I tuoi dati sono sul Dark Web? Come scoprirlo gratis in 2 minuti
PRIVACY — 27 Maggio 2026
👉 Have I Been Pwned raccoglie miliardi di account violati da centinaia di siti. Ci vogliono 30 secondi per sapere se la tua email è tra questi. Questa guida spiega come farlo, cosa significa trovare i tuoi dati e cosa fare subito dopo.
Ho cercato la mia email principale su Have I Been Pwned il 26 maggio 2026. Risultato: trovata in 7 violazioni diverse. LinkedIn 2016, Adobe 2013, una piattaforma di e-commerce italiana nel 2022, altri quattro servizi che ricordavo a malapena di aver usato. Nessuna password attuale esposta — le avevo cambiate. Ma i miei dati — nome, email, numero di telefono in alcuni casi — erano lì, in database scaricabili da chiunque sapesse dove cercare.
Non è un caso isolato. Il database di Have I Been Pwned raccoglie centinaia di violazioni note e miliardi di account — un database che cresce continuamente man mano che nuove violazioni vengono scoperte. I dati personali completi — nome, email, telefono, indirizzo e documenti — sono particolarmente delicati perché possono essere usati per truffe, phishing mirato e tentativi di furto d'identità. Questa guida spiega come fare il controllo, cosa significano i risultati e — soprattutto — cosa ha senso fare dopo.
🔍 Come scoprire se i tuoi dati sono sul Dark Web — in 30 secondi:
1. Vai su haveibeenpwned.com
2. Inserisci il tuo indirizzo email nella barra di ricerca
3. Clicca "pwned?"
4. Se appare in rosso — la tua email è in almeno una violazione nota
5. Scorri la pagina per vedere quali siti, quando e quali dati sono stati esposti
Il sito è gratuito, non richiede registrazione, non memorizza l'email che inserisci — confermato da Troy Hunt, fondatore del servizio.
- ✔️ Come usare Have I Been Pwned — passo per passo
- ✔️ Cosa significa trovare la tua email in una violazione
- ✔️ Differenza tra dati "esposti" e dati "attivamente usati"
- ✔️ Altri strumenti gratuiti oltre a HIBP
- ✔️ Cosa fare subito dopo il controllo
- ✔️ Come ridurre il rischio per il futuro
La cosa che mi ha sorpreso di più non era trovare la mia email in 7 violazioni. Era la data più vecchia: 2013. Per anni ho usato servizi online senza sapere che quei dati erano stati rubati. Molte persone sono nella stessa situazione — e non lo sanno perché nessuno ha mai inviato una notifica.
✍️ Rocco Caiazza — Fondatore di ScelgoIo | 27 maggio 2026
Fonti: Have I Been Pwned, Mozilla Monitor, Google Password Manager, Garante Privacy — verificato 26 maggio 2026
→ Email cercata su Have I Been Pwned: trovata in 7 violazioni
→ Violazione più vecchia: Adobe, 2013
→ Violazione più recente: piattaforma e-commerce italiana, 2022
→ Dati esposti nelle violazioni: email, password hash, nome, in alcuni casi numero di telefono
→ Password attuali a rischio: nessuna — cambiate nel tempo
→ Tempo necessario per il controllo: circa 2 minuti
→ Database HIBP al 26 maggio 2026: miliardi di account da centinaia di siti violati — il dato è dinamico e cresce nel tempo
All'inizio trovare 7 violazioni mi ha preoccupato. Poi ho guardato i dettagli: la più grave era del 2013, le password erano hash e le avevo cambiate da anni. La cosa importante non era il numero — era capire cosa era stato esposto e se quelle credenziali erano ancora in uso.
Ho cercato la mia email principale su Have I Been Pwned il 26 maggio 2026. Ho letto i dettagli di ogni violazione trovata. Ho verificato i percorsi su HIBP, CyberNews e Google Password Manager. Ho incrociato i dati con le informazioni ufficiali di Federprivacy sui data breach italiani più recenti.
Cos'è Have I Been Pwned e perché funziona
Have I Been Pwned — abbreviato HIBP — è un servizio gratuito creato nel 2013 da Troy Hunt, esperto di sicurezza informatica australiano. Hunt lo ha lanciato il 4 dicembre 2013, motivato dalla violazione di Adobe che aveva colpito 153 milioni di account. L'idea era semplice: raccogliere tutti i database di account rubati che circolano nel dark web e permettere a chiunque di cercare la propria email per sapere se è stata coinvolta.
Il database cresce nel tempo. Al 26 maggio 2026 conteneva centinaia di siti violati e miliardi di account compromessi — nuove violazioni vengono aggiunte anche mesi o anni dopo l'attacco originale. Include le grandi violazioni storiche — LinkedIn 2016, Adobe 2013, Yahoo, MySpace — e migliaia di siti più piccoli che non hanno mai fatto notizia.
È sicuro inserire la mia email?
Have I Been Pwned è uno dei servizi più conosciuti al mondo per controllare se un indirizzo email compare in violazioni di dati pubblicamente note. È gestito da Troy Hunt, ricercatore di sicurezza riconosciuto a livello internazionale, ed è usato da aziende, governi e professionisti della sicurezza. Per la sezione Pwned Passwords, il servizio utilizza un sistema basato su hash e k-anonymity per evitare l'invio della password completa.
Come regola pratica: usa solo il dominio ufficiale haveibeenpwned.com, non inserire password nella barra di ricerca principale e non affidarti a siti simili trovati tramite annunci.
Vale la pena capire anche cosa HIBP non fa: non monitora il dark web in tempo reale, non scansiona i tuoi account, non accede ai tuoi dati. Confronta solo quello che scrivi con violazioni già note e documentate.
Puoi attivare le notifiche gratuite — se la tua email comparirà in future violazioni, ricevi un avviso via email. Non serve registrazione completa. Basta inserire l'email e confermare il click nel messaggio di verifica che arriva. Ho attivato questa notifica su tutte le mie email principali dopo il controllo del 26 maggio.
Come fare il controllo — passo per passo
Il processo è più veloce di quanto sembri. Descrivo esattamente quello che ho fatto il 26 maggio 2026.
Passo 1 — Apri Have I Been Pwned
Vai su haveibeenpwned.com. Il sito è disponibile in inglese ma è intuitivo. Nella pagina principale trovi subito la barra di ricerca.
Passo 2 — Inserisci la tua email
Digita il tuo indirizzo email e premi il pulsante "pwned?". Aspetta qualche secondo — il controllo è quasi istantaneo.
Passo 3 — Leggi il risultato
Ci sono due possibilità:
Verde — "Good news — no pwnage found": la tua email non compare in nessuna violazione nota nel database HIBP. Non significa che sei al sicuro al 100% — alcune violazioni non vengono mai rese pubbliche — ma è un buon segnale.
Rosso — "Oh no — pwned!": la tua email è in almeno una violazione. HIBP mostra la lista dei siti coinvolti, la data della violazione e quali tipi di dati sono stati esposti.
Passo 4 — Leggi i dettagli di ogni violazione
Questa è la parte più importante. Clicca su ogni violazione per vedere cosa è stato esposto. La differenza tra "solo email" e "email + password + numero di telefono + indirizzo" è significativa. Nel mio caso, la violazione Adobe del 2013 aveva esposto email e password hash — ma non la password in chiaro. Quelle più recenti di piattaforme minori avevano esposto anche il numero di telefono.
Schermata Have I Been Pwned — risultato ricerca email, 26 maggio 2026. Email e dati identificativi oscurati.
Passo 5 — Controlla anche le password
HIBP ha una sezione separata chiamata Pwned Passwords — haveibeenpwned.com/Passwords. Puoi inserire una password per vedere se compare in database di password rubate. Nessuna password viene conservata insieme a dati personali identificabili — ogni password viene convertita in un hash SHA-1 prima della verifica. Se una tua password compare qui, cambiala subito su tutti i siti dove la usi.
Cosa significa trovare la tua email — la distinzione che conta
Trovare la tua email in una violazione non significa automaticamente che qualcuno sta usando i tuoi account adesso. Significa che i tuoi dati erano in un sistema che è stato compromesso in passato.
La distinzione importante è tra dati esposti e dati attivamente usati.
Dati esposti
I tuoi dati sono in un database che qualcuno ha rubato e probabilmente venduto. Potrebbero essere stati comprati e usati — o potrebbero essere rimasti in un file che nessuno ha mai aperto. Non c'è modo di saperlo. La violazione è avvenuta, i dati esistono da qualche parte.
Dati attivamente usati
Qualcuno sta usando le tue credenziali per accedere ai tuoi account. I segnali: accessi da posizioni sconosciute, email di conferma che non hai richiesto, messaggi inviati da account tuoi che non riconosci.
La tecnica più comune che usa il primo per arrivare al secondo si chiama credential stuffing. Con gli archivi di username e password rubati, si esegue l'iniezione automatica su altri siti che non hanno subito intrusioni. Questo attacco funziona spesso perché molte persone riutilizzano le stesse password su più account.
→ Phishing mirato — email con il tuo nome reale, dati personali corretti, molto più convincenti del phishing generico
→ Credential stuffing — la tua password del 2016 viene provata su centinaia di siti automaticamente
→ Furto d'identità — con nome, email, telefono e indirizzo si possono aprire conti o richiedere prestiti
→ SIM swapping — con numero di telefono e dati personali si può convincere l'operatore a trasferire il numero su una nuova SIM
→ Spam e telemarketing aggressivo — il caso meno grave ma più frequente
Cosa fare in base al risultato — tabella pratica
| Risultato trovato | Rischio | Cosa fare subito |
|---|---|---|
| Solo email esposta | Medio-basso | Attenzione a phishing e spam mirato — potresti ricevere email molto personalizzate |
| Email + password esposta | Alto | Cambia la password su quel sito e su tutti i siti dove la riutilizzavi |
| Email + numero di telefono | Alto | Attenzione a SMS e chiamate sospette — rischio SIM swapping |
| Email + dati personali completi | Molto alto | Attiva 2FA ovunque, controlla accessi account, monitora movimenti bancari |
Altri strumenti gratuiti oltre a Have I Been Pwned
Have I Been Pwned è il riferimento principale, ma non è l'unico strumento utile.
Google Password Manager
Se usi Chrome o un dispositivo Android, Google controlla automaticamente le tue password salvate contro database di violazioni note. Vai su passwords.google.com → "Controlla le password". Ti segnala le password compromesse, quelle riutilizzate e quelle troppo deboli. Ho trovato 2 password riutilizzate che non avevo aggiornato — segnalate dal Controllo sicurezza Google il 22 maggio 2026.
CyberNews Personal Data Leak Checker
CyberNews offre uno strumento gratuito che analizza il proprio database di record trapelati. Per verificare, inserisci il tuo indirizzo email e clicca "Verifica ora". Non è aggiornato in tempo reale come HIBP, ma può trovare violazioni diverse. Utile come secondo controllo.
Firefox Monitor
Mozilla offre Firefox Monitor — basato sui dati di HIBP — con un'interfaccia in italiano. Disponibile su monitor.firefox.com. Puoi attivare le notifiche automatiche per future violazioni, identico alla funzione di HIBP ma con interfaccia italiana.
Controllo sicurezza Google Account
Vai su myaccount.google.com/security-checkup. Controlla password compromesse, dispositivi connessi, app autorizzate. Non cerca nel dark web, ma è il punto di partenza più concreto per chi vuole proteggere il proprio account Google.
| Strumento | Gratuito | Cosa controlla | Notifiche |
|---|---|---|---|
| Have I Been Pwned | ✅ | Email e password compromesse presenti in violazioni note | ✅ Email per future violazioni |
| Google Password Manager | ✅ | Password salvate su Chrome/Android | ✅ Automatiche nell'account |
| Firefox Monitor | ✅ | Email — basato su HIBP, interfaccia italiana | |
| CyberNews Checker | ✅ | Email — database indipendente | ❌ No notifiche |
Cosa fare subito se hai trovato i tuoi dati
Trovare la tua email in una violazione non richiede panico — richiede azione. L'ordine conta.
1. Cambia la password del sito coinvolto — se usi ancora quell'account
Se il sito esiste ancora e hai ancora un account attivo, cambia la password. Usa una password lunga, unica, generata da un password manager. Se non usi più quell'account, valuta se ha senso cancellarlo.
2. Controlla se usi quella password altrove
Mi è voluto circa 10 minuti per capire quale password cambiare su quale sito — un lavoro noioso, ma necessario. Alla fine ho trovato la stessa password su 4 servizi diversi che usavo da anni senza pensarci.
Questo è il punto critico. Se la password esposta nella violazione era la stessa che usi su altri servizi — banca, Gmail, WhatsApp Business — cambiala anche lì. Subito. Il credential stuffing funziona perché le persone riutilizzano le password.
3. Attiva la 2FA sui servizi più importanti
Gmail, account bancari, WhatsApp, qualunque servizio con dati sensibili. Con la 2FA attiva, anche chi ha la tua password non può accedere senza il secondo fattore. È la protezione più efficace contro il credential stuffing.
4. Monitora le attività sospette
Controlla gli accessi recenti a Gmail (myaccount.google.com/device-activity), guarda se ci sono email inviate che non riconosci, controlla i filtri di inoltro automatico. Se vedi qualcosa di strano — agisci come descritto nella guida sull'account Google.
5. Attiva le notifiche su HIBP
Non fare il controllo una volta sola e dimenticarti. Le violazioni vengono scoperte mesi o anni dopo che sono avvenute. Attivando le notifiche su HIBP, ricevi un avviso non appena la tua email compare in una nuova violazione documentata.
💡 Leggi anche: Come capire se qualcuno è entrato nel tuo account Google →
Come ridurre il rischio per il futuro
Non puoi controllare cosa succede ai server dei siti che usi. Puoi controllare cosa succede se quei server vengono violati.
Una password unica per ogni sito
È la regola più importante e la più ignorata. Se ogni sito ha una password diversa, una violazione espone solo quell'account — non tutti gli altri. Un password manager rende questo praticabile: ne generi una, non la ricordi, il manager la inserisce automaticamente.
Usa email diverse per categorie diverse
Email principale per banca, lavoro, servizi critici. Email secondaria per e-commerce, newsletter, registrazioni varie. Se l'email secondaria viene violata, il danno è circoscritto. Puoi creare alias gratuiti con Gmail (+tag) o servizi come SimpleLogin.
Controlla periodicamente
Have I Been Pwned una volta ogni 3-6 mesi. Google Password Manager mensilmente in automatico. Non è un lavoro enorme — ma va fatto.
→ Cerca la tua email su Have I Been Pwned →
→ Controlla le password su Google →
→ Esegui il Controllo sicurezza Google →
👉 Password manager 2026: quale scegliere →
👉 Come attivare la 2FA su Gmail e WhatsApp →
Ultima verifica: 27 maggio 2026 — Have I Been Pwned, Google Password Manager, Firefox Monitor.
Domande frequenti — Dati sul Dark Web
Autore: Rocco Caiazza – Fondatore di ScelgoIo
