‹ Tutti gli articoli
Sicurezza

Hai un threat model o solo paura?

30 maggio 2026 · di Angelo Pallanca (Pan) · 2 min di lettura

C'è una domanda che separa chi è sicuro davvero da chi è solo spaventato: da chi ti stai difendendo? Si chiama threat model, modello di minaccia, ed è il concetto più sottovalutato della sicurezza. Senza, ogni scelta è teatro. Compri il lucchetto più costoso e lasci la finestra aperta, perché nessuno ti ha chiesto da chi vuoi proteggerti.

Il problema è che l'industria della sicurezza non vive vendendoti chiarezza. Vive vendendoti ansia. E l'ansia, per definizione, è generica.

La minaccia immaginaria e quella vera

La gente si appassiona alle minacce spettacolari. L'NSA che intercetta tutto, lo spyware da milioni di dollari, l'hacker geniale incappucciato. Sono storie affascinanti, e per il 99,9% delle persone sono irrilevanti. Nessuno spende un exploit da un milione di dollari per leggere le tue chat.

Le minacce vere sono noiose e per questo le ignoriamo. Una mail di phishing scritta male ma cliccata di fretta. La stessa password riusata su venti siti, uno dei quali è stato bucato l'anno scorso. L'autenticazione a due fattori che non hai mai attivato perché "dopo". I dati che regali ai broker installando l'ennesima app gratis. Qui muore la sicurezza delle persone normali, non in un attacco da film.

Lo dicono pure i numeri sui ransomware: il 53% delle vittime si rimette in piedi in una settimana grazie ai backup. La difesa che funziona è la più noiosa, non la più costosa.

Sicurezza vera contro security theater

Security theater è tutto ciò che ti fa sentire sicuro senza renderti più sicuro. La VPN comprata per paura ma usata per guardare film. L'antivirus pesantissimo che rallenta tutto e protegge da minacce del 2009. Il consiglio "non usare il wifi pubblico" ripetuto come un mantra, mentre la vera falla è la password riusata.

La sicurezza vera è meno sexy e più efficace. Tre mosse che valgono più di mille euro di prodotti: un password manager con password uniche, l'autenticazione a due fattori sulle cose che contano (mail, banca, identità), e gli aggiornamenti installati invece di rimandati. Fine. È quasi imbarazzante quanto sia poco glamour, ed è proprio per questo che funziona: gli attaccanti puntano alle masse, e le masse fanno il contrario.

Come costruirti un threat model in cinque minuti

Non serve essere esperti. Tre domande.

Cosa voglio proteggere? I soldi, l'identità, le foto, la reputazione, la posizione. Scegli, non puoi blindare tutto.

Da chi? Un truffatore di massa, un ex invadente, un datore di lavoro, un governo. Cambia tutto: difendersi da un truffatore è facile, da uno Stato è un altro mestiere.

Quanto sono disposto a faticare? La sicurezza perfetta non esiste, e quella troppo scomoda viene aggirata da te stesso. Meglio una difesa solida che usi davvero che una fortezza che disattivi al primo fastidio.

La cosa più hacker che puoi fare non è comprare l'ennesimo gadget. È fermarti cinque minuti e chiederti da cosa ti stai davvero difendendo. La paura è un pessimo consigliere, e un ottimo cliente. Non essere il secondo.