Partiamo dal cuore di tutto. Il sito, il dominio (cioè il tuo indirizzo, tipo tuonome.it), l’email aziendale: chi ci ha accesso oggi? Se la risposta è «non lo so» oppure «se ne occupa un ragazzo che conosco», c’è qualcosa da sistemare.
Non perché quella persona sia in malafede. Ma il giorno in cui sparisce, cambia città o ci litighi, rischi di non poter più accedere alle tue stesse cose. Sito, dominio ed email devono essere intestati a te, con i tuoi accessi. Tuoi sul serio, non «gestiti da qualcuno».
Le abitudini che seguono servono tutte a questo: fare in modo che entri solo chi deve.
2. Le password
Sono il modo con cui tieni fuori gli altri, quindi vengono subito dopo. Due regole:
• Lunga. Una password lunga conta più di una password complicata. «Tavolo-Quercia-Officina-1987» protegge meglio di «Tv!9x», ed è pure più facile da ricordare.
• Diversa per ogni cosa. Email, sito, banca, social: ognuno la sua. Se usi sempre la stessa e qualcuno la scopre in un posto, ha già aperto tutti gli altri.
Ricordarle tutte è impossibile, lo sappiamo. Per questo esistono i gestori di password: programmi che le tengono al posto tuo e le scrivono da soli quando devi entrare da qualche parte. Ne basta uno. Tu ricordi una sola password, quella del gestore, e lui fa il resto.
3. Il codice in più
Quasi tutti i servizi seri oggi offrono una cosa che vale la pena attivare: oltre alla password, quando entri ti arriva un codice sul telefono. Lo digiti e sei dentro. Sembra una scocciatura, sono dieci secondi.
A cosa serve: se anche qualcuno ti rubasse la password, senza il tuo telefono in mano non entra lo stesso. Attivalo almeno sull’email, perché dall’email si recuperano tutte le altre password. Se proteggi quella, proteggi parecchio.
4. Le email che non sono quello che sembrano
Il modo più comune con cui qualcuno prova a farsi dare le tue chiavi è questo. Ti arriva un’email dalla banca, dalle poste, da un fornitore. Dice che c’è un problema, che devi entrare subito, e ti mette un link. Clicchi, ti chiede password o dati, tu li scrivi. Solo che non era la banca: era qualcuno che si è finto la banca per farti scrivere la password dove la legge lui. Si chiama phishing, e funziona perché gioca su fretta e paura.
Come riconoscerlo, senza diventare matti:
• Mette urgenza («entro 24 ore», «account bloccato»). Le aziende serie non ti mettono fretta così.
• L’indirizzo del mittente è quasi giusto, ma non del tutto: una lettera cambiata, un finale strano.
• Ti chiede via email cose che di solito via email non si chiedono (password, codici).
Regola pratica: nel dubbio, non cliccare il link. Vai sul sito digitando tu l’indirizzo, oppure chiama il numero che già conosci. Trenta secondi di controllo, zero rischi.
5. Quando dice «aggiorna», aggiorna
Telefono, computer, sito: ogni tanto compare l’avviso di aggiornare. La tentazione è rimandare, perché capita sempre nel momento sbagliato. Falla comunque.
Gli aggiornamenti non cambiano solo l’aspetto delle cose: chiudono i punti deboli che qualcuno potrebbe usare per entrare. La maggior parte degli attacchi non usa trucchi geniali, usa proprio gli aggiornamenti che la gente ha rimandato per mesi. È la cosa più semplice che fa la differenza più grande.
6. Una copia, da qualche parte
Ultima abitudine, e spesso dimenticata: da qualche parte deve esistere una copia recente del tuo sito. Così se un giorno qualcosa si rompe — un errore, un attacco, un guasto — non riparti da zero: recuperi la copia e in poche ore sei di nuovo in piedi.
Non devi farla tu. Devi sapere se viene fatta. Tre domande a chi ti ha fatto il sito: la copia c’è? Ogni quanto si fa? Se succede un guaio, in quanto tempo si rimette tutto a posto? Se non sanno rispondere, è quello il momento di preoccuparsi.
Una sola parola tecnica, poi basta
Quando apri un sito e in alto, vicino all’indirizzo, c’è scritto «Non sicuro», vuol dire che la connessione non è protetta: quello che il cliente scrive lì viaggia in chiaro. Il tuo sito non dovrebbe mai dare quel messaggio a chi ti contatta.
Non devi controllare tutto da solo
E qui sta la parte comoda. Non serve che ti metta a verificare voce per voce — chi ha gli accessi, le password, la copia, quel «Non sicuro» — col rischio di non sapere bene cosa stai guardando. L’audit gratuito di Arrow lo fa per te in un colpo solo: ti diciamo com’è messo il tuo sito e cosa, eventualmente, va sistemato. Se è tutto a posto, te lo diciamo e finisce lì. Gratis, senza impegno, senza venderti niente per forza.
E non sono regole che predichiamo agli altri e basta. TarantoRespira, l’app gratuita sull’aria di Taranto che trovi online su tarantorespira.eu, l’ho costruita io con queste stesse abitudini: aggiornata, dati protetti, copie al loro posto. È così che lavoro, sui miei progetti come sui siti dei clienti.
In poche parole
In fondo è tutto qui: chi entra nelle tue cose lo decidi tu. Sapere chi ha gli accessi, password lunghe e diverse, il codice in più, occhio alle email strane, gli aggiornamenti fatti, una copia da parte. Sei abitudini, niente di più — il modo per tenere la tua cassa digitale chiusa a chi non deve aprirla.
Il punto non è spaventarti. È che ti sei costruito un’attività con le tue mani, e quella roba lì — il sito, i contatti, le cose dei tuoi clienti — merita la stessa cura che metti nel resto.
Se vuoi sapere com’è messa oggi, scrivici a info@arroweb.it. Un’occhiata onesta, poi decidi tu.