facebook-pixel
L
Lunyb

Come Sapere se la Tua Password è Stata Compromessa: Guida Completa 2026

T
Team Sicurezza Lunyb
··10 min read

Ogni giorno milioni di credenziali finiscono nelle mani di cybercriminali a causa di data breach, attacchi phishing e malware. Secondo i report più recenti, oltre 24 miliardi di password sono già circolanti nel dark web, e probabilmente almeno una è la tua. Sapere come verificare se una password è stata compromessa è ormai una competenza fondamentale per chiunque utilizzi internet.

In questa guida ti spiegherò passo passo come controllare lo stato di sicurezza delle tue credenziali, quali strumenti gratuiti e affidabili usare, come riconoscere i segnali di un account violato e cosa fare immediatamente se scopri di essere una vittima.

Cosa Significa Esattamente "Password Compromessa"

Una password compromessa è una credenziale che è stata esposta in un data breach, sottratta tramite phishing, registrata da un keylogger o resa pubblica in qualunque altro modo non autorizzato. Questo significa che la combinazione email/username + password potrebbe essere presente in database illegali consultabili o vendibili sul dark web.

È importante capire una cosa fondamentale: il fatto che tu non sia stato hackerato direttamente non ti rende al sicuro. La maggior parte delle compromissioni avviene perché un servizio terzo (un sito di e-commerce, un forum, un'app) subisce una violazione e i suoi database vengono pubblicati online.

Le principali cause di compromissione

  • Data breach aziendali: violazioni di servizi come LinkedIn, Adobe, Dropbox o piattaforme italiane.
  • Phishing: email o SMS ingannevoli che ti spingono a inserire le credenziali su siti falsi.
  • Credential stuffing: gli attaccanti riutilizzano password già trapelate su altri servizi.
  • Malware e keylogger: software malevoli installati senza il tuo consenso.
  • Reti Wi-Fi pubbliche non protette: l'intercettazione del traffico non cifrato.

Come Verificare se una Password è Stata Compromessa: 5 Metodi Affidabili

Esistono diversi strumenti gratuiti e gratuitamente accessibili che ti permettono di controllare se le tue credenziali sono finite in qualche database trapelato. Vediamoli in ordine di affidabilità e facilità d'uso.

1. Have I Been Pwned (HIBP)

È lo strumento più conosciuto e affidabile al mondo, gestito dall'esperto di sicurezza Troy Hunt. Indicizza miliardi di credenziali provenienti da migliaia di data breach documentati.

Come usarlo:

  1. Vai su haveibeenpwned.com
  2. Inserisci la tua email nel campo di ricerca
  3. Clicca "pwned?" e attendi il risultato
  4. Se compaiono in elenco dei breach, scopri esattamente quali servizi sono stati compromessi e in che data

Esiste anche una sezione dedicata alle password: puoi inserire una password (la trasmissione è sicura tramite k-anonymity) e scoprire quante volte è apparsa in database trapelati.

2. Google Password Checkup

Se utilizzi Chrome con un account Google, il browser controlla automaticamente tutte le password salvate confrontandole con database di credenziali compromesse.

Come accedervi:

  1. Apri Chrome e vai su passwords.google.com
  2. Clicca su "Controllo password"
  3. Esegui l'autenticazione
  4. Visualizza l'elenco delle password compromesse, riutilizzate o deboli

3. Mozilla Monitor (ex Firefox Monitor)

Mozilla offre un servizio gratuito che sfrutta il database HIBP ma con un'interfaccia più chiara e in italiano. Puoi anche attivare il monitoraggio continuo: riceverai un'email ogni volta che la tua casella verrà coinvolta in un nuovo breach.

4. Controllo integrato nei gestori password

I migliori gestori di password moderni (Bitwarden, 1Password, Proton Pass, NordPass) includono funzionalità di monitoraggio breach che analizzano tutte le credenziali salvate. Trovi un confronto dettagliato nella nostra guida al miglior gestore di password in italiano.

5. Apple iCloud Keychain

Se sei utente Apple, il portachiavi iCloud monitora automaticamente le tue password. Le notifiche di sicurezza arrivano direttamente nelle impostazioni di iOS e macOS sotto "Password → Consigli di sicurezza".

Confronto degli Strumenti di Verifica Password

Strumento Gratuito Lingua italiana Monitoraggio continuo Database breach
Have I Been Pwned No (inglese) Sì (gratuito) Oltre 12 miliardi
Google Password Checkup Sì (automatico) Database Google
Mozilla Monitor Sì (versione base) Basato su HIBP
Gestori password (Bitwarden, 1Password) Parziale Sì (premium) HIBP + proprietari
iCloud Keychain Database Apple

I Segnali d'Allarme di un Account Compromesso

Anche senza usare strumenti specifici, ci sono indizi che dovrebbero allertarti immediatamente sulla possibile compromissione dei tuoi account.

Segnali tecnici evidenti

  • Email di "nuovo accesso" da dispositivi o località che non riconosci.
  • Notifiche di reset password che non hai richiesto.
  • Tentativi di login falliti mostrati nei log di sicurezza dei tuoi account principali.
  • Modifiche alle impostazioni: cambio di numero di telefono, email di recupero, lingua dell'account.
  • Email inviate dalla tua casella che non hai scritto, o nella cartella inviati appaiono messaggi sospetti.

Segnali finanziari

  • Movimenti bancari o pagamenti che non riconosci.
  • Acquisti registrati su Amazon, eBay, PayPal o store digitali.
  • Variazione del saldo di portafogli crypto.
  • Comunicazioni dalla banca riguardanti operazioni mai effettuate.

Segnali sui social media

  • Post pubblicati a tua insaputa.
  • Messaggi privati inviati a tutti i contatti, spesso con link sospetti.
  • Modifiche del nome utente, della foto profilo o della biografia.
  • Amici che ti segnalano comportamenti strani del tuo profilo.

Cosa Fare Subito se Scopri di Essere Stato Compromesso

Se la verifica conferma che una tua password è stata compromessa, devi agire rapidamente seguendo una procedura precisa. Ogni minuto è prezioso, perché gli attaccanti automatizzano i tentativi di accesso su decine di servizi contemporaneamente.

Procedura di emergenza in 7 passi

  1. Cambia immediatamente la password compromessa sul servizio interessato, usando una nuova password forte e unica.
  2. Cambia la stessa password ovunque sia stata riutilizzata. Se usavi "Estate2024!" su Netflix, Amazon e la tua banca, devi sostituirla in tutti questi servizi.
  3. Attiva l'autenticazione a due fattori (2FA) su tutti gli account critici, preferibilmente tramite app come Aegis o Authy invece che SMS.
  4. Verifica i dispositivi connessi nelle impostazioni di sicurezza e disconnetti quelli non riconosciuti.
  5. Controlla email e numeri di recupero per assicurarti che non siano stati modificati dall'attaccante.
  6. Esegui una scansione antimalware completa sul tuo dispositivo per escludere keylogger o trojan.
  7. Segnala il fatto se ci sono state perdite finanziarie: alla Polizia Postale e, in caso di trattamento illecito di dati, anche al Garante per la Protezione dei Dati Personali.

Come Creare Password Davvero Sicure

Una volta scoperto il problema, la prevenzione diventa centrale. Le password robuste sono la prima difesa contro qualsiasi tipo di compromissione.

Caratteristiche di una password sicura

  • Almeno 14-16 caratteri di lunghezza.
  • Combinazione di maiuscole, minuscole, numeri e simboli.
  • Nessuna parola di dizionario facilmente prevedibile.
  • Nessuna informazione personale (nome, data di nascita, squadra del cuore).
  • Unica per ogni servizio: questa è probabilmente la regola più importante.

La tecnica delle passphrase

Una passphrase è una sequenza di 4-5 parole casuali combinate in modo memorabile ma imprevedibile, ad esempio: Trattore-Cometa-Velluto-Bussola-87. È matematicamente più sicura di una password breve complessa, e molto più facile da ricordare.

Affidati a un gestore password

Il modo più realistico per avere password uniche, lunghe e complesse su decine di servizi è usare un password manager. Non solo le genera per te, ma le monitora costantemente e ti avvisa in caso di breach. Per scegliere il più adatto alle tue esigenze, dai un'occhiata alla nostra guida ai migliori gestori di password in italiano.

Buone Pratiche per Ridurre il Rischio di Compromissione

Verificare le password è importante, ma costruire un'igiene digitale solida ti permette di prevenire la maggior parte degli incidenti.

Abitudini fondamentali

  • Attiva la 2FA ovunque possibile: blocca circa il 99% degli accessi non autorizzati anche se la password trapela.
  • Usa email diverse per servizi critici (banca, fisco, lavoro) e servizi secondari.
  • Diffida dei link nelle email: prima di cliccare, verifica sempre la destinazione reale. Servizi come Lunyb permettono di accorciare link in modo sicuro, e quando ricevi link accorciati puoi controllare la destinazione prima di aprirla.
  • Aggiorna sistema operativo e browser regolarmente.
  • Usa DNS cifrato (DNS over HTTPS) per proteggere il traffico di navigazione.
  • Evita di salvare password nei browser non sincronizzati con un sistema di sicurezza centralizzato.

Cosa NON fare mai

  • Non riutilizzare mai la stessa password su più servizi.
  • Non condividere password via WhatsApp, SMS o email.
  • Non salvare password in note del telefono non cifrate.
  • Non inserire credenziali su siti raggiunti da link sospetti, anche se sembrano legittimi.
  • Non utilizzare password generate da pattern prevedibili (es. "Azienda2024!").

Il Quadro Normativo Italiano: GDPR e Garante Privacy

In Italia, le aziende che subiscono un data breach hanno precisi obblighi legali. Secondo il GDPR (Regolamento UE 2016/679), un titolare del trattamento deve notificare la violazione al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta, e in molti casi anche agli utenti coinvolti.

Questo significa che, se sei stato vittima di un breach causato da un servizio italiano, hai diritto a:

  • Ricevere una comunicazione tempestiva e chiara dell'avvenuta violazione.
  • Sapere quali dati personali sono stati esposti.
  • Conoscere le misure adottate dall'azienda per limitare i danni.
  • Presentare reclamo al Garante (www.garanteprivacy.it) se ritieni che i tuoi diritti siano stati violati.

Se l'azienda non rispetta questi obblighi, puoi segnalare la situazione al Garante e, in caso di danni concreti, valutare un'azione legale per il risarcimento.

FAQ: Domande Frequenti sulla Verifica delle Password

È sicuro inserire la mia password su siti come Have I Been Pwned?

Sì, HIBP utilizza una tecnica chiamata k-anonymity che invia al server solo i primi 5 caratteri dell'hash SHA-1 della tua password. Il sistema restituisce tutti gli hash che iniziano allo stesso modo e il confronto viene fatto in locale sul tuo browser. La password completa non lascia mai il tuo dispositivo.

Quanto spesso dovrei verificare se le mie password sono compromesse?

Idealmente dovresti attivare il monitoraggio continuo (Google Password Checkup, Mozilla Monitor o un gestore password) così da ricevere notifiche automatiche. In assenza di monitoraggio, esegui un controllo manuale almeno ogni 2-3 mesi e dopo ogni notizia di breach importante.

Una password compromessa anni fa è ancora pericolosa?

Sì, assolutamente. I database trapelati continuano a circolare per anni e vengono usati negli attacchi di credential stuffing. Se hai mai usato una password che è apparsa in un breach, anche solo una volta, considerala bruciata per sempre e non riutilizzarla mai più, nemmeno modificata leggermente.

L'autenticazione a due fattori mi protegge anche se la password è compromessa?

In larga parte sì. La 2FA blocca circa il 99% degli accessi non autorizzati anche se l'attaccante conosce la tua password. Tuttavia, alcune tecniche avanzate (SIM swapping, phishing in tempo reale, bypass tramite cookie) possono aggirarla. È quindi importante usare app authenticator o chiavi hardware (FIDO2) invece degli SMS quando possibile.

Cosa devo fare se la password compromessa è quella della mia email principale?

Si tratta di un'emergenza massima, perché chi controlla la tua email può resettare le password di tutti gli altri account collegati. Cambia immediatamente la password dell'email, attiva la 2FA, verifica le regole di inoltro automatico (gli attaccanti spesso ne creano una nascosta), controlla gli accessi recenti e disconnetti tutti i dispositivi sconosciuti. Poi inizia a cambiare le password di tutti i servizi più critici partendo da banca, PayPal e social.

Conclusione

Verificare se le tue password sono state compromesse non è più un'opzione, ma una necessità. Con strumenti gratuiti come Have I Been Pwned, Google Password Checkup e Mozilla Monitor puoi avere in pochi minuti un quadro chiaro della tua esposizione. Combinando questi controlli con un buon gestore di password, l'autenticazione a due fattori e abitudini digitali sicure, riduci drasticamente il rischio di trovarti vittima di frodi, furti di identità o attacchi mirati.

Ricorda: nel mondo digitale di oggi non esiste sicurezza al 100%, ma esiste una grande differenza tra chi controlla regolarmente la propria igiene digitale e chi scopre di essere stato compromesso quando ormai è troppo tardi. Inizia oggi stesso, partendo dalla verifica della tua email principale.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Come Fare una Ricerca Immagine Inversa: Guida Completa 2026

Scopri come fare una ricerca immagine inversa con Google Lens, TinEye, Yandex e altri strumenti gratuiti. Guida pratica per verificare foto, smascherare profili falsi, individuare fake news e proteggere il tuo copyright online.

10 min

Come Nascondere Foto con una Cassaforte Crittografata: Guida 2026

Le casseforti crittografate trasformano le tue foto private in dati illeggibili senza la chiave corretta, offrendo una protezione molto superiore alle cartelle nascoste. In questa guida scopri come scegliere l'app giusta, configurarla passo dopo passo e applicare le best practice di sicurezza nel 2026.

8 min

Come Condividere la Posizione con la Famiglia in Sicurezza: Guida 2026

Condividere la posizione con la famiglia è utile per la sicurezza dei cari, ma può esporre dati sensibili se non gestita bene. Scopri le app più sicure, le configurazioni consigliate e le best practice per proteggere la privacy di tutto il nucleo familiare.

9 min

Come Tracciare i Click sui Link nel 2026: Guida Completa

Scopri tutti i metodi per tracciare i click sui link nel 2026: URL shortener, parametri UTM, server-side tracking e conformità GDPR. Una guida pratica con esempi, confronti e best practice per misurare campagne marketing in modo efficace ed etico.

9 min