L'autenticazione a piu fattori e una delle migliori abitudini di sicurezza che puoi avere, quindi e inquietante sentire che gli aggressori riescono ad aggirarla. La risposta onesta alla domanda "la MFA puo essere aggirata?" e si, i tipi comuni possono esserlo, e nel 2026 sta accadendo su larga scala. Ma questo non e un motivo per abbandonare la MFA. E un motivo per capire quale tipo stai usando, perche la soluzione e reale e a portata di mano.
L'impennata del 2026
I ricercatori di sicurezza hanno segnalato un forte aumento dei kit di phishing progettati specificamente per sconfiggere la MFA. Toolkit con nomi come Tycoon 2FA e altri agiscono come proxy in tempo reale che raccolgono le sessioni di login mentre avvengono, e le segnalazioni hanno indicato un enorme balzo dell'attivita di phishing, nell'ordine di un aumento del 1.380% tra la fine del 2025 e l'inizio del 2026, guidato da kit economici di "phishing-as-a-service" assistiti dall'IA che permettono ad aggressori poco esperti di condurre campagne convincenti. La barriera per aggirare la MFA ordinaria si e abbassata, ed e per questo che vale la pena capirlo ora.
Come gli aggressori rubano la tua sessione (AiTM)
La tecnica principale e il phishing adversary-in-the-middle (AiTM), e la parte astuta e sgradevole e che la tua MFA in realta funziona: l'aggressore si limita a rubare il risultato.
Ecco il flusso. Fai clic su un link e atterri su una pagina di login falsa che in realta e un proxy in tempo reale verso il sito autentico. Digiti la tua password; il proxy la inoltra. Il sito reale chiede il tuo codice MFA; lo digiti, e il proxy inoltra anche quello. Superi la verifica, e il sito reale fa cio che fa sempre: restituisce un token di sessione, il cookie che ti mantiene loggato. Il proxy afferra quel token, e ora l'aggressore puo riprodurlo ed entrare direttamente nel tuo account, senza bisogno di password o codice. La tua MFA ha svolto il suo compito; loro hanno semplicemente intercettato la sessione che ha prodotto.
Altri modi in cui la MFA viene battuta
L'AiTM e il caso principale, ma non e l'unica strada:
- Stanchezza da push (MFA bombing): l'aggressore, che ha gia la tua password, inonda il tuo telefono di richieste di approvazione finche non tocchi "approva" per abitudine o fastidio.
- SIM swapping: un aggressore prende il controllo del tuo numero di telefono e riceve i tuoi codici SMS, ed e per questo che la MFA via messaggio di testo e il tipo piu debole.
- Phishing del codice del dispositivo: vieni ingannato ad approvare un accesso che in realta sta autorizzando il dispositivo dell'aggressore.

Perche le passkey non possono essere phishate
Questa e la buona notizia, e la vera soluzione. Una passkey, basata sugli standard FIDO2 e WebAuthn, e legata crittograficamente all'esatto dominio per cui e stata creata. Se un proxy di phishing ti manda a un sito che somiglia a quello vero, la passkey non autentichera, perche il dominio non corrisponde. Non c'e nessun codice da leggere, e niente che un proxy possa inoltrare. Questo vincolo al dominio e proprio cio che l'AiTM non riesce ad aggirare, ed e il motivo per cui le passkey vengono descritte come resistenti al phishing, e per cui Google, Apple, Microsoft e le banche stanno spingendo le persone verso di esse. La nostra guida su se le passkey sono sicure approfondisce l'argomento.
Cosa fare concretamente
- Tieni la MFA attiva ovunque. Blocca comunque la stragrande maggioranza degli attacchi: vedi cos'e la 2FA se ti servono le basi.
- Abbandona l'SMS dove puoi. Preferisci un'app di autenticazione o una chiave di sicurezza hardware ai codici via messaggio di testo.
- Adotta le passkey su ogni account che le offre. Questo e il singolo miglioramento piu grande contro l'AiTM.
- Non approvare mai una richiesta che non hai avviato, e tratta con sospetto le pagine di login inaspettate. Questo e il comune phishing con un taglio piu affilato.
- Usa un gestore di password. Compila le credenziali solo sul dominio reale, quindi su un sito che somiglia a quello vero il fatto che il riempimento automatico non compaia e un avvertimento discreto ma affidabile.
In conclusione: si, la MFA ordinaria puo essere aggirata, e nel 2026 viene aggirata molto, ma la risposta non e abbandonarla. Tieni la MFA attiva, abbandona l'SMS e passa alle passkey, che chiudono la porta attraverso cui passa il phishing adversary-in-the-middle.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Un gestore con 2FA e passkey integrate → NordPassSalva TOTP e passkey · XChaCha20 · piano gratuito→Domande frequenti
La MFA puo essere aggirata?
Si, alcuni tipi possono esserlo. Le forme comuni di autenticazione a piu fattori (codici SMS, codici delle app di autenticazione e approvazioni push) possono essere sconfitte dal phishing moderno, e nel 2026 gli aggressori lo stanno facendo su larga scala. Ma questo non significa che la MFA sia inutile: blocca comunque la stragrande maggioranza degli attacchi, in particolare quelli basati solo sulla password. Il punto chiave e che non tutte le MFA sono uguali: la MFA ordinaria puo essere aggirata, mentre la MFA resistente al phishing (passkey e chiavi di sicurezza hardware) non puo esserlo, perche e legata al sito web reale e non puo essere inoltrata a uno falso.
Come fanno gli hacker ad aggirare la 2FA?
Il metodo principale nel 2026 e il phishing adversary-in-the-middle (AiTM). L'aggressore gestisce una pagina di login falsa che funge da proxy in tempo reale verso il sito reale. Inserisci la tua password e il tuo codice 2FA sulla pagina falsa, questa li passa al sito reale, e una volta superata la verifica il sito reale emette un token di sessione, che il proxy ruba. L'aggressore riproduce quel token ed e loggato senza aver piu bisogno della tua password o del tuo codice. Altri metodi includono la stanchezza da notifiche push (inondare di richieste di approvazione finche non tocchi si) e il SIM swapping per intercettare i codici SMS.
Questo significa che dovrei smettere di usare la MFA?
No, continua assolutamente a usarla. La MFA ferma comunque la stragrande maggioranza dei furti di account, in particolare gli attacchi automatizzati che si basano su password rubate o riutilizzate. Disattivarla ti renderebbe molto piu esposto, non meno. La risposta giusta e migliorare il tipo di MFA che usi: preferisci le app di autenticazione o le chiavi hardware all'SMS, e passa alle passkey ovunque siano offerte, perche colmano la lacuna che il phishing AiTM sfrutta.
Perche le passkey non possono essere phishate?
Una passkey (basata su FIDO2 e WebAuthn) e legata crittograficamente all'esatto dominio del sito web per cui e stata creata. Se un aggressore ti manda a un sito falso che le somiglia, la passkey semplicemente non rispondera, perche il dominio non corrisponde: non c'e nessun codice da digitare e niente che un proxy possa inoltrare. Questo vincolo al dominio e cio che rende le passkey resistenti al phishing, ed e il motivo per cui i grandi provider stanno spingendo tutti verso di esse.
Come mi proteggo dall'aggiramento della MFA?
Usa la MFA ovunque, ma miglioracela: disattiva l'SMS a favore di un'app di autenticazione o di una chiave hardware, e adotta le passkey su qualsiasi account che le supporti (banche, Google, Apple, Microsoft e altri). Non approvare mai una richiesta di login che non hai avviato personalmente, e sii sospettoso di qualsiasi pagina di accesso inaspettata. Anche un gestore di password aiuta: compila il tuo login solo sul dominio autentico, quindi se atterri su un sito di phishing che somiglia a quello vero, il fatto che il riempimento automatico non scatti in silenzio e un utile segnale di allarme.

