Autenticazione a due fattori e altri metodi di sicurezza che dovresti conoscere

Autenticazione a due fattori
Scritto da Maria Corrao

Contenuti dell'articolo

Ormai le password sono praticamente obsolete, non più sufficienti per proteggere gli account online. Oggi si parla di altri metodi di sicurezza come l’autenticazione a due fattori (2FA) e le passkey. Ma sono abbastanza per resistere ai tentativi di phishing e di intrusione? Ecco cosa conviene attivare e come proteggersi dalle minacce del web.

Le ricerche Microsoft segnalano che il 2FA blocca più del 99% degli attacchi online. Molte aziende hanno iniziato a rendere obbligatorio questo sistema di sicurezza proprio per difendersi dalle minacce. Per quanto riguarda la facilità d’uso, si sta cercando di andare verso dei metodi di verifica più comodi e affidabili, per esempio le passkey.

Dal codice via SMS alle app di autenticazione

Gli SMS con i codici monouso sono semplici da usare, ma sono più esposti ai rischi come la SIM swap e gli inoltri malevoli. Le linee guida NIST invitano a valutare gli indicatori di rischio (cambio SIM, portabilità del numero) prima di usare il PSTN per inviare gli OTP. Le alternative consigliate includono le app di autenticazione (TOTP), le notifiche push approvate nell’app, le chiavi hardware e le passkey.

Le app e le notifiche push spostano la verifica su un canale più robusto rispetto all’SMS. Le chiavi di sicurezza (U2F/FIDO2) aggiungono un fattore fisico molto resistente al phishing. Le passkey, invece, portano il modello “chiave pubblica/privata” sullo smartphone e sul PC, con sblocco tramite la biometria locale.

Passkey: più veloci, più affidabili e sempre più presenti

Il 2025 è l’anno della normalizzazione delle passkey. La consapevolezza degli utenti è salita e sempre più piattaforme hanno reso questa opzione predefinita o raccomandata. Non è solo una percezione, i dati raccolti mostrano dei tassi di login più alti e delle conversioni più stabili quando si usano le passkey, con meno difficoltà durante l’accesso. Inoltre, i dispositivi passkey-ready sono già tantissimi, questo vuol dire che il collo di bottiglia dato dai sistemi operativi o dai browser è già stato superato.

Dove servono davvero delle protezioni extra

I metodi passwordless incidono di più laddove circola del denaro o dove si tengono delle conversazioni sensibili. Alcuni esempi possono essere l’e-banking e i pagamenti, gli e-commerce, le email e i cloud, i social, gli strumenti di lavoro e le piattaforme di gioco con i wallet e i premi. Nel mondo dei pagamenti europei, è già stata adottata la Strong Customer Authentication (SCA) che ha contribuito a ridurre diversi vettori di frode, secondo i report congiunti di EBA/ECB e dell’European Payments Council.

Nel settore dell’intrattenimento digitale, come i casinò online, l’abilitazione di fattori extra limita i furti degli account e gli abusi dei bonus. In Italia esistono degli operatori che richiedono lo SPID per l’identificazione, ma esistono anche servizi che ne fanno a meno. Se vuoi giocare senza spid devi affidarti sui dei controlli e delle autenticazioni valide, come i sistemi di verifica dei documenti e dell’età, i limiti di conto, il monitoraggio anti-abuso, il 2FA via app o la chiave fisica, fino alle passkey. I casinò senza SPID seri si basano anche su misure alternative, come i KYC, i controlli AML, l’autenticazione forte al login e ai prelievi, per offrire un livello di protezione massimo e per tutelare i fondi e le identità.

Quando scegliere 2FA tradizionale e quando usare le passkey

Il 2FA tradizionale (TOTP/app, push, SMS come ripiego) aggiunge un secondo passaggio a una password che esiste già. Le passkey, invece, sostituiscono la password con una coppia di chiavi crittografiche: niente codici da copiare, niente stringhe da ricordare, niente riuso di password. I dati sul tasso di successo e le iniziative dei big tech mostrano come le organizzazioni stiano favorendo questa strada soprattutto per ridurre il phishing.

Per molte realtà, la transizione è ibrida: password + 2FA per gli account storici, passkey come opzione o default per quelli nuovi. La priorità è massimizzare l’uso degli utenti senza rallentare il business.

Il ruolo delle policy: cosa sta cambiando

Molti fornitori stanno spostando le impostazioni predefinite verso MFA/passkey per ridurre la superficie di attacco. Questo ha un effetto a catena: più utenti con metodi robusti, meno credenziali rubate in circolazione.

Sul piano regolatorio, le linee guida NIST 800-63B ribadiscono l’importanza dei fattori resistenti al phishing e l’attenzione agli indicatori di rischio quando si usano i canali telefonici. Nel frattempo, l’ecosistema europeo dei pagamenti continua a misurare l’efficacia della SCA, pare che le frodi stiano diminuendo nei pagamenti EEA dove i controlli sono più maturi.

La password non basta più e va bene così

La combinazione tra 2FA ben implementata e passkey dove possibile offre un buon equilibrio tra sicurezza e praticità. Il quadro dei dati è chiaro, meno phishing andato a segno, meno difficoltà di accesso e più coerenza tra i dispositivi. Nei servizi a rischio economico o reputazionale, come i pagamenti, l’email principale e le piattaforme di intrattenimento con wallet, l’autenticazione forte non è un optional. Che si tratti di SPID, KYC tradizionale o passkey, servono dei metodi resistenti al phishing, delle procedure di recupero sicure e dei controlli antifrode validi. È qui che si può fare la differenza.