I suoi dati sono già pubblici. Cosa cambia davvero.

Il cliente firma l’NDA, ripone il contratto nella sua cassaforte, e la sua casella di posta storica è appena stata riversata in un forum russo. Questa scena, la vedo tutti gli anni. L’NDA non ha mai protetto i suoi dati. Proteggeva solo la sensazione che fossero protetti.

La trappola abituale

Il discorso dominante sulla cybersicurezza, nel 2026, somiglia a quello del 2013: comincia con “proteggete i vostri dati”. Presuppone uno stato iniziale in cui i suoi dati sono suoi, in cui vivono nei suoi dispositivi e negli account che lei controlla, e in cui la sicurezza consiste nell’impedire che escano.

Questo stato non esiste più. Non esiste da molto tempo.

I suoi indirizzi email storici, i suoi numeri di telefono, le sue password con hash (a volte in chiaro), i suoi contatti, la sua data di nascita, i suoi acquisti, i suoi spostamenti approssimativi, la composizione stimata del suo nucleo familiare, il suo patrimonio inferito — tutte queste informazioni circolano già in database che lei non ha mai consultato, presso soggetti che lei non conosce, in giurisdizioni dove il GDPR non ha alcun valore.

La finzione del privacy first — l’idea che i suoi dati siano privati per default e che basti proteggerli perché restino tali — serve tutti tranne lei.

Serve i regolatori, che producono diritto (GDPR, CCPA, LGPD, PIPL) presupponendo una riservatezza da ripristinare, il che dà loro un mandato continuo e una parvenza di efficacia.

Serve gli editori SaaS, che vendono cifratura, DLPSoluzione che rileva e blocca le fughe di dati sensibili (email, file, appunti).Vedi il glossario, CASBSoluzione che si interpone tra utenti e app cloud per applicare politiche di sicurezza.Vedi il glossario, MFAAutenticazione a più fattori: combinare due prove d'identità indipendenti per accedere.Vedi il glossario, e fatturano questi prodotti ad aziende che credono di comprare protezione mentre comprano una postura di conformità.

Serve gli utenti, che possono continuare a vivere come se i loro dati fossero privati, perché è più comodo chiudere una cassaforte che guardare ciò che è già sfuggito.

Il risultato:

Si blindano casseforti mentre la porta d’ingresso è aperta da dieci anni, e nessuno guarda attraverso quella porta.

Inventario onesto di ciò che è già uscito

I suoi dati non fuoriescono in un solo posto. Fuoriescono in cinque strati sovrapposti, ciascuno dei quali obbedisce a regole diverse.

Strato 1 — I broker di dati

L’industria del data brokerage è antica, massiccia e in gran parte invisibile al grande pubblico.

Acxiom, acquisita da LiveRamp nel 2018, mantiene profili su circa 2,5 miliardi di persone, con in media 1500 attributi per profilo. Experian, LexisNexis Risk Solutions, Oracle Data Cloud (ex Datalogix poi BlueKai), Epsilon — questi nomi ricorrono in tutti i rapporti di settore da dieci anni.

Cosa hanno su di lei: nome, indirizzo, telefono, email, data di nascita, composizione del nucleo familiare, stato civile, figli, redditi stimati, patrimonio stimato, proprietà immobiliare. In più, ed è qui che diventa scomodo: acquisti, navigazione web, geolocalizzazione approssimativa (raccolta tramite le app mobili che la rivendono), abitudini di consumo dei media. E ancora di più: degli scoring predittivi — probabilità di acquisto per categoria, rischio di divorzio, rischio finanziario, fase di vita, affinità politiche stimate.

Come i suoi dati arrivano a loro: carte fedeltà del supermercato, banali moduli web (newsletter, concorsi, white paper), applicazioni mobili (meteo, torcia, giochi gratuiti — il primato della raccolta opaca), partnership opache tra editori SaaS, opt-out per default su caselle pre-selezionate.

Il GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018.Vedi il glossario impone un diritto di accesso e di cancellazione, ma in pratica: i broker europei (Mediascope, Schober, Klarna data products) rispondono parzialmente, i broker americani che operano in Europa rispondono in tempi che sfiorano i limiti legali, e i rivenditori a cascata rendono impossibile l’audit — lei chiede la cancellazione ad Acxiom, il suo profilo viene reiniettato tre mesi dopo da una fonte secondaria.

Strato 2 — I leak database

Have I Been Pwned, il servizio pubblico più visibile, indicizza nel 2026 circa 13 miliardi di account distribuiti su diverse centinaia di breach. È la punta dell’iceberg pubblico — il servizio raccoglie solo i leak resi pubblici.

Al di sotto, ci sono DeHashed, Intelligence X, Snusbase, Constella Intelligence. Questi servizi a pagamento (da 5 a 300 € al mese a seconda del tier) danno accesso a molto di più: dump antichi mai entrati in HIBP, password in chiaro provenienti da breach con hash mal fatti (in particolare siti degli anni 2010 che usavano MD5 senza salt), e a volte dati raccolti da forum del dark web oggi scomparsi.

I marketplace dove questi dump hanno circolato sono stati sequestrati o hanno chiuso — RaidForums (sequestrato dall’FBI nel 2022), Breached (chiuso nel 2023 dopo l’arresto del suo amministratore) — ma i dump stessi sono sopravvissuti. Vengono ricomprati, ricomposti, e continuano a circolare presso soggetti meno visibili.

Casi emblematici che tutti dovrebbero conoscere:

• Collection #1 (gennaio 2019, rivelato da Troy Hunt): 773 milioni di indirizzi email unici, 21 milioni di password in chiaro, aggregato di centinaia di breach precedenti
• LinkedIn 2021: 700 milioni di profili scrapati, incluse le email collegate agli account (rivenduti a 5000 $ per il dump completo)
• Facebook 2019 (pubblicato nel 2021): 533 milioni di profili, inclusi i numeri di telefono
• 23andMe 2023: dati genetici di 6,9 milioni di account, con conseguenze a un orizzonte di 50 anni
• OPM 2015 (Stati Uniti): 21,5 milioni di fascicoli di funzionari federali, incluse le indagini di sicurezza

Se ha usato internet tra il 2010 e il 2020, lei è statisticamente in almeno uno di questi dump.

Strato 3 — I registri pubblici

Quanto segue non è una fuga di dati — è informazione pubblica obbligatoria per legge che nessuno pensa di includere nella propria mappatura dell’esposizione.

In Italia: il Registro delle Imprese tenuto dalle Camere di Commercio rende consultabili visure, cariche sociali e bilanci, mentre la Gazzetta Ufficiale pubblica gli annunci legali (costituzioni di società, procedure concorsuali), e l’UIBM pubblica marchi e brevetti. Nel Regno Unito: Companies House, OpenCorporates. Negli Stati Uniti: registri statali (Delaware, Nevada), PACER per le decisioni giudiziarie federali. In Svizzera: Zefix, oltre ai registri fondiari cantonali a seconda dei cantoni.

Per un dirigente, queste fonti mappano in pochi minuti: la sua intera vita professionale (tutte le società dove ha avuto una carica, le loro date, la sua retribuzione se era amministratore di una società quotata), i suoi contenziosi (qualsiasi decisione giudiziaria pubblicata), i suoi spostamenti professionali (cambi di sede legale), il suo patrimonio immobiliare in certe giurisdizioni.

Il GDPR non si applica: questi dati sono pubblici per legge.

Strato 4 — Gli archivi

Internet ha una memoria che lei non ha scelto.

La Wayback Machine di Internet Archive cattura pagine dal 1996. Il suo sito personale ospitato su un provider gratuito nel 2008, il suo profilo LinkedIn del 2012 quando era consulente junior, il forum di discussione su cui era attivo con il suo vero nome a 22 anni — tutto è consultabile, a condizione di sapere dove cercare.

archive.today (ex archive.is) offre la cattura su richiesta: chiunque può scattare uno snapshot permanente di una pagina, senza che lei possa opporsi. Nessun meccanismo ufficiale di rimozione.

Google Cache storico è stato progressivamente ridotto dal 2020, ma resta accessibile tramite certe query specifiche per pagine antiche.

Gli strumenti OSINT specializzati (Maltego, Spiderfoot HX, Bellingcat Toolkit) consolidano queste fonti in pochi minuti. Un audit serio su una persona identificata richiede dalle due alle quattro ore.

Strato 5 — I social network indicizzati

LinkedIn è il peggiore per i profili business: il suo CV completo, i suoi contatti (a seconda delle impostazioni), la sua storia di mobilità, le sue prese di posizione pubbliche su dieci anni, i suoi “I’m speaking at…” che rivelano i suoi viaggi.

Twitter / X conserva sedici anni di prese di posizione, di cui una parte significativa è indicizzata da Google anche dopo la cancellazione dell’account.

I metadati sono a volte più rivelatori dei contenuti: chi mette like, chi condivide, a quali orari è attivo (rivela il suo fuso orario e quindi i suoi spostamenti), con chi interagisce frequentemente (rivela la sua cerchia ristretta).

Perché non può riprendere il controllo

A questo punto, la tentazione è di dire: “OK, faccio una grande pulizia”. Questa tentazione è legittima, e in gran parte destinata al fallimento.

L’architettura del leak è distribuita. I suoi dati non sono in un solo posto, ma in decine di copie distribuite in giurisdizioni multiple, presso soggetti con interessi divergenti. Chiedere la cancellazione a un soggetto non cancella nulla presso gli altri.

Il diritto all’oblio ha una portata limitata. L’articolo 17 del GDPR è condizionato (dati non necessari, ritiro del consenso, ecc.) e soggetto a eccezioni estese (libertà di espressione, interesse pubblico, pretese in giudizio, archivi). In pratica, la deindicizzazione Google UE funziona, la cancellazione presso un operatore GDPR attivo funziona, il resto funziona male.

L’effetto Streisand esiste. Chiedere la rimozione spesso amplifica l’esposizione. Un’azione GDPR aggressiva verso un giornale risveglia la memoria istituzionale. Una richiesta a Google produce una notifica all’editore della pagina sorgente, che può decidere di metterla ancora più in evidenza.

La rivendita è perpetua. Un dump trapelato nel 2019 verrà rivenduto nel 2030. I marketplace chiusi vengono rimpiazzati da altri. Il costo marginale di stoccaggio dei dump è nullo, il loro valore si ammortizza su decenni.

L’audit è impossibile. Lei non sa chi detiene cosa, non può rivolgersi a soggetti che ignora. Persino i servizi di opt-out broker (Incogni, DeleteMe, Optery, Privacy Duck) coprono solo una parte dell’industria identificata — e non hanno alcuna presa sui leak database.

Il pivot strategico

È qui che si trova il cambio mentale che cambia tutto il resto.

Questo cambio non è una capitolazione. È un riallineamento con la realtà.

Compartimentazione, non riservatezza

Invece di cercare di “proteggere tutto” — obiettivo impossibile — lei separa le identità per uso. Un’email civile per la banca, il fisco, l’amministratore di condominio. Un’email professionale pubblica per LinkedIn, le conferenze, i media. Un’email professionale sensibile per i dossier M&A, contenziosi, negoziazioni. Un’email operativa per i servizi terzi, gli abbonamenti, gli acquisti online.

Una fuga sull’identità operativa (la più esposta, per costruzione) non contamina l’identità sensibile. È l’oggetto dell’articolo Compartimentazione d’identità.

Rotazione, non permanenza

Una password ha una durata di vita. Anche un indirizzo email. Anche un numero di telefono.

Password: 3 mesi per gli account critici, 6 mesi per gli altri. Con un gestore di password, è meccanico.

Indirizzo email operativo: da 12 a 24 mesi. Lei abbandona l’indirizzo, reindirizza i servizi importanti verso il nuovo, lascia morire il resto.

Numero di telefono: da 3 a 5 anni per il numero professionale pubblico, più stabile per quello civile ma con una vigilanza accresciuta sull’operatore (vedere SIM swap).

Questa rotazione è scomoda la prima volta. Poi diventa una disciplina, come lavarsi i denti.

Resilienza, non prevenzione assoluta

Lei sarà compromesso un giorno. La domanda non è “se”, ma “quando” e “come reagisce”.

Preparare la risposta, non la prevenzione. Piano di incidente personale di una pagina, contatti di escalation identificati, account critici con FIDO2 hardware (che resiste al phishing), backup cifrato conservato fuori dalla giurisdizione principale.

È l’oggetto dell’articolo Incident response sul campo.

Threat modeling a partire da uno stato di fuga

L’inventario della sua esposizione nota (vedere L’audit di esposizione) diventa il punto d’ingresso di ogni strategia.

Per ogni esposizione, lei classifica: critica (azione immediata), sensibile (azione programmata), pubblica (accettata, documentata), benigna (ignorata).

Per ogni elemento critico, lei decide: mutare (cambiare l’identificatore sottostante), ritirare (chiudere l’account, chiedere la deindicizzazione), accettare (con preparazione della risposta in caso di sfruttamento).

Cosa comporta concretamente

Per chi è importante

Per tutti, ma con soglie di criticità diverse.

Per il grande pubblico: la maggior parte delle fughe ha un impatto diffuso — spam mirato, truffe credibili, a volte SIM swap se il profilo è abbastanza esposto da valere lo sforzo. La disciplina minima (email principale protetta, FIDO2 sul critico, audit di esposizione annuale) basta nel 95% dei casi.

Per i profili esposti: dirigenti, giornalisti, avvocati, medici di personalità, dissidenti, persone con patrimonio visibile, persone in contenzioso familiare o professionale conflittuale. Qui, la compartimentazione diventa strutturante, l’audit di esposizione trimestrale, la consulenza dedicata per i viaggi sensibili. Il rapporto di investimento personale nella sicurezza operativa deve essere proporzionale all’esposizione.

Caso critico: profili coinvolti in M&A in corso, contenzioso penale, divorzio conflittuale con poste finanziarie significative, esposizione mediatica attiva. La soglia cambia. È l’oggetto dell’articolo Dirigente esposto.

Errori che si vedono di continuo

• “Ho una VPN, quindi sono protetto.” Confusione tra riservatezza del transito (ciò che protegge una VPN) e riservatezza dell’identità (che dipende dalla compartimentazione, e per niente da una VPN).
• “Non ho nulla da nascondere.” Confusione tra nascondere e controllare. Lei ha tutto l’interesse a controllare ciò che esce, il che non significa che debba nasconderlo.
• “Ho cambiato le mie password.” Senza rotazione delle identità sottostanti — email, numeri — lei ha cambiato solo la serratura di una porta che si apre da dieci altri ingressi.
• “Non uso Facebook.” Senza considerare LinkedIn (il più esponente per i profili business), il datore di lavoro precedente (CV in cache), l’amministratore di condominio (informazioni residenziali), il registro delle imprese (cariche sociali).
• “L’azienda è protetta.” Senza considerare che la persona fisica che dirige l’azienda è esposta individualmente, e che l’attaccante prende di mira la persona per raggiungere l’azienda.

Checklist azionabile

• N1 Fare l'audit di esposizione personale (HIBP + Google dork su sé stessi) — vedere l'articolo dedicato
• N1 Mettere in sicurezza l'email principale e il gestore di password: FIDO2 hardware, due chiavi minimo, nessun recupero via SMS
• N2 Elencare i propri identificatori critici (email, telefono, account finanziari, account cloud) e pianificarne la rotazione a 12 mesi
• N2 Mappare le proprie identità per uso attuale (civile / pro pubblico / pro sensibile / operativo) — decidere il modello target
• N2 Identificare le 3 esposizioni più critiche e decidere per ciascuna: mutare, ritirare, accettare
• N3 Costruire un piano di incidente personale (1 pagina A4): chi chiamare, cosa bloccare per primo, dove sono i backup
• N3 Per profilo esposto: audit di esposizione trimestrale da parte di un terzo (sguardo nuovo)
• N3 Per organizzazione: integrare un indicatore 'esposizione esterna comitato esecutivo' nella dashboard di cybersicurezza trimestrale
• N3 Per organizzazione: riequilibrare il budget di cybersicurezza con una quota chiara per la resilienza (forensics, risposta, comunicazione di crisi)

Per approfondire

Le fonti strutturanti sull’argomento (libri, rapporti, giornalismo) figurano nel frontmatter di questo articolo. Tre letture da privilegiare se vuole approfondire:

• Bruce Schneier, Data and Goliath (2015) — analisi sistemica della sorveglianza commerciale e statale. Datata su certe cifre, intramontabile sui meccanismi.
• Carissa Véliz, Privacy Is Power (2020) — angolo filosofico e politico sulla privacy come bene comune. Lettura breve, incisiva.
• ENISA Threat Landscape, edizione annuale — lo stato del panorama delle minacce in Europa, aggiornato ogni anno dall’agenzia di cybersicurezza europea. Lettura lunga, utile per inquadrare il monitoraggio.

Per le pratiche azionabili che derivano da questo inquadramento, vedere gli altri articoli dell’asse Realtà dell’esposizione: L’audit di esposizione, Compartimentazione d’identità, Broker di dati, Il diritto all’oblio.