“Abbiamo il 2FA attivo”
È una delle risposte più comuni quando si parla di sicurezza.
E spesso è anche una delle più fuorvianti.
Perché avere il MFA non significa automaticamente essere protetti.
Il problema: falso senso di sicurezza
Molte implementazioni di MFA sono:
opzionali
basate su SMS
ignorate dagli utenti
facilmente aggirabili
Risultato:
→ l’azienda pensa di essere protetta
→ in realtà non lo è
Esempio reale
Un utente riceve una richiesta di accesso:
“Stai tentando di accedere?”
Clicca “Approva”.
Non perché sia lui.
Ma perché vuole far sparire la notifica.
Accesso concesso.
Come vengono aggirati davvero
Gli attacchi moderni non puntano a “bucare” il MFA.
Lo aggirano.
1. MFA fatigue
Invio continuo di richieste push finché l’utente approva.
2. Phishing avanzato
Pagina clone + richiesta codice OTP in tempo reale.
3. SIM swapping (SMS)
Controllo del numero → ricezione codici.
Vuoi vedere come è semplice per un attaccante sfruttare l'errore umano?
Il punto chiave
Il problema non è la tecnologia.
È come viene usata.
Quando il MFA NON serve davvero
se è opzionale
se è via SMS
se gli utenti cliccano senza leggere
se non ci sono controlli aggiuntivi
Quando il MFA è efficace
app di autenticazione (non SMS)
policy obbligatoria
controlli su accessi anomali
formazione utenti
Conclusione
“MFA attivo” non significa sicurezza.
Significa solo che esiste una seconda barriera.
Se quella barriera è debole o ignorata, non serve a nulla.
Vuoi capire se il tuo MFA è davvero efficace?
Posso analizzare come è configurato e dirti dove è bypassabile.
👉 Verifichiamo se l'MFA sta davvero proteggendo la tua azienda