MFA: Cos'è l'autenticazione a più fattori e come funziona?

MFA: Cos'è l'autenticazione a più fattori e come funziona?

21.10.2025

Di Alessandro Mirani

L’autenticazione multifattoriale (MFA) ha assunto un ruolo centrale nella difesa delle identità digitali e dei patrimoni informativi di aziende e privati. Prima di approfondire definizioni, evoluzione, vantaggi, limiti e attualità, vale la pena ricordare il punto di partenza dell’identità digitale, illustrato in questo articolo di approfondimento pubblicato su Bralys: l'importanza dell'autenticazione a più fattori nel garantire la sicurezza degli account..

In contesti professionali, o personali, che richiedano un buon livello di sicurezza, è ormai assodato che le password da sole, non bastano più; MFA sta diventando lo standard di sicurezza contro l’accesso illecito, imponendo più prove di identità che si basano su tre pilastri distinti: ciò che l’utente conosce (password o PIN), ciò che l’utente possiede (token hardware o app su smartphone), e ciò che l’utente è (impronta digitale, riconoscimento facciale, ecc.).

In questo articolo vedremo come questa architettura a “strati” mira a rendere quasi impraticabile il compromettere tutte le barriere in una singola manovra malevola.

Dalle origini storiche alle sfide odierne

L’idea di combinare fattori diversi non è nuova: già nel 1967, i bancomat Barclays misero in campo un sistema che richiedeva la tessera bancaria (possesso) e un PIN (conoscenza), tracciando le linee guida di un concetto che avrebbe poi preso il nome di MFA. Nel tempo, l’adozione è cresciuta costantemente, fino ai risultati più recenti: secondo l’Okta Sign-in Trends Report, tra febbraio 2020 e gennaio 2024 il tasso di attivazione di MFA presso le organizzazioni è passato dal 35 % al 66 %, sostenuto da normative e da direttive governative internazionali.

Parallelamente, il panorama delle minacce si è evoluto: se in passato gli attaccanti puntavano prevalentemente al furto delle password o all’intercettazione di codici OTP via SMS tramite SIM swapping.

Oggi si può assistere a campagne di phishing-as-a-service, una minaccia significativa per l'autenticazione a più fattori, e a sofisticati attacchi “man-in-the-middle” che mettono a dura prova persino chi sceglie di proteggere i propri accessi con più fattori.

In breve: sebbene MFA rappresenti una possibilità di miglioramento sensibile della sicurezza, mano a mano sarà sempre meno una soluzione necessaria ma non sufficiente per proteggere dal furto di identità.

Cos’è esattamente MFA

MFA è un sistema che esige più fattori per confermare l’identità. La prassi vuole che i fattori principalmente conosciuti e impiegati siano:

  • qualcosa che si sa: il fattore di conoscenza, password, PIN e qualunque informazione dimostri che solo noi possiamo essere chi diciamo di essere;
  • qualcosa che si ha: il fattore di possesso, token hardware, app di autenticazione, chiavi USB e oggetti che ricollegano l'identità a un proprietario esclusivo;
  • qualcosa che si è: il fattore di caratteristica intrinseca, impronte digitali, riconoscimento facciale, riconoscimento vocale e qualunque caratteristica fisica distingua un individuo da tutti gli altri.

Questi sono i "classici", ma molti altri si sono affermati; ad esempio, i fattori “contestuali” (analisi di geolocalizzazione, indirizzo IP) e “comportamentali” (pattern di digitazione, movimenti del mouse), grazie al machine learning che monitora in tempo reale le abitudini d’uso e segnala anomalie.

Dalla teoria alla pratica: tipologie di autenticazione

Fra le modalità più diffuse vi sono app di autenticazione che generano OTP (One-Time Password), - notifiche push su smartphone per approvare o negare l’accesso, - token hardware conformi a standard FIDO2 (es. YubiKey e sistemi biometrici integrati in dispositivi mobili come fattori di autenticazione).
Ogni soluzione offre un equilibrio fra sicurezza e fruibilità: le OTP via SMS sono semplici da implementare ma vulnerabili a intercettazioni; i token hardware garantiscono resistenza al phishing ma richiedono investimenti in dispositivi fisici; la biometria migliora l’esperienza utente ma solleva questioni di privacy e gestione dei dati biometrici.

Attacchi moderni e contromisure

Nel 2022 Microsoft Threat Intelligence ha descritto una serie di campagne di phishing mirate a compromettere l'autenticazione a due fattori di tipo Adversary-in-the-Middle (AiTM), in cui il sito fraudolento agisce da proxy tra utente e portale legittimo, consentendo agli aggressori di intercettare credenziali e cookie di sessione. Questi ultimi permettono di eludere la MFA e accedere alle email aziendali, sfociando spesso in frodi finanziarie tramite Business Email Compromise.

Poco dopo, altre minacce hanno affinato il modello AiTM introducendo server di relay che disaccoppiano il phishing page dal punto di inoltro delle richieste, complicando la rilevazione degli attacchi.

Una tipologia di attacco avanzato simile, il Browser-in-the-Middle (BitM), è stata approfondita molto bene da un ricercatore nostrano, Franco Tommasi: l’attaccante infetta il computer della vittima, costringendo la vittima a operare su un browser infetto, dando visibilità delle credenziali e dei token all’aggressore. Malgrado il carattere minaccioso di BitM, non sono ancora state documentate campagne reali su vasta scala, probabilmente a causa della complessità di setup e della qualità dell’esperienza utente, inferiore rispetto agli strumenti AiTM consolidati.

Possibilità di rafforzare ulteriormente MFA

Le evidenze scientifiche e di campo convergono sul fatto che non tutti i sistemi MFA sono creati uguali. Se da un lato è necessario abbandonare definitivamente l’uso di SMS per l’invio di OTP, passando ad app dedicate o token hardware, dall’altro le soluzioni phishing-resistenti (FIDO2/WebAuthn, PKI) rappresentano oggi l’unica vera barriera contro AiTM e BitM. Parallelamente, l’integrazione di analisi comportamentale e contestuale, gestita da algoritmi di intelligenza artificiale, consente di adattare in tempo reale le politiche di autenticazione, esigendo fattori aggiuntivi in presenza di anomalie.

Il successo di queste contromisure dipende anche dalla formazione degli utenti e da processi di gestione dei dispositivi robusti: lo smarrimento di token hardware deve essere gestito con procedure di revoca immediate e sicure, mentre la gestione dei dati biometrici deve rispettare vincoli di privacy e compliance.

Con l’avvento dell’AI, l’autenticazione multifattoriale ha beneficiato di soluzioni potenziate:

  • Biometria potenziata da AI: algoritmi di deep learning migliorano l’accuratezza del riconoscimento facciale e vocale, rilevando tentativi di spoofing.
  • Analisi comportamentale avanzata: il machine learning costruisce profili dinamici degli utenti, identificando anomalie in tempo reale e adattando i livelli di verifica.
  • Mitigazione adattiva delle minacce: sistemi AI-driven valutano il rischio di ogni accesso e adattano la politica di autenticazione (ad es. richiedendo fattori aggiuntivi in caso di condizioni sospette).

Queste innovazioni rendono MFA non solo più sicuro, ma anche più reattivo alle nuove tecniche di attacco orchestrate da cybercriminali che utilizzano a loro volta strumenti AI.

Raccomandazioni per implementare MFA

Per massimizzare l’efficacia della soluzione MFA, è consigliabile:

  1. Scegliere soluzioni phishing-resistenti: adottare standard come le passkey o autenticazione supportata da dispositivi hardware.

  2. Implementare analisi comportamentale: integrare l'AI per profilare e validare ogni accesso tramite l'analisi dei pattern comportamentali degli utenti mentre accedono.

  3. Limitare l’uso di SMS: preferire app di autenticazione o token fisici come metodo di autenticazione per generare i codici usa e getta.

  4. Formare gli utenti: campagne di awareness su phishing, sicurezza delle credenziali e potenziali canali di attacco in contesti di accesso tramite MFA.

  5. Monitorare e aggiornare: verificare periodicamente la robustezza dei fattori di autenticazione, lo stato dei dispositivi e le nuove minacce emerse.

L’autenticazione multifattoriale rappresenta una difesa cruciale nell’era digitale, ma richiede un approccio strategico per fronteggiare attacchi sempre più evoluti. L’integrazione di tecniche basate su AI e l’adozione di standard phishing-resistenti come le paskey ne accrescono l’efficacia, mentre l’analisi comportamentale e le risposte adattive ampliano ulteriormente il perimetro difensivo. Organizzazioni e utenti devono guardare a MFA non come costo operativo, ma come investimento essenziale per proteggere risorse e identità digitali, in un contesto in cui la sicurezza deve evolvere insieme alle minacce.

Verso un futuro senza password

La direzione verso cui si muove il settore è chiara: l’autenticazione passwordless, basata esclusivamente su fattori di possesso e inherence, riduce la superficie di attacco, elimina la debolezza insita nelle credenziali statiche e semplifica l’esperienza utente. Standard emergenti, come le passkey, sostenuti da grandi vendor tecnologici, stanno aprendo la strada a sistemi in cui l’utente non dovrà più digitare password, ma semplicemente sbloccare un dispositivo o fornire un’impronta.

L’autenticazione multifattoriale, dunque, si conferma non un semplice “di più” rispetto alla password, ma un pilastro imprescindibile per la cyber resilience e la protezione degli account. 

Articoli recenti

Attacchi Hacker: Tipologie e Dinamiche

Attacchi Hacker: Tipologie e Dinamiche

LEGGI DI PIù
Blockchain e Smart Contract: Sviluppi Normativi e Applicazioni tra Opportunità e Rischi

Blockchain e Smart Contract: Sviluppi Normativi e Applicazioni tra Opportunità e Rischi

LEGGI DI PIù
Green Tech e Innovazione Sostenibile nelle PMI: Normativa, Opportunità e Strumenti Europei

Green Tech e Innovazione Sostenibile nelle PMI: Normativa, Opportunità e Strumenti Europei

LEGGI DI PIù
UE e Intelligenza Artificiale: GDPR 2.0 e AI

UE e Intelligenza Artificiale: GDPR 2.0 e AI

LEGGI DI PIù
Agricoltura Intelligente: Smart Farming e Tecnologie di Precisione

Agricoltura Intelligente: Smart Farming e Tecnologie di Precisione

LEGGI DI PIù
Digitalizzazione dei Titoli Auto con Blockchain: Sicurezza, Velocità e Trasparenza

Digitalizzazione dei Titoli Auto con Blockchain: Sicurezza, Velocità e Trasparenza

LEGGI DI PIù
Sanità connessa: dispositivi indossabili, monitoraggio remoto dei pazienti e gestione intelligente delle strutture sanitarie

Sanità connessa: dispositivi indossabili, monitoraggio remoto dei pazienti e gestione intelligente delle strutture sanitarie

LEGGI DI PIù
XR in Medicina: Applicazioni della Realtà Estesa in Sanità

XR in Medicina: Applicazioni della Realtà Estesa in Sanità

LEGGI DI PIù