Ogni giorno utilizziamo il nostro indirizzo email per registrarci su social network, negozi online, piattaforme di streaming, forum, applicazioni e servizi digitali.

Il problema è che anche un sito apparentemente affidabile può subire una violazione informatica. Quando questo accade, dati come indirizzi email, nomi, numeri di telefono, password, indirizzi IP e informazioni personali possono finire nelle mani di persone non autorizzate.

Per controllare se il proprio indirizzo è comparso in una violazione dei dati è possibile utilizzare Have I Been Pwned, uno dei servizi più conosciuti dedicati alla verifica dei data breach.

Il funzionamento è semplice: inserisci il tuo indirizzo email e il sito controlla se compare all’interno delle violazioni presenti nel suo database.

Un risultato positivo, però, non significa automaticamente che qualcuno abbia accesso in questo momento alla tua casella di posta. Allo stesso modo, un risultato negativo non garantisce che l’indirizzo non sia mai stato coinvolto in una violazione.

Vediamo quindi come funziona Have I Been Pwned, come interpretare correttamente i risultati e soprattutto cosa fare se la propria email o una password risultano compromesse.

Cos’è Have I Been Pwned

Have I Been Pwned, spesso abbreviato in HIBP, è un servizio che permette di verificare se un indirizzo email è comparso all’interno di un data breach conosciuto.

Il progetto è stato creato nel 2013 dall’esperto di sicurezza informatica Troy Hunt, inizialmente con l’obiettivo di aiutare gli utenti a comprendere quanto frequentemente gli stessi account e le stesse password comparissero in violazioni differenti.

Il sito raccoglie e organizza informazioni provenienti da violazioni nelle quali dati personali sono stati esposti a persone che non avrebbero dovuto poterli visualizzare.

Al 14 luglio 2026, la homepage del servizio indicava più di 1.000 siti coinvolti e oltre 17,6 miliardi di account presenti nel database. Questi numeri cambiano continuamente, perché nuove violazioni vengono analizzate e aggiunte nel tempo.

Have I Been Pwned non serve a recuperare password rubate e non mostra pubblicamente il contenuto completo dei dati compromessi. Permette invece di capire:

  • in quale violazione è comparso un indirizzo;
  • quando si è verificato l’incidente;
  • quando è stato aggiunto al database;
  • quali categorie di informazioni sono state esposte;
  • quali azioni di sicurezza sarebbe opportuno intraprendere.

Cosa significa “pwned”

Il termine inglese pwned deriva dal linguaggio utilizzato nel mondo dei videogiochi e della cultura informatica. Nasce come variazione di “owned” ed è generalmente utilizzato per indicare che qualcuno o qualcosa è stato compromesso o preso sotto controllo.

Nel contesto di Have I Been Pwned, essere “pwned” significa che un indirizzo email, una password o un’altra informazione collegata all’utente è comparsa in almeno uno dei data breach caricati nel servizio.

Questo non significa necessariamente che:

  • la casella email sia stata violata direttamente;
  • qualcuno conosca ancora la password attuale;
  • l’account sia sotto il controllo di un criminale informatico;
  • tutti i dati associati all’indirizzo siano stati pubblicati.

Potrebbe essere stato compromesso, per esempio, un vecchio account creato anni prima su un forum, un e-commerce o un’applicazione che utilizzava quell’indirizzo email.

Che cos’è un data breach

Un data breach è un incidente nel quale informazioni riservate vengono visualizzate, copiate, sottratte o pubblicate da persone che non dovrebbero avere accesso a quei dati.

Secondo la definizione utilizzata da Have I Been Pwned, una violazione può verificarsi a causa di sistemi vulnerabili, controlli di accesso insufficienti o problemi di sicurezza nel software.

I dati esposti possono comprendere:

  • indirizzi email;
  • password o hash delle password;
  • nomi e cognomi;
  • username;
  • numeri di telefono;
  • indirizzi di residenza;
  • date di nascita;
  • indirizzi IP;
  • dati professionali;
  • domande e risposte di sicurezza;
  • informazioni sugli acquisti;
  • dati relativi ai dispositivi utilizzati.

Non tutte le violazioni contengono password. In alcuni casi vengono esposte soltanto informazioni personali, ma il rischio per la privacy può comunque essere significativo.

Come controllare un indirizzo email con Have I Been Pwned

Controllare se un indirizzo email è stato coinvolto in una violazione richiede pochi passaggi.

1. Accedi al sito ufficiale

Apri la pagina principale di Have I Been Pwned e individua il campo destinato alla ricerca dell’indirizzo email.

Prima di inserire qualsiasi informazione, controlla sempre di essere sul dominio ufficiale. Questo accorgimento è importante perché siti graficamente simili potrebbero essere creati per raccogliere indirizzi, password o altri dati personali.

2. Inserisci soltanto l’indirizzo email

Nel campo di ricerca devi digitare l’indirizzo che vuoi controllare.

Non devi inserire la password della casella email e non devi fornire contemporaneamente indirizzo e password.

La ricerca dell’email e il controllo delle password sono due funzioni separate del servizio.

3. Avvia la verifica

Dopo aver inserito l’indirizzo, avvia il controllo.

Il sistema confronterà l’email con gli indirizzi presenti nelle violazioni archiviate e mostrerà uno dei due risultati principali:

  • nessuna corrispondenza trovata;
  • una o più violazioni individuate.

Cosa significa “Good news — no pwnage found”

Quando appare il messaggio “Good news — no pwnage found”, l’indirizzo non è stato trovato nelle violazioni attualmente caricate su Have I Been Pwned.

È sicuramente un risultato positivo, ma non deve essere interpretato come una garanzia assoluta.

L’indirizzo potrebbe infatti essere presente:

  • in una violazione non ancora scoperta;
  • in un database non acquisito da HIBP;
  • in una fuga di dati non resa pubblica;
  • in una violazione che non è stato possibile verificare;
  • in una categoria di dati non consultabile pubblicamente.

Lo stesso sito specifica che l’assenza di un risultato non dimostra che l’indirizzo non sia mai stato compromesso: significa soltanto che non compare nei dati disponibili nel sistema.

Anche in presenza di un risultato negativo è quindi consigliabile continuare a utilizzare password differenti e attivare l’autenticazione a più fattori.

Cosa significa “Oh no — pwned”

Il messaggio “Oh no — pwned” indica che l’indirizzo email è comparso in una o più violazioni presenti nel database.

Scorrendo la pagina puoi consultare le schede relative agli incidenti individuati.

Per ogni violazione vengono generalmente riportati:

  • il nome del sito o del servizio coinvolto;
  • la data dell’incidente;
  • il numero indicativo di account interessati;
  • una descrizione dell’accaduto;
  • le categorie di dati compromessi.

La presenza dell’indirizzo non significa automaticamente che la password attualmente utilizzata sia stata sottratta.

È quindi importante osservare la sezione dedicata ai dati compromessi. Se tra le informazioni esposte compare la voce “Passwords”, sarà necessario intervenire con particolare urgenza.

Come interpretare correttamente il risultato

Quando trovi il tuo indirizzo in un data breach, verifica innanzitutto quale servizio è stato coinvolto e quali informazioni sono state esposte.

Puoi incontrare situazioni molto differenti.

È stata esposta soltanto l’email

La pubblicazione del solo indirizzo può aumentare il rischio di spam, phishing e messaggi fraudolenti personalizzati.

Gli aggressori potrebbero utilizzare il nome del servizio coinvolto per inviare comunicazioni credibili e convincerti a visitare una pagina falsa.

Sono stati esposti email e password

Questa è una delle situazioni più importanti da gestire.

Se utilizzi ancora quella password sul servizio coinvolto, devi sostituirla immediatamente. Devi inoltre cambiarla su tutti gli altri account nei quali è stata riutilizzata.

Il riutilizzo delle credenziali permette infatti di realizzare attacchi di credential stuffing, nei quali combinazioni di email e password provenienti da una violazione vengono provate automaticamente su numerosi altri siti.

Sono stati pubblicati nome, telefono o indirizzo

Queste informazioni possono essere utilizzate per rendere più credibili truffe, chiamate fraudolente, email di phishing e tentativi di sostituzione dell’identità.

Presta quindi maggiore attenzione alle comunicazioni che contengono dati personali corretti, perché conoscere il tuo nome o il tuo indirizzo non dimostra che il mittente sia realmente una banca, un corriere o un’azienda.

Sono comparsi dati finanziari o documenti

Quando la violazione riguarda coordinate bancarie, documenti di identità o informazioni finanziarie, potrebbe essere opportuno contattare l’ente coinvolto, controllare i movimenti e seguire le istruzioni comunicate dall’azienda o dalle autorità competenti.

Have I Been Pwned aiuta a identificare l’esposizione, ma non sostituisce le procedure di sicurezza previste dalla banca, dal gestore del servizio o dagli organismi preposti.

Cosa fare se l’email risulta compromessa

Trovare la propria email nel database non deve generare panico. È invece necessario procedere con ordine.

Cambia la password del servizio coinvolto

Accedi al sito ufficiale indicato nella violazione e modifica la password.

Non utilizzare i link ricevuti via email dopo aver scoperto la violazione. Digita direttamente l’indirizzo del servizio oppure utilizza l’applicazione ufficiale.

Modifica tutte le password riutilizzate

Se la stessa password è stata utilizzata su altri siti, cambiala ovunque.

Anche se la violazione riguarda un vecchio servizio che non utilizzi più, quella combinazione potrebbe essere ancora provata su social network, caselle email, negozi online e account finanziari.

Crea password lunghe e uniche

Ogni servizio dovrebbe avere una password diversa.

La CISA consiglia di creare password lunghe, casuali e uniche, preferibilmente attraverso un password manager.

Un gestore di password permette di generare e conservare credenziali differenti senza doverle ricordare tutte.

Attiva l’autenticazione a più fattori

L’autenticazione a più fattori, indicata anche come MFA o 2FA, richiede una seconda verifica oltre alla password.

Quando possibile, preferisci:

  • passkey;
  • chiavi di sicurezza;
  • applicazioni di autenticazione;
  • codici generati sul dispositivo.

La MFA aggiunge un ulteriore livello di protezione e rende più difficile l’accesso non autorizzato anche quando una password viene scoperta.

Controlla le sessioni aperte

Visita le impostazioni di sicurezza dell’account e verifica:

  • dispositivi collegati;
  • accessi recenti;
  • località insolite;
  • applicazioni autorizzate;
  • indirizzi di recupero;
  • numeri di telefono associati.

Quando disponibile, utilizza la funzione per disconnettere tutte le sessioni e accedi nuovamente con le nuove credenziali.

Controlla i metodi di recupero

Assicurati che l’email secondaria e il numero di telefono associati all’account siano ancora sotto il tuo controllo.

Un aggressore che riesce a modificare questi dati potrebbe recuperare nuovamente l’accesso anche dopo il cambio della password.

Presta attenzione al phishing

Dopo una violazione possono aumentare le email fraudolente che imitano il sito coinvolto.

Non comunicare password, codici temporanei o dati bancari attraverso link ricevuti per posta elettronica, SMS o applicazioni di messaggistica.

Come verificare se una password è stata violata

Have I Been Pwned dispone di una sezione separata chiamata Pwned Passwords.

Questo strumento permette di controllare se una determinata password è già comparsa in violazioni conosciute.

Se il risultato indica che la password è stata trovata, non dovrebbe più essere utilizzata. Il sito raccomanda di cambiarla immediatamente in ogni account nel quale è ancora presente.

Un risultato negativo non dimostra però che la password sia sicura. Significa soltanto che non è stata trovata nel corpus consultato.

Una password come Margherita2026, per esempio, potrebbe non comparire nel database ma rimanere comunque prevedibile e vulnerabile.

È sicuro inserire una password su Have I Been Pwned?

La ricerca delle password utilizza un sistema chiamato k-anonymity.

La password viene trasformata localmente in un hash e il servizio riceve soltanto i primi cinque caratteri dell’hash SHA-1. Il server restituisce quindi un insieme di possibili corrispondenze e il confronto completo viene effettuato sul dispositivo dell’utente.

In questo modo la password completa e il suo hash completo non vengono inviati al servizio.

È comunque fondamentale controllare di essere sul sito ufficiale prima di effettuare la verifica.

Inoltre, non bisogna mai inserire nello stesso modulo indirizzo email e password. La ricerca dell’indirizzo e quella delle password devono rimanere operazioni separate.

Have I Been Pwned è un sito affidabile?

Have I Been Pwned è stato creato e viene gestito come servizio dedicato all’identificazione delle esposizioni di dati personali. Il progetto è operato dalla società australiana Superlative Enterprises Pty Ltd.

Secondo la privacy policy, quando viene eseguita una normale ricerca, l’indirizzo inserito viene utilizzato per recuperare il risultato ma non viene esplicitamente memorizzato come nuova ricerca nel database.

Il sito può comunque utilizzare strumenti tecnici, diagnostici e di analisi necessari al funzionamento e al monitoraggio del servizio. Non sarebbe quindi corretto affermare che durante la visita non venga raccolto alcun dato tecnico.

Come per qualsiasi servizio di sicurezza, è importante:

  • verificare il dominio;
  • non comunicare credenziali complete;
  • non utilizzare copie non ufficiali;
  • non affidarsi esclusivamente al risultato;
  • applicare comunque le normali misure di protezione.

Have I Been Pwned invia notifiche?

Il servizio permette di registrare un indirizzo per ricevere una notifica quando viene individuato in una nuova violazione.

Per attivare il monitoraggio è necessario:

  1. inserire l’indirizzo email;
  2. aprire il messaggio di verifica;
  3. confermare di avere il controllo della casella;
  4. completare l’attivazione delle notifiche.

Da quel momento, Have I Been Pwned può inviare un avviso quando l’indirizzo compare in nuovi dati caricati nel sistema.

Questa funzione evita di dover effettuare manualmente la ricerca ogni settimana, ma non sostituisce il controllo degli accessi e delle impostazioni di sicurezza degli account.

Cosa sono le violazioni sensibili

Alcuni data breach vengono classificati come sensibili perché la semplice presenza di un indirizzo potrebbe rivelare informazioni particolarmente delicate sulla persona.

Queste violazioni non vengono mostrate liberamente a chiunque effettui una ricerca.

Per visualizzarle è necessario dimostrare di controllare l’indirizzo email, generalmente attraverso una verifica inviata alla casella interessata.

Questa distinzione serve a evitare che una persona possa inserire l’indirizzo di qualcun altro per scoprire l’eventuale iscrizione a servizi riservati o potenzialmente imbarazzanti.

È possibile eliminare la propria email da Have I Been Pwned?

Have I Been Pwned mette a disposizione una procedura di opt-out attraverso la quale il titolare dell’indirizzo può limitarne o rimuoverne la visibilità nelle ricerche pubbliche.

Per procedere è necessario verificare il controllo della casella email.

La rimozione dalla ricerca non cancella però i dati dal database originario sottratto durante la violazione.

Inoltre, cambiare la password non elimina automaticamente la segnalazione. L’apparizione dell’indirizzo in un data breach rimane un evento storico, anche se nel frattempo l’account è stato protetto.

Have I Been Pwned per aziende e proprietari di domini

HIBP non è utile soltanto ai singoli utenti.

Le aziende possono verificare e monitorare gli indirizzi collegati a un dominio di cui riescono a dimostrare il controllo.

La funzione Domain Search consente, per esempio, di individuare gli account aziendali comparsi in violazioni conosciute e di ricevere avvisi quando vengono aggiunti nuovi incidenti.

Il servizio propone strumenti gratuiti e piani a pagamento, a seconda del numero di indirizzi, dei domini monitorati, dell’accesso alle API e delle funzionalità richieste.

Prima di effettuare una ricerca su un dominio aziendale è necessario completare una procedura di verifica. Non è quindi possibile ottenere liberamente l’elenco completo degli indirizzi compromessi appartenenti a un’organizzazione che non si controlla.

I limiti di Have I Been Pwned

Have I Been Pwned è uno strumento molto utile, ma non è un antivirus e non può analizzare direttamente il computer o lo smartphone.

Il servizio non può stabilire con certezza:

  • se un dispositivo contiene malware;
  • se qualcuno sta leggendo attualmente la posta;
  • se un account è ancora sotto il controllo di un aggressore;
  • se una password attuale è conosciuta da terzi;
  • se un indirizzo compare in database non ancora individuati;
  • se una comunicazione ricevuta è autentica o fraudolenta.

Il sito deve essere utilizzato come un sistema di allerta e di verifica, non come una certificazione completa della sicurezza digitale.

Se sospetti che un dispositivo sia stato compromesso, potrebbe essere necessario aggiornarlo, eseguire una scansione di sicurezza, controllare le estensioni installate e rivolgersi a un tecnico qualificato.

Vale la pena utilizzare Have I Been Pwned?

Have I Been Pwned è uno strumento semplice e utile per comprendere se un indirizzo email o una password sono già comparsi in violazioni conosciute.

La sua utilità maggiore non consiste soltanto nel mostrare un risultato positivo o negativo, ma nel fornire un punto di partenza per migliorare la sicurezza dei propri account.

Il controllo richiede pochi secondi e può aiutarti a scoprire vecchie registrazioni dimenticate, password riutilizzate o informazioni personali esposte.

Il risultato deve però essere interpretato correttamente: comparire nel database non significa necessariamente che la casella email sia attualmente violata, mentre non comparire non significa essere completamente al sicuro.

La protezione dipende soprattutto dall’utilizzo di password uniche, dall’attivazione della MFA, dal controllo degli accessi e dalla capacità di riconoscere i tentativi di phishing.

Domande frequenti su Have I Been Pwned

Have I Been Pwned è gratuito?

La ricerca manuale di un indirizzo email, le notifiche personali e il controllo attraverso Pwned Passwords sono disponibili gratuitamente. Alcuni servizi professionali, le API e il monitoraggio avanzato dei domini possono richiedere un piano a pagamento.

Posso controllare l’email di un’altra persona?

Tecnicamente, la ricerca pubblica permette di inserire un indirizzo, ma le violazioni classificate come sensibili sono visibili soltanto dopo aver verificato il controllo della casella. Non è opportuno utilizzare il servizio per sorvegliare o raccogliere informazioni su altre persone.

Se la mia email compare nel sito, è stata hackerata?

Non necessariamente. Il risultato indica che l’indirizzo è comparso in una violazione, ma potrebbe essere stato compromesso un vecchio account registrato con quella email. Devi controllare il nome del servizio e le categorie di dati esposti.

Devo cambiare la password dell’email?

Se nella violazione è stata esposta una password che utilizzi ancora per la casella email, devi cambiarla immediatamente. Se la password della posta è diversa e unica, controlla comunque gli accessi recenti e attiva l’autenticazione a più fattori.

Perché continuo a comparire dopo aver cambiato password?

Have I Been Pwned conserva l’informazione storica relativa alla violazione. Cambiare la password protegge l’account, ma non modifica il fatto che l’indirizzo fosse presente nei dati sottratti.

Il sito mostra la mia password?

No. Have I Been Pwned non associa pubblicamente una password a uno specifico indirizzo email. La sezione Pwned Passwords permette soltanto di controllare se una password è apparsa in precedenti violazioni.

Cosa significa se una password è stata trovata molte volte?

Significa che quella password è comparsa ripetutamente nei dati analizzati. Deve essere considerata compromessa e non dovrebbe più essere utilizzata su alcun account.

Un risultato negativo significa che la password è sicura?

No. Significa soltanto che la password non è presente nei dati indicizzati dal servizio. Potrebbe comunque essere corta, prevedibile, già utilizzata altrove o facilmente indovinabile.

Have I Been Pwned funziona in italiano?

Il sito è principalmente in inglese, ma il funzionamento è semplice. È sufficiente inserire l’indirizzo, avviare la ricerca e consultare le schede delle violazioni. Le funzioni principali possono quindi essere utilizzate anche senza una conoscenza avanzata dell’inglese.

Di admin

Lascia un commento