1,206 26/03/2026 07/04/2026 4 min

Diagnosi probabile

Quando un account mostra attività anomala, le cause più comuni sono tre: credenziali rubate, sessioni ancora valide su dispositivi non fidati oppure regole di inoltro o filtri creati dall’attaccante per nascondere l’accesso. In molti casi il problema non è solo la password: se l’account è già stato usato da terzi, anche un cambio password senza revoca sessioni può lasciare aperto il rischio.

Un’altra ipotesi frequente è l’abuso di token OAuth o accessi da app collegate, che continuano a funzionare anche dopo il reset della password. Per questo la verifica deve coprire login, sessioni, app autorizzate, regole di posta e metodi MFA.

Verifiche immediate

  1. Controlla gli accessi recenti nel pannello dell’account o nel sistema di identity utilizzato. Cerca IP, Paesi, orari e dispositivi che non riconosci. L’esito atteso è individuare almeno un accesso sospetto oppure confermare che non ci sono anomalie evidenti.
  2. Verifica sessioni attive e dispositivi collegati. Se il servizio lo consente, confronta browser, app e device presenti con quelli realmente usati. L’esito atteso è trovare sessioni non riconosciute o confermare che tutte appartengono a dispositivi noti.
  3. Controlla regole, inoltri e filtri della posta o dell’account applicativo. Un segnale tipico è la presenza di inoltri verso indirizzi esterni, filtri che spostano messaggi o cancellazioni automatiche. L’esito atteso è non trovare modifiche sospette oppure identificare regole create senza autorizzazione.
  4. Esamina app collegate e token autorizzati. Se trovi applicazioni sconosciute, accessi IMAP/SMTP insoliti o token attivi che non dovrebbero esserci, considera l’account compromesso. L’esito atteso è avere solo integrazioni note e necessarie.
  5. Verifica MFA e metodi di recupero. Controlla che numero di telefono, email di recupero e app di autenticazione siano tuoi. L’esito atteso è che i metodi di recupero non siano stati sostituiti.

Soluzione consigliata passo-passo

  1. Isola l’account se hai un sospetto concreto: disconnetti le sessioni attive, rimuovi gli accessi da dispositivi non fidati e blocca temporaneamente gli accessi da app terze. Se usi un pannello di amministrazione, fai prima un controllo dei ruoli per evitare di interrompere account critici senza necessità.
  2. Cambia la password con una nuova e unica, lunga almeno 16 caratteri, non riutilizzata altrove. Se possibile, falla generare da un password manager. Dopo il cambio, verifica che il vecchio accesso non funzioni più e che i nuovi login richiedano la password aggiornata.
  3. Revoca tutte le sessioni e i token. Questo passaggio è fondamentale perché molte compromissioni persistono grazie a cookie, token OAuth o app con accesso permanente. Dopo la revoca, controlla che il sistema richieda un nuovo login da ogni dispositivo.
  4. Rimuovi inoltri, filtri e regole sconosciute. Se l’account è email, controlla anche cartelle archiviate, regole lato server e eventuali deleghe. Dopo la pulizia, invia un messaggio di prova e verifica che arrivi solo alla casella prevista.
  5. Rivedi i metodi di recupero e la MFA. Imposta un secondo fattore affidabile, preferibilmente app o chiave hardware, e sostituisci eventuali numeri o email di recupero non più sicuri. Verifica il successo effettuando un nuovo accesso e confermando che la MFA sia richiesta correttamente.
  6. Controlla attività laterali. Se l’account è stato compromesso, verifica anche altri servizi collegati: CRM, cloud storage, pannelli hosting, social e repository. L’obiettivo è capire se la stessa password o gli stessi token sono stati riutilizzati altrove.

Controlli finali / rollback

  1. Controllo finale: dopo la bonifica, verifica che non ci siano nuovi accessi sospetti per almeno 24 ore, che le sessioni siano solo quelle autorizzate e che nessuna regola anomala sia stata ricreata. L’esito atteso è attività regolare da dispositivi noti.
  2. Rollback sicuro: se la rimozione di sessioni o app ha interrotto un’integrazione legittima, riabilitala solo dopo averne verificato origine, necessità e proprietario. Prima di ripristinare, documenta cosa stai riattivando e perché.
  3. Se il compromesso è confermato, avvisa gli utenti o i contatti coinvolti, cambia anche le credenziali di servizi correlati e conserva gli indizi utili: orari, IP, regole trovate, app collegate e log di accesso. Questo aiuta sia il ripristino sia eventuali verifiche di sicurezza successive.

Nota pratica: la sequenza più sicura è verifica accessi → revoca sessioni → cambio password → pulizia regole → controllo MFA. Saltare la revoca delle sessioni è uno degli errori più comuni.

Checklist rapida

  • Accessi recenti controllati e confrontati con i dispositivi noti.
  • Sessioni, token e app collegate revocati se sospetti.
  • Password cambiata con valore nuovo e unico.
  • Inoltri, filtri e regole verificate e ripulite.
  • MFA e metodi di recupero confermati come sicuri.

Se il tuo caso riguarda un servizio specifico, come Microsoft 365, Google Workspace, cPanel o un social network, conviene adattare i controlli al pannello usato, perché i menu cambiano ma la logica di bonifica resta la stessa.