Dispositivi IoT in casa: come metterli in sicurezza senza rinunciarci

Ogni dispositivo IoT che colleghi alla rete domestica — telecamera, presa smart, termostato, robot aspirapolvere, smart TV — è un piccolo computer con un firmware che raramente viene aggiornato. Sono il punto debole tipico della rete di casa: pochi controlli, credenziali deboli e una connessione costante verso Internet. Metterli in sicurezza non significa rinunciarci, ma trattarli per quello che sono: dispositivi di cui non ci si fida del tutto.

Perché l'IoT è un rischio diverso

A differenza di un PC o uno smartphone, i device IoT hanno tre problemi strutturali:

• Firmware abbandonato: molti produttori smettono di rilasciare aggiornamenti dopo 1-2 anni, lasciando vulnerabilità note senza patch.
• Credenziali di fabbrica: password di default note e documentate, spesso non modificabili o lasciate invariate dall'utente.
• Telemetria opaca: comunicano verso cloud esterni senza che sia chiaro cosa inviano e dove.

Un dispositivo compromesso non è solo un problema in sé: diventa una testa di ponte per muoversi verso PC, NAS e dati sensibili sulla stessa rete.

La regola d'oro: segmentare con una VLAN o rete ospiti

L'intervento con il miglior rapporto sforzo/risultato è isolare l'IoT dalla rete principale:

• Su router evoluti, crea una VLAN dedicata (802.1Q) per i device IoT, separata dalla LAN di PC e telefoni.
• Su router consumer senza VLAN, usa la rete ospiti (guest SSID): la maggior parte impedisce di default il traffico tra client e verso la LAN interna.

L'obiettivo è che la telecamera cinese da 20 euro non possa "vedere" il NAS con i tuoi backup. Se l'IoT viene compromesso, il danno resta confinato al suo segmento.

Regole firewall: solo ciò che serve

Una volta segmentato, applica il principio del privilegio minimo sul traffico IoT:

• Blocca il traffico est-ovest: i device IoT non hanno motivo di parlare tra loro né con la LAN principale.
• Limita le destinazioni: se un dispositivo deve solo raggiungere il cloud del produttore, non serve che apra connessioni ovunque.
• Disabilita l'UPnP sul router: evita che i device aprano automaticamente porte verso l'esterno senza che tu lo sappia.

Molti incidenti nascono proprio da telecamere esposte su Internet tramite port forwarding o UPnP, indicizzate da motori come Shodan.

Igiene di base sui singoli dispositivi

Sul device stesso, le mosse essenziali:

• Cambia le credenziali di default al primo avvio, con password lunga e unica.
• Aggiorna il firmware subito e controlla periodicamente: se un produttore non rilascia più update, il dispositivo va considerato a fine vita.
• Disattiva funzioni inutili: accesso remoto, microfono, cloud, P2P se non li usi.
• Verifica l'accesso remoto: prediligi l'accesso tramite app cloud del produttore o, meglio, tramite VPN verso casa, evitando di esporre porte direttamente.

DNS e monitoraggio del traffico

Per i più attenti, due livelli aggiuntivi:

• Un DNS con filtraggio (Pi-hole o servizi DNS che bloccano domini malevoli) intercetta connessioni verso infrastrutture sospette e blocca parte della telemetria.
• Tenere d'occhio i log del router rivela device che generano traffico anomalo — picchi verso indirizzi esteri, connessioni continue di notte — segnale che qualcosa non va.

Assistenti vocali e telecamere: i casi delicati

Microfoni e videocamere meritano attenzione extra perché catturano ambiente domestico:

• Posiziona le telecamere coprendo solo ciò che serve, evitando zone private.
• Se non usi sempre il microfono di un assistente, usa l'interruttore hardware di mute quando presente.
• Preferisci, dove possibile, telecamere con storage locale (NAS, scheda SD) invece del cloud obbligatorio.

In sintesi

La difesa dell'IoT domestico si regge su un'idea semplice: non fidarsi dei device e confinarli. Segmenta su VLAN o rete ospiti, blocca il traffico verso la LAN principale, disabilita UPnP, cambia le credenziali e aggiorna i firmware. Sono interventi che si fanno una volta e che trasformano il punto più debole della rete in un compartimento isolato, dove un'eventuale compromissione resta senza conseguenze sul resto.