Tavola periodica finanziaria

Cybersicurezza · elemento 58

2FA

Doppio fattore attivo

In una frase

L'autenticazione a due fattori aggiunge una seconda verifica all'accesso, in modo che avere solo la tua password non basti per entrare nei tuoi account di posta, banca, investimenti o servizi importanti.

Cosa significa

L'autenticazione a due fattori —2FA, dall'inglese two-factor authentication— è uno strato extra di sicurezza.

Invece di proteggere un account solo con una password, il sistema ti chiede una seconda prova che dimostri che sei tu.

I fattori possono essere di tre tipi:

FattoreEsempio
Qualcosa che saiPassword, PIN
Qualcosa che haiTelefono, app di autenticazione, chiave fisica
Qualcosa che seiImpronta digitale, riconoscimento facciale

Con il 2FA attivo, se qualcuno ruba la tua password, ha ancora bisogno del secondo fattore per entrare.

Questo è particolarmente importante nella finanza personale, perché molti attacchi non iniziano dalla banca: iniziano dalla posta elettronica, da una password trapelata o da un sito falso.

Non tutti i secondi fattori sono uguali

MetodoSicurezza orientativaCommento
SMSMeglio di nientePuò essere vulnerabile a SIM swapping, smishing o furto d'identità
Codice via emailLimitatoRagionevole solo se la posta è molto ben protetta
App di autenticazioneBuonaGenera codici sul dispositivo, ma può ancora cadere nel phishing
Notifica pushBuona, con prudenzaAttento a non approvare notifiche che non hai avviato tu
PasskeyMolto buonaPiù resistente al phishing e facile da usare se il servizio lo permette
Chiave fisica FIDO2 / U2FMolto altaMolto consigliabile per gli account critici

La regola pratica sarebbe:

L'SMS è meglio di niente. L'app di autenticazione è meglio dell'SMS. Le passkey o le chiavi fisiche sono l'opzione migliore per gli account più importanti.

Perché è importante

La tua email è la chiave maestra. Molti servizi permettono di recuperare la password attraverso la posta. Se qualcuno entra nella tua email, può provare ad accedere poi alla banca, al broker, al password manager, ai social o ai servizi con carte salvate.

La banca e il broker sono obiettivi evidenti. Se qualcuno accede ai tuoi conti finanziari, può provare a trasferire denaro, cambiare dati, sottoscrivere prodotti o impersonarti.

Conta anche perché molte password finiscono trapelate. Se riutilizzi le password, un attaccante può provarle automaticamente su molti servizi diversi. Il 2FA riduce molto quel rischio.

E, soprattutto, perché è una protezione con un ottimo rapporto sforzo-beneficio: attivarla può costare pochi minuti e può evitare un problema molto grande.

Dove attivarlo prima

Non serve fare tutto in un pomeriggio. Fallo per ordine di rischio.

PrioritàAccount
1Email principale
2Password manager
3Banca online
4Broker, roboadvisor e piattaforme di investimento
5Account del telefono e del cloud: Apple, Google, Microsoft
6Account di acquisti con carte salvate
7Social e messaggistica

L'email principale dovrebbe venire prima perché è la porta di recupero di molti altri account.

Come applicarlo oggi

  1. Entra nelle impostazioni di sicurezza della tua email principale e cerca "verifica in due passaggi", "autenticazione a due fattori" o "autenticazione a più fattori".
  2. Attivala con un'app di autenticazione, una passkey o una chiave fisica se il servizio lo permette. Se c'è solo l'SMS, attiva l'SMS: è meglio di niente.
  3. Salva i codici di recupero. Sono i codici che ti permettono di rientrare se perdi il telefono, cambi dispositivo o hai un problema con l'app. Salvali in un password manager, in una copia stampata sicura o in un posto separato dal telefono.
  4. Ripeti il processo con la banca, il broker e il password manager.
  5. Controlla anche i dispositivi collegati e le sessioni aperte. Se vedi un dispositivo che non riconosci, chiudi la sessione e cambia la password.

Regole d'oro

  • Non condividere mai i codici 2FA.
  • Nessuna banca, broker, compagnia telefonica o servizio legittimo ti chiamerà per chiederti un codice di verifica.
  • Se ricevi un codice che non hai richiesto, non usarlo e controlla subito la sicurezza dell'account.
  • Non approvare notifiche push se non hai provato ad accedere tu.
  • Non entrare in banca da un link ricevuto via SMS o email. Apri sempre l'app ufficiale o scrivi tu l'indirizzo.
  • Se resti all'improvviso senza copertura mobile, verifica con il tuo operatore se c'è stato un duplicato della SIM.

Errori comuni

  • Proteggere la banca ma non l'email.
  • Usare l'SMS quando il servizio permette app di autenticazione, passkey o chiave fisica.
  • Non salvare i codici di recupero.
  • Approvare notifiche push per fretta o stanchezza.
  • Dare codici 2FA al telefono a qualcuno che dice di essere della banca.
  • Pensare che il 2FA elimini ogni rischio. Lo riduce molto, ma non sostituisce il buon senso.
  • Riutilizzare le password sugli account importanti.
  • Non proteggere il password manager con il 2FA.

Collegato con

Risorse

📚 ACN — Agenzia per la Cybersicurezza Nazionale. Le guide ufficiali italiane sulla protezione degli account e l'autenticazione a più fattori.

📚 Polizia Postale — Commissariato di PS online. Per segnalare frodi e incidenti informatici e trovare consigli di prevenzione.

📚 Banca d'Italia — Sicurezza nei pagamenti digitali. Raccomanda l'autenticazione forte e ricorda che nessun istituto deve chiederti password o codici completi per canali non sicuri.

📚 NIST — Digital Identity Guidelines (SP 800-63B). Considera limitato l'uso della rete telefonica (SMS o voce) come canale di autenticazione, per rischi come il duplicato della SIM, la portabilità o l'intercettazione.


Con il 2FA, rubarti la password non dovrebbe più bastare per rubarti l'account.


← Torna alla tavola