Torna al blog
Guide·16 min di lettura

Come rendere il tuo iPhone più sicuro nel 2026 — oltre le basi

Hai già un codice di accesso e Face ID. Probabilmente hai attivato Dov'è. Queste sono le fondamenta — ogni guida alla sicurezza per iPhone inizia da lì, e ogni lettore lo sa già. Questa guida copre il passo successivo: le misure che aumentano concretamente il costo di compromettere il tuo dispositivo e i tuoi account, classificate per impatto reale sulla sicurezza rispetto allo sforzo di configurazione.

Di Casper's Cloak Security Team

In breve: i tre miglioramenti di sicurezza più efficaci che la maggior parte degli utenti iPhone non ha ancora adottato sono: (1) passare dall'autenticazione a due fattori via SMS a un'app di autenticazione o alle passkey, (2) attivare la Protezione avanzata dei dati di iCloud per cifrare end-to-end i backup, e (3) aggiungere una protezione dalle minacce a livello di rete per bloccare i domini di phishing prima che si carichino. Tutto il resto in questa guida conta, ma questi tre aspetti affrontano i vettori di attacco che hanno realmente successo contro gli utenti iPhone nel 2026 — furto di credenziali, accesso ai backup iCloud e link di phishing.

Misure di sicurezza classificate: impatto, minacce affrontate e difficoltà di configurazione

Misura di sicurezzaDa cosa proteggeDifficoltà di configurazioneImpatto
2FA tramite app / passkeyAttacchi SIM swap, intercettazione SMS, credential stuffingModerata (10-20 min per gli account principali)Critico
Protezione avanzata dei dati iCloudAccesso ai dati iCloud da parte di Apple, forze dell'ordine o attaccanti con il tuo Apple IDFacile (un toggle, configurazione chiave di ripristino)Alto
Protezione dalle minacce a livello di reteDomini di phishing, C2 malware, WiFi ostile, phishing zero-dayFacile (installa l'app, tocca connetti)Alto
Controllo permessi appAccesso eccessivo ai dati da parte delle app, stalkerware, raccolta dati da data brokerFacile (revisione da 5 minuti)Medio-Alto
Revisione sessioni dispositivoAccesso non autorizzato agli account, sessioni attive dimenticateFacile (revisione da 5 minuti)Medio
Protezione dispositivo rubatoFurto fisico con codice di accesso osservatoFacile (un toggle)Medio
Modalità di isolamentoExploit zero-day, spyware sponsorizzati da statiFacile (un toggle, importanti compromessi UX)Critico (per individui presi di mira) / Basso (per la maggior parte degli utenti)
Aggiornamenti automatici attivatiExploit noti, vulnerabilità non corretteBanale (un toggle)Critico

Analizziamo nel dettaglio ogni misura — cosa fa, perché è importante e come configurarla.

Passa dall'autenticazione a due fattori via SMS ad app di autenticazione o passkey

Questo è il singolo cambiamento di sicurezza più importante che la maggior parte delle persone non ha ancora fatto. L'autenticazione a due fattori via SMS (dove ricevi un messaggio di testo con un codice di verifica) è vulnerabile agli attacchi SIM swap, all'intercettazione sulla rete SS7 e all'ingegneria sociale del personale di supporto dei carrier. Non si tratta di attacchi teorici — l'Internet Crime Complaint Center dell'FBI ha documentato oltre 68 milioni di dollari in perdite da SIM swap solo nel 2023, e il numero è cresciuto da allora. Quando un attaccante porta il tuo numero di telefono su una SIM che controlla, ogni codice 2FA via SMS gli arriva invece che a te. La tua email, la tua banca, i social media — qualsiasi account protetto solo da 2FA via SMS diventa accessibile.

Cosa usare al suo posto: un'app di autenticazione genera password monouso basate sul tempo (TOTP) sul tuo dispositivo. I codici vengono generati localmente usando un segreto condiviso stabilito durante la configurazione — niente SMS, niente carrier, niente SIM da sottrarre. L'autenticatore integrato di Apple (Impostazioni > Password, poi tocca un account > Configura codice di verifica) funziona bene e compila automaticamente i codici in Safari. Le opzioni di terze parti includono 1Password, Authy e Google Authenticator. Qualsiasi di queste è nettamente più sicura degli SMS.

Ancora meglio — le passkey: le passkey sono lo standard FIDO2/WebAuthn integrato in iOS 16+. Sostituiscono sia le password che i codici 2FA con una coppia di chiavi crittografiche conservata nel tuo portachiavi iCloud. Esegui l'autenticazione con Face ID o Touch ID — nessuna password da sottrarre con il phishing, nessun codice da intercettare. I principali servizi (Google, Apple, Microsoft, GitHub, Amazon, PayPal) ora supportano le passkey. Quando un servizio offre il supporto alle passkey, usalo — elimina l'intera categoria degli attacchi di furto di credenziali. La documentazione sulle passkey della FIDO Alliance copre l'elenco completo dei servizi supportati.

Quali account prioritizzare: inizia con la tua email (è la chiave maestra — la maggior parte dei ripristini password passa per l'email), poi il tuo Apple ID, poi i conti bancari e finanziari, poi i social media. Il tuo account email è il più critico perché compromettendolo l'attaccante può reimpostare le password di tutto il resto. Se passi solo un account da 2FA via SMS a quella basata su app di autenticazione, fallo con la tua email principale.

Il PIN del carrier: mentre passi alla 2FA tramite app, imposta anche un PIN forte sul tuo account del carrier mobile. Questo non sostituisce il cambio della 2FA, ma aggiunge un livello di difesa contro l'ingegneria sociale per i SIM swap. Chiama il tuo carrier o usa la sua app per impostare un PIN/passphrase richiesto per qualsiasi modifica dell'account, inclusi i SIM swap. Non usare la tua data di nascita o le ultime quattro cifre del tuo codice fiscale — sono indovinabili facilmente.

Attiva la Protezione avanzata dei dati iCloud

Per impostazione predefinita, i backup iCloud sono cifrati in transito e a riposo, ma Apple detiene le chiavi di cifratura. Ciò significa che Apple può (ed è stata obbligata a farlo, tramite ordine del tribunale) decifrare i tuoi backup iCloud per le forze dell'ordine. Significa anche che se un attaccante ottiene l'accesso al tuo Apple ID, può scaricare il tuo backup iCloud — inclusi messaggi, foto, dati sanitari e cronologia Safari — dal web.

Cosa cambia la Protezione avanzata dei dati: quando attivi la Protezione avanzata dei dati (ADP), la maggior parte delle categorie di dati iCloud passa alla cifratura end-to-end. Le chiavi di cifratura vengono conservate solo sui tuoi dispositivi attendibili — Apple non ne detiene più una copia. Ciò significa che Apple non può decifrare i tuoi dati, non può fornirli alle forze dell'ordine e un attaccante che compromette il tuo Apple ID non può accedere ai dati cifrati senza avere anche uno dei tuoi dispositivi attendibili. Le categorie protette includono: Backup iCloud, Foto, Note, Promemoria, Segnalibri Safari, Comandi rapidi Siri, Memo vocali, Pass Wallet e iCloud Drive.

Cosa non è coperto: Mail iCloud, Contatti e Calendario rimangono cifrati in modo standard (non end-to-end) perché devono interoperare con server di posta non Apple, CardDAV e protocolli CalDAV che richiedono l'accesso lato server ai dati. Questa è una vera limitazione — il contenuto delle email non è cifrato end-to-end nemmeno con ADP attivato.

Come attivarlo: Impostazioni > il tuo nome > iCloud > Protezione avanzata dei dati > Attiva. iOS ti guiderà nella configurazione di una chiave di ripristino o nella designazione di un contatto di ripristino. Questo passaggio è fondamentale: poiché Apple non detiene più le tue chiavi, se perdi tutti i tuoi dispositivi attendibili e non hai la tua chiave di ripristino, i tuoi dati sono inaccessibili in modo permanente. Scrivi la chiave di ripristino e conservala in un posto fisico e sicuro (una cassaforte, una cassetta di sicurezza, un cassetto chiuso a chiave — non in una nota sul telefono o in un'email a te stesso).

Chi dovrebbe attivarlo: tutti coloro che conservano dati sensibili in iCloud e sono sicuri di poter custodire la chiave di ripristino. L'unica ragione per non attivare ADP è se sei genuinamente preoccupato di perdere l'accesso ai tuoi dati — e il processo della chiave di ripristino esiste proprio per evitarlo. Il vantaggio in termini di sicurezza è sostanziale: stai rimuovendo la capacità di Apple di accedere ai tuoi dati, il che elimina anche la capacità di qualsiasi attaccante di accedervi tramite Apple.

Aggiungi protezione dalle minacce a livello di rete

La maggior parte degli attacchi riusciti contro gli utenti iPhone non sfrutta le vulnerabilità di iOS — sfrutta l'essere umano. I link di phishing arrivano tramite SMS, email, WhatsApp o social media. L'utente tocca il link, atterra su una convincente pagina di login falsa e inserisce le proprie credenziali. Fine. Nel 2026, le pagine di phishing generate dall'IA sono quasi indistinguibili da quelle legittime — il vecchio consiglio di "cercare errori di ortografia e URL strani" non è più affidabile.

Cosa fa la protezione a livello di rete: un filtro delle minacce basato su DNS o VPN valuta ogni dominio a cui il tuo dispositivo tenta di connettersi. Quando tocchi un link di phishing, il filtro controlla il dominio rispetto a: (1) blocklist di domini di phishing noti, (2) feed di threat intelligence dei ricercatori di sicurezza, e (3) modelli ML addestrati per identificare le caratteristiche dei domini di phishing di nuova registrazione (registrar insolito, hosting in ASN a prova di proiettile, pattern di nomi di dominio che imitano marchi legittimi). Se il dominio è contrassegnato, la connessione viene bloccata prima che la pagina si carichi — non vedi mai la pagina di login falsa e non hai mai l'opportunità di inserire le tue credenziali.

Perché questo conta al di là di Safari: Safari ha il proprio controllo integrato di Safe Browsing (Avviso siti web fraudolenti), che è buono ma limitato — controlla rispetto al database Safe Browsing di Google, che ha un ritardo tra quando un dominio di phishing diventa attivo e quando viene aggiunto al database. Le campagne di phishing usano sempre più spesso domini attivi per sole 24-72 ore, poi ruotano. La protezione a livello di rete con rilevamento basato su ML cattura i domini che le blocklist statiche non hanno ancora indicizzato. E, cosa fondamentale, funziona al di fuori di Safari — i link di phishing in iMessage, WhatsApp, Slack, app di posta elettronica e social media si risolvono tutti tramite DNS prima di caricarsi, quindi il filtro li intercetta indipendentemente dall'app in cui tocchi il link.

Come configurarlo: installa un'app di filtraggio basata su VPN. Casper's Cloak combina il blocco DNS delle minacce note con la classificazione basata su IA dei domini di phishing zero-day, oltre alla cifratura del tunnel WireGuard per la protezione su WiFi pubblico. In alternativa, NextDNS e Cloudflare Gateway offrono il filtraggio delle minacce solo DNS (senza il tunnel VPN). L'approccio VPN fornisce sia il blocco delle minacce che la cifratura della rete; solo DNS fornisce il blocco delle minacce senza usare lo slot VPN. Per la sicurezza nello specifico (non solo la privacy), l'approccio VPN è più robusto perché protegge anche dalle reti WiFi ostili.

Da cosa non protegge: se navighi manualmente su un sito legittimo, accedi con le tue credenziali reali e poi quel sito viene violato — la protezione a livello di rete non può aiutare. Non può nemmeno prevenire gli attacchi di credential stuffing sui tuoi account se la tua password è stata esposta in una precedente violazione dei dati. Per quel livello, hai bisogno di password forti e uniche (usa un gestore di password) e della 2FA. La protezione a livello di rete è il livello di difesa più esterno; l'autenticazione forte è quello più interno. Hai bisogno di entrambi.

Controlla i permessi delle app e verifica le sessioni di dispositivo sconosciute

Il controllo dei permessi delle app è semplice, veloce e individua cose che nessuno strumento automatico può fare. Vai su Impostazioni > Privacy e sicurezza e rivedi ogni categoria: Localizzazione, Contatti, Calendari, Foto, Microfono, Fotocamera, Bluetooth, Rete locale e Salute. Per ogni app elencata, chiediti: questa app ha bisogno di questo permesso per una funzione che uso davvero? Uno scanner di codici QR non ha bisogno dei tuoi contatti. Un'app di ricette non ha bisogno del tuo microfono. Un gioco non ha bisogno della tua posizione. Revoca tutto ciò che non ha senso.

Il Resoconto sulla privacy delle app: Impostazioni > Privacy e sicurezza > Resoconto sulla privacy delle app mostra quali app hanno avuto accesso a quali tipi di dati sensibili negli ultimi 7 giorni e quali domini hanno contattato. Queste sono le prove per la tua verifica. Se un'app torcia ha avuto accesso alla tua posizione 847 volte nell'ultima settimana, è un segnale d'allarme che vale la pena indagare — l'app sta raccogliendo dati per la pubblicità, o sta facendo qualcosa di peggio. Il Resoconto sulla privacy delle app non blocca nulla, ma ti dà le informazioni per prendere decisioni di blocco.

Verifica le sessioni di dispositivo sconosciute: i tuoi account più critici — Apple ID, Google, email, banca — ti permettono di visualizzare le sessioni attive (dispositivi attualmente connessi). Per Apple ID: Impostazioni > il tuo nome > scorri in basso per vedere tutti i dispositivi. Qualsiasi dispositivo che non riconosci dovrebbe essere rimosso immediatamente (toccalo > Rimuovi dall'account) e la tua password dovrebbe essere cambiata. Per Google: myaccount.google.com/device-activity. Per i principali provider di posta elettronica e le banche, controlla le loro pagine di sicurezza o gestione delle sessioni. Una sessione attiva sconosciuta è uno degli indicatori più forti di compromissione dell'account — significa che qualcun altro si è autenticato come te e non è stato disconnesso.

Con quale frequenza farlo: un controllo approfondito dei permessi richiede circa 5 minuti e dovrebbe essere fatto ogni 2-3 mesi. I controlli delle sessioni dei dispositivi dovrebbero essere fatti mensilmente, o immediatamente se noti qualcosa di sospetto (codici 2FA inaspettati, email di reimpostazione password che non hai richiesto, attività dell'account da posizioni sconosciute). Abbiamo trattato il quadro diagnostico completo nella nostra guida su come sapere se il tuo telefono è stato hackerato.

Protezione dispositivo rubato e sicurezza fisica

La Protezione dispositivo rubato, introdotta in iOS 17.3, affronta un attacco specifico: un ladro ti osserva mentre inserisci il codice di accesso (shoulder surfing in un bar, sui mezzi pubblici, in una caffetteria), poi ruba il tuo telefono. Senza la Protezione dispositivo rubato, il ladro può usare quel codice per: cambiare la password del tuo Apple ID, disabilitare Dov'è, accedere alle tue password nel Portachiavi e bloccarti fuori dal tuo account. Con la Protezione dispositivo rubato attivata, le operazioni sensibili richiedono Face ID o Touch ID (il solo codice di accesso non è sufficiente) e alcune operazioni hanno un ritardo obbligatorio di un'ora quando vengono eseguite lontano da posizioni familiari.

Come attivarlo: Impostazioni > Face ID e codice > inserisci il tuo codice > Protezione dispositivo rubato > attiva. Scegli tra "Sempre" (i ritardi si applicano ovunque) o "Lontano da luoghi familiari" (i ritardi si applicano solo lontano da casa e dal lavoro). L'opzione "Lontano da luoghi familiari" è più comoda — non aggiunge attrito nella tua vita quotidiana ma attiva le misure di sicurezza negli scenari in cui il furto è più probabile.

Il codice di accesso in sé conta: se il tuo codice è 000000 o 123456, la Protezione dispositivo rubato aiuta ma stai comunque lavorando con fondamenta deboli. Passa a un codice numerico di almeno 6 cifre, oppure a un codice alfanumerico per una sicurezza maggiore. Poiché sblocchi con Face ID il 99% delle volte, il disagio di un codice più lungo è minimo — lo inserisci solo dopo un riavvio, dopo 48 ore senza sblocco o quando Face ID fallisce ripetutamente. Vai su Impostazioni > Face ID e codice > Cambia codice > Opzioni codice > Codice alfanumerico personalizzato.

Modalità di isolamento: quando il modello di minaccia lo giustifica

La Modalità di isolamento riduce drasticamente la superficie di attacco del tuo iPhone disabilitando le funzionalità prese di mira dagli exploit sofisticati. La compilazione JIT in Safari è disabilitata (il che compromette alcune app web complesse ma elimina una grande classe di exploit), la maggior parte dei tipi di allegati nei messaggi è bloccata, le chiamate FaceTime da contatti sconosciuti sono bloccate, le connessioni via cavo richiedono che il dispositivo sia sbloccato e i profili di configurazione non possono essere installati.

Chi ne ha bisogno: giornalisti che coprono governi autoritari, attivisti per i diritti umani, dissidenti politici e chiunque abbia credibili ragioni per credere di essere un obiettivo di sorveglianza sponsorizzata dagli stati o spyware mercenario (Pegasus, Predator, Hermit). Questi individui affrontano attori di minacce con budget per acquistare e distribuire catene di exploit zero-day. La Modalità di isolamento aumenta il costo tecnico dell'attacco ai loro dispositivi, il che può indurre l'attaccante a passare a un obiettivo più facile o usare un exploit più costoso (e quindi più raro).

Chi non ne ha bisogno: la grande maggioranza degli utenti iPhone. Gli attacchi che la Modalità di isolamento difende costano dalle sei alle sette cifre per obiettivo. I consumatori comuni non vengono presi di mira con questi strumenti — l'economia non lo supporta. Se il tuo modello di minaccia è il phishing, il takeover degli account, i SIM swap o il tracciamento da data broker, le altre misure in questa guida affrontano direttamente queste situazioni. La Modalità di isolamento non aiuta con nessuna di esse — affronta un livello di minaccia fondamentalmente diverso.

I compromessi sono reali: alcuni siti web non funzioneranno correttamente senza la compilazione JIT (app web complesse, alcuni siti bancari, Google Docs può essere più lento). La condivisione di foto nei Messaggi è limitata. Alcuni font e funzionalità PDF sono disabilitati. Se la provi e trovi il disagio quotidiano accettabile per il tuo flusso di lavoro, non c'è alcun svantaggio nel tenerla attiva. Ma non attivarla pensando di essere "più sicuro" contro le minacce comuni — non è così. Ti rende più sicuro contro una categoria specifica, rara e costosa di attacchi.

La checklist completa per il rafforzamento della sicurezza

Ecco ogni misura di questa guida nell'ordine di configurazione. Ogni passaggio si basa su quello precedente. L'intero processo richiede 30-45 minuti per la configurazione iniziale.

  1. Attiva gli aggiornamenti automatici. Impostazioni > Generali > Aggiornamento software > Aggiornamenti automatici — attiva tutto. Questa è la base — tutte le altre misure di sicurezza presuppongono che il tuo OS sia aggiornato.
  2. Passa la 2FA a un'app di autenticazione o alle passkey. Inizia con la tua email, poi Apple ID, poi banca, poi social media. Usa Impostazioni > Password per l'autenticatore integrato di Apple, o installa 1Password/Authy. Imposta un PIN del carrier nel frattempo.
  3. Attiva la Protezione avanzata dei dati iCloud. Impostazioni > il tuo nome > iCloud > Protezione avanzata dei dati. Scrivi la tua chiave di ripristino e conservala fisicamente. Questo cifra end-to-end i tuoi dati iCloud.
  4. Installa la protezione dalle minacce a livello di rete. Scarica Casper's Cloak o configura NextDNS. Attiva il profilo VPN. Questo blocca i domini di phishing, le infrastrutture malware e cifra il tuo traffico su qualsiasi rete.
  5. Controlla i permessi delle app. Impostazioni > Privacy e sicurezza — rivedi Localizzazione, Microfono, Fotocamera, Contatti, Foto. Revoca tutto ciò che è non necessario. Controlla il Resoconto sulla privacy delle app per le app che contattano domini di tracciamento eccessivi.
  6. Rivedi le sessioni dei dispositivi. Impostazioni > il tuo nome > scorri ai dispositivi. Rimuovi quelli che non riconosci. Controlla Google, email e conti bancari per sessioni attive sconosciute.
  7. Attiva la Protezione dispositivo rubato. Impostazioni > Face ID e codice > Protezione dispositivo rubato > attiva. Scegli "Lontano da luoghi familiari" per il miglior equilibrio tra comodità e sicurezza.
  8. Aggiorna il tuo codice di accesso. Impostazioni > Face ID e codice > Cambia codice > Codice alfanumerico personalizzato. Poiché usi Face ID ogni giorno, il codice più lungo conta solo nei rari casi in cui è necessario — e in quei casi, la forza conta.
  9. Valuta la Modalità di isolamento (se il tuo modello di minaccia lo richiede). Impostazioni > Privacy e sicurezza > Modalità di isolamento. Solo per gli individui che affrontano minacce mirate a livello statale.

Da cosa protegge questa configurazione — e da cosa no

Con tutto quanto sopra in atto, sei protetto da: attacchi SIM swap (2FA basata su app di autenticazione), furto di backup iCloud (Protezione avanzata dei dati), attacchi tramite link di phishing (blocco delle minacce a livello di rete), furto fisico del dispositivo con codice osservato (Protezione dispositivo rubato), raccolta eccessiva di dati da parte delle app (controllo permessi) ed exploit noti (aggiornamenti automatici).

Cosa rimane: nessuna configurazione ti rende invulnerabile. Gli attacchi di ingegneria sociale in cui qualcuno ti convince a condividere volontariamente le credenziali o ad autorizzare l'accesso funzionano ancora — la tecnologia può ridurre la superficie per questi attacchi ma non può eliminarli se cooperi con l'attaccante. Le violazioni dei dati nei servizi che usi espongono qualsiasi dato che hai fornito loro, indipendentemente dalla configurazione del tuo dispositivo. Il tracciamento di prima parte da parte dei servizi a cui sei connesso (Google, Meta, Amazon) continua perché sei autenticato volontariamente. E gli exploit zero-day — sebbene la Modalità di isolamento ne aumenti il costo — esistono perché nessun software è provabilmente privo di bug.

La prospettiva onesta: la sicurezza riguarda l'aumento del costo e la riduzione della probabilità di attacchi riusciti. Ogni misura in questa guida elimina o mitiga uno specifico vettore di attacco reale. Stacked together, they make an iPhone very difficult to compromise through any vector short of state-level resources. Il rischio residuo è gestito attraverso la consapevolezza e il comportamento — essere scettici nei confronti di messaggi inaspettati, non condividere credenziali per telefono e monitorare i propri account per attività non autorizzate.

Conclusione

Le basi — codice di accesso, Face ID, Dov'è — sono necessarie ma non sufficienti. Le misure che fanno una differenza significativa al di là delle basi sono: la 2FA basata su app di autenticazione o passkey (sconfigge gli attacchi di furto di credenziali che effettivamente hanno successo), la Protezione avanzata dei dati iCloud (cifra end-to-end l'obiettivo più prezioso — i tuoi backup cloud) e la protezione dalle minacce a livello di rete (blocca i domini di phishing prima che tu possa interagire con essi). Aggiungi un controllo dei permessi, la revisione delle sessioni dei dispositivi e la Protezione dispositivo rubato, e avrai affrontato ogni principale vettore di attacco che colpisce i reali utenti iPhone nel 2026. La configurazione completa richiede 30-45 minuti. Il miglioramento della sicurezza è sostanziale.

Verificato da Casper's Cloak Security Team · Ultimo aggiornamento

Aggiungi protezione dalle minacce a livello di rete al tuo iPhone

Casper's Cloak blocca i domini di phishing prima che si carichino, cifra il tuo traffico su qualsiasi rete e usa il rilevamento basato su IA per intercettare le minacce zero-day che le blocklist non hanno ancora indicizzato. Un solo tocco per configurarlo su iOS.