2fa-authenticationINFO

La MFA puo essere aggirata? Come gli aggressori battono la 2FA nel 2026 (e cosa li ferma)

Si, la MFA comune puo essere aggirata: nel 2026 c'e stata un'impennata di kit di phishing che rubano token di sessione in tempo reale. Come gli attacchi adversary-in-the-middle battono la MFA via SMS, app e push, e perche le passkey sono resistenti al phishing.

Di Eric Gerard · Editor · PwdFortress4 min di letturaPhoto: Pexels

L'autenticazione a piu fattori e una delle migliori abitudini di sicurezza che puoi avere, quindi e inquietante sentire che gli aggressori riescono ad aggirarla. La risposta onesta alla domanda "la MFA puo essere aggirata?" e si, i tipi comuni possono esserlo, e nel 2026 sta accadendo su larga scala. Ma questo non e un motivo per abbandonare la MFA. E un motivo per capire quale tipo stai usando, perche la soluzione e reale e a portata di mano.

L'impennata del 2026

I ricercatori di sicurezza hanno segnalato un forte aumento dei kit di phishing progettati specificamente per sconfiggere la MFA. Toolkit con nomi come Tycoon 2FA e altri agiscono come proxy in tempo reale che raccolgono le sessioni di login mentre avvengono, e le segnalazioni hanno indicato un enorme balzo dell'attivita di phishing, nell'ordine di un aumento del 1.380% tra la fine del 2025 e l'inizio del 2026, guidato da kit economici di "phishing-as-a-service" assistiti dall'IA che permettono ad aggressori poco esperti di condurre campagne convincenti. La barriera per aggirare la MFA ordinaria si e abbassata, ed e per questo che vale la pena capirlo ora.

Come gli aggressori rubano la tua sessione (AiTM)

La tecnica principale e il phishing adversary-in-the-middle (AiTM), e la parte astuta e sgradevole e che la tua MFA in realta funziona: l'aggressore si limita a rubare il risultato.

Ecco il flusso. Fai clic su un link e atterri su una pagina di login falsa che in realta e un proxy in tempo reale verso il sito autentico. Digiti la tua password; il proxy la inoltra. Il sito reale chiede il tuo codice MFA; lo digiti, e il proxy inoltra anche quello. Superi la verifica, e il sito reale fa cio che fa sempre: restituisce un token di sessione, il cookie che ti mantiene loggato. Il proxy afferra quel token, e ora l'aggressore puo riprodurlo ed entrare direttamente nel tuo account, senza bisogno di password o codice. La tua MFA ha svolto il suo compito; loro hanno semplicemente intercettato la sessione che ha prodotto.

Altri modi in cui la MFA viene battuta

L'AiTM e il caso principale, ma non e l'unica strada:

  • Stanchezza da push (MFA bombing): l'aggressore, che ha gia la tua password, inonda il tuo telefono di richieste di approvazione finche non tocchi "approva" per abitudine o fastidio.
  • SIM swapping: un aggressore prende il controllo del tuo numero di telefono e riceve i tuoi codici SMS, ed e per questo che la MFA via messaggio di testo e il tipo piu debole.
  • Phishing del codice del dispositivo: vieni ingannato ad approvare un accesso che in realta sta autorizzando il dispositivo dell'aggressore.

Tessere di legno che compongono la parola phishing. I kit di phishing moderni non rubano solo le password: catturano la sessione dopo che hai superato la MFA.
Tessere di legno che compongono la parola phishing. I kit di phishing moderni non rubano solo le password: catturano la sessione dopo che hai superato la MFA.

Perche le passkey non possono essere phishate

Questa e la buona notizia, e la vera soluzione. Una passkey, basata sugli standard FIDO2 e WebAuthn, e legata crittograficamente all'esatto dominio per cui e stata creata. Se un proxy di phishing ti manda a un sito che somiglia a quello vero, la passkey non autentichera, perche il dominio non corrisponde. Non c'e nessun codice da leggere, e niente che un proxy possa inoltrare. Questo vincolo al dominio e proprio cio che l'AiTM non riesce ad aggirare, ed e il motivo per cui le passkey vengono descritte come resistenti al phishing, e per cui Google, Apple, Microsoft e le banche stanno spingendo le persone verso di esse. La nostra guida su se le passkey sono sicure approfondisce l'argomento.

Cosa fare concretamente

  • Tieni la MFA attiva ovunque. Blocca comunque la stragrande maggioranza degli attacchi: vedi cos'e la 2FA se ti servono le basi.
  • Abbandona l'SMS dove puoi. Preferisci un'app di autenticazione o una chiave di sicurezza hardware ai codici via messaggio di testo.
  • Adotta le passkey su ogni account che le offre. Questo e il singolo miglioramento piu grande contro l'AiTM.
  • Non approvare mai una richiesta che non hai avviato, e tratta con sospetto le pagine di login inaspettate. Questo e il comune phishing con un taglio piu affilato.
  • Usa un gestore di password. Compila le credenziali solo sul dominio reale, quindi su un sito che somiglia a quello vero il fatto che il riempimento automatico non compaia e un avvertimento discreto ma affidabile.

In conclusione: si, la MFA ordinaria puo essere aggirata, e nel 2026 viene aggirata molto, ma la risposta non e abbandonarla. Tieni la MFA attiva, abbandona l'SMS e passa alle passkey, che chiudono la porta attraverso cui passa il phishing adversary-in-the-middle.

Domande frequenti

La MFA puo essere aggirata?

Si, alcuni tipi possono esserlo. Le forme comuni di autenticazione a piu fattori (codici SMS, codici delle app di autenticazione e approvazioni push) possono essere sconfitte dal phishing moderno, e nel 2026 gli aggressori lo stanno facendo su larga scala. Ma questo non significa che la MFA sia inutile: blocca comunque la stragrande maggioranza degli attacchi, in particolare quelli basati solo sulla password. Il punto chiave e che non tutte le MFA sono uguali: la MFA ordinaria puo essere aggirata, mentre la MFA resistente al phishing (passkey e chiavi di sicurezza hardware) non puo esserlo, perche e legata al sito web reale e non puo essere inoltrata a uno falso.

Come fanno gli hacker ad aggirare la 2FA?

Il metodo principale nel 2026 e il phishing adversary-in-the-middle (AiTM). L'aggressore gestisce una pagina di login falsa che funge da proxy in tempo reale verso il sito reale. Inserisci la tua password e il tuo codice 2FA sulla pagina falsa, questa li passa al sito reale, e una volta superata la verifica il sito reale emette un token di sessione, che il proxy ruba. L'aggressore riproduce quel token ed e loggato senza aver piu bisogno della tua password o del tuo codice. Altri metodi includono la stanchezza da notifiche push (inondare di richieste di approvazione finche non tocchi si) e il SIM swapping per intercettare i codici SMS.

Questo significa che dovrei smettere di usare la MFA?

No, continua assolutamente a usarla. La MFA ferma comunque la stragrande maggioranza dei furti di account, in particolare gli attacchi automatizzati che si basano su password rubate o riutilizzate. Disattivarla ti renderebbe molto piu esposto, non meno. La risposta giusta e migliorare il tipo di MFA che usi: preferisci le app di autenticazione o le chiavi hardware all'SMS, e passa alle passkey ovunque siano offerte, perche colmano la lacuna che il phishing AiTM sfrutta.

Perche le passkey non possono essere phishate?

Una passkey (basata su FIDO2 e WebAuthn) e legata crittograficamente all'esatto dominio del sito web per cui e stata creata. Se un aggressore ti manda a un sito falso che le somiglia, la passkey semplicemente non rispondera, perche il dominio non corrisponde: non c'e nessun codice da digitare e niente che un proxy possa inoltrare. Questo vincolo al dominio e cio che rende le passkey resistenti al phishing, ed e il motivo per cui i grandi provider stanno spingendo tutti verso di esse.

Come mi proteggo dall'aggiramento della MFA?

Usa la MFA ovunque, ma miglioracela: disattiva l'SMS a favore di un'app di autenticazione o di una chiave hardware, e adotta le passkey su qualsiasi account che le supporti (banche, Google, Apple, Microsoft e altri). Non approvare mai una richiesta di login che non hai avviato personalmente, e sii sospettoso di qualsiasi pagina di accesso inaspettata. Anche un gestore di password aiuta: compila il tuo login solo sul dominio autentico, quindi se atterri su un sito di phishing che somiglia a quello vero, il fatto che il riempimento automatico non scatti in silenzio e un utile segnale di allarme.