In sintesi: la classica minaccia del 2015 — "qualcuno sul WiFi del bar può leggere le tue password" — è in gran parte scomparsa. HTTPS è ovunque, HSTS preload copre i siti importanti e gli attacchi SSL strip hanno una superficie molto ridotta rispetto a prima. Ma nel 2026 tre categorie di attacchi funzionano ancora, e gli aggressori si sono adattati: evil twin (rogue AP) (ricreano una rete di cui ti fidi e lasciano che il tuo dispositivo si connetta automaticamente), sfruttamento del captive portal (la pagina di benvenuto che chiede la tua email o distribuisce malware) e analisi del traffico a livello di metadati (cifrato ma osservabile: con chi parli, quando, con quale frequenza, quanto). Le contromisure che fanno davvero la differenza sono: un tunnel VPN vero (non solo DNS), la randomizzazione del MAC lasciata attiva, ignorare le richieste di credenziali da captive portal non richiesti e le impostazioni di sicurezza predefinite di Apple/Google.
Cosa succede davvero su una rete tipicamente ostile
Una "rete ostile" non significa necessariamente che il bar sia malintenzionato. Di solito significa una o più di queste situazioni:
- Il gestore legittimo della rete raccoglie dati sui dispositivi connessi (estremamente comune nel retail, abbastanza comune negli hotel) per marketing o analisi.
- Un altro utente sta usando strumenti di osservazione sulla stessa sottorete (meno comune di una volta, ma banale con hardware da 200 €).
- Un aggressore gestisce un access point fasullo nelle vicinanze con lo stesso SSID di una rete fidata, sperando che il tuo dispositivo si connetta automaticamente.
- Il captive portal distribuisce contenuti malevoli — iniezione di pubblicità (fastidiosa), phishing di credenziali (dannoso) o distribuzione di malware (raro ma ad alto impatto).
Per la maggior parte delle persone, nella maggior parte dei casi, niente di tutto ciò ha un impatto concreto: la cifratura HTTPS protegge le sessioni attive e le impostazioni predefinite dei sistemi operativi moderni gestiscono i casi più ovvi. I casi che ancora contano sono quando sei su una rete abbastanza a lungo da dare tempo a un aggressore paziente, quando accetti ciecamente le richieste di un captive portal, o quando il tuo dispositivo si connette automaticamente a quella che credi essere la tua rete domestica ma non lo è.
Attacco 1 — Evil twin (rogue access point)
Di cosa si tratta: un aggressore porta un access point portatile (un WiFi Pineapple, o semplicemente un laptop con il software giusto) nel raggio d'azione di un bersaglio. Trasmette un SSID che corrisponde a una rete a cui i dispositivi del bersaglio si sono connessi in precedenza — "attwifi", "xfinitywifi", "Starbucks WiFi", il nome della tua rete domestica — e con un segnale più potente di quello legittimo (o la rete legittima non è in portata).
Il tuo dispositivo, in tasca, si connette automaticamente perché vede un SSID "noto". Ora l'aggressore è la rete: vede le tue query DNS (e il traffico non cifrato, anche se ce n'è poco rimasto), può mostrare captive portal, e può tentare altri attacchi a valle.
Realtà del 2026: funziona ancora, con adattamenti. iOS 14+ e Android 10+ implementano entrambi l'indirizzo MAC privato — il dispositivo presenta un MAC diverso a ogni SSID, quindi il tracciamento cross-network è più difficile. Ma questo non blocca il comportamento di connessione automatica; l'aggressore non ha bisogno del tuo MAC reale, ha solo bisogno che il dispositivo si associ. Ciò che ha aiutato di più è che iOS 16+ avvisa esplicitamente sulle reti con scarsa sicurezza (aperte, WEP, solo WPA) e spinge sempre più gli utenti a non connettersi automaticamente; Android 13+ fa qualcosa di simile.
Come difendersi: disattiva la "connessione automatica" per le reti pubbliche (Impostazioni → Wi-Fi → tocca la rete → Connessione automatica disattivata su iOS; stesso percorso su Android con lievi differenze nell'interfaccia). Sulle reti a cui ti connetti, un tunnel VPN significa che l'aggressore-come-rete vede solo byte cifrati — non può leggere il traffico, non può iniettare contenuti, non può fare phishing di credenziali via captive portal (perché il browser avviserà di mancate corrispondenze dei certificati se ci prova).
Attacco 2 — Sfruttamento del captive portal
Di cosa si tratta: la pagina iniziale che appare quando ti connetti al WiFi di un hotel, aeroporto o bar ("Accetta i termini per continuare"). La pagina del portale è servita dal sistema di autenticazione della rete ed è, per design, la prima cosa che il dispositivo vede su quella rete — prima che la VPN possa stabilirsi, prima che gli avvisi HTTPS abbiano contesto, prima che tu sia davvero sicuro di chi la stia servendo.
Tre varianti di come viene sfruttato:
- Raccolta di credenziali: la pagina iniziale chiede la tua email e una password "per autenticarsi". Molte persone inseriscono la stessa password che usano per altri account. L'aggressore ora ha email + password dal tuo tipico schema di riutilizzo.
- Distribuzione drive-by di malware: la pagina iniziale linka al "tuo buono caffè gratuito", che è in realtà un download di app malevola. La maggior parte dei browser moderni avvisa; gli utenti mobile accettano gli avvisi più spesso degli utenti desktop.
- Raccolta di dati personali: la pagina iniziale chiede il tuo numero di telefono "per la connettività" e tu lo fornisci. Finisce in un database di marketing, spesso rivenduto.
Realtà del 2026: il phishing via captive portal è diventato più comune, non meno. Le protezioni a livello di sistema operativo (MAC privato, VPN) non aiutano qui perché l'utente sta inserendo dati volontariamente. Ciò che ha aiutato è che iOS 17+ e Android 14+ presentano i captive portal in un mini-browser isolato che limita i percorsi di esfiltrazione — ma i dati che l'utente digita vengono comunque inviati.
Come difendersi: non inserire mai in un captive portal una password che usi altrove. Non inserire mai un numero di telefono che usi per cose importanti. Tratta i captive portal come avversari per impostazione predefinita. Se una rete richiede una "registrazione" con informazioni sostanziali, lasciala e usa la rete cellulare per la prossima ora. Il rilevamento minacce AI di Casper valuta i domini dei captive portal nello stesso modo in cui valuta il phishing via SMS — i portali noti come malevoli vengono segnalati prima che tu digiti qualcosa.
Attacco 3 — Analisi del traffico a livello di metadati
Di cosa si tratta: anche quando il traffico è cifrato (HTTPS, TLS, ogni protocollo moderno), un osservatore sulla stessa rete può comunque vedere con chi stai parlando, quando, con quale frequenza e quanti dati scorrono. Non può leggere i contenuti, ma può costruire un profilo del tuo comportamento.
Su una rete WiFi ostile, questo significa:
- Il gestore locale può vedere che visiti la tua banca, il tuo fornitore sanitario, la tua app di dating, ecc. — anche se non può vedere cosa fai lì.
- I pattern di volume del traffico rivelano cosa stai facendo (lo streaming video ha una forma distintiva; la messaggistica ne ha un'altra; il banking ne ha un'altra ancora).
- Le query DNS (a meno che non si usi DoH/DoT/DNS-over-VPN) rivelano le destinazioni a livello di hostname.
- La TLS Server Name Indication (SNI), storicamente, rivelava la destinazione anche quando il DNS era cifrato — l'Encrypted Client Hello (ECH) sta colmando questa lacuna a partire dal 2025-2026.
Realtà del 2026: l'adozione di ECH è significativa (Cloudflare l'ha attivato per impostazione predefinita a fine 2024, i principali browser lo supportano nelle versioni stabili) ma la copertura è parziale. Per i siti che non hanno abilitato ECH, SNI continua a rivelare la destinazione. Anche con ECH, la destinazione della connessione a livello IP è ancora osservabile e le mappature IP-servizio sono pubbliche — connettersi a un cluster di IP di proprietà di Meta dice all'osservatore che stai usando WhatsApp o Instagram, anche con tutto cifrato.
Come difendersi: un tunnel VPN completo. Il traffico esce dalla rete locale diretto verso un unico IP (l'endpoint VPN); la rete locale può vedere che stai usando una VPN ma non può vedere nulla oltre. Questa è la protezione singola più efficace contro l'analisi del traffico su reti ostili. Le protezioni solo-DNS (NextDNS, Cloudflare 1.1.1.1) aiutano con il canale delle query DNS ma non affrontano SNI né l'osservazione a livello IP — per quello serve il tunnel. Il nostro approfondimento sui limiti del filtraggio DNS copre esattamente questa lacuna.
Attacchi che non funzionano più (quasi)
Tre classiche minacce del WiFi pubblico su cui le guide del 2015 si concentravano, ma che nel 2026 sono in gran parte risolte:
SSL strip / SSL split
sslstrip (lo strumento del 2009 di Moxie Marlinspike) abbassava HTTPS a HTTP in rete e riscriveva i moduli — per anni un classico del bar. Oggi: HSTS preload copre praticamente ogni sito che gestisce credenziali (banche, provider email, social, ecc.). I browser rifiutano di declassare i domini precaricati. Esistono siti senza HSTS ma raramente gestiscono qualcosa che un aggressore vorrebbe leggere.
ARP spoofing per MITM generico
L'ARP spoofing su una sottorete condivisa consente a un aggressore di inserirsi tra il tuo dispositivo e il gateway. Funziona ancora per il segmento LAN, ma ciò che ottiene è traffico cifrato — stesso problema dell'attacco di analisi del traffico sopra descritto. Il "vedere le tue password" non è più possibile a meno che non riescano anche a violare TLS, il che tipicamente non è fattibile sui siti precaricati.
DNS spoofing sulla rete locale
Un operatore di rete ostile può restituire risposte DNS false per gli hostname che interroghi, reindirizzandoti a cloni di phishing. Era efficace quando il DNS era non cifrato e i certificati TLS erano facili da falsificare. Oggi: i log di trasparenza dei certificati e HSTS preload fanno sì che il clone di phishing dovrebbe ottenere un certificato valido per il dominio target (estremamente difficile per i siti popolari) — e DNS-over-HTTPS / DNS-over-TLS / DNS instradato via VPN neutralizzano ciascuno lo spoofing a livello DNS. Funziona ancora per gli utenti meno esperti su piccoli siti oscuri; raramente è un problema per il consumatore medio.
Impostazioni predefinite per piattaforma: cosa fa ogni sistema operativo per te
iOS / iPadOS
- Indirizzo MAC privato attivo per impostazione predefinita per i nuovi SSID da iOS 14
- Avvisi per le reti WPA2 e precedenti (spinta verso WPA3) da iOS 16
- Comportamento di connessione automatica configurabile per SSID
- iCloud Private Relay (abbonati iCloud+) cifra il traffico Safari — vedi il nostro approfondimento su Private Relay per cosa copre e cosa no
- Supporto VPN-on-Demand per attivare Casper automaticamente sugli SSID non fidati
Android
- Indirizzo MAC privato (chiamato "Usa MAC randomizzato") attivo per impostazione predefinita da Android 10
- Supporto nativo per DNS privato (DoT) da Android 9
- Routing VPN per app (più flessibile di iOS)
- Avvisi "Verifica reti salvate" da Android 13 — segnala quando un SSID noto ha un profilo di sicurezza diverso da prima (potenziale evil twin)
- Rilevamento delle minacce a livello di rete in Play Protect
macOS
- Indirizzo Wi-Fi privato da macOS Sequoia (parità con iOS)
- iCloud Private Relay (iCloud+)
- Firewall integrato + Modalità Nascosta (disattivata per impostazione predefinita — vedi la nostra guida alla privacy su macOS)
- Cifratura FileVault (attiva per impostazione predefinita sui nuovi Mac)
Procedura pratica: cosa fare davvero quando ti connetti al WiFi del bar
- Verifica l'SSID con l'esercizio. "Qual è il nome del vostro WiFi?" — un controllo di 3 secondi che neutralizza la maggior parte degli attacchi evil twin. L'AP fasullo di solito ha un nome molto simile a quello legittimo ma non identico.
- Accetta il captive portal senza inserire dati sostanziali. "Accetta i termini" — va bene. "Inserisci email + password" — chiudi la scheda, usa la rete cellulare. "Inserisci il numero di telefono" — solo se ti fidi che i dati non vengano rivenduti.
- Attiva la VPN prima di fare qualsiasi cosa di sensibile. Alcune configurazioni (l'app iOS di Casper, il trigger automatico NetworkExtension) lo fanno automaticamente quando ci si connette a nuovi SSID. La finestra tra la connessione alla rete e l'attivazione della VPN è il momento in cui gli attacchi di analisi del traffico sono più esposti; riducila al minimo.
- Non connetterti automaticamente alla rete per le visite future a meno che tu non ti fidi del gestore. Il costo di 5 secondi per connettersi manualmente ogni volta vale la probabilità dello 0,01% di un attacco evil twin in quella location in futuro.
- Disattiva Bluetooth / AirDrop se non ne hai bisogno su reti veramente ostili. Queste sono superfici di attacco separate dal WiFi ma spesso sfruttate in combinazione.
- Dimentica la rete quando te ne vai. Impostazioni → Wi-Fi → tocca la rete → Dimentica. Riduce l'esposizione futura alla connessione automatica.
Quando una VPN è davvero necessaria vs utile?
Onestamente: durante una tipica visita di 5 minuti al bar con email + Slack su servizi HTTPS, la minaccia pratica è bassa. Le protezioni TLS stanno facendo il loro lavoro. Una VPN fornisce difesa in profondità, ma nella maggior parte dei casi non sei sotto attacco visibile senza di essa.
I casi in cui una VPN fa davvero la differenza:
- Reti internazionali ostili (WiFi di hotel all'estero in giurisdizioni con sorveglianza statale attiva, o reti di conferenze note come ostili).
- Sessioni lunghe sulla stessa rete (lavorare da un bar per ore, WiFi dell'hotel per un soggiorno di più giorni) — dà agli aggressori tempo e un bersaglio fermo.
- Reti di provenienza sconosciuta (il WiFi di un piccolo ufficio, la rete di un piccolo Airbnb, il WiFi di una conferenza gestito da chissà chi).
- Quando contano le attività sensibili — accesso a informazioni sanitarie, operazioni bancarie reali, qualsiasi cosa di cui non vorresti che un osservatore profilasse.
- Per neutralizzare la profilazione tramite analisi del traffico da parte del gestore della rete, che quasi sempre registra almeno i metadati.
Per questi casi, un vero tunnel VPN (non solo il filtraggio DNS) è l'intervento corretto. Il livello di protezione dalle minacce di Casper combina il tunnel WireGuard con rilevamento AI di phishing zero-day, filtraggio blocklist e controlli di routing per app. Il tunnel è attivo; la cifratura è end-to-end; la rete locale vede solo byte cifrati e nient'altro.
Hotspot del telefono vs WiFi pubblico?
L'hotspot del tuo telefono (tethering cellulare) è enormemente più sicuro del WiFi pubblico casuale perché:
- Sei l'unico dispositivo connesso (nessun altro utente con strumenti di osservazione)
- Il gestore telefonico è l'unico operatore upstream (un soggetto noto, regolamentato, generalmente affidabile a livello di metadati)
- La cifratura è la configurazione WPA3 del tuo telefono, che controlli tu
- È temporaneo — nessuna esposizione continua quando ti sposti
Il costo è il consumo di dati. Per le sessioni sensibili (banking, sanità, lavoro riservato) il tethering è generalmente un'opzione migliore rispetto al WiFi di hotel o bar — specialmente se non hai una VPN configurata. La maggior parte degli operatori include una certa quantità di dati hotspot nei piani moderni; verifica prima di affidarti a esso per sessioni lunghe.
Conclusione
Il WiFi pubblico nel 2026 non è la zona di disastro del 2015, e il consiglio standard ("non usare mai il WiFi pubblico") è sempre più distante dal modello di minaccia reale. L'inquadramento pragmatico del 2026: HTTPS protegge il contenuto del traffico; ciò che rimane esposto sono i metadati, il captive portal e la superficie di attacco della connessione automatica. Una VPN colma il divario dei metadati e dell'analisi del traffico. La disciplina con i captive portal (non digitare password o email) chiude il divario del phishing. La verifica dell'SSID prima di connettersi gestisce il caso evil twin.
Se vuoi tutto questo automatizzato — VPN attiva, rilevamento minacce attivo, filtraggio DNS attivo, routing per app dove vuoi — è quello che fa Casper su ogni rete a cui ti connetti. Prova gratuita, app per iPhone, Mac e Android.