La versione breve: se fai solo tre cose, fa' queste: (1) abilita gli aggiornamenti automatici del sistema operativo così le vulnerabilità note vengono corrette il giorno stesso in cui esce la patch, (2) usa un gestore di password con password univoche per ogni account più l'autenticazione a due fattori tramite app, e (3) smetti di toccare link in messaggi inaspettati — vai direttamente al sito. Queste tre abitudini da sole bloccano la grande maggioranza delle compromissioni reali dei telefoni. Tutto quello che segue è lo stack di difesa completo per chi vuole essere approfondito. Se sei già stato compromesso o lo sospetti, inizia con la nostra guida per rilevare un telefono violato — questo articolo riguarda la prevenzione, non la rimediazione.
La matrice di difesa: cosa previene davvero ogni misura
Ogni difesa elencata di seguito corrisponde a uno specifico vettore di attacco. Non si tratta di fare tutto — si tratta di capire quali difese affrontano quali minacce così puoi prendere decisioni consapevoli in base al tuo profilo di rischio.
| Misura di difesa | Attacco che previene | Sforzo di implementazione |
|---|---|---|
| Aggiornamenti automatici del sistema operativo | Sfruttamento di vulnerabilità note (il vettore tecnico più comune) | 2 minuti — un'impostazione una tantum |
| Password univoche tramite gestore di password | Credential stuffing da database violati | 30–60 minuti di configurazione iniziale, poi automatico |
| 2FA tramite app (non SMS) | Acquisizione dell'account anche se la password è compromessa; vanifica lo SIM swap | 5 minuti per account |
| Non toccare mai link in messaggi inaspettati | Phishing (il principale punto di ingresso per la compromissione del telefono) | Comportamentale — vigilanza continua |
| Revisione dei permessi delle app ogni trimestre | Limita il raggio d'azione di un'app compromessa o malevola | 10 minuti ogni 3 mesi |
| SIM lock / PIN dell'operatore | Attacchi SIM swap | 15 minuti — una telefonata all'operatore |
| Installare app solo dagli store ufficiali | App troianizzate, malware installato lateralmente | Zero — è l'impostazione predefinita su iOS |
| Filtraggio DNS a livello di rete / VPN | Domini di phishing, server C2 di malware, profilazione tramite tracker, intercettazioni su WiFi pubblico | 5 minuti — installa l'app, attivala |
| Passcode del dispositivo robusto + biometria | Attacchi con accesso fisico, installazione di stalkerware | 5 minuti — configurazione una tantum |
| Disabilitare la connessione automatica alle reti WiFi | Attacchi evil twin / access point fasulli | 2 minuti — un'impostazione una tantum |
| Backup cifrati | Esposizione dei dati in caso di compromissione del backup | 5 minuti — attivazione una tantum |
Nota lo schema: le difese ad alto impatto sono anche quelle che richiedono meno sforzo. Gli aggiornamenti automatici del sistema operativo e un gestore di password con 2FA richiedono meno di un'ora per essere configurati e prevengono la maggior parte delle compromissioni reali. Gli elementi rimanenti sono difese in profondità — vale la pena farle, ma non è da lì che si inizia.
Igiene delle password: la base che la maggior parte delle persone salta
Il credential stuffing — usare password trapelate da una violazione per tentare di accedere ad altri servizi — è il modo più comune in assoluto con cui gli account vengono compromessi nel 2026. Funziona perché le persone riutilizzano le password. Un'analisi del 2025 di SpyCloud ha rilevato che il 64% degli utenti le cui credenziali erano apparse in una violazione aveva riutilizzato la stessa password su almeno un altro account attivo. Gli aggressori non devono hackerare il tuo telefono direttamente; hanno bisogno di una sola violazione dei dati da qualsiasi servizio che hai usato con la stessa password, e poi provano quella coppia email-password ovunque.
La soluzione è un gestore di password. iCloud Keychain di Apple (integrato in ogni iPhone e Mac), 1Password, Bitwarden e Dashlane risolvono tutti il problema nello stesso modo: generano una password univoca e casuale per ogni account e la compilano automaticamente quando accedi. Memorizzi una sola password principale (o usi la biometria); il gestore si occupa del resto. La configurazione iniziale richiede 30–60 minuti mentre passi in rassegna i tuoi account esistenti e aggiorni le password riutilizzate. Dopo, è automatico.
Cosa rende una password robusta nel 2026: la lunghezza conta più della complessità. Una passphrase casuale di 16 caratteri (in stile "correct-horse-battery-staple") è più robusta di "P@$$w0rd!23" perché il tempo di forza bruta scala esponenzialmente con la lunghezza. Ma con un gestore di password, non devi pensarci — lascia che generi una stringa casuale di 20+ caratteri per ogni sito. L'unica password che devi memorizzare è quella principale, e deve essere lunga, univoca e mai scritta digitalmente.
Controlla se sei già esposto: iCloud Keychain di Apple e la maggior parte dei gestori di password di terze parti ora ti avvisano se una password salvata appare in una violazione nota. Su iPhone, vai su Impostazioni, poi Password, poi Consigli sulla sicurezza. Tutto ciò che è segnalato come "compromesso" deve essere cambiato immediatamente. Puoi anche controllare manualmente su haveibeenpwned.com — questo sito è gestito dal ricercatore di sicurezza Troy Hunt ed è ampiamente considerato affidabile nella comunità della sicurezza informatica.
Autenticazione a due fattori: perché l'app batte gli SMS
L'autenticazione a due fattori (2FA) significa che anche se un aggressore conosce la tua password, ha bisogno di un secondo fattore — qualcosa che possiedi fisicamente — per accedere. È la difesa più efficace in assoluto contro l'acquisizione degli account. Ma non tutte le forme di 2FA sono uguali, e la distinzione è importante perché influisce direttamente sulla protezione contro gli attacchi SIM swap.
La 2FA via SMS invia un codice al tuo numero di telefono tramite messaggio di testo. È meglio di nessuna 2FA, ma è vulnerabile agli attacchi SIM swap (dove un aggressore convince il tuo operatore a trasferire il tuo numero sulla sua SIM) e agli exploit del protocollo SS7 (dove il codice viene intercettato a livello di rete). La Cybersecurity and Infrastructure Security Agency (CISA) raccomanda specificamente l'MFA resistente al phishing proprio a causa di queste vulnerabilità degli SMS.
La 2FA tramite app usa un'app di autenticazione (Google Authenticator, Authy, Microsoft Authenticator, o il TOTP integrato nel tuo gestore di password) che genera un codice temporizzato direttamente sul dispositivo. Il codice non viaggia mai sulla rete cellulare, quindi gli SIM swap e le intercettazioni SS7 sono irrilevanti. Il codice è legato a un seed crittografico memorizzato sul tuo dispositivo — un aggressore avrebbe bisogno di accesso fisico al tuo telefono sbloccato per rubarlo.
Le chiavi di sicurezza hardware (YubiKey, Google Titan Key) sono l'opzione più robusta. Richiedono la presenza fisica — inserisci o tocchi la chiave durante il login. Gli attacchi di phishing falliscono completamente perché la chiave verifica crittograficamente il dominio del sito; una falsa pagina di login su un dominio di phishing non attiverà l'autenticazione. Se sei un bersaglio di alto valore (giornalista, dirigente, attivista, personaggio pubblico), le chiavi hardware valgono l'investimento di 25–50 dollari.
Priorità pratica: abilita la 2FA tramite app sul tuo account email per primo (l'email è la chiave maestra — la maggior parte dei ripristini delle password passa attraverso di essa), poi la banca, poi il tuo Apple ID o account Google, poi i social media. La maggior parte dei servizi principali la supporta ora. La configurazione richiede circa 5 minuti per account: vai alle impostazioni di sicurezza del servizio, scegli "app di autenticazione", scansiona il codice QR, inserisci il codice di verifica, salva i codici di recupero da qualche parte offline.
Permessi delle app: ridurre il raggio d'azione
I permessi delle app sono il livello di controllo degli accessi tra i tuoi dati personali e ogni app sul telefono. Un'app meteo non ha bisogno dei tuoi contatti. Un'app torcia non ha bisogno della tua fotocamera. Un gioco non ha bisogno della tua posizione. Eppure le app richiedono abitualmente permessi di cui non hanno bisogno — a volte per aggiunte di funzionalità legittime (ma non necessarie), a volte per la raccolta di dati che alimenta il targeting pubblicitario, e occasionalmente perché l'app è apertamente malevola.
Il principio è semplice: concedi i permessi minimi necessari per la funzione principale dell'app, e revoca tutto il resto. Questo non previene una compromissione, ma ne limita i danni. Se un'app malevola non ha accesso ai tuoi contatti, microfono, fotocamera o posizione, non può esfiltrare nessuno di quei dati anche se sta eseguendo codice malevolo.
Su iPhone: vai su Impostazioni, poi Privacy e sicurezza. Tocca ogni categoria — Localizzazione, Contatti, Calendari, Foto, Microfono, Fotocamera — e controlla quali app hanno accesso. Per la posizione, usa "Mentre l'app è in uso" invece di "Sempre" a meno che l'app non abbia genuinamente bisogno della posizione in background (navigazione, monitoraggio fitness). Per le foto, usa "Foto selezionate" invece di "Accesso completo" quando l'opzione appare. Controlla ogni trimestre — i nuovi aggiornamenti delle app a volte richiedono permessi aggiuntivi silenziosamente.
Su Android: vai su Impostazioni, poi Privacy, poi Gestione autorizzazioni. Il layout varia in base al produttore, ma il principio è lo stesso. Android 14+ supporta permessi granulari per le foto ("seleziona foto e video" invece di tutti i media), permessi una tantum per fotocamera e microfono, e revoca automatica dei permessi per le app non usate di recente.
Il permesso nascosto da tenere d'occhio: "Installa app sconosciute" su Android (Impostazioni, poi App, poi Accesso speciale alle app, poi Installa app sconosciute). Se un'app ha questo permesso abilitato, può installare lateralmente APK dall'esterno del Play Store senza che tu ne sia a conoscenza. Ogni voce qui dovrebbe dire "Non consentito" a meno che tu non abbia un motivo specifico e deliberato. Questo è il permesso più pericoloso in assoluto su Android perché aggira completamente il processo di revisione del Play Store.
Aggiornamenti del sistema operativo: correggere gli exploit che gli aggressori usano davvero
Questa è la difesa con il rapporto impatto-sforzo più alto. La stragrande maggioranza degli exploit tecnici usati per compromettere i telefoni nel 2026 prendono di mira vulnerabilità che sono già state corrette — l'attacco funziona perché il bersaglio non ha installato l'aggiornamento. Apple e Google pubblicano entrambi bollettini di sicurezza con ogni aggiornamento del sistema operativo che elenca esattamente quali vulnerabilità sono state corrette; molti di essi includono la nota "Apple è a conoscenza di un rapporto che indica che questo problema potrebbe essere stato sfruttato attivamente" — il che significa che gli aggressori lo stavano già usando in natura prima che la patch venisse rilasciata.
Su iPhone: vai su Impostazioni, poi Generali, poi Aggiornamento software, poi Aggiornamenti automatici. Attiva ogni interruttore — "Scarica aggiornamenti iOS", "Installa aggiornamenti iOS" e "Risposte di sicurezza e file di sistema". Le Risposte di sicurezza rapide, introdotte in iOS 16, sono patch più piccole che Apple può inviare tra un aggiornamento completo del sistema operativo e l'altro per affrontare le vulnerabilità sfruttate attivamente. Si installano in meno di un minuto e non richiedono un ciclo di aggiornamento completo.
Su Android: vai su Impostazioni, poi Sistema, poi Aggiornamento di sistema e verifica manualmente la presenza di aggiornamenti. Controlla anche Impostazioni, poi Sicurezza, poi Aggiornamento di sistema Google Play per le patch di sicurezza mensili. Il livello di patch di sicurezza Android (visibile in Impostazioni, poi Info sul telefono, poi Livello patch di sicurezza Android) dovrebbe essere entro gli ultimi 1–2 mesi. Se il produttore del tuo telefono ha smesso di fornire aggiornamenti di sicurezza per il modello del tuo dispositivo (tipicamente dopo 3–4 anni), quel telefono sta accumulando vulnerabilità non corrette ogni mese. Questa è una verità onesta e scomoda: un vecchio telefono Android che non riceve più aggiornamenti di sicurezza è un rischio crescente, e l'unica vera soluzione è aggiornare l'hardware.
Non dimenticare gli aggiornamenti delle app: anche le app hanno vulnerabilità. Abilita gli aggiornamenti automatici delle app nell'App Store (Impostazioni, poi App Store, poi Aggiornamenti app) o nel Play Store (Play Store, poi il tuo profilo, poi Impostazioni, poi Preferenze di rete, poi Aggiorna automaticamente le app). Le app browser e di messaggistica sono particolarmente critiche perché elaborano contenuti non affidabili da internet.
Protezione a livello di rete: bloccare le minacce prima che raggiungano il dispositivo
Tutto quello che abbiamo trattato finora riguarda il rafforzamento del dispositivo stesso e del tuo comportamento. La protezione a livello di rete aggiunge uno strato esterno che intercetta le minacce a livello infrastrutturale — bloccando le connessioni a domini noti come malevoli prima che il tuo telefono elabori il contenuto. Questo è importante perché colma il divario tra l'invio di un link di phishing e la tua decisione se toccarlo.
Come funziona il filtraggio DNS come difesa: ogni app e sito web a cui si connette il tuo telefono inizia con una ricerca DNS — traducendo un nome di dominio in un indirizzo IP. Il filtraggio DNS intercetta queste ricerche e si rifiuta di risolvere i domini presenti in liste note di domini malevoli: domini di phishing, server di comando e controllo del malware, domini registrati di recente con caratteristiche che corrispondono all'infrastruttura di attacco, e domini di tracker/pubblicità che creano i profili dettagliati che gli ingegneri sociali usano per creare attacchi mirati.
Perché una VPN aggiunge ulteriore protezione: il filtraggio DNS da solo lascia il tuo traffico non cifrato su qualsiasi rete a cui sei connesso. Sulla tua rete WiFi di casa e sulla connessione cellulare, di solito va bene. Sul WiFi di un bar, sulla rete di un aeroporto o sull'hotspot di un hotel, le tue query DNS e i metadati del traffico sono visibili a chiunque controlli la rete. Un tunnel VPN cifra tutto — così le reti ostili non possono osservare le tue query DNS, iniettare pagine di phishing captive portal, o eseguire analisi del traffico.
Casper's Cloak combina entrambi gli strati: un tunnel VPN WireGuard per la cifratura, filtraggio DNS dei domini noti come malevoli e dei tracker, e rilevamento delle minacce basato su intelligenza artificiale che valuta i domini visti di recente rispetto a modelli di machine learning addestrati su schemi di phishing. Lo strato AI colma il divario tra la messa online di un dominio di phishing zero-day e la sua comparsa sulle liste di blocco statiche — che può essere da ore a giorni. Il blocco dei tracker riduce la raccolta di dati che alimenta i profili dettagliati che gli aggressori usano per l'ingegneria sociale mirata.
Cosa non fa la protezione a livello di rete: non scansiona i file sul tuo dispositivo, non rileva lo stalkerware, non ti impedisce di inserire la password su una pagina di phishing che hai già caricato, e non protegge contro gli attacchi con accesso fisico. È uno strato nello stack di difesa — lo strato che intercetta le minacce al perimetro di rete. Si affianca, ma non sostituisce, le difese a livello di dispositivo e comportamentali descritte sopra.
SIM lock e sicurezza dell'operatore: chiudere il vettore SIM swap
Gli attacchi SIM swap sono aumentati significativamente dal 2022 perché aggirano completamente la forma più comune di 2FA (i codici SMS). L'attacco funziona convincendo il tuo operatore — tramite ingegneria sociale, un dipendente corrotto, o sfruttando una sicurezza dell'account debole — a trasferire il tuo numero di telefono a una SIM card controllata dall'aggressore. Una volta che hanno il tuo numero, ricevono i tuoi codici 2FA via SMS e possono reimpostare le password sui tuoi account.
La difesa immediata: chiama il tuo operatore e imposta un PIN o una passphrase robusta per l'account. Questa è una credenziale di sicurezza separata dal passcode del tuo telefono — è richiesta prima che l'operatore effettui modifiche all'account, inclusi i trasferimenti di SIM. Falla qualcosa che non può essere indovinato da informazioni disponibili pubblicamente (non il tuo compleanno, non le ultime quattro cifre del tuo codice fiscale). Ogni operatore principale offre questa funzione: AT&T la chiama passcode di "extra security", T-Mobile la chiama "customer care password" e Verizon la chiama "account PIN".
Funzionalità SIM lock / number lock: T-Mobile offre la "protezione SIM" che impedisce il trasferimento del tuo numero senza verifica dell'identità in negozio. AT&T e Verizon offrono funzionalità di "number lock" tramite le loro app. Abilitale — aggiungono un punto di attrito che blocca i tentativi di SIM swap casuali. Nota che queste protezioni non sono assolute contro le minacce interne (un dipendente dell'operatore compromesso), ma fermano gli attacchi di ingegneria sociale che rappresentano la maggioranza degli SIM swap.
La soluzione più profonda: abbandonare completamente la 2FA basata su SMS. Se i tuoi account usano autenticatori tramite app, uno SIM swap non dà all'aggressore i tuoi codici 2FA perché i codici vengono generati sul tuo dispositivo, non inviati al tuo numero di telefono. Questo è il motivo per cui la sezione sulla 2FA tramite app sopra è importante — rende la protezione dallo SIM swap strutturale piuttosto che affidarsi alla sicurezza dell'operatore.
Evitare il phishing: la difesa comportamentale che blocca il vettore di attacco principale
Il phishing — ingannarti a toccare un link che porta a una falsa pagina di login, un download malevolo, o un exploit kit — rimane il modo principale con cui i telefoni vengono compromessi nel 2026. È anche il vettore più difficile da difendere puramente con la tecnologia perché sfrutta il giudizio umano, non le vulnerabilità del software. Il phishing generato dall'IA nel 2026 è significativamente migliore rispetto anche solo a due anni fa: gli errori di ortografia sono spariti, il branding è perfetto al pixel, e i pretesti sono contestualmente rilevanti (con riferimenti a un pacco reale che stai aspettando, a una banca reale che usi, o a un evento reale nella tua zona).
Il singolo cambiamento comportamentale più efficace: non toccare mai link in messaggi inaspettati. Se ricevi un SMS riguardo a una consegna di un pacco, un avviso bancario, o un problema di sicurezza dell'account — e non lo stavi specificamente aspettando — non toccare il link. Invece, apri direttamente l'app o il sito web (digita l'URL o usa un segnalibro) e controlla lì. Questo funziona perché l'aggressore ha bisogno che tu visiti il suo dominio (che imita quello legittimo); se vai direttamente al dominio reale, l'attacco fallisce completamente.
Segnali d'allarme che funzionano ancora nel 2026: pressione dell'urgenza ("il tuo account verrà bloccato entro 24 ore"), richieste di informazioni che la vera azienda possiede già (chiederti di "verificare" il tuo numero di conto completo), link che usano abbreviatori di URL o domini simili a quelli legittimi (faceb00k.com, arnazon.com, app1e-support.com), e qualsiasi messaggio che ti chiede di installare un'app o un profilo dall'esterno dell'app store ufficiale.
Cosa può aggiungere la tecnologia: il rilevamento del phishing a livello di rete blocca le connessioni a infrastrutture di phishing note prima che il tuo browser carichi la pagina. Questo intercetta i siti di phishing già identificati — ma nuovi domini di phishing vengono registrati costantemente, e c'è sempre una finestra temporale tra la messa online di un dominio e la sua comparsa sulle liste di blocco. La classificazione basata su ML (come il rilevamento delle minacce AI di Casper's Cloak) riduce quella finestra segnalando i domini che mostrano caratteristiche di phishing anche se non sono ancora stati segnalati. Ma nessuna tecnologia è efficace al 100% — la disciplina comportamentale del "non toccare link inaspettati" rimane la difesa più forte contro il phishing perché non dipende dall'accuratezza del rilevamento.
La checklist completa per la prevenzione
Ecco lo stack completo, in ordine di priorità. I primi tre elementi sono la dose minima efficace. Tutto quello che viene dopo è difesa in profondità che riduce ulteriormente il rischio.
- Abilita gli aggiornamenti automatici del sistema operativo e delle app. Su iOS: Impostazioni, poi Generali, poi Aggiornamento software, poi Aggiornamenti automatici — tutti gli interruttori attivi. Su Android: Impostazioni, poi Sistema, poi Aggiornamento di sistema, più abilita l'aggiornamento automatico nel Play Store. Questo corregge gli exploit su cui si basa il malware.
- Usa un gestore di password con password univoche per ogni account. iCloud Keychain, 1Password o Bitwarden. Vai su Impostazioni, poi Password, poi Consigli sulla sicurezza e correggi ogni credenziale segnalata. Questo vanifica il credential stuffing.
- Abilita la 2FA tramite app sugli account critici. Prima l'email, poi la banca, poi Apple ID / account Google. Usa Google Authenticator, Authy o il TOTP del tuo gestore di password. Questo vanifica l'acquisizione dell'account anche con una password compromessa.
- Non toccare link in messaggi inaspettati. Vai direttamente al sito. Questo blocca il principale vettore di phishing.
- Imposta un PIN per l'account dell'operatore e abilita la protezione SIM. Chiama il tuo operatore. Questo blocca gli attacchi SIM swap.
- Controlla i permessi delle app ogni trimestre. Impostazioni, poi Privacy e sicurezza su iOS; Impostazioni, poi Privacy, poi Gestione autorizzazioni su Android. Revoca gli accessi non necessari.
- Installa app solo dagli store ufficiali. Su Android, verifica che "Installa app sconosciute" sia disabilitato per tutte le app.
- Usa la protezione a livello di rete. Un filtro DNS basato su VPN (Casper's Cloak, AdGuard, o NextDNS) blocca i domini malevoli, cifra il traffico sul WiFi pubblico, e riduce la profilazione tramite tracker.
- Usa un passcode del dispositivo robusto più la biometria. Minimo 6 cifre; alfanumerico è meglio. Abilita Face ID o l'impronta digitale. Su iOS, abilita la Protezione del dispositivo rubato.
- Disabilita la connessione automatica alle reti WiFi pubbliche. Su iOS: Impostazioni, poi Wi-Fi, poi Chiedi di partecipare alle reti impostato su "Chiedi". Questo impedisce al telefono di connettersi automaticamente a reti fasulle.
- Abilita i backup cifrati. Su iOS: abilita la Protezione avanzata dei dati per iCloud (Impostazioni, poi il tuo nome, poi iCloud, poi Protezione avanzata dei dati). Su Android: i backup cifrati sono predefiniti con un blocco schermo impostato.
Cosa non può fare la prevenzione — e cosa fare quando fallisce
Nessuno stack di difesa è assoluto. Gli exploit zero-day — vulnerabilità che non sono ancora state corrette perché non sono ancora state scoperte — esistono e vengono attivamente commercializzati. Gli aggressori degli stati nazione con budget per spyware commerciali (Pegasus, Predator) possono compromettere i telefoni senza alcuna interazione dell'utente. Le minacce interne agli operatori, ai provider cloud, o alle aziende di app possono esporre i dati indipendentemente dalla sicurezza del tuo dispositivo. Queste minacce sono reali, ma sono mirate — puntano a specifici individui di alto valore, non distribuite casualmente.
Per la grande maggioranza delle persone, lo stack di prevenzione sopra descritto affronta i vettori di attacco che rappresentano effettivamente le compromissioni nel mondo reale. Se sei un giornalista che lavora su storie sensibili, un attivista politico in un paese autoritario, o un dirigente di un'azienda che gestisce proprietà intellettuale di alto valore, il tuo modello di minaccia è diverso e dovresti consultare le risorse di cybersecurity del NIST o una valutazione professionale della sicurezza.
Se la prevenzione fallisce e sospetti che il tuo telefono sia stato compromesso, la nostra guida per rilevare un telefono violato descrive passo dopo passo il processo diagnostico: quali sintomi indicano effettivamente un hack (rispetto a comportamenti normali che sembrano sospetti), cosa fare passo dopo passo, e quando è giustificato un ripristino di fabbrica.
Conclusione
Proteggere il telefono dagli hacker nel 2026 non significa fare tutto — significa fare le cose giuste in ordine di priorità. Gli aggiornamenti automatici del sistema operativo correggono gli exploit che il malware usa. Un gestore di password con password univoche vanifica il credential stuffing. La 2FA tramite app vanifica l'acquisizione dell'account anche se le password trapelano. Non toccare link inaspettati blocca il principale vettore di phishing. Il filtraggio a livello di rete blocca l'infrastruttura malevola prima che raggiunga il tuo dispositivo. Questi cinque strati, implementati in meno di un'ora, affrontano i vettori di attacco responsabili della stragrande maggioranza delle compromissioni reali dei telefoni.
Le difese rimanenti — SIM lock, revisione dei permessi, backup cifrati, passcode robusti — sono difese in profondità. Contano, vale la pena farle, e riducono il rischio residuo. Ma se stai cercando il massimo miglioramento della sicurezza con il minimo investimento di tempo, i primi cinque elementi della checklist sono dove si trova la leva.