21 marzo 2026 · 7 min lettura
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
2,9 milioni di vittime. 880 milioni di euro di danni. Solo in Italia, solo nell'ultimo anno. E il dato più scomodo: la truffa degli SMS del CUP non sfrutta una falla tecnica, ma una catena di concessioni statali perfettamente legale. L'inchiesta di Milena Gabanelli ha finalmente messo in fila i nomi. Io ci aggiungo il contesto tecnico e gli strumenti per difendersi, anche con un homelab.
Dimenticate il phishing classico con il link da cliccare. Qui il meccanismo è invertito, e per questo più efficace. RedHotCyber la classifica come reverse smishing o callback phishing: la vittima non clicca nulla. Chiama lei.
Arriva un SMS che sembra provenire dal sistema sanitario. Il testo avvisa di una prenotazione medica da confermare o disdire, e fornisce un numero da richiamare. Il mittente appare credibile. Il numero è un 893, classificato da AGCOM come "servizio di carattere sociale-informativo" — una definizione tecnica che nella pratica copre qualunque cosa, dalle consulenze legittime alle linee erotiche.
Chi chiama paga 2 euro al minuto più scatto alla risposta. All'altro capo della linea, un operatore segue uno script progettato per tenere la vittima in conversazione il più a lungo possibile. Nessun malware, nessun exploit zero-day. Solo ingegneria sociale applicata su scala industriale.
L'11 marzo 2026 il Dataroom di Gabanelli e Priante su Il Salvagente ha ricostruito l'intera catena. Seguite i soldi.
Il numero 893.42262 è intestato a Intermatica S.p.A., società romana guidata da Orlando Taddeo e riconducibile a Nexora, registrata in Irlanda. Intermatica non è un'azienda clandestina: fornisce servizi di telefonia satellitare ai Carabinieri, tra le altre cose. Il numero viene ceduto a Enterprise Working Italia, che a sua volta lo subappalta a Jetcom Srl, con sede a Portici, nella provincia di Napoli. Titolare: Cristina Ippolito.
I dipendenti di Jetcom lavoravano da casa. Lo stesso personale gestiva le chiamate truffa del finto CUP e le linee erotiche. In una singola settimana — dal primo al sette febbraio 2026 — un solo numero 893 ha incassato 24.000 euro. Moltiplicate per decine di numeri attivi, per mesi di operatività, e il quadro economico diventa chiaro.
La struttura a matrioska ha uno scopo preciso: frammentare la responsabilità. Intermatica può dire di non sapere cosa fa Enterprise. Enterprise può dire di non sapere cosa fa Jetcom. E Jetcom, all'occorrenza, chiude e riapre con un altro nome.
Ragusa è tra le province sotto attacco, e lo dico perché qui ci vivo. A Modica, a gennaio, un professionista si è visto sottrarre l'account WhatsApp. Nel giro di minuti, centinaia di suoi contatti hanno ricevuto messaggi con la richiesta: "Prestami 695 euro, ti restituisco tutto domani." Alcuni hanno pagato. Il meccanismo è diverso dalla truffa CUP, ma il terreno è lo stesso: fiducia sociale sfruttata su scala.
La Questura di Ragusa, insieme all'ASP 7, ha organizzato incontri formativi al Centro Anziani "Ciccio Tumino" a febbraio. Un segnale positivo, ma che rivela anche il problema strutturale: la difesa è delegata alla consapevolezza individuale dei cittadini, spesso anziani, spesso soli.
Il problema non risiede nella tecnologia in sé, bensì nel divario tra la velocità dell'innovazione e il livello di consapevolezza sociale.
Ecco la sequenza. Il MIMIT (Ministero delle Imprese) assegna le numerazioni 893 agli operatori. Gli operatori le rivendono in cascata a intermediari, che le subappaltano ad aziende operative, senza alcun controllo sull'uso finale. AGCOM classifica questi numeri come "servizi socio-informativi" e da anni discute l'introduzione del barring di default — il blocco automatico dei servizi a sovrapprezzo su tutte le SIM, disattivabile solo su richiesta esplicita dell'utente.
Non è ancora stato implementato.
Questo è il punto che mi indigna di più, e non serve alzare la voce per dirlo. La catena Intermatica-Enterprise-Jetcom è perfettamente legale. Ogni passaggio rispetta le norme vigenti. Il risultato finale — milioni di persone truffate — è un effetto collaterale che nessun ente sembra avere fretta di risolvere. Il rapporto Clusit 2026 registra 507 attacchi gravi in Italia, in crescita del 42%, pari al 9,6% del totale mondiale. Lo smishing rappresenta il 28,4% delle truffe. I numeri dicono che l'Italia è un bersaglio privilegiato, e la risposta normativa è in ritardo di anni.
Il consiglio più efficace è anche il più banale, e non richiede nessun homelab: chiamate il vostro operatore e chiedete il blocco dei servizi VAS a sovrapprezzo. Si fa in cinque minuti, è gratuito, ed elimina alla radice la possibilità che un numero 893 vi costi qualcosa. Fatto questo, passiamo al livello successivo.
Un DNS sinkhole non blocca gli SMS, ma intercetta le richieste verso domini di phishing quando qualcuno in casa clicca un link malevolo. Il CERT-AGID pubblica liste di indicatori di compromissione (IoC) aggiornate settimanalmente. Aggiungetele come blocklist personalizzate. Ogni query bloccata è un potenziale furto di credenziali evitato.
Authentik o Authelia vi danno un identity provider completo con TOTP, WebAuthn e policy di accesso granulari. Ma il consiglio più urgente è specifico: attivate il PIN a sei cifre su WhatsApp (Impostazioni > Account > Verifica in due passaggi). Il caso di Modica dimostra che il furto di un account WhatsApp è devastante — e il PIN è l'unica difesa che funziona una volta che il vostro numero è stato compromesso.
Vaultwarden è l'implementazione self-hosted del server Bitwarden. Il vantaggio meno ovvio: l'estensione browser non compila automaticamente le credenziali se l'URL non corrisponde esattamente a quello salvato. Se un sito di phishing replica la vostra banca ma ha un dominio diverso, il password manager resta muto. Quella mancata compilazione è il vostro allarme.
Configurate un servizio di notifiche push self-hosted — Ntfy è il più leggero — e collegatelo a Have I Been Pwned tramite la loro API. Quando una vostra email compare in un data breach, ricevete una notifica push istantanea sul telefono. Sapere di essere stati esposti è il primo passo per cambiare le credenziali prima che vengano sfruttate.
La tecnologia da sola non basta. Ho preparato una lista che ho stampato e appeso in casa. Può sembrare eccessivo, ma con genitori e nonni esposti quotidianamente a questi messaggi, preferisco il foglio A4 attaccato al frigo.
Un dato su cui riflettere: secondo un'indagine NordVPN, il 59% degli italiani ha ricevuto almeno un SMS di phishing. Ma la fascia 18-24 anni risulta meno consapevole (61%) rispetto ai 35-44 (76%) nel riconoscere i messaggi fraudolenti. La formazione non serve solo agli anziani.
Chi ha già un homelab ha un vantaggio strutturale: può costruire difese che non dipendono dalla buona volontà di un provider o dalla velocità di AGCOM. Se vi interessa approfondire il tema delle minacce alla supply chain digitale, ho analizzato un caso simile di fiducia tradita nel post su GlassWorm e gli attacchi supply chain via VS Code. E se volete capire perché la Sicilia è un bersaglio privilegiato anche in termini di infrastrutture, il pezzo su MUOS, droni e F-35 fornisce il contesto geopolitico.
La truffa del CUP non è un bug del sistema. È il sistema. Il MIMIT assegna, gli operatori rivendono, AGCOM discute, e 2,9 milioni di italiani pagano il conto. La filiera Intermatica-Enterprise-Jetcom scoperta da Gabanelli non opera nell'ombra: opera nella zona grigia che lo Stato stesso ha creato e che non ha interesse a chiudere. Il barring di default risolverebbe il problema domani mattina, ma domani mattina non arriva mai. Nell'attesa, bloccate i VAS, configurate i vostri strumenti, e fate formazione a chi vi sta intorno. Perché l'unica difesa che funziona davvero è quella che non aspetta il regolatore.
Fonti — Il Salvagente / Dataroom Gabanelli | RedHotCyber: analisi tecnica | Quotidiano di Ragusa: WhatsApp hackerato a Modica | Risoluto: truffe online Italia 2026 | Rapporto Clusit 2026 | Questura di Ragusa: formazione anti-truffa | NordVPN: 7 milioni di italiani colpiti