Sicurezza Smart Home 2026: Guida Completa per Proteggere i Dispositivi IoT

Introduzione: la smart home è un colabrodo

Nel 2025, nelle case italiane erano attivi decine di milioni di dispositivi connessi: telecamere IP, prese smart, termostati, assistenti vocali, elettrodomestici intelligenti. Ognuno di questi oggetti è un piccolo computer collegato a Internet — e ognuno rappresenta un potenziale punto d'ingresso per un malintenzionato.

Il problema non è teorico. L'Agenzia per la Cybersicurezza Nazionale (ACN) registra costantemente un numero elevato di dispositivi IoT e servizi di accesso remoto esposti su Internet in maniera insicura: configurazioni errate, credenziali predefinite mai modificate, assenza di autenticazione a più fattori. La superficie d'attacco delle abitazioni italiane si espande ogni giorno, mentre la consapevolezza degli utenti resta drammaticamente bassa [acn.gov.it].

Anche il Centro nazionale per la cibersicurezza svizzero (NCSC) conferma il fenomeno: molti utenti sanno di dover proteggere computer e cellulari, ma sono assai meno consapevoli dei rischi associati ai dispositivi IoT. Eppure, un qualsiasi dispositivo connesso e non sufficientemente protetto è un bersaglio per i cibercriminali e una porta d'accesso all'intera rete domestica [ncsc.admin.ch].

Questa guida spiega quali rischi si corrono davvero, quali dispositivi sono più vulnerabili e — soprattutto — quali azioni concrete mettere in atto per proteggersi. Perché la sicurezza della smart home non è un optional: è il nuovo perimetro della sicurezza domestica.

I rischi reali: non è solo teoria

Botnet e DDoS: il caso Mirai

Il 21 ottobre 2016, la botnet Mirai — un esercito di circa 600.000 dispositivi IoT infetti, tra telecamere IP, DVR e router con credenziali di default mai modificate — lanciò un attacco DDoS massiccio contro Dyn, uno dei principali provider DNS mondiali. Il risultato? Per ore, Twitter, Netflix, Reddit, Spotify, PayPal e Amazon furono irraggiungibili in gran parte degli Stati Uniti e dell'Europa. I dispositivi infetti erano nelle case di persone comuni, ignare che la loro telecamera IP stesse partecipando a un attacco informatico globale.

Mirai non è un caso isolato. Il suo codice sorgente è pubblico dal 2016 e da allora sono nate decine di varianti (come Okiru, Satori e Masuta) che continuano a colpire dispositivi IoT non protetti. Secondo i report annuali sulle violazioni di dati, lo sfruttamento di vulnerabilità note resta il vettore d'attacco principale in ambito IoT, con botnet che arruolano regolarmente centinaia di migliaia di dispositivi domestici male configurati.

Violazione della privacy: telecamere e baby monitor

Le telecamere IP e i baby monitor sono i dispositivi più critici dal punto di vista della privacy. Casi documentati di violazione mostrano che malintenzionati sono riusciti ad accedere a feed video in diretta di migliaia di telecamere domestiche, semplicemente sfruttando credenziali predefinite o vulnerabilità nel firmware. In alcuni casi, gli aggressori hanno persino parlato ai bambini attraverso i baby monitor compromessi.

Un'indagine condotta da Bureau Veritas Cybersecurity su dispositivi smart home tra i più venduti in Europa ha rivelato vulnerabilità allarmanti: sistemi di allarme facilmente disattivabili con strumenti a basso costo, mancanza di crittografia nelle comunicazioni e assenza di meccanismi anti-manomissione. La maggior parte delle vulnerabilità scoperte poteva essere sfruttata da aggressori con competenze tecniche minime [cybersecurity.bureauveritas.com].

Il rischio non riguarda solo le telecamere. I dati raccolti da termostati, prese smart e sensori di movimento possono rivelare informazioni sensibili: le routine di accensione e spegnimento delle luci, per esempio, indicano chiaramente quando una casa è vuota — un'informazione preziosa per un potenziale ladro [geopop.it].

Ransomware e cryptojacking su dispositivi smart

Un frigorifero smart o una smart TV compromessi non servono solo a spiare. Possono essere usati per minare criptovalute (cryptojacking), rubare credenziali di rete o lanciare attacchi ransomware. Negli ultimi anni, varianti di ransomware hanno iniziato a colpire NAS domestici e dispositivi IoT con capacità di storage, cifrando i dati e chiedendo riscatti. La proliferazione di dispositivi con sistema operativo Android embedded (smart TV, display intelligenti) ha ulteriormente ampliato il parco bersagli. L'ACN segnala che i dispositivi compromessi fungono spesso da "ponte" per attacchi verso altri sistemi della rete, amplificando il danno ben oltre il singolo oggetto infetto.

I dispositivi più a rischio: la classifica

Dispositivo	Vulnerabilità tipica	Mitigazione principale
Telecamere IP	Credenziali di default, porte aperte, firmware obsoleto	Password unica, VLAN isolata, aggiornamenti automatici
Baby monitor	Protocolli non cifrati, accesso remoto non protetto	Solo modelli con crittografia end-to-end, senza cloud forzato
Prese e lampadine smart	Firmware mai aggiornato, chip economici senza sicurezza	Rete guest dedicata, verifica aggiornamenti prima dell'acquisto
Smart TV	Telemetria eccessiva, microfoni sempre attivi, app non verificate	Disabilitare microfoni e telecamere se non usati, rivedere permessi app
Assistenti vocali	Registrazioni cloud, comandi vocali non autenticati	2FA sull'account hub, cronologia automatica cancellata
Termostati e sensori	Dati comportamentali esposti, API cloud non protette	Scegliere modelli con standard Matter/Thread
Elettrodomestici smart	Supporto software a termine, nessuna patch dopo 2-3 anni	Verificare la policy di aggiornamento dichiarata dal produttore

Il denominatore comune è chiaro: la sicurezza dei dispositivi IoT dipende quasi interamente dalle scelte dell'utente in fase di configurazione e manutenzione. Ecco perché la checklist che segue è lo strumento più efficace per ridurre il rischio.

Checklist di sicurezza immediata: 10 azioni per blindare la smart home

1. Cambiare le credenziali predefinite su ogni dispositivo

   La prima regola, e la più violata. Router, telecamere, prese smart e NAS arrivano con username e password standard (admin/admin, admin/password). Queste combinazioni sono pubbliche e note a qualunque attaccante: esistono persino motori di ricerca come Shodan che scansionano Internet alla ricerca di dispositivi con credenziali di default esposti. Ogni dispositivo deve ricevere una password unica, di almeno 12 caratteri, con maiuscole, minuscole, numeri e caratteri speciali. Per gestirle, è indispensabile un password manager [acn.gov.it].

2. Aggiornare il firmware, sempre

   Ogni dispositivo IoT ha un firmware — il suo sistema operativo interno — che i produttori aggiornano per correggere vulnerabilità. Abilitare gli aggiornamenti automatici su ogni dispositivo che lo consente. Per i dispositivi che non prevedono l'auto-update, impostare un promemoria mensile per verificare manualmente. Un dispositivo non aggiornato è un bersaglio facile: gli exploit per le vulnerabilità note circolano in rete entro giorni dalla pubblicazione [kaspersky.it].

3. Disabilitare UPnP sul router

   L'Universal Plug and Play (UPnP) è un protocollo che permette ai dispositivi di aprire automaticamente porte sul router. Comodo, ma pericoloso: eventuali vulnerabilità nel protocollo possono esporre servizi interni alla rete pubblica senza che l'utente ne sia consapevole. L'ACN lo indica esplicitamente tra le funzionalità da disabilitare [acn.gov.it]. Se occorre aprire una porta manualmente, è preferibile usare il port forwarding consapevole.

4. Isolare i dispositivi IoT su una rete separata

   La segmentazione è la difesa più potente: collegare tutti i dispositivi smart a una rete guest o a una VLAN dedicata, separata da computer, smartphone e NAS. In questo modo, anche se una telecamera venisse compromessa, l'attaccante non potrebbe raggiungere i dispositivi critici della rete principale. Il principio è semplice: una porta blindata tra la zona smart e la zona dati. La sezione sugli strumenti spiega come farlo passo passo.

5. Attivare l'autenticazione a due fattori (2FA)

   Gli account collegati agli assistenti vocali (Alexa, Google Home) e agli hub per la domotica controllano l'intero ecosistema smart. Se un malintenzionato accede all'account, può sbloccare porte, disattivare allarmi e spiare le telecamere. La 2FA — possibilmente con app authenticator o chiave fisica, non via SMS — rende l'attacco all'account enormemente più difficile [acn.gov.it].

6. Disabilitare l'accesso remoto se non è indispensabile

   Molti dispositivi IoT offrono la possibilità di essere controllati da fuori casa via Internet. Se questa funzione non serve — e nella maggior parte dei casi non serve — va disattivata. L'accesso remoto espone interfacce di amministrazione alla rete pubblica: è esattamente ciò che ACN e NCSC segnalano come comportamento ad altissimo rischio. Quando l'accesso da remoto è realmente necessario, l'approccio corretto è usare una VPN (WireGuard o OpenVPN) per entrare nella rete domestica, anziché aprire porte sul router [ncsc.admin.ch].

7. Usare password Wi-Fi robuste e crittografia WPA3

   Il Wi-Fi è la porta d'accesso alla rete domestica. Una password debole sulla rete wireless vanifica qualunque altra misura. Sui router moderni, abilitare la crittografia WPA3 (o almeno WPA2-AES). Per la rete guest IoT, usare comunque una password robusta: la segmentazione funziona solo se ogni segmento è protetto singolarmente [kaspersky.it].

8. Monitorare il traffico di rete

   Controllare periodicamente il pannello di gestione del router per verificare i dispositivi connessi e il traffico anomalo. Un picco di dati in uscita da una lampadina smart, per esempio, è un chiaro segnale di compromissione. Molti router moderni offrono dashboard con grafici di traffico per dispositivo: dedicare cinque minuti al mese a questa verifica può intercettare un attacco prima che faccia danni. L'ACN raccomanda questa pratica esplicitamente tra le 12 buone abitudini per l'ambiente domestico.

9. Scegliere dispositivi con crittografia e standard aperti

   Al momento dell'acquisto, privilegiare dispositivi che supportano protocolli standard come Matter e Thread, che includono crittografia by design. Verificare che il produttore dichiari esplicitamente l'uso di TLS per le comunicazioni cloud e la crittografia locale per i dati sensibili. Diffidare dei prodotti no-name a bassissimo costo: il risparmio si paga quasi sempre in sicurezza. Meglio pochi dispositivi di qualità che molti dispositivi vulnerabili.

10. Spegnere ciò che non serve

    La regola più semplice: se un dispositivo smart non è in uso, va spento o scollegato dalla rete. Microfoni, telecamere e sensori che non servono sono solo superficie d'attacco aggiuntiva. Molti dispositivi permettono di disattivare singole funzionalità (es. il microfono su una smart TV) senza rinunciare alle altre. Un interruttore fisico per microfono e telecamera è sempre preferibile a una disattivazione software.

Strumenti e configurazioni per mettere in sicurezza la rete

Rete guest per IoT: la soluzione più semplice

Tutti i router moderni, compresi i modelli forniti dagli ISP, permettono di creare una rete Wi-Fi ospite (guest). La configurazione richiede pochi minuti:

1. Accedere al pannello di amministrazione del router (tipicamente all'indirizzo 192.168.1.1 o 192.168.0.1)
2. Abilitare la "Guest Network" o "Rete Ospiti"
3. Assegnare un nome riconoscibile (es. "Casa-IoT")
4. Impostare una password robusta, diversa da quella della rete principale
5. Attivare l'opzione "isolamento client" o "isolamento AP" se disponibile (impedisce ai dispositivi guest di comunicare tra loro)
6. Collegare esclusivamente i dispositivi IoT a questa rete

La rete guest, per impostazione predefinita, isola i dispositivi dalla LAN principale: un dispositivo compromesso sulla rete IoT non può raggiungere il computer di casa o il NAS con i dati personali. Questa semplice misura risolve la maggior parte dei rischi di sicurezza domestica.

VLAN per utenti avanzati: isolamento a livello 2

Per chi possiede un router professionale o un firewall domestico (es. pfSense, OPNsense, router con OpenWrt), le VLAN (Virtual LAN) offrono una segmentazione completa e granulare. Una struttura tipica:

• VLAN 10 — Rete principale (PC, smartphone, NAS)
• VLAN 20 — IoT (telecamere, prese, lampadine, assistenti vocali)
• VLAN 30 — Guest (ospiti occasionali)

Con le VLAN è possibile applicare regole di firewall dedicate: ad esempio, bloccare tutto il traffico dalla VLAN IoT verso la VLAN principale, consentendo solo l'accesso a Internet e, se necessario, la gestione da specifici indirizzi IP della LAN. Su router basati su OpenWrt o pfSense, questa configurazione richiede circa 30 minuti e competenze di rete intermedie, ma offre il massimo livello di isolamento ottenibile in ambito domestico.

DNS sicuro e filtraggio

Configurare DNS sicuri sul router aggiunge uno strato di protezione che agisce su tutti i dispositivi della rete contemporaneamente. Server DNS con funzionalità di filtraggio (come quelli che bloccano domini malevoli noti) impediscono ai dispositivi IoT compromessi di "chiamare casa" — cioè di comunicare con server di comando e controllo. La configurazione DNS a livello di router è una delle operazioni a più alto rapporto sforzo/beneficio in ambito sicurezza domestica. L'ACN la include tra le raccomandazioni ufficiali per gli ambienti domestici [acn.gov.it].

Firewall e QoS integrati nel router

La maggior parte dei router moderni include un firewall stateful con regole personalizzabili. Verificare che il firewall sia attivo e che blocchi le connessioni in ingresso non richieste. Le funzionalità di QoS (Quality of Service) possono inoltre limitare la banda disponibile per i dispositivi IoT, riducendo l'impatto di un eventuale attacco DDoS partito dalla propria rete. Alcuni router ISP includono già queste funzionalità e un WiFi Mesh integrato con segmentazione automatica.

Guida all'acquisto: come scegliere dispositivi IoT sicuri

La sicurezza di una smart home inizia al momento dell'acquisto. Un'indagine di Bureau Veritas Cybersecurity ha dimostrato che molti dispositivi tra i più venduti presentano vulnerabilità che possono essere sfruttate con strumenti a basso costo come Flipper Zero, senza richiedere competenze tecniche avanzate [cybersecurity.bureauveritas.com]. Ecco i criteri da valutare prima di portare un nuovo dispositivo nella propria rete.

Certificazioni e standard

I dispositivi che espongono il marchio CE sono conformi ai requisiti minimi di sicurezza europei. Tuttavia, la marcatura CE da sola non garantisce la cybersecurity. Cercare prodotti che dichiarino esplicitamente:

• Supporto Matter / Thread: lo standard Matter, promosso dalla Connectivity Standards Alliance (CSA), include crittografia obbligatoria e autenticazione dei dispositivi. Thread offre una rete mesh a basso consumo con sicurezza integrata.
• Certificazione ETSI EN 303 645: è lo standard europeo specifico per la cybersecurity dei dispositivi IoT consumer, con requisiti su password, aggiornamenti e gestione delle vulnerabilità. Pubblicato dall'ETSI (European Telecommunications Standards Institute), rappresenta il punto di riferimento normativo per i produttori che operano nel mercato UE.
• Certificazione ioXt Alliance: un programma di certificazione internazionale che verifica sicurezza, aggiornabilità e trasparenza, con il coinvolgimento di grandi player come Google, Amazon e Comcast.

Policy di aggiornamento del produttore

Prima dell'acquisto, verificare sul sito del produttore la durata dichiarata del supporto software. Un frigorifero smart dovrebbe durare 10-15 anni, ma se il produttore garantisce aggiornamenti di sicurezza solo per 2 anni, dopo quel periodo il dispositivo diventa un rischio. I brand affermati nel settore della domotica (come Aqara, Eve, Philips Hue, Bosch Smart Home) pubblicano politiche di aggiornamento trasparenti. I prodotti no-name venduti su marketplace generalisti quasi mai.

Un dato concreto: l'NCSC svizzero raccomanda di assicurarsi che i dispositivi IoT soddisfino gli standard attuali e di installare immediatamente gli aggiornamenti disponibili. Se un produttore non pubblica una politica di aggiornamento, è legittimo sospettare che non ne abbia una [ncsc.admin.ch].

Criteri decisionali: la checklist pre-acquisto

1. Il produttore pubblica una politica di aggiornamento con durata minima dichiarata? (Sì/No)
2. Il dispositivo supporta Matter o Thread? (Sì/No — preferire Sì)
3. Richiede un account cloud obbligatorio per funzionare? (Sì = più superficie d'attacco)
4. Ha microfoni o telecamere? Se sì, esiste un interruttore fisico per disattivarli? (preferire interruttore hardware)
5. Il produttore ha una pagina dedicata alle segnalazioni di vulnerabilità (bug bounty o security.txt)? (Segnale di maturità)

Confronto: sicurezza fai-da-te vs servizi integrati dell'ISP

Approccio	Vantaggi	Limiti	Ideale per
Fai-da-te con router standard	Costo zero, controllo totale, competenze acquisite	Richiede tempo e competenze tecniche; router economici hanno funzionalità limitate	Utenti tecnici con tempo da dedicare
Router professionale + VLAN	Massima granularità, firewall dedicato, IPS/IDS	Costo hardware (150-400€), curva di apprendimento ripida	Appassionati, case con molti dispositivi
Servizi integrati ISP con sicurezza attiva	Zero configurazione, aggiornamenti automatici, firewall gestito, supporto tecnico	Meno controllo granulare, dipendenza dal provider	Famiglie, utenti non tecnici, chi vuole tranquillità

La scelta dipende dal tempo, dalle competenze e dal livello di rischio che si è disposti ad accettare. Per la maggior parte delle famiglie italiane, un router di qualità fornito dall'ISP con rete guest abilitata, DNS sicuro e firewall attivo rappresenta una protezione più che adeguata — a patto che le prime 6 azioni della checklist vengano comunque applicate.

In pratica: il piano di azione immediato

Non serve fare tutto in una volta. Ecco un piano d'azione progressivo che chiunque può seguire:

1. Oggi (10 minuti): accedere al router e verificare che la password di amministrazione non sia quella predefinita. Controllare quali dispositivi sono connessi. Disabilitare UPnP.
2. Questa settimana (30 minuti): creare una rete guest dedicata. Spostare su di essa tutti i dispositivi IoT. Cambiare la password di ogni dispositivo smart.
3. Questo mese (1 ora): verificare la disponibilità di aggiornamenti firmware per ogni dispositivo. Abilitare la 2FA sugli account degli hub domotici. Configurare DNS sicuri sul router.
4. D'ora in poi (5 minuti al mese): controllare il pannello del router per traffico anomalo. Applicare gli aggiornamenti firmware non appena disponibili. Valutare ogni nuovo acquisto con la checklist pre-acquisto.

Conclusione: la sicurezza è un'abitudine, non un evento

Mettere in sicurezza una smart home non richiede budget elevati né competenze da sistemista. Richiede consapevolezza e costanza: cambiare le password predefinite, aggiornare i firmware, separare i dispositivi IoT su una rete dedicata, disabilitare ciò che non serve. Sono azioni che richiedono pochi minuti al mese e che fanno la differenza tra una casa smart protetta e una vulnerabile.

Il router è il guardiano della rete domestica. È il primo punto in cui un ISP può fare la differenza, offrendo dispositivi configurati con sicurezza by default, aggiornamenti automatici del firmware, segmentazione guidata e DNS protetti. Perché la sicurezza non dovrebbe essere un problema del cliente: dovrebbe essere parte del servizio.

Verificare oggi stesso la configurazione del proprio router, controllare quali dispositivi sono connessi e applicare almeno le prime tre azioni della checklist. Dieci minuti oggi possono evitare un problema domani.