Autenticazione a due fattori: perché è diventata obbligatoria (e quanto è sicura)

Di / 24 Aprile 2026 / Internet
Ricevi più articoli da Informatica per tutti su Google

Hai notato che ultimamente quasi ogni sito – la tua banca, Google, Amazon, il tuo account email – ti chiede di confermare la tua identità in due passaggi? Prima inserisci la password, poi arriva un codice sul telefono. O magari ti compare una notifica da confermare. Questa cosa ha un nome preciso: si chiama autenticazione a due fattori, o, in inglese, two-factor authentication (spesso abbreviata in 2FA). Ma perché questa verifica sta diventando così comune? E soprattutto, serve davvero oppure è solo una seccatura in più?

Indice

Cos’è l’autenticazione a due fattori, in parole semplici

Immagina che la tua casa abbia due serrature invece di una. Anche se qualcuno riesce ad aprire la prima serratura, si trova poi bloccato davanti alla seconda.

L’autenticazione a due fattori funziona esattamente così per i tuoi account online:

  • il primo fattore è la tua password (cioè qualcosa che conosci);
  • il secondo fattore è una conferma aggiuntiva, di solito un codice sul telefono (cioè su qualcosa che hai).

In questo modo, anche se un malintenzionato scopre la tua password, non può comunque entrare nel tuo account senza avere anche il tuo telefono in mano.

Perché la 2FA sta diventando quasi obbligatoria

Fino a qualche anno fa, la 2FA era opzionale su quasi tutti i siti. Oggi, invece, molti la rendono obbligatoria. Ma come mai?

Perché le password non bastano più

Le password, da sole, sono ormai diventate uno strumento di sicurezza insufficiente. Ecco perché:

  • vengono rubate troppo spesso. Ogni anno si verificano migliaia di data breach, cioè dei furti di dati da parte di hacker che attaccano i siti e/o le aziende. Quando un sito viene violato, milioni di email e di password finiscono in vendita sul dark web;
  • le persone usano la stessa password su più siti. Se la tua password viene scoperta su un sito poco sicuro, i criminali la provano subito su Gmail, su Amazon, o sul sito della tua banca. Questo attacco si chiama credential stuffing e, molto spesso, funziona;
  • le password deboli sono ancora diffusissime. Nonostante tutto, “123456” e “password” restano tra le password più usate al mondo.

Le normative spingono in questa direzione

In Europa, le normative come il GDPR e la direttiva PSD2 (per i pagamenti online) impongono alle aziende degli standard di sicurezza più elevati. Le banche, in particolare, sono obbligate per legge ad usare l’autenticazione forte per ogni accesso e ogni transazione.

Anche Google e Apple hanno iniziato a spingere automaticamente i propri utenti verso la 2FA, rendendola attiva per impostazione predefinita su milioni di account.

Il costo degli attacchi informatici è aumentato

Le violazioni degli account hanno delle conseguenze sempre più gravi: furto di denaro, accesso ai dati personali, ricatti e frodi. Le aziende, per tutelare sé stesse e i propri clienti, preferiscono perciò aggiungere questo secondo livello di protezione piuttosto che rischiare.

Cosa cambia davvero per la tua sicurezza

La 2FA non è la soluzione a tutto, ma fa una differenza enorme se viene implementata. Secondo i dati forniti da Google, l’attivazione dell’autenticazione a due fattori blocca:

  • quasi il 100% degli attacchi automatici (cioè dei bot che tentano migliaia di combinazioni di password al secondo);
  • circa il 99% degli attacchi di phishing di massa;
  • oltre il 90% degli attacchi mirati.

In pratica, anche se la tua password finisce in mano a qualcuno, senza il secondo fattore non riescono ugualmente ad entrare nel tuo account.

Cosa non risolve: la 2FA non ti protegge se installi un programma malevolo che monitora tutto ciò che scrivi (meglio noto come keylogger), o se qualcuno ti convince a comunicargli il codice con un inganno (è la cosiddetta ingegneria sociale).

Ma, per la maggior parte degli attacchi comuni, la 2FA è uno scudo molto efficace.

Quali metodi di autenticazione a due fattori esistono

Non tutti i metodi di 2FA sono uguali. Eccoti quelli principali, dal più comune al più sicuro.

1. SMS con codice monouso

Il sito ti invia un SMS con un codice di 6 cifre che devi inserire entro pochi minuti. È il metodo più diffuso e quello con cui probabilmente hai già avuto a che fare.

È semplice da usare, ma ha alcune debolezze: gli SMS possono essere intercettati con delle tecniche avanzate e, se qualcuno riesce a trasferire il tuo numero su una nuova SIM (un attacco chiamato SIM swapping), è in grado di ricevere anche i tuoi codici.

Valutazione: meglio di niente, ma non il massimo.

2. App di autenticazione (TOTP)

Le applicazioni come Google Authenticator, Microsoft Authenticator o Authy generano un codice temporaneo ogni 30 secondi (TOTP), direttamente sul tuo telefono, senza bisogno di alcuna connessione ad Internet o di ricevere degli SMS.

Il codice è legato al tuo dispositivo fisico, quindi è molto più difficile da intercettare. Anche se qualcuno conosce la tua password, senza il tuo telefono non può comunque accedere.

Valutazione: buono per la maggior parte degli usi quotidiani.

3. Notifica push sull’app

Invece di un codice, ricevi una notifica push sul tuo smartphone con scritto qualcosa del tipo “Qualcuno sta cercando di accedere al tuo account. Sei tu?” e devi premere “Sì” o “No”.

È comodo e veloce. Alcune versioni di questo metodo mostrano anche la posizione geografica del tentativo di accesso, così puoi accorgerti immediatamente se c’è qualcosa di strano.

Valutazione: buono e facile da usare.

4. Chiave di sicurezza fisica

È un piccolo dispositivo USB (o NFC) che si chiama chiave di sicurezza fisica o token hardware (i più noti sono conosciuti come YubiKey). Lo colleghi al computer quando vuoi accedere, e lui conferma la tua identità.

È il metodo più sicuro in assoluto, perché è impossibile da clonare o intercettare da remoto. È usato da chi ha bisogno di una sicurezza molto elevata: giornalisti, attivisti, o professionisti che hanno a che fare con dei dati sensibili.

Lo svantaggio? Costa (si trovano da circa 25 a 60 euro), e, se lo perdi, potresti avere delle difficoltà ad accedere ai tuoi account.

Valutazione: è il metodo più sicuro, consigliato per chi gestisce dei dati importanti.

5. Codici di backup

Non è un metodo di accesso vero e proprio, ma è importante sapere che esiste. Quando attivi la 2FA su un sito, spesso ti vengono dati dei codici di emergenza da usare nel caso in cui perdi il telefono o non riesci più ad accedere al secondo fattore.

Conserva questi codici in un luogo sicuro, offline – su carta o in un posto protetto – e non nella posta elettronica o in un file sul desktop.

Qual è il metodo più sicuro?

Eccoti i metodi per la 2FA messi in ordine, dal più sicuro al meno sicuro:

  1. una chiave di sicurezza fisica (YubiKey e simili);
  2. un’app di autenticazione (tipo Google Authenticator, Microsoft Authenticator, Authy, eccetera);
  3. una notifica push tramite l’app ufficiale del servizio;
  4. un SMS (funziona, ma presenta più vulnerabilità rispetto agli altri metodi).

Per la vita di tutti i giorni – cioè per le email, i social, e i negozi online dove hai salvato la carta di credito/debito –, un’app di autenticazione rappresenta un ottimo equilibrio tra la sicurezza e la comodità.

Per la banca, invece, usa tutto ciò che la banca stessa ti mette a disposizione (di solito, la loro app ufficiale).

Come attivare la 2FA: il punto di partenza

Su quasi tutti i siti puoi trovare la 2FA nelle impostazioni del tuo account, di solito nella sezione “Sicurezza” o “Privacy”. Cerca delle voci come: “Verifica in due passaggi”, “Autenticazione a due fattori” o “Sicurezza dell’account”.

Se vuoi iniziare da qualcosa di concreto, attivala subito su questi account, che sono i più bersagliati:

  • account Google (per Gmail, YouTube, Drive, Foto, eccetera);
  • account Apple/iCloud;
  • account Microsoft (per Outlook, OneDrive, Windows, eccetera);
  • account social (quindi Facebook, Instagram, X/Twitter, e via dicendo);
  • qualsiasi conto bancario online.

Conclusioni

L’autenticazione a due fattori non è una moda passeggera né una complicazione inutile. È una risposta concreta a un problema reale: le password, da sole, oggi non sono più sufficienti a proteggerci.

Attivare la 2FA richiede qualche minuto, ma può fare la differenza tra mantenere il controllo dei tuoi account e ritrovarti con un profilo compromesso, dati rubati o, nel caso peggiore, un conto bancario svuotato.

Il consiglio pratico? Inizia oggi, dall’account che usi di più. Scarica un’app di autenticazione, come Google Authenticator o Authy, aprila e segui le istruzioni. Non servono delle conoscenze tecniche particolari e, durante la procedura di attivazione, in genere si viene guidati.

Articoli correlati

Offerte di oggi
Offerte di oggi