La password del tuo commerciale è "Marco2024!". La usa per la mail, per Teams, per il CRM. Un giorno qualcuno la indovina (o la compra nel dark web per pochi euro) e accede a tutto. Succede più spesso di quanto pensi. L'autenticazione multi-fattore (MFA) — cioè quel codice in più che arriva sul telefono — previene il 99,9% di questi attacchi secondo Microsoft. In questa guida ti spiego cos'è, come funziona e come attivarla nella tua azienda senza impazzire.
Cos'è l'MFA, Spiegato Semplice
L'autenticazione multi-fattore è un sistema che chiede almeno due prove di identità prima di farti entrare. Non basta più la password: serve anche qualcos'altro. Le prove possono essere di tre tipi:
- Qualcosa che sai: password, PIN, domanda di sicurezza
- Qualcosa che hai: smartphone, token hardware, smart card
- Qualcosa che sei: impronta digitale, riconoscimento facciale, scansione dell'iride
Il concetto è semplice: anche se un criminale ruba la password di un tuo dipendente (con una mail di phishing, un data breach o provando combinazioni), senza il secondo fattore non entra. Fine. È come avere la chiave di casa ma non il codice dell'allarme.
I Tipi di MFA: Quale Fa al Caso Tuo
1. SMS e Chiamate Vocali
Il metodo più semplice: ti arriva un codice usa e getta (OTP, One-Time Password) via SMS o tramite chiamata vocale.
- Pro: facile da attivare, nessuna app da installare, funziona su qualsiasi telefono
- Contro: vulnerabile ad attacchi SIM swapping (quando qualcuno clona la tua SIM) e intercettazione SMS
- Livello di sicurezza: base. Meglio di niente, ma ci sono opzioni più sicure
2. App Authenticator (TOTP)
App come Microsoft Authenticator, Google Authenticator o Authy generano codici temporanei (TOTP, codici che cambiano ogni 30 secondi). Alcune supportano anche le notifiche push: ti arriva una notifica, tocchi "Approva" e sei dentro.
- Pro: più sicuro degli SMS, funziona offline, notifiche push intuitive
- Contro: richiede uno smartphone, l'utente deve installare un'app
- Livello di sicurezza: alto. Il metodo consigliato per la maggior parte delle aziende
3. Chiavi di Sicurezza Hardware (FIDO2/WebAuthn)
Sono dispositivi fisici — tipo una chiavetta USB — come YubiKey o altre chiavi FIDO2. Le colleghi via USB, NFC o Bluetooth e tocchi un pulsante per autenticarti. È il metodo più sicuro in assoluto.
- Pro: resistente al phishing, non intercettabile, estremamente sicuro
- Contro: costo hardware (20-70 euro per chiave), rischio di smarrimento fisico
- Livello di sicurezza: massimo. Consigliato per account admin e utenti con privilegi elevati
Il nostro consiglio
Per la maggior parte delle PMI, la combinazione ideale è: app authenticator per tutti i dipendenti + chiave hardware FIDO2 per amministratori IT, account con privilegi elevati e dirigenti. Questa configurazione offre il miglior equilibrio tra sicurezza e usabilità.
Perché l'MFA Non È Opzionale: I Numeri
Qualcuno nella tua azienda pensa che l'MFA sia una seccatura? Questi numeri dovrebbero fargli cambiare idea in fretta.
delle compromissioni account prevenute con MFA attivo (fonte: Microsoft)
dei data breach causati da credenziali rubate o deboli (fonte: Verizon DBIR)
aumento degli attacchi di phishing contro aziende italiane nell'ultimo anno
delle PMI italiane non ha ancora attivato l'MFA su tutti i servizi critici
MFA e la Direttiva NIS2: Un Obbligo Normativo
La direttiva NIS2, in vigore dal 2024 e operativa dal 2026, chiede espressamente alle aziende dei settori essenziali e importanti di attivare misure di autenticazione forte, MFA inclusa, per accedere ai sistemi senza cui non si lavora.
E anche se la tua azienda non rientra direttamente nella NIS2, potresti essere coinvolto come fornitore di un'azienda che ci rientra. In quel caso, l'MFA diventa un requisito contrattuale. In più, il GDPR chiede "misure tecniche adeguate" per proteggere i dati personali, e nel 2026 l'MFA è considerata lo standard minimo.
Attenzione alle sanzioni
Se non attivi misure di sicurezza adeguate (MFA compresa), rischi sanzioni fino a 10 milioni di euro o il 2% del fatturato globale con la NIS2. Il GDPR arriva fino al 4% del fatturato per violazioni nella protezione dei dati.
Come Attivare l'MFA in Azienda (Passo per Passo)
Attivare l'MFA non è complicato, ma va fatto con un piano. Ecco come facciamo noi con le aziende che seguiamo:
Fase 1: Fai la Lista di Tutto Quello che Ha un Login
Prima cosa: elenca tutti i servizi e le applicazioni dove i tuoi dipendenti fanno il login. Poi mettili in ordine di importanza.
- Priorità massima: email aziendale, VPN, accesso remoto, pannelli di amministrazione, servizi cloud (Microsoft 365, Google Workspace)
- Priorità alta: gestionali ERP/CRM, piattaforme di collaborazione, accesso a file server
- Priorità media: applicazioni interne, portali fornitori, strumenti di project management
Fase 2: Scegli la Soluzione
Buona notizia: la maggior parte dei software aziendali ha già l'MFA integrata. Microsoft 365, per esempio, la include gratis con Azure AD/Entra ID. Per le applicazioni più vecchie o installate sui tuoi server, ci sono soluzioni come Duo Security, WatchGuard AuthPoint o Azure AD Application Proxy.
Fase 3: Configura le Regole
Non tutti devono avere le stesse regole. Un amministratore IT ha bisogno di più protezione di chi usa solo la mail. Configura le policy di accesso condizionale in modo intelligente: per esempio, chiedi l'MFA solo quando ci si collega da fuori ufficio o per operazioni sensibili.
Fase 4: Spiega il Perché ai Dipendenti
Qui si gioca metà della partita. Se dici solo "da lunedì c'è l'MFA", avrai una rivolta. Spiega ai colleghi perchélo fate, non solo come funziona. Organizza mezz'ora di setup pratico e prepara una guida veloce. Per le prime settimane, tieni un canale di supporto dedicato per chi ha dubbi.
Fase 5: Parti in Piccolo, poi Allarga
Non attivare l'MFA per tutti lo stesso giorno. Parti dal team IT e dai dirigenti, poi allarga gradualmente a tutti. Tieni d'occhio quanti la attivano, quanti ticket di supporto arrivano e quanti accessi vengono bloccati. Così risolvi i problemi prima che diventino un caos.
Attiva l'MFA su tutti gli account email e cloud aziendali
Usa app authenticator come metodo principale (evita SMS se possibile)
Fornisci chiavi hardware FIDO2 agli amministratori e ai dirigenti
Configura metodi di recupero sicuri (codici backup, admin reset)
Implementa policy di accesso condizionale basate su rischio
Forma tutti i dipendenti sull'uso e sull'importanza dell'MFA
Monitora e verifica regolarmente la copertura MFA
Documenta le procedure e aggiorna le policy di sicurezza aziendale
Come BullTech Ti Aiuta con l'MFA
In BullTech Informatica configuriamo e gestiamo l'MFA per centinaia di aziende in Lombardia. Il nostro servizio di sicurezza informatica include la configurazione completa dell'autenticazione multi-fattore su tutti i tuoi servizi, la formazione dei dipendenti e il monitoraggio continuo.
Come partner WatchGuard e Microsoft, abbiamo accesso alle migliori tecnologie di autenticazione e possiamo integrare l'MFA con gestione degli endpoint, firewall aziendale e backup e disaster recovery per una protezione completa dei tuoi server, PC e rete.
Non aspettare che un attacco ti costringa a correre ai ripari. L'MFA è semplice, costa poco e funziona davvero. Parliamone — 039 5787 212.