Quando nacque il web commerciale, sicurezza significava poco più di password e buone maniere di rete. I protocolli erano pensati per connettere, non per difendere. In trent’anni, però, la superficie d’attacco è esplosa (piattaforme, cloud, smartphone, API, IoT) e con essa è maturata un’intera “filiera” della sicurezza: standard crittografici moderni, regole più severe, controlli nel browser, modelli architetturali “zero trust”, mitigazioni automatiche a scala Internet. Ecco come siamo passati dall’ingenuità iniziale a un ecosistema molto più robusto.
HTTPS dappertutto, e più veloce grazie a TLS 1.3
La prima grande svolta è stata l’adozione massiva della cifratura del traffico. Dal 2018 Chrome ha iniziato a segnalare come “Non sicuri” tutti i siti HTTP, rendendo di fatto l’HTTPS la norma de facto sul web. Questa scelta di “nudging” ha costretto editori e aziende a migrare, con benefici immediati su privacy e integrità dei dati in transito.
In parallelo è arrivato TLS 1.3, un aggiornamento sostanziale del protocollo di trasporto sicuro: handshake più rapido (meno round trip), cifre moderne e forward secrecy obbligatoria. Oggi TLS 1.3 protegge la stragrande maggioranza delle connessioni e, di fatto, è lo standard anche per HTTP/3/QUIC.
Il passaggio all’HTTPS su larga scala è stato accelerato anche dall’automazione dei certificati, ad esempio con Let’s Encrypt, che ha abbattuto barriere di costo e complessità ed è arrivata a centinaia di milioni di domini attivi.
Dalle password ai fattori “a prova di phishing”: MFA, passkey e pagamenti SCA
Il secondo capitolo riguarda l’identità digitale. Le password riutilizzate e rubate hanno imposto l’uso sistematico di MFA. L’evoluzione più solida è la famiglia FIDO2/WebAuthn: le passkey usano coppie di chiavi pubblica/privata custodite sul dispositivo (o in cloud cifrato) e sono intrinsecamente resistenti al phishing. I numeri confermano la svolta: oltre 400 milioni di account Google utilizzano passkey, con più di un miliardo di autenticazioni nel primo anno, e con tassi di successo e velocità superiori agli OTP.
Sui pagamenti online, in Europa la PSD2 ha reso obbligatoria la Strong Customer Authentication (due o più fattori tra conoscenza, possesso e inerenza), applicata nei flussi e-commerce tramite EMV 3-D Secure 2.x per ridurre frodi senza appesantire l’esperienza.
Il browser è diventato una “prima linea” di difesa
Altre due pietre miliari sono state HSTS e Content Security Policy (CSP). Con HSTS i siti dichiarano ai browser di usare solo HTTPS, prevenendo downgrade e furti di cookie. CSP, invece, limita in modo dichiarativo quali risorse script, font e connessioni una pagina può caricare, mitigando in profondità attacchi XSS e injection. Questi header, insieme a miglioramenti come l’isolamento dei siti e regole più severe sui cookie, hanno spostato una quota importante della sicurezza “al perimetro del client”.
Dallo “zero trust” alla microsegmentazione
Nelle architetture moderne non si assume più che la rete interna sia “fidata”. Si verifica continuamente identità, contesto e stato del device, si applicano policy granulari e si limitano gli spostamenti laterali con la microsegmentazione. Anche le agenzie governative, come la CISA negli Stati Uniti, pubblicano linee guida operative su come segmentare e applicare controlli coerenti con lo zero trust.
Standard “post-quantum”: si prepara la prossima era della crittografia
La standardizzazione NIST dei primi algoritmi post-quantum è un altro passaggio storico: ML-KEM (ex Kyber) per lo scambio chiavi, ML-DSA (ex Dilithium) e SLH-DSA (ex SPHINCS+) per firme digitali. Parallelamente, grandi fornitori hanno iniziato a offrire handshake ibridi (classico + PQC) in TLS, con percentuali di traffico PQ in rapida crescita nel 2025. Non è ancora una migrazione completa, ma la rotta è tracciata.
DDoS e automazione della difesa a scala Internet
Se la crittografia protegge i dati, la disponibilità richiede reti in grado di assorbire tempeste di traffico. I report più recenti descrivono campagne hyper-volumetriche con picchi record (terabit al secondo e miliardi di pacchetti al secondo) e una crescita marcata nel 2025: segno che l’ecosistema criminale sfrutta botnet IoT e servizi “DDoS-as-a-service”. La buona notizia è che le grandi reti di mitigazione hanno automatizzato la risposta, riducendo l’impatto su servizi critici e settori ad alto profilo.
Regole più severe: dal GDPR alla responsabilità operativa
Anche il quadro normativo ha alzato l’asticella. Il regolamento GDPR richiede misure tecniche e organizzative “adeguate al rischio” — cifratura, resilienza, test periodici — e impone processi strutturati di gestione delle violazioni. Queste prescrizioni hanno spinto molte organizzazioni a investire stabilmente in sicurezza, con effetti positivi sulla maturità dei processi.
Cooperazione strutturata con la comunità di ricerca
Oltre ai bug bounty, si è diffuso security.txt, un semplice file standard che espone canali e policy di vulnerability disclosure. Sembra un dettaglio, ma facilita e accelera la segnalazione responsabile di falle, riducendo il tempo di esposizione.
E le piattaforme di gioco online?
Gli stessi progressi si vedono anche nelle piattaforme legate all’intrattenimento digitale: cifratura end-to-end delle sessioni, MFA e passkey per l’accesso agli account, controlli anti-bot e mitigazione DDoS per proteggere uptime e transazioni, oltre agli obblighi regolatori sui pagamenti che richiedono autenticazioni forti. Queste misure sono ormai prerequisiti per garantire integrità, privacy e continuità del servizio.
Il risultato è un Internet che non è “sicuro per natura”, ma che ha reso la sicurezza una proprietà di sistema: dal protocollo al browser, dal pagamento all’identità, fino all’architettura di rete. La trasformazione non è finita — il quantum, l’intelligenza artificiale e l’IoT continueranno a porre nuove sfide — ma la traiettoria è chiara: con standard moderni, automazione e responsabilità diffusa, il web di oggi è immensamente più difficile da attaccare rispetto alle sue origini.