L’Autenticazione a più fattori è oggi il baricentro della sicurezza applicativa e d’accesso: aggiunge uno o più controlli oltre la password (conoscenza, possesso, biometria) e riduce in modo sostanziale il rischio di compromissione degli account, specialmente in scenari cloud e lavoro ibrido. Non è solo “un secondo step”: è un modo di verificare l’identità più solido e coerente con le minacce attuali.
Negli ultimi anni l’evoluzione è stata netta: dalle OTP via SMS si è passati a metodi resistenti al phishing (chiavi FIDO2, passkey, smart card) e a logiche adattive che alzano o abbassano l’attrito in base al rischio del contesto.
L’obiettivo è doppio: ridurre gli attacchi man-in-the-middle e di credential-stuffing, mantenendo una buona esperienza d’uso per chi lavora ogni giorno nei sistemi aziendali.
Le raccomandazioni dei principali standard e vendor convergono: per gli account privilegiati, richiedere MFA resistente al phishing è la scelta più efficace.
In Innovio si osserva questa transizione con un approccio pragmatico: policy chiare, integrazione con i sistemi IAM/SSO esistenti, attenzione a log e audit trail, e adozione di metodi MFA che bilancino sicurezza, usabilità e costi.
Entriamo nel dettaglio e vediamo insieme l’utilità dell’MFA per le aziende.
Cos’è la Multi Factor Authentication (MFA) e perché conta per la sicurezza aziendale?
L’Autenticazione a più fattori (MFA, Multi Factor Authentication) è un meccanismo di verifica dell’identità che richiede almeno due fattori distinti (conoscenza, possesso, caratteristica personale) per autorizzare l’accesso a sistemi e dati.
In ambito aziendale riduce in modo significativo la superficie di attacco: anche se una password viene esposta, non è sufficiente per violare l’account.
Per le imprese, la MFA è un controllo di base dei programmi di gestione delle identità e degli accessi: aiuta a prevenire interruzioni operative, preserva la continuità del lavoro ibrido e si innesta in modo naturale nei principi di sicurezza moderni, che privilegiano verifiche continue e contestuali. Se progettata con attenzione al contesto d’uso, consente di bilanciare sicurezza ed esperienza, evitando attriti inutili per chi accede ogni giorno alle applicazioni.
Dal punto di vista organizzativo, l’adozione della Multi Factor Authentication facilita il rispetto di policy interne e requisiti di audit, migliorando la tracciabilità degli accessi e la responsabilità sui dati.
Quali sono i principali metodi di autenticazione MFA?
L’Autenticazione a più fattori (MFA, Multi Factor Authentication) può essere realizzata con diversi metodi, che si combinano per elevare il livello di sicurezza degli accessi aziendali.
Di seguito i principali:
- Codici TOTP tramite app di autenticazione (possessione)
Il codice “a tempo” generato localmente su un’app (es. Authenticator) aggiunge un secondo fattore senza dipendere dalla rete telefonica. È oggi uno dei metodi MFA più diffusi perché semplice da distribuire e abbastanza robusto per la maggior parte degli utenti aziendali. - Notifiche push con “number matching” (possessione + conferma)
Il sistema invia una richiesta di approvazione sul dispositivo dell’utente; la variante con abbinamento di numero riduce gli abusi da “push fatigue” e gli errori di approvazione. È utile nei flussi ad alto volume perché veloce e con buon bilanciamento tra sicurezza e usabilità. Quando non è possibile usare metodi resistenti al phishing, il number matching è la mitigazione consigliata. - Chiavi di sicurezza FIDO2 / Passkey (phishing-resistant MFA)
Basate su crittografia a chiave pubblica e legame al dominio del servizio, eliminano password riutilizzate e schermano dal phishing e dagli attacchi “man-in-the-middle”. Esistono come token hardware (USB/NFC) o passkey legate al dispositivo/secure enclave. Sono il riferimento per account privilegiati e scenari ad alto rischio. - Smart card/PKI (phishing-resistant MFA in ambienti regolati)
L’autenticazione avviene con certificati digitali su carta/crypto-token e PIN locale. Offre forte garanzia e controllo centralizzato: tipica di infrastrutture critiche o settori regolamentati, con integrazione ai sistemi aziendali via PKI. - Biometria on-device (inerente, spesso combinata con FIDO/passkey)
Impronta/volto sbloccano una chiave privata custodita sul dispositivo; i dati biometrici non lasciano il device, preservando la privacy. In azienda aiuta a contenere gli attriti senza esporre immagini o template biometrici lato server. - SMS/voice OTP (canale telefonico)
Ampiamente compatibile ma meno sicuro: espone a rischi come SIM-swap, vulnerabilità SS7 e phishing; per questo è considerato metodo di transizione, da sostituire progressivamente con alternative più robuste. “Qualsiasi MFA è meglio di nessuna”, ma dove possibile si dovrebbe puntare a metodi phishing-resistant.
Dal punto di vista aziendale, una strategia MFA efficace combina copertura ampia (per tutta la popolazione) con maggiore robustezza per gli account critici: TOTP/push con number matching per la forza lavoro generalista; FIDO2/Passkey o smart card per amministratori, accessi da reti non fidate e processi sensibili.
Questo approccio è coerente con le linee guida e con la distinzione dei livelli di garanzia adottata negli standard (AAL), che aiutano a calibrare il metodo MFA in base al rischio del processo.
Che cos’è l’autenticazione adattiva a più fattori (MFA adattiva)?
L’MFA adattiva è un’estensione dell’autenticazione a più fattori (MFA, Multi Factor Authentication) che modifica in tempo reale le verifiche richieste in base al rischio del contesto. In pratica, il sistema valuta segnali come dispositivo, rete, geolocalizzazione, abitudini d’uso e anomalie; se il contesto è a basso rischio, l’accesso resta fluido, mentre in condizioni sospette si applica uno step-up (si richiede un fattore aggiuntivo) o si blocca il tentativo. L’obiettivo è mantenere alta la protezione senza imporre frizioni inutili agli utenti aziendali.
Nei contesti enterprise, l’MFA adattiva opera di norma all’interno di policy di accesso condizionale: regole che reagiscono automaticamente a indicatori di rischio e fanno scattare la richiesta MFA, il cambio credenziali o il blocco, a seconda della gravità. Soluzioni come Microsoft Entra distinguono tra rischio dell’accesso e rischio utente e applicano le misure configurate durante ogni login, creando un controllo dinamico coerente con i principi Zero Trust.
Dal punto di vista delle linee guida, il NIST (National Institute of Standards and Technology) riconosce l’uso di tecniche risk-based/adaptive che sfruttano segnali contestuali (IP, geolocalizzazione, timing, metadata del browser) per identificare comportamenti fuori norma e innescare controlli più forti quando necessario. Questo approccio si integra con la Autenticazione a più fattori senza sostituirla: la rende intelligente, perché chiede di più solo quando serve.
Per le aziende, i benefici sono concreti: meno attrito per la forza lavoro legittima, maggior protezione contro furti d’identità e attacchi mirati, applicazione coerente delle policy di sicurezza su ERP/CRM/ITSM e servizi cloud.
Piattaforme IAM di mercato (Entrust, IBM) implementano l’MFA adattiva combinando segnali comportamentali e motori di rischio, così da calibrare l’accesso in modo automatico e verificabile.
Phishing-resistant MFA: cosa significa e quando adottarla?
La phishing-resistant MFA è una forma di autenticazione a più fattori progettata per resistere agli attacchi di phishing e ai tentativi di bypass della MFA (es. man-in-the-middle, push fatigue, SIM-swap).
A differenza dei metodi basati su codici o notifiche facilmente intercettabili o approvate per errore, i sistemi FIDO2/WebAuthn e le smart card/PKI usano coppie di chiavi crittografiche legate al dominio del servizio: il fattore non può essere “riutilizzato” su un sito malevolo e non viaggia come segreto condiviso. È per questo che molti standard e agenzie la indicano come riferimento di sicurezza.
CISA raccomanda esplicitamente di implementare o pianificare la migrazione verso phishing-resistant MFA; dove non sia subito possibile, consiglia come mitigazione temporanea il number matching sulle notifiche push, che riduce l’approvazione “a tappeto” ma non rende il metodo resistente al phishing. In altre parole: meglio qualsiasi MFA che nessuna, ma l’obiettivo dovrebbe restare la resistenza al phishing.
Come pianificare la migrazione?
Un percorso tipico prevede: mantenere una copertura MFA ampia (TOTP/push) per la forza lavoro generalista, attivando in parallelo FIDO2/passkey o smart card per ruoli critici; estendere poi gradualmente i metodi resistenti al phishing in base al rischio dei processi e alla disponibilità dei dispositivi (chiavi hardware, secure enclave).
Questo approccio è coerente con le definizioni e i livelli di garanzia adottati da NIST e con le raccomandazioni di vendor e standard di settore.
SSO e MFA per aziende: integrazione con IAM e applicazioni
Per un’azienda, SSO e MFA sono due facce della stessa strategia: il Single Sign-On centralizza l’accesso tramite un Identity Provider (IdP), così l’utente entra una volta sola e lavora su più applicazioni; la Multi Factor Authentication (MFA) aggiunge un secondo (o più) fattori per alzare la soglia di sicurezza.
Senza Autenticazione a più fattori, un SSO ben fatto rischia di diventare un “punto unico di compromissione”; con la MFA si ottiene invece un accesso comodo e robusto, governato da policy uniche su tutto il parco applicativo.
In pratica, l’IdP applica regole identiche per tutte le app (cloud e on-prem), usando standard di federazione (SAML/OIDC) e richiedendo MFA quando serve: sempre, per tutti, o in modalità adattiva se il rischio sale (nuovo device, IP anomalo, ruolo privilegiato).
Piattaforme come Microsoft Entra implementano Conditional Access: raccolgono segnali d’identità e di contesto e “alzano” o “abbassano” i controlli, fino a imporre MFA o bloccare l’accesso. Questo consente di proteggere ERP, CRM, ITSM e SaaS con un set di regole coerente, senza dover riconfigurare ogni singola applicazione.
Dal lato operativo, l’integrazione SSO+MFA semplifica anche audit e conformità: i log di autenticazione e di step-up confluiscono in un punto centrale (IAM/IdP) e possono essere inviati al SIEM per il monitoraggio continuo. Ai fini del livello di garanzia richiesto (AAL) si selezionano metodi di Autenticazione a più fattori coerenti con il rischio del processo e del ruolo—per esempio spingendo su metodi phishing-resistant per amministratori o accessi da reti non fidate.
Per gli ambienti misti tipici dell’impresa (SaaS + applicazioni legacy), l’IdP espone connettori e gateway che portano SSO e MFA anche su sistemi storici (VPN/RADIUS, app interne), così la user experience resta omogenea e le policy rimangono centralizzate.
Autenticazione a più fattori che funziona: sicurezza misurabile, senza attriti inutili
L’Autenticazione a più fattori non è un fine, ma un mezzo per ridurre il rischio reale senza complicare il lavoro delle persone.
La scelta dei metodi (e la loro combinazione) dovrebbe riflettere priorità e contesto: partire dagli account critici, integrare con SSO e IAM, misurare adozione e tasso di successo, e alzare il livello dove serve (metodi resistenti al phishing, MFA adattiva).
Per valutare l’implementazione dell’autenticazione a 2 fattori nella propria azienda, contatta Innovio per una proposta calibrata su obiettivi, vantaggi e processi esistenti.
