Se i tuoi account importanti (registrar, hosting, GitHub, banca, email di lavoro) chiedono solo una password per il login, hai già perso. Il consiglio standard è "abilita l'autenticazione a due fattori". Il dettaglio che nessuno spiega è che il secondo fattore conta: l'SMS è la peggiore opzione legittima, e il salto fra SMS e il livello successivo è enorme.

Questo articolo spiega perché l'SMS come 2FA è rotto, e quali sono le quattro opzioni vere, dalla peggiore alla migliore.

L'attacco che ha ucciso il 2FA via SMS

L'attacco si chiama SIM swap. Funziona così:

  1. L'attaccante raccoglie il tuo numero di telefono, il tuo nome, la data di nascita, qualche dettaglio personale dai data leak o dai social.
  2. Contatta il tuo operatore mobile facendosi passare per te, dichiara di aver perso il telefono e chiede che il numero sia attivato su una nuova SIM (la sua).
  3. L'operatore di customer care, dopo domande a cui si risponde con dati pubblici, esegue lo swap.
  4. Il tuo telefono vero diventa muto. Il telefono dell'attaccante riceve tutti i tuoi SMS, codici 2FA inclusi.
  5. Nei 30 minuti successivi resetta password, svuota account, sparisce.

L'attacco non richiede sofisticatezza tecnica. Richiede una telefonata a un help desk e sicurezza nel parlare. Capita a migliaia di persone al mese. Operatori italiani, tedeschi, statunitensi, brasiliani, tutti ne sono stati colpiti. Alcuni operatori sono migliori di altri, ma nessun operatore è immune.

C'è anche una seconda classe di attacco: intercettazione SS7, dove gli SMS vengono letti in transito attraverso il protocollo internazionale di segnalazione telefonica. Questo è più sofisticato e usato in casi mirati, ma è dimostrato da oltre dieci anni e ancora possibile.

Il succo: l'SMS come secondo fattore è insicuro a livello di trasporto e vulnerabile socialmente. È meglio che niente, ma di poco.

Le quattro opzioni vere, in ordine

4. Codici via SMS

Un codice di 6 cifre mandato sul telefono. Default su quasi tutte le banche e su molti servizi vecchi. Vulnerabile agli attacchi sopra. Usalo solo se l'account letteralmente non offre altre opzioni di 2FA, e anche in quel caso pianifica di migrare.

3. Codici via email

Un codice di 6 cifre mandato all'email. Leggermente più sicuro dell'SMS perché l'email è più difficile da intercettare di un numero, ma sicuro quanto la tua email stessa. Se l'account email è il recovery di tutto il resto, e il secondo fattore di tutto il resto è anch'esso l'email, hai un singolo punto di fallimento. Meglio dell'SMS per uno specifico account, inutile per proteggere l'email stessa.

2. App TOTP (Authenticator)

L'approccio "Authenticator" standard. Il servizio ti mostra un QR code una volta in fase di setup. La tua app (Google Authenticator, Microsoft Authenticator, Aegis, 2FAS, Bitwarden Authenticator, Raivo OTP) lo scansiona e inizia a generare un codice di 6 cifre che cambia ogni 30 secondi. Per accedere leggi il codice dall'app e lo digiti.

È algoritmico (RFC 6238), non trasmesso: il segreto è sul tuo telefono, i codici si generano localmente. Non c'è niente da intercettare. Lo SIM swap non tocca il TOTP. Le pagine di phishing possono ancora ingannarti spingendoti a digitare il codice, ma la finestra è stretta (30 secondi) e l'attaccante deve agire in tempo reale.

La trappola del TOTP: se perdi il telefono senza backup, perdi l'accesso. Mitigazioni:

  • Aegis (Android, FOSS) e 2FAS (Android/iOS) hanno backup cifrati su un file che custodisci tu.
  • Bitwarden memorizza i segreti TOTP insieme alle password, cifrati, con sync. Comodo, ma fa di Bitwarden un singolo punto di fallimento (se la master password trapela, entrambi i fattori sono compromessi). Per gli account ad alto valore puoi voler tenere il TOTP separato.
  • Salva sempre i codici di backup che il servizio ti dà al setup. Stampali, mettili in cassaforte.

1. Chiavi di sicurezza hardware (FIDO2/WebAuthn)

Un dispositivo fisico USB o NFC (YubiKey, Token2, NitroKey, SoloKey) che tocchi o inserisci al login. Il dispositivo esegue una sfida crittografica con il servizio. La sfida è legata al dominio esatto che stai visitando, il che rende il phishing fisicamente impossibile: una pagina di login fasulla su un dominio simile non può ottenere dalla chiave una firma per il dominio vero.

È il 2FA più robusto disponibile ai consumatori. Resistente al phishing, immune al SIM swap, resistente al malware. Compatibile con Google, Microsoft, GitHub, Cloudflare, AWS, X, Facebook, password manager, banche. Non ancora universale, ma la lista cresce ogni anno.

I limiti veri:

  • Costo: 30-70 euro a chiave. Te ne servono almeno due, così la perdita di una è recuperabile.
  • Setup: più click per servizio rispetto al TOTP.
  • Mobile: ti serve una chiave NFC o una USB-C per il telefono.

Per gli account che proteggono valore significativo (registrar, conti finanziari, account di lavoro se hai poteri admin), è quello da usare. Per tutto il resto basta il TOTP.

Setup pratico per un piccolo team o un freelance

Una configurazione pragmatica nel 2026:

  1. Compra due YubiKey 5 NFC (circa 100 euro in totale). Registrale entrambe come 2FA su ogni account che supporta FIDO2: registrar, Cloudflare, GitHub, account Google/Microsoft, AWS root, password manager. Una in tasca, una in un cassetto a casa.
  2. Usa il TOTP per tutto il resto: installa Aegis su Android o 2FAS su iOS. Abilita il backup cifrato sul cloud che preferisci. Aggiungi 2FA su ogni servizio che ancora non supporta FIDO2.
  3. Usa l'SMS solo come fallback quando non c'è altra opzione. E lamentati con il servizio.
  4. Conserva i codici di recupero in un password manager o stampati in una busta sigillata. Testali una volta.
  5. Disabilita il recovery via SMS sui tuoi account importanti. Se sia il 2FA sia il recovery accettano l'SMS, un attaccante vince comunque tramite SIM swap. L'opzione "se perdi il secondo fattore puoi usare l'SMS" deve essere off.

Cosa fare oggi, in 5 minuti

Apri le impostazioni del tuo account email. L'email è la chiave maestra, il recovery di tutto il resto. Controlla:

  • Il 2FA è attivo.
  • Il secondo fattore non è solo SMS.
  • Le opzioni di recupero non includono in silenzio un SMS o un numero di telefono che, da solo, ti fa entrare.

Se qualcosa non torna, sistemalo ora, prima di leggere il resto del sito. L'account email è l'account più importante che hai, ed è quello che più spesso resta protetto solo dall'SMS.

L'investimento di 5 minuti oggi rimuove il singolo vettore d'attacco più comune contro gli account personali. Poi torna e sposta nel tempo gli altri account verso TOTP, e poi verso FIDO2.