Diciotto anni di sicurezza offensiva in banche, governo, media, sanità e infrastrutture critiche. Dal Brasile all'Europa. Fiducia di grado federale.
Pentester · Red Team · Open Banking · FAPI · LGPD · GDPR · PCI-DSS
Citato nelle principali testate brasiliane e internazionali su cybersecurity, frode finanziaria e indagini digitali.
Dove siamo stati al centro
Since 2007. No hacking course — I watched my first bank get breached and realized the problem wasn't technical, it was about people.
Diciotto anni dopo, la stessa ossessione: trovare la porta prima del criminale. Ho operato all'interno della più grande banca pubblica dell'America Latina, su piattaforme di Open Banking, in banche private di Brasile, Portogallo, Italia e Marocco, nella più grande azienda di iGaming al mondo e sul backbone dei pagamenti europei.
In parallelo, ho supportato la Polizia Federale e la Polizia Civile in casi cibernetici complessi, e ho parlato alla Florida Association of Private Investigators su phishing e tecniche di attacco web.
Il focus è lo stesso in qualsiasi engagement: dove fa più male, dove l'avversario è più sofisticato, dove il margine di errore è zero.
Il settore finanziario domina nel numero di engagement, ma il mestiere è lo stesso in ogni ambiente regolato e ad alta esposizione. Dove il dato ha conseguenza, ho operato.
Per restrizione contrattuale, le descrizioni sono intenzionalmente generiche. Vulnerabilità specifiche, vettori sfruttati e risultati di audit non vengono mai pubblicati — né qui, né su LinkedIn, né nel CV. L'elenco sotto copre solo relazioni contrattuali pubbliche.
Elenco parziale · Gli engagement attivi restano riservati fino al termine del contratto · I clienti vengono pubblicati solo con il loro consenso
Conferenza su minacce digitali, indagini cibernetiche e protezione dei dati. Focus su phishing, attacchi web e catena di prova forense applicata all'investigazione privata.
Supporto tecnico su casi cibernetici di alta complessità — analisi forense, attribuzione di attacco, identificazione di vettori e supporto alla fase investigativa.
Tu spieghi lo scope. Io spiego se ci sta. Conversazione diretta con chi opera — non con un venditore.
Slot di 30 minuti. Video o voce. Inglese, portoghese, spagnolo o italiano.
Non vedi il calendario? Apri in nuova scheda.
Divulgazioni in tempo reale di vittime di ransomware, da ransomware.live, per l'Italia.
Disclaimer. Non sono responsabile di questa lista. ransomware.live aggrega claim pubblici pubblicati dagli attaccanti su leak site e forum. L'informazione può essere vera o meno — gli attaccanti a volte esagerano, le vittime a volte non hanno ancora confermato pubblicamente. Trattalo come awareness situazionale, non come registro legale.
Tattico, attuale, con opinione. Preso da engagement reali — non da uno Slideshare del 2018. iOS · Android · entrambi.
Gli operatori sono stati manipolati con ingegneria sociale per trasferire numeri ad attaccanti. Imposta un PIN di trasferimento con il tuo operatore. Senza, il tuo telefono è a una telefonata dall'appartenere a qualcun altro.
iOS 17.3+. Richiede Face ID per modifiche sensibili anche in luoghi "affidabili". Sconfigge l'attacco telefono-rubato-con-PIN-osservato che svuota i conti in 90 secondi.
Gli SMS viaggiano su SS7 — progettato negli anni 80, ancora oggi banalmente intercettato da chiunque abbia accesso telco. Usa TOTP (Aegis, Raivo, 2FAS) o, meglio, passkey.
Impostazioni → Face ID e Codice → Accessori USB DISATTIVATO. Blocca strumenti forensi di estrazione (Cellebrite, GrayKey) quando il dispositivo è collegato bloccato.
Il malware vive nell'Accessibilità. Una volta concesso, legge ogni schermo, digita ogni tasto, scarta ogni prompt. Impostazioni → Accessibilità → controlla mensilmente. Revoca tutto ciò che non riconosci.
iOS 17.2+. Rileva quando un contatto è stato sostituito via MITM lato server. Critico per dirigenti, avvocati, giornalisti. Disattivato di default — attivalo con chi scambi dati sensibili.
I telefoni trasmettono probe request per ogni rete che ricordano. Attaccanti stile Karma falsificano "linksys" o "Starbucks Wi-Fi" e il tuo telefono si connette silenziosamente. Dimentica ciò che non usi.
FIDO2/WebAuthn. La chiave privata vive nel secure enclave, mai trasmessa. Immune al phishing per design. Apple, Google, Microsoft e le principali banche le supportano — inizia con la banca.
Le porte USB pubbliche = superficie di juice-jacking. Aeroporti, hotel, conferenze. Un adattatore USB data-block da €4 o un cavo solo-carica neutralizza l'attacco. Usalo ogni volta che non sei a casa.
Aggiornato 2026-04 · La lista ruota mentre la superficie di minaccia cambia