L'81% delle violazioni aziendali coinvolge credenziali rubate o deboli. L'MFA (Multi-Factor Authentication) blocca la stragrande maggioranza di questi attacchi aggiungendo un secondo livello di verifica oltre la password. E la misura di sicurezza con il miglior rapporto costo-efficacia in assoluto: costa quasi nulla e riduce il rischio di compromissione di oltre l'80%.
La NIS2 richiede "misure adeguate per la gestione degli accessi" — e l'MFA e universalmente considerata la misura minima. Un'azienda senza MFA nel 2026 e come un negozio senza serratura: non e questione di se verra violata, ma di quando.
Come funziona l'MFA
L'MFA richiede almeno due dei tre fattori di autenticazione:
- Qualcosa che sai — password, PIN, risposta segreta
- Qualcosa che hai — smartphone con app authenticator, token hardware, smart card
- Qualcosa che sei — impronta digitale, riconoscimento facciale, scansione dell'iride
Tipi di MFA: quale scegliere
| Metodo | Sicurezza | Usabilita | Costo |
|---|---|---|---|
| SMS OTP | Bassa (intercettabile) | Alta | Basso |
| App authenticator (TOTP) | Media | Buona | Gratuito |
| Push notification | Media-alta | Ottima | Medio |
| Token hardware (FIDO2/YubiKey) | Molto alta | Buona | 25-50 EUR/unita |
| Biometria (fingerprint/face) | Alta | Ottima | Incluso nel dispositivo |
| Passwordless (passkey) | Molto alta | Ottima | Variabile |
Dove implementare l'MFA: le priorita
- Email aziendale — il primo obiettivo. L'email e la chiave per il reset di quasi tutte le password
- VPN e accesso remoto — chiunque acceda alla rete da fuori deve avere l'MFA
- Console di amministrazione — firewall, server, cloud: gli admin sono il bersaglio principale
- Applicazioni cloud (SaaS) — Office 365, Google Workspace, CRM, ERP
- Accesso ai dati sensibili — database, file server con dati critici
- Tutti gli altri sistemi — idealmente, MFA ovunque (progressivamente)
Gestire le resistenze dei dipendenti
Ogni IT manager conosce la scena: annunci l'MFA e partono le proteste. "E scomodo", "rallenta il lavoro", "non ricordo dove ho messo il telefono". Le resistenze sono naturali ma gestibili. La chiave e la comunicazione: spiega il perche (non solo il come), mostra i casi reali di violazione nel settore, rendi il processo il piu semplice possibile. Le push notification sono molto meno invasive dei codici OTP. Un token hardware attaccato al portachiavi non si perde.
Un trucco che funziona: implementa l'MFA prima per il management. Se l'AD e il direttore finanziario lo usano senza problemi, i dipendenti hanno meno scuse per resistere.
MFA e NIS2: il collegamento
La NIS2, all'art. 21, richiede misure di "sicurezza dell'acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, compresa la gestione e la divulgazione delle vulnerabilita" e "politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza". L'MFA rientra nelle misure di controllo degli accessi, considerate fondamentali da tutte le linee guida ACN e dai framework di riferimento.