Cybersicurezza · elemento 58
2FA
Doppio fattore attivo
In una frase
L'autenticazione a due fattori aggiunge una seconda verifica all'accesso, in modo che avere solo la tua password non basti per entrare nei tuoi account di posta, banca, investimenti o servizi importanti.
Cosa significa
L'autenticazione a due fattori —2FA, dall'inglese two-factor authentication— è uno strato extra di sicurezza.
Invece di proteggere un account solo con una password, il sistema ti chiede una seconda prova che dimostri che sei tu.
I fattori possono essere di tre tipi:
| Fattore | Esempio |
|---|---|
| Qualcosa che sai | Password, PIN |
| Qualcosa che hai | Telefono, app di autenticazione, chiave fisica |
| Qualcosa che sei | Impronta digitale, riconoscimento facciale |
Con il 2FA attivo, se qualcuno ruba la tua password, ha ancora bisogno del secondo fattore per entrare.
Questo è particolarmente importante nella finanza personale, perché molti attacchi non iniziano dalla banca: iniziano dalla posta elettronica, da una password trapelata o da un sito falso.
Non tutti i secondi fattori sono uguali
| Metodo | Sicurezza orientativa | Commento |
|---|---|---|
| SMS | Meglio di niente | Può essere vulnerabile a SIM swapping, smishing o furto d'identità |
| Codice via email | Limitato | Ragionevole solo se la posta è molto ben protetta |
| App di autenticazione | Buona | Genera codici sul dispositivo, ma può ancora cadere nel phishing |
| Notifica push | Buona, con prudenza | Attento a non approvare notifiche che non hai avviato tu |
| Passkey | Molto buona | Più resistente al phishing e facile da usare se il servizio lo permette |
| Chiave fisica FIDO2 / U2F | Molto alta | Molto consigliabile per gli account critici |
La regola pratica sarebbe:
L'SMS è meglio di niente. L'app di autenticazione è meglio dell'SMS. Le passkey o le chiavi fisiche sono l'opzione migliore per gli account più importanti.
Perché è importante
La tua email è la chiave maestra. Molti servizi permettono di recuperare la password attraverso la posta. Se qualcuno entra nella tua email, può provare ad accedere poi alla banca, al broker, al password manager, ai social o ai servizi con carte salvate.
La banca e il broker sono obiettivi evidenti. Se qualcuno accede ai tuoi conti finanziari, può provare a trasferire denaro, cambiare dati, sottoscrivere prodotti o impersonarti.
Conta anche perché molte password finiscono trapelate. Se riutilizzi le password, un attaccante può provarle automaticamente su molti servizi diversi. Il 2FA riduce molto quel rischio.
E, soprattutto, perché è una protezione con un ottimo rapporto sforzo-beneficio: attivarla può costare pochi minuti e può evitare un problema molto grande.
Dove attivarlo prima
Non serve fare tutto in un pomeriggio. Fallo per ordine di rischio.
| Priorità | Account |
|---|---|
| 1 | Email principale |
| 2 | Password manager |
| 3 | Banca online |
| 4 | Broker, roboadvisor e piattaforme di investimento |
| 5 | Account del telefono e del cloud: Apple, Google, Microsoft |
| 6 | Account di acquisti con carte salvate |
| 7 | Social e messaggistica |
L'email principale dovrebbe venire prima perché è la porta di recupero di molti altri account.
Come applicarlo oggi
- Entra nelle impostazioni di sicurezza della tua email principale e cerca "verifica in due passaggi", "autenticazione a due fattori" o "autenticazione a più fattori".
- Attivala con un'app di autenticazione, una passkey o una chiave fisica se il servizio lo permette. Se c'è solo l'SMS, attiva l'SMS: è meglio di niente.
- Salva i codici di recupero. Sono i codici che ti permettono di rientrare se perdi il telefono, cambi dispositivo o hai un problema con l'app. Salvali in un password manager, in una copia stampata sicura o in un posto separato dal telefono.
- Ripeti il processo con la banca, il broker e il password manager.
- Controlla anche i dispositivi collegati e le sessioni aperte. Se vedi un dispositivo che non riconosci, chiudi la sessione e cambia la password.
Regole d'oro
- Non condividere mai i codici 2FA.
- Nessuna banca, broker, compagnia telefonica o servizio legittimo ti chiamerà per chiederti un codice di verifica.
- Se ricevi un codice che non hai richiesto, non usarlo e controlla subito la sicurezza dell'account.
- Non approvare notifiche push se non hai provato ad accedere tu.
- Non entrare in banca da un link ricevuto via SMS o email. Apri sempre l'app ufficiale o scrivi tu l'indirizzo.
- Se resti all'improvviso senza copertura mobile, verifica con il tuo operatore se c'è stato un duplicato della SIM.
Errori comuni
- Proteggere la banca ma non l'email.
- Usare l'SMS quando il servizio permette app di autenticazione, passkey o chiave fisica.
- Non salvare i codici di recupero.
- Approvare notifiche push per fretta o stanchezza.
- Dare codici 2FA al telefono a qualcuno che dice di essere della banca.
- Pensare che il 2FA elimini ogni rischio. Lo riduce molto, ma non sostituisce il buon senso.
- Riutilizzare le password sugli account importanti.
- Non proteggere il password manager con il 2FA.
Collegato con
Risorse
📚 ACN — Agenzia per la Cybersicurezza Nazionale. Le guide ufficiali italiane sulla protezione degli account e l'autenticazione a più fattori.
📚 Polizia Postale — Commissariato di PS online. Per segnalare frodi e incidenti informatici e trovare consigli di prevenzione.
📚 Banca d'Italia — Sicurezza nei pagamenti digitali. Raccomanda l'autenticazione forte e ricorda che nessun istituto deve chiederti password o codici completi per canali non sicuri.
📚 NIST — Digital Identity Guidelines (SP 800-63B). Considera limitato l'uso della rete telefonica (SMS o voce) come canale di autenticazione, per rischi come il duplicato della SIM, la portabilità o l'intercettazione.
Con il 2FA, rubarti la password non dovrebbe più bastare per rubarti l'account.
← Torna alla tavola