MFA: Perché l'autenticazione a due fattori non è più opzionale per la PMI

Nel panorama attuale della cybersecurity, fare affidamento esclusivamente su una password, per quanto complessa, equivale a lasciare la porta di casa chiusa solo con una catenella sottile. Per un'impresa italiana, l'identità digitale degli attori aziendali — dipendenti, amministratori e collaboratori esterni — è diventata il perimetro da difendere. L'autenticazione a più fattori (MFA) non è più una funzione accessoria o una scoccatura tecnologica, ma il requisito minimo di sopravvivenza digitale.

La vulnerabilità della singola password e il limite degli SMS

Negli ultimi anni, le tecniche di attacco sono diventate industriali. Il furto di credenziali avviene tramite campagne di phishing mirate o database acquistati nel dark web a seguito di violazioni subite da servizi terzi. Una volta ottenuta la password, un criminale informatico ha libero accesso a email aziendali, documenti riservati e conti correnti. L'MFA interrompe questa catena aggiungendo un secondo livello di verifica: qualcosa che l'utente sa (la password) e qualcosa che l'utente ha o è.

Tuttavia, non tutte le forme di MFA sono uguali. Molte aziende utilizzano ancora i codici inviati via SMS. Sebbene siano meglio di nulla, l'invio di codici tramite rete cellulare è vulnerabile a tecniche come il "SIM Swapping", dove l'attaccante convince l'operatore telefonico a trasferire il numero della vittima su una nuova SIM, intercettando così i messaggi di sicurezza. Per una sicurezza reale, la transizione verso sistemi più robusti è ormai obbligatoria.

Dalle App TOTP alle Passkey: l'evoluzione della sicurezza

Il passo successivo rispetto agli SMS è l'utilizzo di applicazioni autenticatrici (come Google Authenticator o Microsoft Authenticator) che generano codici temporanei (TOTP - Time-based One-Time Password). Questi codici cambiano ogni 30 secondi e non viaggiano sulla rete telefonica, riducendo drasticamente i punti di attacco.

La vera rivoluzione oggi è però rappresentata dalle Passkey. Basate su standard aperti (FIDO2), le passkey sostituiscono del tutto la password con una coppia di chiavi crittografiche memorizzate sul dispositivo dell'utente. L'accesso avviene tramite biometria (impronta digitale o riconoscimento facciale) o un PIN locale. Questo metodo è immune al phishing: un utente non può inserire una passkey su un sito falso perché il dispositivo la rilascerà solo al sito legittimo con cui è stata creata. Per un responsabile IT di una PMI, promuovere l'uso delle passkey significa ridurre i costi di assistenza per il reset delle chiavi e aumentare esponenzialmente il livello di difesa.

La gestione dell'emergenza: Recovery Codes e continuità operativa

Un timore comune tra gli imprenditori è il "lockout": cosa succede se un dipendente perde il telefono aziendale su cui è installata l'MFA? È qui che entra in gioco la strategia dei codici di recupero (Recovery Codes). Si tratta di stringhe alfanumeriche univoche da conservare in un luogo sicuro e offline (o in un gestore di password aziendale condiviso solo tra pochi responsabili).

Integrare questi protocolli nei processi aziendali non solo garantisce la continuità operativa in caso di smarrimento dei dispositivi, ma definisce una governance chiara degli accessi, fondamentale anche in ottica di conformità GDPR e per l'ottenimento di polizze assicurative contro i rischi cyber.

Takeaway per la tua PMI

• Abbandona gli SMS: Migra l'autenticazione aziendale verso App TOTP o, preferibilmente, verso le Passkey per neutralizzare il phishing.
• Centralizza la gestione: Utilizza un Identity Provider (come Microsoft 365 o Google Workspace) per imporre l'obbligo di MFA a tutti i collaboratori.
• Pianifica il recupero: Assicurati che ogni account critico abbia codici di recupero generati e archiviati in modo sicuro, evitando di dover forzare gli account in emergenza.
• Forma il personale: Spiega ai dipendenti che l'MFA non è un ostacolo alla produttività, ma l'unico modo per proteggere il loro lavoro e la reputazione dell'azienda.

Implementare l'autenticazione a due fattori oggi non richiede investimenti hardware proibitivi, ma solo un cambio di mentalità culturale. Investire dieci secondi in più per un accesso sicuro può risparmiare all'azienda settimane di fermo operativo e migliaia di euro in danni da data breach.