L'autenticazione a due fattori (2FA) spiegata
Aggiornato 2026-07-06
L'autenticazione a due fattori è la singola cosa più efficace che puoi fare per proteggere i tuoi account — e configurarla richiede un paio di minuti. Questa guida spiega cos'è, perché una password da sola non basta e come scegliere tra i diversi metodi.
Cos'è la 2FA
L'autenticazione a due fattori (2FA), a volte chiamata verifica in due passaggi, significa provare la tua identità con due tipi diversi di prove invece di uno. Le tre categorie classiche sono:
- Qualcosa che sai — una password o un PIN.
- Qualcosa che hai — il tuo telefono o una chiave hardware.
- Qualcosa che sei — un'impronta o una scansione del viso.
Una password è un fattore. La 2FA ne aggiunge un secondo, così una password rubata da sola non basta per entrare.
Perché una password non basta
Le password trapelano — tramite violazioni di dati, riuso tra siti e phishing. Come spiegato nella nostra guida alle password robuste, quando un sito viene violato, gli aggressori provano quelle stesse credenziali ovunque altrove. La 2FA spezza quella catena: anche con la tua password esatta, un aggressore non può comunque accedere senza il tuo secondo fattore.
I metodi, dal peggiore al migliore
Codici via SMS
Un codice inviato via messaggio al tuo telefono. Molto meglio di niente, ma l'opzione più debole — i codici possono essere intercettati, e gli attacchi «SIM-swap» permettono ai criminali di dirottare il tuo numero. Usalo solo se è l'unica scelta.
App di autenticazione
Un'app sul tuo telefono genera un nuovo codice a 6 cifre ogni 30 secondi (si chiama TOTP). I codici sono creati sul tuo dispositivo e mai inviati in rete, quindi non possono essere intercettati come gli SMS. La configurazione di solito significa scansionare un codice QR che porta il segreto condiviso. Questo è il punto ideale per la maggior parte delle persone — gratuito, facile e molto più robusto degli SMS.
Chiavi di sicurezza hardware
Un piccolo dispositivo fisico (come una YubiKey) che tocchi o inserisci. Basate su standard moderni (FIDO2/WebAuthn), sono lo standard d'oro — praticamente immuni al phishing, perché la chiave verifica il sito web reale prima di rispondere. Ideali per i tuoi account più importanti.
Non saltare i codici di backup
Quando attivi la 2FA, il servizio ti dà un set di codici di backup monouso. Conservali in un posto sicuro (un gestore di password, o stampati e custoditi). Sono il tuo modo per rientrare se perdi il telefono — senza di essi, perdere il secondo fattore può significare perdere l'account.
Dove attivarla per prima
Inizia dagli account che possono sbloccare gli altri: prima la tua email (può reimpostare la maggior parte delle tue altre password), poi la banca e ogni account legato alla tua identità o al tuo denaro. Combinata con una password robusta unica per sito, la 2FA ti mette davanti alla stragrande maggioranza degli account online. Per proteggere i tuoi dati in altri modi, vedi la nostra guida sui metadati delle foto e la privacy.
Altro su Sicurezza & privacy
Vedi tutte le guide di Sicurezza & privacy →Strumenti citati in questa guida