Che cos'è la 2FA in parole semplici?

La 2FA (autenticazione a due fattori) significa dimostrare chi sei con due cose diverse invece di una sola. Il primo fattore è qualcosa che sai — la tua password. Il secondo è qualcosa che hai (un codice da un'app, una chiave hardware, un telefono) o qualcosa che sei (un'impronta digitale o il volto). Poiché un aggressore avrebbe bisogno di entrambi, una password rubata o indovinata da sola non basta più per accedere. È il singolo passo più efficace che la maggior parte delle persone può compiere per proteggere i propri account.

Quali sono i tipi di 2FA, dal più al meno sicuro?

Dal più forte al più debole: (1) chiavi di sicurezza hardware (FIDO2/passkey) — resistenti al phishing, lo standard di riferimento; (2) app di autenticazione (TOTP) — codici generati sul tuo dispositivo, senza bisogno di rete, molto più sicuri degli SMS; (3) notifiche push — comode ma vulnerabili allo spam di approvazioni 'MFA fatigue'; (4) codici SMS — meglio di niente, ma vulnerabili al SIM swapping e all'intercettazione. Usa un'app o una chiave hardware dove puoi e tieni gli SMS solo come ultima risorsa.

La 2FA è davvero necessaria se ho una password forte?

Sì. Una password forte e unica protegge da tentativi a indovinare e dal brute force, ma non ti protegge se quella password viene esposta in una violazione di dati, catturata dal phishing o rubata da un malware — tutte cose comuni. La 2FA aggiunge una seconda barriera che un aggressore di solito non può superare da remoto, così anche una password completamente compromessa non gli consegna il tuo account. Password forti e 2FA lavorano insieme; nessuna delle due sostituisce l'altra.

La 2FA via SMS è sicura?

È molto meglio di nessuna 2FA, ma è il metodo comune più debole. I codici SMS possono essere intercettati, e gli aggressori usano il SIM swapping (ingannando il tuo operatore per spostare il tuo numero sulla loro SIM) per ricevere i tuoi codici. Per gli account di alto valore (email, banca, password manager) preferisci un'app di autenticazione o una chiave di sicurezza hardware. Tieni gli SMS solo per i servizi che non offrono nient'altro.

Cosa succede se perdo il mio dispositivo 2FA?

Ecco perché il backup è importante. Quando attivi la 2FA, i servizi ti forniscono codici di recupero monouso — conservali in un posto sicuro (idealmente nel tuo password manager). Le app di autenticazione offrono sempre più spesso backup cifrato o sincronizzazione multi-dispositivo, così un telefono perso non ti blocca fuori. Per le chiavi hardware, registra una seconda chiave come backup. Imposta il recupero prima di averne bisogno; senza di esso, perdere il tuo unico secondo fattore può significare perdere l'accesso all'account.

Che cos'è la 2FA? L'autenticazione a due fattori spiegata (2026)

Se quest'anno fai una sola cosa per mettere in sicurezza i tuoi account, fai in modo che sia la 2FA. L'autenticazione a due fattori aggiunge un secondo lucchetto ai tuoi accessi, così che una password rubata — il modo di gran lunga più comune in cui gli account vengono dirottati — non basti più per entrare. Questa guida spiega che cos'è la 2FA, i tipi ordinati in base a quanto sono sicuri e come attivarla.

La risposta breve

2FA = dimostrare la tua identità con due fattori diversi, non solo una password.
I fattori: qualcosa che sai (password) + qualcosa che hai (codice da app, chiave hardware, telefono) o qualcosa che sei (impronta/volto).
Significa che una password rubata da sola non può accedere — il passo di sicurezza con il maggior impatto per la maggior parte delle persone.
Metodi migliori: chiave hardware o app di autenticazione; evita di affidarti agli SMS dove puoi.

Cosa significano davvero "due fattori"

I fattori di autenticazione rientrano in tre categorie, e la 2FA ne combina due diverse:

Qualcosa che sai — una password o un PIN.
Qualcosa che hai — un codice da un'app di autenticazione, una chiave di sicurezza hardware o il tuo telefono.
Qualcosa che sei — una scansione dell'impronta o del volto.

Due password non sono 2FA (stessa categoria). Una password più un codice da app lo è, perché un aggressore dovrebbe superare due cose indipendenti. È tutto qui il guadagno di sicurezza.

2FA, MFA, verifica in due passaggi — la stessa cosa?

I termini si sovrappongono, e vale la pena conoscere le distinzioni:

2FA (autenticazione a due fattori) — esattamente due fattori di due categorie diverse.
MFA (autenticazione a più fattori) — due o più; la 2FA è la forma più comune di MFA.
Verifica in due passaggi — un termine commerciale che i servizi usano; di solito significa 2FA, anche se alcuni "passaggi" tecnicamente usano la stessa categoria (es. una password e poi un codice via email), il che è leggermente più debole di due fattori davvero indipendenti.

Nell'uso quotidiano puoi trattarli come lo stesso obiettivo: più di una semplice password. Ciò che conta molto più dell'etichetta è quale secondo fattore scegli — è questo a decidere quanta protezione reale ottieni.

I tipi di 2FA, ordinati per sicurezza

Chiavi di sicurezza hardware (FIDO2 / passkey) — le più forti. Resistenti al phishing a livello crittografico: persino un sito falso perfetto non può catturare un codice riutilizzabile. Vedi che cos'è una passkey.
App di autenticazione (TOTP) — un codice a 6 cifre che cambia ogni 30 secondi, generato sul tuo dispositivo senza bisogno di rete. Molto più sicuro degli SMS e la scelta predefinita migliore per la maggior parte degli account.
Notifiche push — tocca "approva" sul tuo telefono. Comode, ma vulnerabili all'"MFA fatigue" (gli aggressori spammano le approvazioni sperando che tu tocchi sì).
Codici SMS — meglio di niente, ma i più deboli: vulnerabili al SIM swapping e all'intercettazione.

Un telefono tenuto in mano — il tuo telefono è il fattore "qualcosa che hai" nella maggior parte delle configurazioni 2FA di tutti i giorni.

Come gli aggressori provano a battere la 2FA — e come stare un passo avanti

La 2FA è potente, non magica. Conoscere i veri metodi di attacco ti dice quale fattore scegliere:

Attacchi di phishing in tempo reale (relay). Una pagina di accesso falsa inoltra istantaneamente la tua password e il codice che digiti al sito reale. Questo sconfigge SMS, codici da app e push — ma non le chiavi hardware/passkey, che sono vincolate all'indirizzo del sito reale e semplicemente non si autenticano su quello falso.
MFA fatigue. Gli aggressori che hanno già la tua password spammano le approvazioni push finché non tocchi "sì" per esasperazione. Non approvare mai una richiesta che non hai avviato; sposta gli account di alto valore su codici o chiavi.
SIM swapping. Un criminale convince il tuo operatore a spostare il tuo numero sulla sua SIM e riceve i tuoi codici SMS. È il motivo principale per evitare gli SMS per email, banca e password manager.

Il filo conduttore: i fattori resistenti al phishing (chiavi hardware FIDO2 e passkey) battono ogni attacco da remoto sopra elencato. Se un account li supporta, usali; in caso contrario, un'app di autenticazione è la solida scelta predefinita, e gli SMS solo come ultima risorsa.

Come attivare la 2FA

Bastano due minuti per account:

Vai alle impostazioni Sicurezza / Accesso dell'account e cerca "due fattori" o "verifica in due passaggi".
Scegli app di autenticazione (o una chiave hardware) anziché gli SMS, se disponibile.
Scansiona il codice QR con la tua app di autenticazione, poi inserisci il codice che mostra per confermare.
Salva i codici di recupero in un posto sicuro — idealmente nel tuo password manager.

Dai priorità prima alla tua email (può reimpostare tutto il resto), poi al tuo password manager, alla banca e agli account social.

Conserva i codici 2FA e le chiavi di recupero in sicurezza — BitwardenPassword manager open source e sottoposto ad audit, con TOTP integrato e note sicure per i tuoi codici di recupero→

In conclusione

La 2FA significa accedere con due prove diverse invece di una, così che una password rubata non possa aprire il tuo account da sola. Attivala ovunque sia importante, preferisci un'app di autenticazione o una chiave hardware agli SMS e salva i tuoi codici di recupero prima di averne bisogno. È l'abitudine di sicurezza con il maggior ritorno che ci sia — inizia oggi dalla tua email. Poi confronta le migliori app di autenticazione e scopri come le passkey portano la 2FA un passo più avanti.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Un gestore con 2FA e passkey integrate → NordPassSalva TOTP e passkey · XChaCha20 · piano gratuito→