Ti hanno rubato la sessione di Facebook? Ecco cos'è successo (e come non ricapita)

“Mi hanno rubato la sessione di Facebook” — lo sento dire sempre più spesso. Qualcuno si ritrova il profilo compromesso anche se non ha mai dato la password a nessuno, non ha risposto a email sospette, e non ha fatto nulla di strano.

Com’è possibile? Te lo spiego in parole semplici.

Cos’è una “sessione”

Quando accedi a Facebook con email e password, il sito ti riconosce e ti fa entrare. Ma poi, ogni volta che apri Facebook nei giorni successivi, non ti chiede di nuovo la password — ti riconosce comunque.

Come fa? Grazie a un piccolo file chiamato cookie di sessione (o token di sessione), salvato nel tuo browser. È come un badge temporaneo che dice: “Questo dispositivo è già stato autorizzato.”

Il problema è che se qualcuno riesce a copiare quel badge, può entrare nel tuo Facebook senza aver bisogno della tua password.

Come rubano il badge

Ci sono principalmente tre modi:

1. Link malevolo

Clicchi su un link (arrivato via messaggio, email, o post) che ti porta su un sito falso o che esegue del codice nascosto nel browser. In pochi secondi, il sito copia il tuo cookie di sessione e lo manda a qualcuno.

2. Wi-Fi non sicuro

Sei in un bar, in un aeroporto, in una stazione. Ti connetti alla rete Wi-Fi gratuita e apri Facebook. Su certi tipi di reti non sicure, qualcuno può “ascoltare” il traffico dati e intercettare il tuo token di sessione.

3. Browser non aggiornato

I browser vecchi hanno falle di sicurezza conosciute che i pirati informatici sfruttano. Un sito malevolo può sfruttarle per leggere i dati del browser senza che tu faccia nulla di sbagliato.

Come accorgersi che è successo

Facebook ti avvisa quasi sempre. Controlla:

1. Impostazioni → Password e sicurezza → Dove hai effettuato l’accesso Trovi l’elenco di tutti i dispositivi e le posizioni da cui il tuo account è stato usato. Se vedi una città che non riconosci o un dispositivo che non è tuo, qualcuno è entrato.

2. Ricevi notifiche di accesso da posti insoliti (Facebook le invia per email).

3. Noti messaggi inviati che non ricordi di aver scritto.

Cosa fare subito

Passo 1 — Esci da tutti i dispositivi

Vai su Impostazioni → Password e sicurezza → Dove hai effettuato l’accesso, poi clicca su “Esci da tutte le sessioni”. Questo invalida tutti i badge, incluso quello rubato. Chi aveva accesso viene disconnesso immediatamente.

Passo 2 — Cambia la password

Dopo aver chiuso tutte le sessioni, cambia la password con una nuova (e diversa da quelle che usi altrove). Questo impedisce che qualcuno entri di nuovo anche se avesse ancora il vecchio token.

Passo 3 — Attiva l’autenticazione a due fattori

Con questa funzione attiva, anche se qualcuno rubassse di nuovo il tuo token, non potrebbe comunque fare cose importanti (come cambiare email o password) senza un codice che arriva solo sul tuo telefono.

Trovi questa opzione su: Impostazioni → Password e sicurezza → Autenticazione a due fattori.

Tre abitudini per non ricapitare

1. Non cliccare link sospetti — nemmeno se arrivano da amici (il loro account potrebbe essere stato compromesso)
2. Evita il Wi-Fi pubblico per cose importanti — o usa una VPN se devi
3. Tieni il browser aggiornato — le versioni recenti correggono le falle di sicurezza

In breve

Da dove continuare

Se vuoi imparare altri trucchi per stare al sicuro online, ogni settimana con la newsletter AI Semplice ricevi un consiglio pratico sulla tecnologia spiegato con calma — senza tecnicismi.

Iscriviti gratis compilando il modulo qui sotto.