TLDR
- HTTPS protegge il contenuto della connessione tra browser e sito, ma non rende automaticamente affidabile la rete a cui ti colleghi.
- Una VPN sposta la fiducia dal Wi-Fi al provider VPN: utile in molti scenari, ma non è uno scudo magico.
- Il pericolo moderno è spesso l'hotspot-clone: una rete con nome credibile, captive portal convincente e utenti stanchi.
- Per login delicati, banca, lavoro e account importanti, la scelta più pulita resta spesso usare rete mobile o hotspot personale.
La domanda sbagliata è "VPN o HTTPS?"
La domanda giusta è: di chi ti stai fidando?
Quando ti colleghi al Wi-Fi di un bar, di un hotel, di un aeroporto o di un coworking, non stai solo chiedendo accesso a Internet. Stai entrando in una rete che non controlli, con persone che non conosci, apparati che non vedi, captive portal che ti chiedono click rapidi e nomi rete che spesso si assomigliano tutti.
Hacker Journal ha trattato il tema in modo molto diretto: sul Wi-Fi pubblico non basta ripetere "usa una VPN". Bisogna capire cosa vede la rete, cosa vede il sito, cosa vede il provider VPN e cosa può fare un hotspot-clone ben fatto.
Cosa fa davvero HTTPS
HTTPS è una delle migliori cose successe al web.
MDN descrive TLS come il protocollo che permette a client e server di comunicare in modo sicuro su una rete non fidata; sul web, la combinazione più visibile è HTTPS.
In pratica, quando visiti un sito HTTPS valido, chi controlla la rete non dovrebbe leggere il contenuto della pagina, la password inviata al sito, il testo della mail o i dati della sessione in chiaro.
Questa è una protezione enorme.
Ma non equivale a dire "questa rete è sicura".
La rete può ancora vedere che ti sei collegato a un certo dominio, può interferire con il DNS se il dispositivo non usa DNS cifrato, può spingerti verso captive portal strani, può bloccare traffico, può farti comparire avvisi, può provare a farti cliccare su pagine finte.
HTTPS protegge il tubo verso il sito.
Non certifica il pavimento su cui stai camminando.
Cosa fa davvero una VPN
Una VPN crea un tunnel cifrato tra il tuo dispositivo e un server VPN.
Dal punto di vista del Wi-Fi pubblico, molto traffico diventa un flusso verso il provider VPN. Questo riduce quello che la rete locale può osservare o manipolare.
È utile.
Ma sposta la fiducia.
Invece di fidarti del gestore del bar, dell'hotel o dell'aeroporto, ti fidi del provider VPN. Per questo una VPN gratuita, opaca, piena di pubblicità o senza reputazione può essere una pessima idea travestita da soluzione.
Una VPN inoltre non ti salva da tutto:
- non riconosce per te un sito di phishing;
- non corregge password deboli;
- non impedisce di approvare una richiesta MFA sbagliata;
- non cancella malware già presente sul dispositivo;
- non protegge account già compromessi;
- non trasforma un captive portal falso in un posto affidabile.
La VPN è una cintura.
Non è l'auto.
Il trucco moderno: hotspot-clone e captive portal
Il Wi-Fi pubblico oggi non è pericoloso solo perché qualcuno può sniffare pacchetti.
È pericoloso perché somiglia alla normalità.
Un aeroporto può avere decine di SSID. Un hotel può avere rete ospiti, rete conferenze, rete ristorante, rete lounge. Un bar può avere un nome scritto male su un cartello vicino alla cassa.
Un hotspot-clone sfrutta questo caos: crea una rete con un nome plausibile, magari più potente del segnale vero, e aspetta che qualcuno scelga in fretta.
Poi arriva il captive portal.
Ti chiede email, social login, numero di camera, accettazione di termini, magari persino un aggiornamento o un certificato. Tu vuoi solo connetterti. Il cervello abbassa la guardia perché "è normale che il Wi-Fi pubblico sia fastidioso".
Questa è la parte acida: spesso non serve rompere la crittografia.
Basta imitare il cartello giusto.
Auto-join: la comodità che tradisce
Molti dispositivi ricordano le reti e si riconnettono automaticamente.
È comodo a casa.
È più ambiguo fuori.
Apple, nelle impostazioni consigliate per router e access point, richiama anche il tema delle reti gestite dagli operatori e dell'auto-join: se una rete pubblica o gestita viene imitata, il dispositivo può esporsi a connessioni indesiderate. Android permette a sua volta di gestire reti salvate, connessione automatica e preferenze Wi-Fi.
La regola pratica è semplice: se una rete pubblica non ti serve più, dimenticala.
Non lasciare una collezione di hotel, aeroporti e bar dentro al telefono come fossero contatti fidati.
Sono souvenir peggiori delle calamite.
La checklist prima del login
Prima di fare login su un Wi-Fi pubblico, fai cinque controlli.
Primo: il nome della rete viene da una fonte fisica credibile? Non "sembra giusto", proprio verificato: cartello ufficiale, reception, personale, app del luogo.
Secondo: il sito dove stai entrando è HTTPS, con dominio corretto, senza errori di certificato e senza redirect strani?
Terzo: stai usando la rete per leggere news o per aprire email, banca, pannello admin, CRM, password manager e documenti lavoro?
Quarto: hai davvero bisogno del Wi-Fi o puoi usare rete mobile/hotspot personale per quella operazione?
Quinto: il dispositivo si collega automaticamente a reti che non ricordi più?
Se una di queste risposte ti dà fastidio, fermati.
Il Wi-Fi pubblico è utile. Non merita fiducia cieca.
Quando usare cosa
Per leggere siti pubblici, mappe, orari, documentazione tecnica o news, un Wi-Fi pubblico con HTTPS può essere accettabile se il dispositivo è aggiornato e non vedi segnali strani.
Per lavoro leggero, meglio aggiungere VPN aziendale o provider VPN serio, soprattutto se devi accedere a strumenti interni.
Per banca, email principale, gestione domini, cloud, pannelli amministrativi, account social importanti o password manager, meglio usare rete mobile.
Per scaricare software, aggiornamenti, estensioni browser o file eseguibili, evita reti pubbliche se puoi. Se devi farlo, controlla bene fonte, firma, checksum quando disponibili e dominio.
Per configurare router, NAS, server, pannelli cloud o account con permessi alti: rete mobile o rete fidata.
La sicurezza non è eroismo.
È scegliere il canale meno stupido per il lavoro che stai facendo.
DNS, metadati e cose che non vedi
Anche quando il contenuto è cifrato, restano metadati.
La rete può vedere che un dispositivo esiste, quando si collega, quanto traffico fa, verso quali indirizzi comunica, con quali pattern. Se il DNS non è cifrato, può vedere anche i nomi richiesti.
Alcuni sistemi moderni avvisano quando il DNS cifrato viene bloccato o quando una rete riduce la privacy della connessione. Quegli avvisi non vanno ignorati come se fossero pop-up decorativi.
Non sempre indicano un attacco.
Ma indicano che la rete ha caratteristiche da capire prima di fidarsi.
Errori comuni
Il primo errore è pensare che "HTTPS ovunque" abbia eliminato il problema.
Ha eliminato molti problemi vecchi. Non tutti.
Il secondo è pensare che "VPN attiva" significhi poter cliccare qualunque cosa.
La VPN protegge il percorso. Non corregge il giudizio.
Il terzo è collegarsi alla rete con il segnale più forte.
Il segnale più forte non è necessariamente quello vero.
Il quarto è fare login al captive portal con account importanti.
Se un Wi-Fi vuole farti accedere con social o email principale, chiediti se vale davvero il costo.
Il quinto è lasciare auto-join ovunque.
La memoria del telefono è utile. Anche troppo.
La regola semplice
Se devi solo leggere qualcosa: HTTPS, dispositivo aggiornato, attenzione ai domini.
Se devi lavorare: VPN seria, niente reti sospette, niente download impulsivi.
Se devi gestire soldi, identità, admin o segreti: rete mobile.
Se il captive portal ti chiede troppo: chiudi.
Il miglior trucco di sicurezza, spesso, è non discutere con una rete strana.
È alzarsi, fare tethering e continuare a bere il caffè.
FAQ
HTTPS basta sul Wi-Fi pubblico?
Per molti siti moderni HTTPS protegge il contenuto della connessione, ma non nasconde sempre metadati come il dominio visitato e non ti difende da captive portal falsi, phishing o reti clonate.
Una VPN rende sicuro qualsiasi Wi-Fi?
No. Una VPN cripta il traffico verso il provider VPN e riduce l'esposizione verso la rete locale, ma devi fidarti del provider e restano rischi come phishing, malware, account già compromessi e pagine false.
Quando è meglio usare la rete mobile?
Quando devi fare login sensibili, usare banca, gestire lavoro, password manager, email principale o pannelli amministrativi. Se il costo dati è accettabile, la rete mobile elimina molta ambiguità del Wi-Fi pubblico.
Cosa sono gli hotspot-clone?
Sono reti con nomi simili a quelli legittimi, per esempio un hotel, aeroporto o bar. Il rischio è collegarsi alla rete sbagliata e fidarsi di captive portal o avvisi costruiti per sembrare normali.
Devo disattivare l'auto-join?
Sì, almeno per reti pubbliche, hotel, aeroporti e reti gestite da operatori che non usi davvero. L'auto-join può far collegare il dispositivo a reti note o imitate senza che tu te ne accorga.