Che cos'è un'app di autenticazione a due fattori?

Un'app di autenticazione a due fattori (chiamata anche app authenticator o app TOTP) genera codici a 6 cifre a tempo limitato che fungono da secondo fattore di accesso. Dopo aver inserito la password, apri l'app e digiti il codice mostrato — valido solo per 30 secondi. Poiché il codice è calcolato localmente sul tuo dispositivo (senza bisogno di internet), è immune agli attacchi SIM swap che sconfiggono la 2FA basata su SMS.

Un'app 2FA protegge dal phishing?

In parte. Un'app TOTP protegge completamente dal **SIM swapping** (dirottamento del numero di telefono) ma rimane vulnerabile al phishing in tempo reale: una pagina falsa può inoltrare il tuo codice a 6 cifre a un aggressore entro la sua finestra di 30 secondi. Una protezione completa dal phishing richiede una **chiave hardware FIDO2** (YubiKey, passkey) che vincoli crittograficamente l'autenticazione al dominio legittimo — impossibile da inoltrare. Il TOTP è di gran lunga superiore agli SMS, ma non è lo scudo definitivo.

Un'app 2FA è più sicura della verifica via SMS?

Sì, in modo significativo. I codici SMS viaggiano sulla rete del tuo operatore telefonico e possono essere intercettati tramite SIM swapping — un attacco in cui i truffatori trasferiscono il tuo numero su una SIM che controllano. Un'app authenticator TOTP calcola i codici localmente usando una chiave segreta memorizzata sul tuo dispositivo. Non è coinvolta alcuna rete dell'operatore, quindi il SIM swapping è irrilevante. L'unico rischio residuo è il phishing in tempo reale, ed è per questo che le chiavi di sicurezza hardware (FIDO2) sono ancora più solide.

Qual è la migliore app di autenticazione a due fattori nel 2026?

Per Android con la massima privacy: **Aegis** (vault locale AES-256, open source, zero cloud). Per l'uso mainstream su iOS + Android: **Proton Authenticator** o **Bitwarden Authenticator** (entrambe open source, sincronizzazione E2EE). Per un'esperienza di TOTP integrato nel password manager: **Bitwarden Premium** o **Proton Pass Plus** memorizzano il TOTP insieme alle tue password. Per la semplicità: **2FAS** (open source, backup su iCloud/Google Drive).

Posso memorizzare i codici TOTP nel mio password manager?

Sì. **Bitwarden Premium** (10 $/anno) e **Proton Pass Plus** (1,99 €/mese) memorizzano entrambi i seed TOTP insieme alle tue credenziali di accesso e compilano automaticamente il codice a 6 cifre. È comodo e sicuro perché il vault è E2EE. Il compromesso di sicurezza: combinare password e TOTP nella stessa app fa collassare due fattori in un unico punto di violazione. Per gli account di alto valore (banca, email), tieni il TOTP in un'app separata.

Cosa succede ai miei codici 2FA se perdo il telefono?

Senza backup perdi l'accesso a ogni account protetto dalla 2FA — il recupero significa contattare ogni servizio singolarmente. Con un backup cifrato configurato (tutte le app serie lo supportano), ripristini i tuoi codici su un nuovo telefono in meno di cinque minuti. La regola: attiva il backup cifrato *prima* di abilitare la 2FA su qualsiasi account critico.

App di autenticazione a due fattori: guida completa 2026 (TOTP vs SMS, app migliori)

L'autenticazione a due fattori tramite app esiste per colmare una lacuna molto concreta: la 2FA basata su SMS resta vulnerabile al SIM swapping, un attacco in cui un truffatore fa portare il tuo numero di telefono sulla propria SIM per intercettare i tuoi codici. Una volta dirottato il numero, prosciugare un account può richiedere appena pochi minuti, mentre il recupero dal lato della vittima può richiedere settimane. Un'app authenticator elimina questa dipendenza dalla rete mobile.

Questa guida illustra cosa fa davvero un'app 2FA a livello di protocollo, perché batte gli SMS e quali app meritano spazio sulla tua schermata principale nel 2026.

01 — Come funziona un'app di autenticazione a due fattori?

Un'app 2FA genera un codice a 6 cifre valido per 30 secondi, calcolato localmente sul tuo dispositivo. Funziona in 3 passaggi: (1) durante la configurazione, il sito codifica una chiave segreta a 160 bit in un codice QR che scansioni; (2) ogni 30 secondi l'app calcola HMAC-SHA1(secret_key, timestamp/30) — lo stesso calcolo che esegue il server; (3) inserisci il codice all'accesso e il server lo verifica. Nessun internet richiesto: tutto avviene offline. È lo standard TOTP (RFC 6238), identico in tutte le app authenticator.

02 — Cosa fa realmente un'app di autenticazione a due fattori

Il termine "autenticazione a due fattori" significa che dimostri la tua identità usando due fattori distinti:

Qualcosa che sai — la tua password
Qualcosa che hai — un dispositivo (il tuo telefono che esegue l'app)

Quando abiliti la 2FA su un sito web, questo genera una chiave segreta a 160 bit e la codifica in un codice QR. Scansioni il QR con la tua app authenticator; la chiave segreta viene memorizzata cifrata sul tuo dispositivo. Da quel momento in poi, ogni 30 secondi, la tua app e il server del sito eseguono un calcolo identico:

codice TOTP = HMAC-SHA1(secret_key, floor(Unix_timestamp / 30))

Entrambe le parti calcolano lo stesso numero a 6 cifre. Quando invii il tuo codice all'accesso, il server controlla se corrisponde. È lo standard TOTP (Time-based One-Time Password, RFC 6238, pubblicato nel 2011) — lo stesso algoritmo che gira in ogni app authenticator sul mercato.

Il dettaglio cruciale: il codice è calcolato localmente. La tua app non chiama alcun server, non usa una connessione di rete e non contatta alcuna azienda. Se il tuo telefono è in modalità aereo dentro un bunker, il codice si genera comunque correttamente.

02 — Perché le app 2FA battono la verifica via SMS

La 2FA via SMS era una soluzione ragionevole nel 2012. Nel 2026 è il metodo 2FA più debole ancora ampiamente in uso.

L'attacco SIM swap:

Un SIM swap avviene quando un aggressore chiama il tuo operatore telefonico, finge di essere te e convince l'addetto al servizio clienti a trasferire il tuo numero su una nuova SIM che controlla. L'aggressore ora riceve ogni SMS inviato al tuo numero — compresi i tuoi codici 2FA.

Gli attacchi SIM swap non richiedono alcuna abilità tecnica. Sfruttano l'ingegneria sociale umana a livello di operatore. L'FBI ha ricevuto oltre 1.600 denunce di SIM swap nel solo 2023, con perdite superiori a 68 milioni di dollari.

La scala di sicurezza dei metodi 2FA:

Metodo	Resistente al SIM swap	Resistente al phishing	Funziona offline
FIDO2 / Passkey	Sì	Sì	Sì
App TOTP (authenticator)	Sì	Parziale	Sì
Notifica push	Sì	Parziale	No
OTP via SMS	No	No	No
OTP via email	No	No	No

Il TOTP non è a prova di phishing — una pagina di phishing in tempo reale ben realizzata può inoltrare il tuo codice all'aggressore entro la sua finestra di 30 secondi. Le chiavi hardware (FIDO2) eliminano questo problema vincolando crittograficamente l'autenticazione al dominio legittimo. Ma il TOTP è enormemente migliore degli SMS e non costa nulla da usare. È il pavimento, non il soffitto, della moderna sicurezza degli account.

Per il confronto completo che include le chiavi hardware, vedi la nostra guida completa a YubiKey FIDO2.

03 — Tabella comparativa: migliori app di autenticazione a due fattori 2026

Righe di codice sorgente su uno schermo scuro

App	Piattaforma	Open source	Sincronizzazione cloud	Backup	Gratuita
Aegis	Solo Android	Sì (GPL3)	No (locale)	Cifrato manuale	Sì
Proton Authenticator	iOS + Android	Sì (GPL3)	Sì (E2EE Proton)	Sì	Sì
Bitwarden Authenticator	iOS + Android	Sì (GPL3)	Sì (E2EE BW)	Sì	Sì
2FAS	iOS + Android	Sì (Apache 2)	Sì (iCloud/GDrive)	Sì	Sì
Ente Auth	iOS + Android + Desktop	Sì (AGPL3)	Sì (E2EE Ente)	Sì	Sì (3 GB gratis)
Google Authenticator	iOS + Android	No	Sì (E2EE Google)	Sì	Sì
Authy	iOS + Android	No	Sì (AES-256)	Sì	Sì

Ogni app in questa tabella è completamente gratuita. Nessun paywall per la generazione del TOTP.

04 — In profondità: ogni app che vale la pena conoscere

Aegis Authenticator

Aegis è la scelta di riferimento per gli utenti Android che non vogliono alcuna dipendenza dal cloud. Il vault è cifrato AES-256 a riposo. I backup sono manuali ma totalmente controllati dall'utente — esporti un file JSON cifrato e lo conservi dove vuoi (disco locale, Syncthing, il tuo S3 personale). Open source GPL3, sottoposto ad audit nel 2023 da Cure53.

Per chi è: utenti Android esperti, persone attente alla privacy, chiunque diffidi del tutto dei servizi cloud.

Limite: solo Android. Non esiste una versione iOS e non ci sarà mai — gli sviluppatori lo hanno detto esplicitamente.

Proton Authenticator

Lanciata nel 2023 come parte del più ampio ecosistema Proton (Pass, Mail, VPN, Drive). L'app memorizza i seed TOTP con sincronizzazione E2EE tramite il tuo account Proton — la stessa architettura zero-knowledge che Proton Mail usa dal 2014. Disponibile su iOS e Android, open source GPL3.

Se usi già Proton Pass come password manager, Proton Authenticator ti offre un'app complementare nello stesso ecosistema di sicurezza senza mescolare password e TOTP in un unico vault.

Per chi è: utenti dell'ecosistema Proton, utenti iOS che vogliono open source + sincronizzazione, persone che migrano via dai servizi Google.

Bitwarden Authenticator

Un'app autonoma lanciata da Bitwarden nel 2023 — separata dal password manager per scelta progettuale. Sincronizzazione E2EE tramite account Bitwarden, open source GPL3, importa da Google Authenticator e Authy. Interfaccia pulita.

Bitwarden offre anche la memorizzazione del TOTP all'interno del vault principale del password manager (Bitwarden Premium, 10 $/anno). È comodo ma fa collassare due fattori in un unico vault — accettabile per gli account di routine, sconsigliato per banca o email. Vedi la nostra recensione di Bitwarden per il quadro completo.

Per chi è: utenti Bitwarden esistenti, chiunque voglia una sincronizzazione open source multipiattaforma.

2FAS Authenticator

2FAS è un progetto open source polacco (licenza Apache 2) che esegue il backup tramite iCloud (iOS) o Google Drive (Android) — nessun account 2FAS richiesto. L'estensione del browser ti permette di approvare le richieste TOTP dal desktop con un push al telefono. Interfaccia minimalista, veloce, affidabile.

Per chi è: utenti che vogliono la configurazione più semplice possibile, senza nuovi account da creare.

Ente Auth

Ente Auth è il complemento authenticator di Ente Photos, costruito sulla stessa architettura E2EE. Davvero multipiattaforma (iOS, Android, Windows, macOS, Linux, app web). Open source con licenza AGPL3. Il piano gratuito include 3 GB di spazio per Ente Photos + Auth combinati.

Per chi è: utenti desktop esperti che vogliono il TOTP accessibile su tutti i dispositivi, PC incluso, e gli appassionati di Linux.

05 — TOTP integrato: password manager o app separata?

Bitwarden Premium (10 $/anno) e Proton Pass Plus (1,99 €/mese) supportano entrambi la memorizzazione dei seed TOTP direttamente nel vault delle password. Quando compili automaticamente un accesso, il codice TOTP viene copiato in automatico.

Argomenti a favore del TOTP integrato:

Una sola app da gestire
Copia automatica del codice all'accesso
Backup cifrato incluso con il vault

Argomenti contro:

Se il vault del tuo password manager viene compromesso, l'aggressore ottiene contemporaneamente sia la tua password sia il tuo codice TOTP — eliminando il fattore "qualcosa che hai"
Per gli account di alto valore (email principale, banca, crypto), la difesa in profondità raccomanda comunque app separate

Raccomandazione pratica: usa il TOTP integrato per gli account di routine (e-commerce, abbonamenti, forum). Usa un'app dedicata (Aegis, Proton Auth, 2FAS) per tutto ciò in cui una violazione causerebbe danni seri.

Per una valutazione completa di quale password manager meriti la tua fiducia per l'integrazione del TOTP, il nostro confronto dei password manager 2026 copre prezzi, architettura e audit di sicurezza di tutte le principali opzioni.

06 — Guida alla configurazione: attivare la 2FA su qualsiasi account (passo dopo passo)

Il processo è identico per ogni sito web e ogni app:

Vai alle impostazioni di sicurezza sul sito web di destinazione (di solito sotto Account → Sicurezza → Autenticazione a due fattori)
Scegli "App authenticator" — non SMS, non email
Appare un codice QR che contiene la tua chiave segreta
Apri la tua app authenticator → tocca + o Aggiungi account
Scansiona il codice QR — l'account appare subito nella tua app
Inserisci il codice a 6 cifre mostrato nell'app per confermare la configurazione
Salva i tuoi codici di recupero — la maggior parte dei siti ti dà 8-10 codici di backup per il recupero dell'account se perdi il telefono. Conservali nel tuo password manager o stampali

Dopo la configurazione: testa il codice disconnettendoti e riconnettendoti prima di chiudere il browser.

07 — Cosa fare se perdi il telefono

Se hai un backup cifrato configurato (Aegis, Proton Auth, Bitwarden Auth, 2FAS, Ente Auth):

Installa l'app sul tuo nuovo telefono
Ripristina dal tuo backup cifrato
Tutti i codici sono di nuovo lì — in genere in meno di cinque minuti

Se non hai backup:

Usa i codici di backup/recupero che hai salvato durante la configurazione (ecco perché salvarli è importante)
Contatta il team di supporto di ogni servizio per disabilitare la 2FA e riottenere l'accesso
Aspettati un processo di verifica da ore a giorni per ogni servizio

Se non hai né backup né codici di recupero:

La maggior parte dei servizi richiede la verifica dell'identità (documento d'identità, dati di fatturazione, verifica via email)
Alcuni recupereranno l'account. Altri (gli exchange di criptovalute, per esempio) potrebbero non farlo

La lezione: configura il backup cifrato il primo giorno. Non il secondo.

PwdFortress recensisce gli strumenti di sicurezza in modo indipendente. I link a Proton Pass e Bitwarden sono link di affiliazione — non ti costano nulla in più e aiutano a finanziare questo sito. NordPass, citato negli articoli correlati, è anch'esso un partner del sito. Queste partnership non influenzano mai quali app raccomandiamo o come le valutiamo.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Un gestore con 2FA e passkey integrate → NordPassSalva TOTP e passkey · XChaCha20 · piano gratuito→