Il 63% dei data breach inizia con credenziali compromesse. La tua azienda usa ancora solo username e password per accedere alla VPN, al PC o alle app cloud? Nel 2026, con la direttiva NIS2 in vigore, l'autenticazione multifattore non e piu un'opzione: e un obbligo. In questa guida ti spieghiamo come funziona WatchGuard AuthPoint, la soluzione MFA pensata per le PMI: semplice per gli utenti, potente per la sicurezza, e integrata nell'ecosistema WatchGuard. Noi di BullTech Informatica, Gold Partner WatchGuard da Vimercate (MB), l'abbiamo implementata per oltre 80 aziende.
Definizione
WatchGuard AuthPoint e una soluzione di autenticazione multifattore (MFA) cloud-based che aggiunge un secondo livello di verifica dell'identita oltre la password. Utilizza l'app mobile AuthPoint con tre metodi (push notification, QR code, OTP) e una tecnologia proprietaria chiamata DNA Mobile che lega il token al dispositivo fisico, rendendo inefficaci gli attacchi di SIM swap e clonazione. Si integra con Active Directory, RADIUS, SAML 2.0 e oltre 100 applicazioni cloud.
Fatti chiave — AuthPoint 2026
- 63% dei breach inizia da credenziali compromesse (Verizon DBIR 2025)
- DNA Mobile: token legato al dispositivo fisico (anti-clonazione)
- 3 metodi: push notification, QR code, OTP
- NIS2: MFA esplicitamente richiesta dalla direttiva europea
- 100+ integrazioni cloud (Microsoft 365, Google, Salesforce...)
- 80+ aziende in Lombardia con AuthPoint installato da BullTech
Perche l'MFA e indispensabile nel 2026
Partiamo dai numeri. Il Verizon Data Breach Investigations Report 2025 dice che il 63% dei data breach confermati coinvolge credenziali deboli, rubate o riutilizzate. In pratica: i tuoi dipendenti usano la stessa password per la VPN aziendale e per Netflix. Un attaccante compra le credenziali sul dark web (costano meno di 10 euro), le prova sulla tua VPN e, se non c'e MFA, e dentro la rete.
La direttiva NIS2 (Network and Information Security Directive 2), in vigore da ottobre 2024 per le aziende nei settori essenziali e importanti, richiede esplicitamente “misure di autenticazione multifattore o autenticazione continua”. Non e un consiglio: e un obbligo legale. Il GDPR richiede “misure tecniche adeguate”: le autorita garanti europee considerano l'MFA una misura adeguata standard.
Per le PMI italiane, il messaggio e chiaro: se non hai MFA, non sei in compliance e sei un bersaglio facile. La buona notizia: implementare MFA con AuthPoint e semplice, veloce e non costa una fortuna.
Come funziona AuthPoint: i tre metodi
AuthPoint offre tre metodi di autenticazione, tutti gestiti dall'app mobile (disponibile per iOS e Android):
Push Notification
Quando accedi, l'app riceve una notifica. Tocchi “Approva” e sei dentro. Il metodo piu veloce e comodo. Funziona anche con Apple Watch e smartwatch Android.
QR Code
Il portale mostra un QR code. Lo inquadri con l'app AuthPoint e l'autenticazione e completa. Utile quando la push notification non arriva (scarsa copertura dati).
OTP (One-Time Password)
L'app genera un codice numerico a 6 cifre che cambia ogni 30 secondi. Il classico secondo fattore, funziona anche offline senza connessione Internet sul telefono.
DNA Mobile: la tecnologia anti-clonazione
Ecco il problema delle soluzioni MFA tradizionali basate su SMS o app standard (Google Authenticator, Microsoft Authenticator): se un attaccante riesce a clonare la SIM (attacco SIM swap) o a trasferire l'app su un altro dispositivo, puo generare codici validi.
AuthPoint risolve questo con il DNA Mobile: al momento dell'attivazione, l'app crea un token univoco che incorpora le caratteristiche fisiche del dispositivo (identificatori hardware, non solo software). Se qualcuno tenta di usare il token su un dispositivo diverso — anche clonando l'app — il DNA non corrisponde e l'autenticazione fallisce.
In pratica: anche se un attaccante ruba la tua password E clona il tuo telefono, non riesce ad autenticarsi. Il DNA Mobile e la differenza tra un MFA che “funziona sulla carta” e un MFA che resiste agli attacchi sofisticati.
Setup con Active Directory
La maggior parte delle PMI italiane con piu di 10 dipendenti usa Active Directory per gestire gli account utente. AuthPoint si integra nativamente tramite il componente AuthPoint Gateway.
Ecco come funziona il setup (che BullTech completa tipicamente in 2-4 ore):
- Installazione Gateway — Un software leggero installato su un server Windows nel dominio AD. Comunica con AuthPoint Cloud via HTTPS (porta 443, niente VPN o porte aggiuntive da aprire).
- Sincronizzazione utenti — Il Gateway sincronizza utenti e gruppi AD con AuthPoint Cloud. Scegli quali gruppi sincronizzare (es. “VPN Users”, “Admin”).
- Configurazione risorse — In AuthPoint Cloud definisci le risorse protette: RADIUS per VPN, SAML per app cloud, Logon App per Windows login.
- Attivazione utenti — Ogni utente riceve un'email con un QR code. Scansiona con l'app AuthPoint e il token e attivo. Tempo per utente: 2 minuti.
- Policy MFA — Definisci quando richiedere MFA: sempre, solo per VPN, solo fuori dalla rete aziendale, solo per gruppi specifici.
Nota sulla user experience
L'obiezione piu comune che sentiamo dai clienti: “ma i miei dipendenti si lamenteranno”. Risposta onesta: il primo giorno si, dal secondo no. Con la push notification, il processo aggiunge 3 secondi all'accesso. Tre secondi in cambio della protezione da ransomware e data breach. BullTech fa sempre una sessione di formazione per gli utenti al momento dell'attivazione: 15 minuti bastano per eliminare la resistenza al cambiamento.
Scenari di integrazione
AuthPoint non protegge solo la VPN. Ecco gli scenari di integrazione piu comuni che configuriamo per le PMI clienti:
- VPN (Firebox o terze parti) — MFA su ogni accesso VPN remoto. Il dipendente inserisce username/password, poi conferma con AuthPoint. Funziona con WatchGuard Firebox, Fortinet, Cisco, SonicWall e qualsiasi VPN che supporti RADIUS.
- Login Windows (Logon App) — MFA al login del PC. Protegge anche gli accessi RDP (Remote Desktop), uno dei vettori piu usati dai ransomware.
- Microsoft 365 — Tramite SAML 2.0, AuthPoint diventa il provider MFA per l'accesso a Microsoft 365. Un'alternativa a Microsoft Authenticator per chi vuole centralizzare la gestione MFA.
- Portali web aziendali — Qualsiasi applicazione web che supporti SAML 2.0 o RADIUS puo usare AuthPoint come secondo fattore.
- Accesso a server e risorse critiche — MFA per l'accesso RDP ai server, alla console di gestione del firewall, al pannello di backup. Le risorse piu critiche meritano il livello di protezione piu alto.
NIS2 e GDPR: come AuthPoint ti mette in regola
La direttiva NIS2 (articolo 21, comma 2, lettera j) richiede esplicitamente “l'uso di soluzioni di autenticazione multifattore o di autenticazione continua”. Non e ambiguo: serve MFA. AuthPoint soddisfa questo requisito e, grazie a WatchGuard Cloud, genera i log e gli audit trail necessari per dimostrare la conformita in caso di controllo.
Per il GDPR, l'articolo 32 richiede “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Le linee guida ENISA e le sentenze del Garante Privacy italiano considerano l'MFA una misura adeguata standard per la protezione degli accessi ai dati personali.
In caso di data breach, dimostrare di avere MFA attiva puo fare la differenza tra una sanzione ridotta e una sanzione piena. L'assenza di MFA nel 2026 e considerata negligenza, non sfortuna.