti, pagamenti per la sosta, accesso alle reti Wi-Fi, check-in negli hotel. Li usiamo senza farci nemmeno una domanda. Eppure un QR code è un link che non possiamo (o quasi) leggere prima di aprirlo: un URL stampato su carta, geniale per gli attaccanti. Se riceviamo un’email con scritto “clicca qui per vincere un premio” da un indirizzo sconosciuto, probabilmente la cancelliamo.
Ma se vediamo lo stesso messaggio stampato su un adesivo con il quadratino, il cervello tende a fidarsi. Perché l’oggetto è lì, fisicamente presente, e la presenza fisica, nella nostra mente, equivale a legittimità. È il digitale reso tangibile: diventa più pericoloso proprio perché si maschera da oggetto. È un oggetto, e quindi sembra “vero”.
Quishing: quando basta un adesivo per cambiare il destino di un click
I dati parlano chiaro. Secondo le analisi di Egress, nel 2024 il 12% di tutti gli attacchi di phishing conteneva un QR code, un salto esponenziale rispetto al 2021, quando la percentuale era appena dello 0,8%. Keepnet ha rilevato un aumento del 25% anno su anno nel 2025, con picchi particolarmente concentrati nei settori energia, manifatturiero e retail, dove quasi il 30% dei messaggi di phishing contiene QR malevoli.
La tecnica del quishing è in crescita proprio perché funziona: i truffatori stampano i propri QR code e li incollano sopra quelli legittimi su colonnine di ricarica, bici in sharing, parchimetri. Nel Regno Unito, Action Fraud ha registrato 1.386 segnalazioni nel 2024, contro le 100 del 2019. Eppure la nostra curiosità resta lì: scansionare, cliccare, infilare, aprire, guardare, scoprire, risparmiare.
Noi inquadriamo, il browser si apre e, senza accorgercene, taak! stiamo regalando i dati della carta di credito a un sito clone. La mente associa la materialità dell’adesivo alla legittimità dell’istituzione, bypassando ogni controllo di sicurezza che normalmente applicheremmo online. È un cortocircuito cognitivo: il fisico sembra affidabile, e proprio per questo diventa un travestimento perfetto.
Chiavette USB e cybersecurity fisica: curiosità collegata alla corrente
Lo stesso meccanismo funziona con le chiavette USB. Anzi, funziona ancora meglio, perché qui entra in gioco anche la curiosità, che amiamo alla follia. È un esperimento replicato da anni, con risultati sempre identici: quasi la metà delle persone che trova una chiavetta USB la collega a un computer. Le motivazioni variano: c’è chi lo fa per altruismo (“voglio vedere di chi è per restituirla”), c’è chi lo fa per pura curiosità (“chissà cosa c’è dentro”).
Il risultato è spesso disastroso. Nel “migliore” dei casi si installa un malware silente che prima o poi magari viene intercettato dall’antivirus. Nel peggiore, si collega un USB Killer, un dispositivo che scarica una sovratensione sui circuiti e frigge la scheda madre in pochi secondi. Magari non succede, ma se succede? In quel momento, la sicurezza non è più un concetto astratto: è un danno reale, immediato.
Esempi e campagne: quando il vettore “banale” è il più usato
Durante il CPX 2024, Maya Horowitz di Check Point ha documentato che le chiavette USB sono state il vettore di infezione principale per tre grandi gruppi di attacco: Camaro Dragon (Cina), Gamaredon (Russia) e gli attori dietro Raspberry Robin. Campagne mirate contro organizzazioni sensibili, con malware come SOGU (furto dati), SNOWYDRIVE (backdoor per industria oil & gas) e WispRider (diffusione rapida anche in sistemi air-gapped).
E funzionano ancora oggi perché, nel nostro cervello, un oggetto fisico trovato per caso non può essere una minaccia seria. È “solo una chiavetta”, cosa vuoi che sia. È questa sottovalutazione che rende l’attacco efficace: non serve sofisticazione, serve soltanto che qualcuno faccia quel gesto una volta.
Batteria e connessione: la cybersecurity fisica cede quando siamo in emergenza
Ma gli spazi pubblici sono pericolosi anche per quello che ci offrono: il Wi-Fi aperto in aeroporto, la porta USB della colonnina di ricarica. Nella gerarchia dei bisogni digitali del 2025, alla base ci sono due necessità primarie: batteria e connessione. Quando siamo in riserva di uno dei due, la sicurezza passa in secondo piano, parte l’ansia e non ci vediamo più.
Adocchiamo un “Free Airport Wi-Fi” e ci colleghiamo senza pensarci, anche se lo sappiamo che dietro quella rete potrebbe esserci un Evil Twin: il classico hotspot creato da un attaccante seduto a pochi metri che intercetta tutto il nostro traffico. Email, password, messaggi, dati bancari. Eppure ci colleghiamo lo stesso. È la scorciatoia più comune, e anche la più prevedibile.
Poi c’è la batteria: aiuto, abbiamo il 5%. Ma ecco una colonnina di ricarica pubblica con porte USB, e via ad attaccarci senza esitare. Con il juice jacking una colonnina compromessa può esfiltrare foto, rubriche, cronologia, installare app malevole mentre il telefono si ricarica. Noi vediamo una presa. Il cervello vede un’opportunità. Il truffatore vede un canale di comunicazione.
Lo smartphone come single point of failure nella cybersecurity fisica
Il problema non si ferma alle infrastrutture pubbliche. E qui arriviamo al paradosso più assurdo: lo smartphone. Il problema non sono solo le porte USB pubbliche: è proprio quello che abbiamo in tasca, che accentra tutto, è sempre con noi, praticamente sempre sbloccato. Ricordo quando l’autenticazione a due fattori significava avere un token fisico separato, un dispositivo apposito, disconnesso da tutto il resto.
Era scomodo, ma era sicuro proprio perché scomodo. Poi, per comodità, abbiamo messo tutto sullo stesso smartphone: l’app della banca è sullo smartphone, l’app che genera gli OTP è sullo smartphone, gli SMS con i codici arrivano sullo smartphone, la notifica di movimento arriva sull’email dello smartphone, il riconoscimento facciale usa la fotocamera dello smartphone. Abbiamo smantellato il principio cardine della separazione fisica e creato un single point of failure: se perdi quello, perdi tutto.
Snatching: il furto “veloce” che vale più del dispositivo
E mica si parla di furto in casa mentre dormiamo: parliamo di snatching, il furto per strada mentre il telefono è sbloccato e in uso, un fenomeno in crescita nelle grandi città, facilissimo da eseguire. Ti strappano il telefono di mano mentre stai scrivendo un messaggio e, in quel momento, il telefono è completamente aperto. Le app bancarie spesso restano aperte in background, non richiedono una nuova autenticazione per decine di minuti.
L’obiettivo non è il valore economico del telefono, ma il suo contenuto. E il contenuto è tutto ciò che ci definisce digitalmente: se il ladro è veloce, ha accesso immediato, può fare bonifici, svuotare conti, cambiare credenziali. Noi non ce ne accorgiamo finché non è troppo tardi, perché il primo pensiero dopo un furto non è “devo bloccare la banca”, è “ho perso tutte le foto”. E perché le notifiche della banca arrivano… sullo smartphone. Abbiamo messo tutte le uova nello stesso paniere, sbloccato, per strada, sempre.
In ufficio la cybersecurity fisica crolla per educazione
Ma c’è un’altra dimensione ancora più sottovalutata: gli spazi di lavoro. Uffici protetti da badge, firewall e policy rigidissime, poi qualcuno tiene aperta la porta per un estraneo con le mani occupate e tutto diventa inutile. L’attacco più antico del mondo non richiede malware: basta essere, giustamente, educati. Si chiama tailgating, ed è banale quanto efficace.
Un malintenzionato si presenta alla porta super blindata dell’ufficio con le mani occupate da scatoloni o con un caffè in equilibrio precario. Un dipendente gentile gli tiene aperta la porta, non chiede il badge, non fa domande, perché sarebbe scortese. Così qualcuno entra in un’area protetta senza alcuna credenziale, solo perché siamo stati educati. Non c’è firewall che possa bloccare la cortesia.
Visual hacking: schermi, riflessi e conversazioni che regalano informazioni
Fosse finita qui saremmo già a rischio minuto per minuto, ma c’è anche questa sorta di visual hacking. Lavoriamo ovunque, su schermi sempre più grandi e leggibili da lontano: basta guardare sopra la spalla di qualcuno in treno, o il riflesso del suo schermo su un vetro. Poi ci sono le conversazioni ad alta voce al telefono: progetti aziendali, credenziali, budget, fornitori, come se nessuno stesse ascoltando.
I badge aziendali fotografati per sbaglio nei selfie, i documenti visibili nelle foto postate sui social, i dispositivi che vendiamo con il reset di fabbrica fatto “tanto si cancella tutto”. Esponiamo tutto senza nemmeno rendercene conto. La sicurezza, qui, non fallisce per un bug: fallisce per visibilità non controllata.
Oggetti, spazi, comportamenti: la cybersecurity fisica converge sempre su di noi
La vulnerabilità nasce quindi da tre livelli: quello degli oggetti che troviamo, quello degli spazi che attraversiamo, e quello dei comportamenti che pratichiamo. Tutti e tre convergono nello stesso punto. Torniamo al punto di partenza: quando succede l’inevitabile, la domanda è sempre la stessa, “Ma come hanno fatto a entrare?”. Sono entrati perché glielo abbiamo permesso semplicemente con il nostro comportamento.
Non servono hacker o forza bruta per violare un sistema: basta una distrazione. La tecnologia può risolvere problemi tecnologici, i problemi umani li risolviamo solo noi. Secondo IBM e Verizon, il 68% delle violazioni di dati nel 2024 ha coinvolto un elemento umano: phishing, errori, credenziali rubate. In molti casi gli attaccanti hanno sfruttato comportamenti negligenti più che vulnerabilità tecniche sofisticate.
Come sostengo nella mia “Digitalogia”, siamo sonnambuli digitali: agiamo per automatismo, per curiosità, con zero spirito critico, convinti che la tecnologia nelle nostre mani sia sicura per definizione. La tecnologia non è mai sicura per definizione: è sicura per comportamento. E il nostro comportamento è il bug più difficile da correggere, perché dipende da una consapevolezza che crediamo di avere, ma non abbiamo nelle questioni quotidiane.
Ci siamo convinti che delegare la sicurezza alla tecnologia fosse la soluzione totale, ma la tecnologia può proteggerci da attacchi tecnologici, non da noi stessi. La cybersecurity non è un prodotto da installare. È un comportamento.
