In breve: la maggior parte degli iPhone ha un'ottima sicurezza predefinita, ma Apple include decine di impostazioni di privacy e sicurezza disattivate per impostazione predefinita, sepolte tre livelli di menu in profondità, o impostate sull'opzione meno privata per comodità. Questa lista di controllo le copre tutte. Se hai poco tempo, i primi cinque elementi nella sezione Autenticazione offrono la maggior parte del valore di sicurezza. Se vuoi essere scrupoloso, scorri tutti i 18 elementi — l'intero processo richiede circa 30 minuti. Per strategie di prevenzione più ampie che vanno oltre le impostazioni specifiche per iPhone, consulta la nostra guida su come rendere il tuo iPhone più sicuro nel 2026.
Riepilogo di riferimento rapido
Prima della procedura dettagliata, ecco la lista di controllo completa a colpo d'occhio con le valutazioni di priorità. Usala come riferimento rapido dopo aver esaminato la versione dettagliata almeno una volta.
| # | Elemento | Categoria | Priorità | Tempo |
|---|---|---|---|---|
| 1 | Codice alfanumerico complesso | Autenticazione | Critica | 2 min |
| 2 | Face ID / Touch ID abilitato | Autenticazione | Critica | 3 min |
| 3 | Autenticazione a due fattori per Apple ID | Autenticazione | Critica | 5 min |
| 4 | Protezione dispositivo rubato | Autenticazione | Critica | 1 min |
| 5 | Blocco automatico a 30 secondi o 1 minuto | Autenticazione | Alta | 30 sec |
| 6 | App Tracking Transparency — nega tutto | Privacy | Alta | 1 min |
| 7 | Verifica dei Servizi di localizzazione | Privacy | Alta | 5 min |
| 8 | Disabilita la condivisione dei dati analitici | Privacy | Media | 1 min |
| 9 | Revisione dei permessi sensibili | Privacy | Alta | 5 min |
| 10 | Protezione avanzata dei dati per iCloud | iCloud | Critica | 5 min |
| 11 | Dov'è iPhone abilitato | iCloud | Critica | 1 min |
| 12 | Contatti e chiave di recupero account | iCloud | Alta | 5 min |
| 13 | VPN o filtro DNS abilitato | Rete | Alta | 5 min |
| 14 | Disabilita la connessione automatica alle reti WiFi sconosciute | Rete | Media | 1 min |
| 15 | iCloud Private Relay (per gli abbonati iCloud+) | Rete | Media | 1 min |
| 16 | Revisione delle app installate ed eliminazione di quelle inutilizzate | App | Media | 10 min |
| 17 | Verifica dei profili di configurazione sconosciuti | App | Critica | 1 min |
| 18 | Aggiornamenti automatici abilitati | App | Alta | 1 min |
Ora esaminiamo ogni elemento in dettaglio — cosa fare, esattamente dove trovare l'impostazione e perché è importante.
Autenticazione (elementi 1–5)
L'autenticazione è la porta d'ingresso. Se un aggressore può sbloccare il tuo telefono o accedere al tuo Apple ID, ogni altra impostazione diventa irrilevante — ha accesso a tutto. Questi cinque elementi proteggono quella porta d'ingresso.
1. Imposta un codice alfanumerico complesso
Dove: Impostazioni, poi Face ID e codice (o Touch ID e codice), poi Cambia codice. Tocca "Opzioni codice" e scegli "Codice alfanumerico personalizzato".
Perché: un codice a 4 cifre ha 10.000 combinazioni — violabile con hardware specializzato in pochi minuti. Un codice numerico a 6 cifre ha 1 milione di combinazioni — meglio, ma ancora vulnerabile. Un codice alfanumerico (lettere + numeri + simboli) con 8+ caratteri ha miliardi di combinazioni ed è praticamente inviolabile con il limite di tentativi di iOS. Poiché usi Face ID o Touch ID per lo sblocco quotidiano, il codice viene digitato raramente — quindi uno più lungo e robusto non ti rallenta.
Cosa evitare: qualsiasi cosa indovinabile — la tua data di nascita, numero di telefono, 000000, 123456, o cifre ripetute. Se qualcuno che ti conosce potrebbe indovinarlo in 10 tentativi, non è abbastanza robusto. I dispositivi GrayKey e Cellebrite usati dalle forze dell'ordine e dagli aggressori più sofisticati sfruttano i codici deboli; un codice alfanumerico complesso rende il loro compito enormemente più difficile.
2. Abilita Face ID / Touch ID
Dove: Impostazioni, poi Face ID e codice. Assicurati che Face ID sia configurato per Sblocca iPhone, Apple Pay, iTunes & App Store, Riempimento automatico password e qualsiasi altra opzione disponibile.
Perché: l'autenticazione biometrica ha due scopi. Primo, rende lo sblocco abbastanza rapido da non farti sentire la tentazione di indebolire il codice per comodità. Secondo, garantisce che alcune operazioni sensibili (cambiare le password, approvare Apple Pay) richiedano la tua presenza fisica — un codice da solo potrebbe essere osservato e replicato, ma il tuo viso o impronta digitale non può (praticamente).
3. Verifica che l'autenticazione a due fattori di Apple ID sia attiva
Dove: Impostazioni, poi il tuo nome in alto, poi Accedi & Sicurezza, poi Autenticazione a due fattori.
Perché: il tuo Apple ID controlla i backup di iCloud, Dov'è iPhone, iMessage, FaceTime, gli acquisti sull'App Store e potenzialmente la tua e-mail. Se un aggressore compromette il tuo Apple ID senza il 2FA, può cancellare da remoto il tuo dispositivo, leggere i tuoi messaggi sincronizzati con iCloud, scaricare le tue foto e bloccarti fuori. Con il 2FA abilitato, avrebbe anche bisogno dell'accesso a uno dei tuoi dispositivi attendibili — una soglia nettamente più alta. Apple ha reso il 2FA obbligatorio per la maggior parte dei nuovi account, ma quelli più vecchi potrebbero averlo ancora disattivato. Controlla.
4. Abilita Protezione dispositivo rubato
Dove: Impostazioni, poi Face ID e codice, poi scorri verso il basso fino a Protezione dispositivo rubato, poi attivala.
Perché: questa funzione, introdotta in iOS 17.3, affronta uno schema di attacco specifico: qualcuno osserva il tuo codice (ad esempio guardando di spalle in un bar), poi ti ruba il telefono. Senza Protezione dispositivo rubato, quel codice è sufficiente per cambiare la password del tuo Apple ID, disabilitare Dov'è e bloccarti definitivamente fuori dal tuo account. Con essa abilitata, le operazioni sensibili (cambio password Apple ID, disattivazione di Dov'è, modifica di Face ID) richiedono l'autenticazione biometrica più un ritardo di sicurezza di un'ora quando sei lontano da luoghi familiari. Questa singola impostazione ha prevenuto migliaia di casi di acquisizione dell'account da "iPhone rubato" fin dal suo lancio.
5. Imposta il blocco automatico a 30 secondi o 1 minuto
Dove: Impostazioni, poi Schermo e luminosità, poi Blocco automatico.
Perché: un intervallo di blocco automatico più breve riduce il tempo in cui il telefono è sbloccato e incustodito. Se posi il telefono su un tavolo e ti allontani, un blocco automatico di 30 secondi significa che la finestra in cui qualcuno può accedere al tuo dispositivo sbloccato è mezz'minuto. A 5 minuti (un valore predefinito comune), è un'eternità. Il compromesso di comodità è minimo perché Face ID rende il rislocco istantaneo.
Impostazioni di privacy (elementi 6–9)
Queste impostazioni controllano quali dati le app e Apple stessa possono raccogliere dal tuo dispositivo. Non prevengono direttamente gli attacchi, ma riducono i dati disponibili per la profilazione, il social engineering e gli attacchi mirati.
6. App Tracking Transparency — nega tutto il tracciamento
Dove: Impostazioni, poi Privacy e sicurezza, poi Tracciamento. Disattiva "Consenti alle app di richiedere il tracciamento" per negare silenziosamente tutte le richieste di tracciamento — le app non mostreranno nemmeno la richiesta.
Perché: quando è attivato, alle app che tentano di accedere al tuo IDFA (Identifier for Advertisers) per il tracciamento cross-app viene automaticamente negato l'accesso. Questo non blocca tutto il tracciamento — le app possono ancora usare il fingerprinting e l'attribuzione lato server — ma rimuove l'identificatore cross-app facile e affidabile su cui l'industria pubblicitaria faceva affidamento. Disattivarlo completamente (nega tutto) anziché "Chiedi" (che mostra una richiesta per ogni app) è più semplice e assicura che tu non tocchi mai accidentalmente "Consenti".
7. Verifica i Servizi di localizzazione
Dove: Impostazioni, poi Privacy e sicurezza, poi Servizi di localizzazione. Esamina ogni app nell'elenco.
Cosa fare: per ogni app, scegli l'accesso minimo di cui ha bisogno. La maggior parte delle app dovrebbe essere impostata su "Mentre si usa l'app" o "Mai". Pochissime app hanno legittimamente bisogno di "Sempre" — navigazione (Google Maps, Waze), fitness tracker e Dov'è sono le principali eccezioni. Scorri in basso e tocca "Servizi di sistema" — disabilita "Analisi iPhone", "Routing e traffico", "Migliora Mappe" e "Luoghi significativi" (che registra ogni posto che visiti frequentemente). Tieni attivi "Trova il mio iPhone", "Chiamate e SOS di emergenza" e "Impostazione fuso orario".
Perché: i dati di localizzazione sono straordinariamente sensibili. Rivelano dove vivi, lavori, preghi, chi visiti, se sei stato da un medico o da un avvocato, e i tuoi schemi quotidiani. Le app con accesso "Sempre" alla localizzazione possono tracciarti continuamente e vendere quei dati ai data broker. Limitare a "Mentre si usa" significa che l'app riceve la tua posizione solo quando la stai attivamente utilizzando.
8. Disabilita la condivisione di dati analitici e pubblicitari
Dove: Impostazioni, poi Privacy e sicurezza, poi Analisi e miglioramenti. Disattiva ogni interruttore: "Condividi analisi iPhone", "Migliora Siri e Dettatura", "Condividi analisi iCloud" e "Migliora funzionalità voce assistiva". Poi vai in Impostazioni, poi Privacy e sicurezza, poi Pubblicità Apple, e disattiva "Annunci personalizzati".
Perché: questi interruttori controllano se Apple riceve dati diagnostici e di utilizzo dal tuo dispositivo. Sebbene le pratiche sui dati di Apple siano migliori della maggior parte, la scelta che massimizza la privacy è non condividere nulla. Disabilitare "Annunci personalizzati" significa che la rete pubblicitaria di Apple (nell'App Store e in Apple News) non utilizzerà i tuoi dati per il targeting pubblicitario. Nessuna di queste impostazioni influisce sulla funzionalità del telefono.
9. Rivedi i permessi sensibili (fotocamera, microfono, contatti, foto)
Dove: Impostazioni, poi Privacy e sicurezza. Apri ogni categoria: Fotocamera, Microfono, Contatti, Foto, Calendari, Promemoria, Bluetooth e Rete locale.
Cosa fare: per ogni permesso, chiediti: "Questa app ha bisogno di questo per fare ciò per cui la uso?" Un'app di social media può ragionevolmente aver bisogno dell'accesso alla fotocamera per pubblicare foto. Un'app meteo non ha bisogno dei tuoi contatti. Per Foto, usa "Foto selezionate" (disponibile da iOS 16) invece di "Accesso completo" quando possibile — ti permette di concedere l'accesso a foto specifiche senza esporre l'intera libreria. Revoca tutto ciò che non ha senso. Presta particolare attenzione a "Rete locale" — molte app la richiedono per scoprire i dispositivi sulla tua rete WiFi, ma permette anche di identificare la tua rete domestica. Negala a meno che l'app controlli dispositivi per la casa intelligente o necessiti del rilevamento sulla rete locale.
Sicurezza iCloud (elementi 10–12)
iCloud contiene i tuoi backup, foto, messaggi, password, dati sulla salute e molto altro. Proteggerlo è importante quanto proteggere il telefono stesso — perché i dati iCloud sono accessibili da qualsiasi dispositivo con le tue credenziali Apple ID.
10. Abilita la Protezione avanzata dei dati per iCloud
Dove: Impostazioni, poi il tuo nome, poi iCloud, poi Protezione avanzata dei dati. Segui la procedura di configurazione.
Perché: per impostazione predefinita, Apple detiene le chiavi di crittografia per la maggior parte dei tuoi dati iCloud — il che significa che può decifrarli se riceve una richiesta legale, e potrebbero essere esposti in caso di violazione dell'infrastruttura di Apple. La Protezione avanzata dei dati abilita la crittografia end-to-end per iCloud Backup, Foto, Note, Promemoria, Memo vocali, Segnalibri Safari, Scorciatoie Siri, Wallet e altro ancora. Con la protezione avanzata abilitata, solo i tuoi dispositivi detengono le chiavi di decrittografia — nemmeno Apple può leggere i dati. Questa è la singola impostazione di sicurezza iCloud più importante. Il compromesso: se perdi tutti i tuoi dispositivi attendibili e la tua chiave di recupero, Apple non può aiutarti a recuperare i tuoi dati. Ecco perché l'elemento 12 (contatti di recupero) è abbinato a questo.
Cosa non è ancora coperto: iCloud Mail, Contatti e Calendari non sono crittografati end-to-end nemmeno con la protezione avanzata, perché devono interoperare con protocolli e-mail/calendario non Apple. La guida ufficiale alla sicurezza di Apple documenta esattamente quali categorie di dati sono coperte.
11. Verifica che Dov'è iPhone sia abilitato
Dove: Impostazioni, poi il tuo nome, poi Dov'è, poi Dov'è il mio iPhone. Assicurati che "Dov'è il mio iPhone", "Rete Dov'è" e "Invia ultima posizione" siano tutti attivi.
Perché: se il tuo telefono viene perso o rubato, Dov'è ti permette di localizzarlo, emettere un suono, contrassegnarlo come smarrito (che lo blocca e mostra un messaggio) o cancellarlo da remoto. "Invia ultima posizione" invia automaticamente la posizione del telefono ad Apple quando la batteria raggiunge un livello critico — così hai un'ultima posizione nota anche se la batteria si esaurisce. L'opzione "Rete Dov'è" usa i segnali Bluetooth dei dispositivi Apple nelle vicinanze per localizzare il telefono anche quando è offline. Queste funzionalità hanno recuperato migliaia di telefoni rubati e, soprattutto, la funzione di cancellazione remota protegge i tuoi dati se il telefono non è recuperabile.
12. Configura i contatti di recupero account e una chiave di recupero
Dove: Impostazioni, poi il tuo nome, poi Accedi & Sicurezza, poi Recupero account. Aggiungi almeno un contatto di recupero (un familiare o amico di fiducia con un dispositivo Apple). Facoltativamente, genera anche una chiave di recupero.
Perché: con la Protezione avanzata dei dati abilitata, perdere l'accesso a tutti i tuoi dispositivi attendibili significherebbe perdere l'accesso ai tuoi dati in modo permanente — a meno che tu non abbia un percorso di recupero. Un contatto di recupero può confermare la tua identità se hai bisogno di riottenere l'accesso. Una chiave di recupero è un codice a 28 caratteri che conservi offline (stampato, non in una nota sul telefono) che può sbloccare il tuo account come ultima risorsa. Configura almeno un contatto di recupero; la chiave di recupero è una doppia misura di sicurezza se desideri una rete di protezione aggiuntiva.
Protezione della rete (elementi 13–15)
Il tuo telefono è costantemente connesso alle reti — cellulare, WiFi, a volte entrambe. La protezione a livello di rete garantisce che la connessione stessa non diventi il vettore di attacco.
13. Usa un servizio VPN o di filtraggio DNS
Dove: installa un'app di filtro basata su VPN (Casper's Cloak, AdGuard, o configura NextDNS) dall'App Store. Abilita il profilo VPN quando richiesto.
Perché: un filtro DNS basato su VPN fa due cose. Prima, cripta il tuo traffico — così le reti WiFi pubbliche, i provider di servizi internet e gli operatori di rete non possono osservare o iniettare nulla. Secondo, blocca le connessioni verso domini dannosi noti (siti di phishing, server command-and-control di malware, tracker pubblicitari) a livello DNS prima che il tuo telefono carichi mai il contenuto. Questo è uno strato di difesa esterno che funziona su ogni app — è l'equivalente di rete delle restrizioni dei permessi delle app che hai impostato sopra. Casper's Cloak aggiunge il rilevamento delle minacce tramite IA che individua domini di phishing zero-day non ancora presenti nelle liste di blocco, oltre al blocco dei tracker che copre decine di migliaia di endpoint di tracker noti.
14. Disabilita la connessione automatica alle reti WiFi sconosciute
Dove: Impostazioni, poi Wi-Fi, poi "Chiedi di partecipare" — imposta su "Chiedi" o "Disattivato". Inoltre: per tutte le reti pubbliche salvate (bar, aeroporti, hotel), tocca l'icona delle informazioni e disabilita "Connessione automatica".
Perché: il tuo iPhone ricorda le reti WiFi a cui si è connesso e si riconnette automaticamente quando le vede. Gli aggressori sfruttano questo con gli access point evil twin — un hotspot fasullo chiamato "Starbucks WiFi" o "Airport Free WiFi" a cui il tuo telefono si connette automaticamente perché in precedenza ha usato una rete con quel nome. Una volta connesso, l'aggressore controlla il tuo DNS, può servire pagine di phishing come captive portal e può osservare il traffico non crittografato. Disabilitare la connessione automatica per le reti pubbliche ti obbliga a scegliere consapevolmente a quali reti connetterti.
15. Abilita iCloud Private Relay (abbonati iCloud+)
Dove: Impostazioni, poi il tuo nome, poi iCloud, poi Private Relay. Attivalo.
Perché: Private Relay instrada il traffico Safari attraverso un'architettura di relay a doppio salto (Apple vede il tuo IP ma non la tua destinazione; un relay di terze parti vede la tua destinazione ma non il tuo IP). Questo impedisce ai siti web di vedere il tuo indirizzo IP reale in Safari, che è un forte segnale di tracciamento. Si applica solo a Safari — non ad altri browser, non alle app. Se già usi una VPN (elemento 13), questa copre la funzione di mascheramento IP per tutto il traffico; Private Relay aggiunge la separazione a doppio salto specifica per Safari anche quando la VPN è attiva, sebbene i due possano interagire diversamente a seconda della configurazione del tuo provider VPN.
Igiene delle app (elementi 16–18)
Ogni app sul tuo telefono è una potenziale superficie d'attacco. Ridurre il numero di app installate e mantenerle aggiornate minimizza quella superficie.
16. Rivedi le app installate ed elimina quelle che non usi
Dove: Impostazioni, poi Generali, poi Archiviazione iPhone. Elenca ogni app ordinata per dimensione, con la data dell'ultimo utilizzo.
Cosa fare: scorri ed elimina qualsiasi app che non hai usato negli ultimi 3+ mesi. Ogni app installata ha accesso potenziale a qualsiasi permesso che le hai concesso, potrebbe contenere vulnerabilità che vengono sfruttate prima di essere corrette, ed esegue processi in background che possono essere usati per il tracciamento. Meno app significa meno potenziali vettori di attacco. Se hai bisogno di un'app in seguito, puoi sempre riscaricarla dall'App Store.
17. Verifica i profili di configurazione sconosciuti
Dove: Impostazioni, poi Generali, poi VPN e gestione dispositivi. Se questa voce di menu non appare, non hai profili installati (il che è normale).
Perché: i profili di configurazione possono modificare impostazioni di sistema profonde — installare certificati radice, cambiare il DNS, configurare la VPN o installare app al di fuori dell'App Store. Gli usi legittimi includono la gestione dei dispositivi aziendali (MDM), le impostazioni del gestore e alcune app VPN/DNS. Se vedi un profilo che non riconosci e che non hai installato, è un segnale d'allarme serio. Gli stalkerware e alcuni malware usano i profili di configurazione per stabilire la persistenza su iOS. Se ne trovi uno che non riesci a spiegare, eliminalo immediatamente.
18. Abilita gli aggiornamenti automatici per app e sistema operativo
Dove: per il sistema operativo: Impostazioni, poi Generali, poi Aggiornamento software, poi Aggiornamenti automatici — attiva tutti gli interruttori (Scarica aggiornamenti iOS, Installa aggiornamenti iOS, Risposte di sicurezza e file di sistema). Per le app: Impostazioni, poi App Store, poi abilita "Aggiornamenti app".
Perché: la maggior parte degli exploit riusciti nel 2026 prende di mira vulnerabilità che sono già state corrette. Gli aggiornamenti automatici garantiscono che tu riceva le correzioni di sicurezza non appena sono disponibili, riducendo la finestra tra la pubblicazione di una patch da parte di Apple e la sua installazione. Le Risposte rapide di sicurezza — patch più piccole distribuite tra i rilasci completi del sistema operativo — sono particolarmente critiche perché affrontano le vulnerabilità sfruttate attivamente. Con tutti e tre gli interruttori attivi, il tuo telefono rimane aggiornato senza che tu debba pensarci.
Con quale frequenza riesaminare questa lista
La maggior parte di queste impostazioni si configura una volta e non richiede ulteriori interventi. Ma tre categorie necessitano di revisioni periodiche:
- Permessi delle app (elementi 7 e 9): revisione trimestrale. Le nuove app che installi ottengono permessi; quelle già installate possono richiedere permessi aggiuntivi dopo gli aggiornamenti. Una revisione trimestrale di 5 minuti individua l'accumulo di permessi.
- App installate (elemento 16): revisione trimestrale. Elimina le app che hai smesso di usare. Meno app, superficie di attacco ridotta.
- Password (non in questa lista, ma correlato): vai in Impostazioni, poi Password, poi Suggerimenti sicurezza dopo qualsiasi grande violazione di dati di cui vieni a conoscenza. iCloud Keychain ti avvisa delle credenziali compromesse — correggile immediatamente quando segnalate.
Il resto — codice, 2FA, Protezione avanzata dei dati, aggiornamenti automatici — resta configurato una volta per tutte. Se Apple cambia un'impostazione predefinita in una versione principale di iOS, di solito lo evidenzia durante il flusso di aggiornamento. Aggiorneremo questa lista di controllo quando iOS 20 sarà disponibile con eventuali nuove impostazioni rilevanti.
In sintesi
Gli iPhone hanno una sicurezza predefinita solida, ma la differenza tra predefinita e rafforzata è significativa. I 18 elementi di questa lista di controllo — prioritizzati e ordinati per impatto — richiedono circa 30 minuti per essere completati. I primi cinque (autenticazione) offrono la maggior parte del valore di sicurezza. La Protezione avanzata dei dati (elemento 10) è il singolo aggiornamento di sicurezza iCloud più importante che la maggior parte delle persone non ha ancora abilitato. La protezione a livello di rete (elemento 13) aggiunge uno strato di difesa esterno che funziona su ogni app. E le verifiche periodiche dei permessi (elementi 7, 9, 16) prevengono il lento accumulo di accessi non necessari ai dati che le app richiedono silenziosamente nel tempo.
Aggiungi questa pagina ai segnalibri e rivisitala ogni trimestre per le revisioni di permessi e app. Condividila con i familiari che ti chiedono aiuto per la tecnologia — le istruzioni sono abbastanza specifiche da essere seguite da chiunque senza ulteriori spiegazioni.