Cos'è l'autenticazione a due fattori (2FA)? (2026)

Le password vengono carpite con il phishing, divulgate e riutilizzate — ecco perché una password da sola non basta più a proteggere un account. L’autenticazione a due fattori (2FA) risolve la debolezza più grande richiedendo una seconda prova d’identità. Questa guida spiega cos’è la 2FA, i metodi dal più debole al più forte, i limiti onesti e come attivarla.

La definizione in breve

L’autenticazione a due fattori richiede due tipi diversi di prova per accedere: la tua password, più un secondo fattore che difficilmente un ladro possiede anch’esso. Anche se qualcuno ruba o indovina la tua password, viene fermato al secondo passaggio. A volte è chiamata verifica in due passaggi ed è la singola cosa più efficace che la maggior parte delle persone può fare per proteggere i propri account.

I tre tipi di fattore

I fattori di sicurezza rientrano in tre categorie, e la 2FA ne combina due:

• Qualcosa che sai — una password o un PIN.
• Qualcosa che hai — il tuo telefono, un’app di autenticazione o una chiave di sicurezza hardware.
• Qualcosa che sei — un dato biometrico come un’impronta digitale o una scansione del volto.

Usare due fattori di tipo diverso è ciò che lo rende efficace. Due password non sono due fattori; una password più un codice dal telefono sì.

Come funziona

Il flusso è semplice: inserisci la password come al solito, poi il servizio chiede un secondo fattore — un codice, un’approvazione tramite app o il tocco di una chiave di sicurezza. Solo quando entrambi risultano validi vieni fatto entrare. Poiché il secondo fattore è legato a un dispositivo che controlli fisicamente, un aggressore che ha soltanto la tua password resta escluso.

I metodi, dal più debole al più forte

Non tutte le 2FA sono uguali:

• Codici SMS — un codice inviato via messaggio al telefono. Meglio di niente, ma il più debole: vulnerabile agli attacchi SIM-swap, in cui un criminale trasferisce il tuo numero sul proprio dispositivo.
• App di autenticazione (TOTP) — app che generano offline un codice rotante a 6 cifre. Molto più sicure dell’SMS e ampiamente supportate.
• Approvazioni push — il servizio invia a un’app una richiesta del tipo “sei stato tu?”. Comodo, ma fai attenzione a non approvare alla cieca richieste che non hai avviato (una vera tecnica di attacco).
• Chiavi di sicurezza hardware — una chiave fisica (con FIDO2/WebAuthn) che tocchi o colleghi. L’opzione più forte e resistente al phishing perché la chiave verifica il sito reale.
• Biometria — impronta digitale o volto, che di solito sbloccano una chiave memorizzata sul tuo dispositivo.

Se un servizio lo consente, preferisci un’app di autenticazione o una chiave hardware all’SMS.

I limiti onesti

La 2FA è potente ma non è magia. I codici SMS possono essere intercettati tramite SIM-swap; le richieste push possono essere sfruttate se le approvi con leggerezza; e i codici di ripristino (i codici di backup che un servizio ti fornisce) devono essere conservati in modo sicuro, perché aggirano la 2FA per progettazione. Configura un metodo di backup per non rimanere chiuso fuori e conserva quei codici di ripristino in un luogo sicuro.

Un gestore di password rende la 2FA semplice

Molti gestori di password possono memorizzare i tuoi codici 2FA insieme alle credenziali, generando per te il codice TOTP rotante — così password robuste e un secondo fattore vivono in un unico luogo cifrato.

La conclusione onesta

L’autenticazione a due fattori è il passo di sicurezza dal valore più alto che la maggior parte delle persone non usa ancora ovunque. Attivala prima per la tua email e i conti finanziari — l’email è la chiave principale che reimposta tutto il resto — e preferisci un’app di autenticazione o una chiave hardware all’SMS. Tieni al sicuro i codici di backup, e una password divulgata smette di significare un account rubato.