Wi-Fi pubblico nel 2026: cosa è davvero pericoloso
Security & Privacy

Wi-Fi pubblico nel 2026: cosa è davvero pericoloso

Gran parte dei vecchi avvertimenti sul Wi-Fi pubblico era già superata dieci anni fa. Cosa protegge davvero HTTPS, cosa si lascia sfuggire e dove si annidano oggi i rischi veri negli aeroporti e nei bar.

BROWSER.LOL
12.02.2026
20 min di lettura
Condividi

«Non digitare mai il numero della carta sul Wi-Fi del bar». La frase ha dieci anni e continua a saltare fuori in ogni guida di viaggio. Dietro c'è l'immagine dell'hacker con il portatile al tavolo accanto che intercetta il tuo traffico bancario. Nel 2011 era una scena plausibile. Nel 2026 è ormai quasi impossibile. Il vero avversario del Wi-Fi pubblico di oggi è un altro e, in genere, non sta a guardare il tuo dispositivo: aspetta che sia tu a scrivere qualcosa di tua iniziativa nel form sbagliato.

Distinguere il mito dal rischio reale è un esercizio che vale la pena fare. La maggior parte degli avvertimenti affronta un problema che HTTPS e la sicurezza moderna delle piattaforme hanno già risolto da un pezzo. Altri rischi (captive portal, reti evil twin, worm che scandagliano i dispositivi) sono invece ancora ben presenti, che ti trovi al gate o a casa.

Cosa fa già HTTPS al posto tuo

Oltre il 95 per cento del traffico web oggi viaggia su HTTPS. In pratica, tra il tuo browser e il server c'è un tunnel cifrato che un terzo, collegato allo stesso Wi-Fi, non riesce a leggere. Le password, i dati della carta, le chat e le mail, per l'hacker al tavolo accanto sono solo una stringa binaria illeggibile.

I browser moderni ci aggiungono un altro strato. Chrome e Firefox ti segnalano i campi di login non cifrati. HSTS (Strict Transport Security) costringe i siti di fiducia ad aprirsi solo in HTTPS, così un attaccante non riesce a farti scivolare su HTTP. DNS-over-HTTPS cifra perfino la richiesta che dice quale sito stai aprendo.

Risultato: il classico «man in the middle al bar» non funziona più su praticamente nessun sito serio. La cosa da evitare è proprio passare a forza oltre gli avvisi di certificato. Un clic su «Procedi comunque» spazza via tutte queste protezioni in un colpo solo.

I rischi veri sul Wi-Fi pubblico

Un'icona di segnale Wi-Fi con tre frecce che si diramano verso tre icone di rischio: una pagina di login falsa, un captive portal e uno scan del dispositivo

Phishing tramite captive portal. Aeroporti, hotel e stazioni ti mostrano una pagina di accesso in cui accetti le condizioni del Wi-Fi. Un attaccante ricostruisce esattamente quella pagina e lì ti chiede l'indirizzo email, a volte persino le credenziali di una prenotazione alberghiera. Non è un attacco tecnico, è ingegneria sociale, e funziona benissimo perché nel popup del Wi-Fi nessuno si mette a controllare l'URL.

Attacchi sulle porte aperte. Se il tuo portatile o il tuo telefono espongono dei servizi (cartelle condivise, stampanti, SSH), gli altri dispositivi connessi allo stesso Wi-Fi li vedono. La maggior parte dei sistemi operativi mette in automatico il Wi-Fi pubblico su «profilo pubblico» e blocca questi servizi, ma disattivare l'opzione (o scordarsi di ripristinarla) equivale a invitare i vicini a scansionarti.

DNS hijacking nei router economici. Non tutti i router dei bar sono configurati a regola d'arte. Alcuni dirottano le richieste DNS verso servizi di filtraggio pubblicità o, peggio, verso server DNS manomessi. Senza DNS-over-HTTPS, il tuo dispositivo rischia di farsi rispondere con IP sbagliate su certi domini.

Credenziali catturate sui siti HTTP. Oggi sono casi limite, ma certe app aziendali interne, interfacce web di router e servizi IoT economici girano ancora in chiaro. Se ti colleghi a uno di questi da una rete pubblica, almeno sii consapevole di cosa stai facendo.

Gli evil twin, e quando funzionano davvero

Un evil twin è un access point Wi-Fi che si finge legittimo (spesso con lo stesso nome di quello vero, o uno molto simile, tipo «Starbucks_Free») e trasmette con un segnale più forte, in modo che il tuo dispositivo ci si agganci da solo. A quel punto l'attaccante vede tutto quello che spedisci, cosa che, finché HTTPS regge, non è poi così succosa.

La variante davvero pericolosa è quando l'evil twin si accompagna a un captive portal che ti chiede di installare un certificato, o che ti dirotta su una falsa pagina di accesso di un servizio noto. Nel momento in cui installi a mano un certificato fornito da un attaccante, il tuo modello di sicurezza TLS è saltato. A queste richieste rispondi sempre di no, senza eccezioni.

Il secondo caso a rischio sono le app che non validano come si deve i certificati (niente pinning, catene di fiducia di sistema prese troppo alla leggera). Le grandi app consumer oggi sono in ordine, ma le app più vecchie e i software su misura del mondo aziendale spesso non lo sono.

Dove aiuta una VPN e dove no

Un laptop con un tunnel tratteggiato che esce dal simbolo Wi-Fi e arriva a un'icona di server

Una VPN sposta il controllo della tua connessione dal router del bar a un altro operatore. È comoda quando non ti fidi della rete locale o vuoi aggirare un blocco geografico. Non sostituisce HTTPS e non blocca il phishing tramite captive portal, perché la pagina di phishing si trova prima del tunnel VPN.

Una sessione di browser isolata completa il quadro quando devi aprire siti di cui non ti fidi o accedere da qualche parte temendo di cascare in un captive portal confezionato apposta. Il browser non gira sul tuo dispositivo: gira nel cloud e a te arriva soltanto l'immagine. Un certificato fasullo in una rete evil twin va a sbattere contro il browser nel cloud, non contro di te. Per il confronto completo vedi Virtual Browsers vs VPNs.

Regole pratiche che contano davvero

Al posto della solita lista di paure, ecco la versione corta che funziona davvero nel 2026.

  1. 1

    Lascia il Wi-Fi pubblico impostato come «pubblico»

    Niente cartelle condivise, niente servizi in ascolto. Quando il sistema operativo te lo chiede, rispondi «pubblico».
  2. 2

    Non scavalcare mai un avviso di certificato

    Se il browser ti dice che la connessione non è privata, torni indietro. Nessuna rete pubblica vale un «Procedi comunque» fatto al volo.
  3. 3

    Non installare mai un certificato Wi-Fi

    I bar e gli aeroporti veri non te lo chiedono. Se un portal insiste per farti installare una CA, dall'altra parte c'è un attaccante.
  4. 4

    VPN per la quotidianità, browser isolato per i login sensibili

    La VPN alza il tuo livello di base contro le reti ficcanaso. Per i login sensibili aggiungi un browser isolato, che sparisce nel momento in cui chiudi la scheda.

Vuoi un vero desktop su qualunque dispositivo?

Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.

Avvia il tuo desktop nel browser

Niente download • Funziona ovunque

Già scelto da oltre 250.000 professionisti
Compatibilità desktop totale
Pronto in pochi secondi

Ultimi articoli

Tutti gli articoli
Canvas, WebGL e Audio: i tre fingerprint che sopravvivono a ogni riavvio del browser
Sicurezza e privacy

Canvas, WebGL e Audio: i tre fingerprint che sopravvivono a ogni riavvio del browser

Contro questi tre, cancellare i cookie non serve a niente. Come si formano gli hash del canvas, le stringhe del renderer WebGL e le firme AudioContext, e perché perfino Tor ne lascia trapelare uno.

17.05.2026Continua a leggere
Tabnabbing e clickjacking: gli attacchi all'interfaccia che non vedi mai
Sicurezza e privacy

Tabnabbing e clickjacking: gli attacchi all'interfaccia che non vedi mai

Alcuni attacchi nel browser non hanno bisogno di malware. Riscrivono le tue schede mentre non le guardi o nascondono un pulsante vero sotto uno finto, e sei tu a consegnare credenziali o autorizzazioni. Ecco come funzionano questi trucchi di UI.

19.03.2026Continua a leggere
Wallet drainer Web3: come una sola firma svuota la tua crypto
Sicurezza e privacy

Wallet drainer Web3: come una sola firma svuota la tua crypto

Ai wallet drainer non serve la tua seed phrase. Ti spingono a firmare una transazione che porta via tutto con un clic. Ecco come funziona la truffa e come firmare senza farti ripulire.

05.03.2026Continua a leggere