Sicurezza Posta Elettronica

Autenticazione a due fattori per email aziendali: la singola azione che blocca quasi tutti gli attacchi

Autenticazione a due fattori per email aziendali: la singola azione che blocca quasi tutti gli attacchi

Tre mesi fa ho fatto un audit di sicurezza per uno studio di commercialisti -- 12 persone, Microsoft 365, dominio personalizzato, tutto configurato correttamente. SPF, DKIM, DMARC a posto. Antispam attivo. Password policy decente. Un solo problema: nessun account aveva la 2FA attiva. Nessuno.

Due settimane dopo la mia visita, prima ancora che implementassero le mie raccomandazioni, un'email di phishing ha catturato la password di una collaboratrice. L'attaccante e entrato nella casella, ha letto tre mesi di email, ha trovato le coordinate bancarie di otto clienti, e ha iniziato a mandare fatture false dal suo account. Tutto questo perche tra la password rubata e l'accesso completo alla casella non c'era niente. Nessun secondo controllo. Nessuna verifica aggiuntiva.

Se la 2FA fosse stata attiva, la password rubata sarebbe stata inutile. L'attaccante avrebbe avuto la chiave, ma non il secondo lucchetto. Fine della storia. E questo articolo esiste perche quella storia si ripete ogni settimana in aziende che avrebbero potuto evitarla con un'azione che richiede dieci minuti per account.

Cos'e la 2FA e perche una password da sola non basta piu

L'autenticazione a due fattori e un concetto semplice: per accedere al tuo account servono due cose, non una sola. La prima e qualcosa che sai -- la password. La seconda e qualcosa che hai -- il telefono, un'app, una chiave fisica. Se un attaccante ruba la password, non puo entrare perche non ha il secondo fattore. Se qualcuno trova il tuo telefono, non puo entrare perche non ha la password.

Il principio non e nuovo. La tua carta bancomat funziona cosi da trent'anni: il bancomat e qualcosa che hai, il PIN e qualcosa che sai. Nessuna banca ti darebbe una carta senza PIN. Ma per le email aziendali -- dove passano contratti, dati dei clienti, informazioni finanziarie, comunicazioni riservate -- la maggior parte delle PMI italiane si affida ancora alla sola password.

Il problema e che le password, nel 2026, sono un sistema di protezione fragile. Non perche siano un concetto sbagliato, ma perche le persone le usano male. Le riutilizzano su piu servizi. Le scelgono facili da ricordare (e da indovinare). Le cedono inconsapevolmente tramite phishing. Le salvano in chiaro su file di testo o Post-it. E quando un database viene violato -- e succede regolarmente -- le password finiscono in vendita su forum criminali a pochi euro per migliaia di credenziali.

La 2FA non risolve il problema delle password deboli. Fa qualcosa di meglio: rende irrilevante il fatto che la password sia stata compromessa. E questa e la differenza che conta.

I numeri: quanti attacchi blocca la 2FA

Non parlo per teoria. Parlo per dati.

Microsoft ha pubblicato dati chiari su questo: la 2FA blocca il 99,9% degli attacchi automatizzati sugli account. Non il 50%, non l'80%. Il 99,9%. Questo dato viene dal team di Identity Security di Microsoft, che analizza oltre 300 milioni di tentativi di accesso fraudolento al giorno sui servizi Azure AD e Microsoft 365.

Google ha confermato numeri simili: l'aggiunta di un numero di telefono come secondo fattore blocca il 100% degli attacchi bot automatizzati, il 96% degli attacchi di phishing di massa, e il 76% degli attacchi mirati. Con una chiave di sicurezza hardware, la protezione contro gli attacchi mirati sale al 100%.

Mettiamola in un altro modo. Se la tua azienda ha dieci caselle email senza 2FA, ogni casella e protetta solo dalla password. Se una di quelle password viene rubata tramite phishing, data breach o credential stuffing, l'attaccante ha accesso completo. Con la 2FA attiva, quella stessa password rubata vale zero. L'attaccante ha il primo pezzo del puzzle ma non il secondo, e senza il secondo non entra.

Nessun altro singolo intervento di sicurezza ha questo rapporto tra semplicita di implementazione e impatto sulla protezione. Nessuno. La crittografia end-to-end e importante in certi contesti, ma e complessa da implementare e gestire. SPF, DKIM e DMARC sono fondamentali, ma proteggono il dominio, non l'accesso all'account. La 2FA protegge la porta d'ingresso -- e la porta d'ingresso e dove avviene il 99% delle effrazioni.

SMS, app authenticator, chiavi hardware: quale scegliere

Non tutti i secondi fattori sono uguali. Ce ne sono tre tipi principali, con livelli di sicurezza molto diversi.

SMS. Il piu semplice: quando fai login, ricevi un codice via SMS e lo inserisci. Funziona, ed e meglio di niente. Ma e il metodo piu debole. Gli SMS possono essere intercettati con attacchi di SIM swapping -- l'attaccante convince l'operatore telefonico a trasferire il tuo numero su una nuova SIM. Non e un attacco comune, ma e documentato e in crescita. Inoltre, gli SMS viaggiano in chiaro sulla rete mobile e possono essere intercettati con apparecchiature dedicate. Per una PMI, l'SMS come secondo fattore e un punto di partenza accettabile se l'alternativa e niente, ma non e la soluzione che consiglio.

App authenticator (TOTP). App come Google Authenticator, Microsoft Authenticator o Authy generano un codice numerico che cambia ogni 30 secondi. Il codice viene generato localmente sull'app, non viaggia sulla rete, e non puo essere intercettato con SIM swapping. E il metodo che consiglio alla maggior parte delle PMI: sicuro, gratuito, funziona su qualsiasi smartphone, e i dipendenti lo imparano in cinque minuti. TOTP sta per Time-based One-Time Password -- il codice e valido solo per 30 secondi e poi ne viene generato uno nuovo.

Chiavi di sicurezza hardware (FIDO2/WebAuthn). Dispositivi fisici come YubiKey o Google Titan Key. Li colleghi al PC via USB o li avvicini al telefono via NFC, e la chiave conferma l'identita senza bisogno di codici. Sono il metodo piu sicuro in assoluto: immuni al phishing perche la chiave verifica anche il sito web a cui ti stai collegando. Se un attaccante crea un sito fasullo che imita la pagina di login di Microsoft 365, la chiave si rifiuta di autenticare perche il dominio non corrisponde. Costo: dai 25 ai 70 euro per chiave. Per PMI con esigenze di sicurezza elevate -- studi legali, aziende con dati sensibili -- sono l'opzione che raccomando. Per la PMI media, le app authenticator sono il compromesso giusto tra sicurezza e praticita.

Il mio consiglio concreto: app authenticator per tutti, chiavi hardware per gli account admin e per chi gestisce dati particolarmente sensibili. SMS solo se non ci sono alternative -- e nel 2026, le alternative ci sono sempre.

Come attivare la 2FA su Google Workspace

Se usi Google Workspace, l'attivazione della 2FA si fa in due passaggi: prima l'admin abilita la possibilita, poi ogni utente la configura sul proprio account.

Lato admin (Console di amministrazione):

  1. Accedi alla Console di amministrazione Google (admin.google.com).
  2. Vai a Sicurezza > Autenticazione > Verifica in due passaggi.
  3. Seleziona Consenti agli utenti di attivare la verifica in due passaggi. Questo non la impone -- la rende disponibile.
  4. Per renderla obbligatoria: seleziona Applica e scegli una data di inizio applicazione. Imposta un periodo di registrazione (io consiglio 14 giorni -- abbastanza per permettere a tutti di configurarla, non abbastanza per rimandare all'infinito).
  5. Scegli i metodi consentiti: consiglio di permettere app authenticator e chiavi di sicurezza, e di disabilitare l'opzione SMS se possibile.

Lato utente:

  1. Ogni utente accede a myaccount.google.com e va a Sicurezza > Verifica in due passaggi.
  2. Segue la procedura guidata: scansiona il QR code con l'app authenticator, inserisce il codice di verifica, e la 2FA e attiva.
  3. Google genera automaticamente i codici di backup (10 codici monouso) -- stamparli e conservarli in un posto sicuro. Non nel cassetto della scrivania. Non in un file sul desktop.

Tempo totale per l'admin: 10 minuti. Tempo per ogni utente: 5 minuti. Non ci sono scuse per non farlo.

Come attivare la 2FA su Microsoft 365

Microsoft 365 offre due approcci: Security Defaults (semplice, adatto alla maggior parte delle PMI) e Conditional Access (piu granulare, richiede il piano Azure AD Premium P1 incluso in Business Premium).

Security Defaults (tutti i piani):

  1. Accedi al portale Azure AD (entra.microsoft.com).
  2. Vai a Identita > Panoramica > Proprieta.
  3. In fondo alla pagina trovi Gestisci le impostazioni predefinite di sicurezza. Attiva Abilita impostazioni predefinite per la sicurezza.
  4. Con i Security Defaults attivi, tutti gli utenti devono registrare un metodo MFA al primo accesso -- dal luglio 2024 Microsoft ha eliminato il periodo di grazia di 14 giorni, quindi la registrazione e immediata. Microsoft Authenticator e il metodo predefinito.

I Security Defaults sono un pacchetto "tutto o niente": attivano la 2FA per tutti gli utenti, bloccano l'autenticazione legacy (protocolli vecchi che non supportano la 2FA), e richiedono la MFA per gli admin a ogni accesso. Per la maggior parte delle PMI, e esattamente quello che serve. Nessuna configurazione complicata, nessuna decisione da prendere -- attivi e funziona.

Conditional Access (Business Premium, E3, E5):

Se hai bisogno di piu controllo -- per esempio, richiedere la 2FA solo quando si accede da fuori ufficio, o solo per certi gruppi di utenti -- il Conditional Access ti permette di creare regole personalizzate. Si configura da Entra > Protezione > Accesso condizionale > Criteri. Puoi definire condizioni (posizione, dispositivo, app, rischio dell'accesso) e azioni (richiedi MFA, blocca accesso, richiedi dispositivo conforme).

Il mio consiglio: se hai meno di 50 utenti, parti con i Security Defaults. Coprono il 95% delle esigenze. Il Conditional Access lo aggiungi quando e se ne hai bisogno -- per esempio, se vuoi permettere l'accesso senza 2FA dalla rete dell'ufficio ma richiederla da qualsiasi altra posizione.

Come gestire il rollout in azienda senza caos

Attivare la 2FA sulla console admin e la parte facile. Farla funzionare con 15 o 30 persone che hanno livelli di confidenza tecnologica molto diversi e la parte che la maggior parte delle aziende gestisce male. Ecco come la gestisco io con i miei clienti.

1. Comunicazione prima di tutto. Almeno una settimana prima del rollout, manda un'email a tutti i dipendenti che spiega tre cose: cosa cambia (dovranno inserire un codice dal telefono quando fanno login), perche cambia (per proteggere l'azienda e i dati dei clienti), e cosa devono fare (scaricare l'app authenticator sul telefono). Non mandare un documento di 10 pagine. Tre paragrafi e un link alla guida interna. Se vuoi, allega uno screenshot della procedura.

2. Periodo di grazia. Non attivare l'obbligo dall'oggi al domani. Sia Google Workspace che Microsoft 365 permettono di impostare un periodo di registrazione. Io uso 14 giorni: abbastanza per permettere a tutti di configurarla, abbastanza breve per non farla scivolare nel dimenticatoio. Durante il periodo di grazia, l'utente puo fare login normalmente ma riceve il promemoria per configurare la 2FA.

3. Sessione di configurazione assistita. Per i dipendenti meno tecnologici, organizza una sessione di 30 minuti dove un referente IT li guida passo passo. In gruppo, non uno per uno -- cosi chi ha gia finito aiuta chi e in difficolta. Nella mia esperienza, il 90% dei dipendenti configura tutto da solo dopo aver visto il primo collegamento. Il 10% ha bisogno di aiuto con il QR code o con l'app. Nessuno ci mette piu di 5 minuti.

4. Backup codes. Ogni utente deve generare e conservare i codici di backup. Questo e il punto che tutti trascurano e che genera il 90% dei problemi post-rollout. I codici di backup sono l'unico modo per accedere se il telefono non e disponibile. Io faccio stampare a ogni dipendente i codici e li faccio conservare nel portafoglio o in un cassetto chiuso a chiave. Non in un file sul PC -- se il PC e bloccato e l'email e l'unica via per accedervi, il file con i codici non serve a niente.

5. Prova prima sugli admin. Attiva la 2FA prima sugli account admin e sui responsabili. Falli usare per una settimana, raccogli i feedback, risolvi eventuali problemi. Solo dopo estendi a tutti. Se qualcosa non funziona, meglio scoprirlo con 3 persone che con 30.

I problemi reali: telefoni persi, dispositivi nuovi, resistenza al cambiamento

La 2FA funziona. Ma introduce complessita nella vita quotidiana, e questa complessita genera problemi reali che devi saper gestire.

Il dipendente perde il telefono. Succede. Il telefono cade, si rompe, viene rubato. E con lui se ne va l'app authenticator con tutti i codici. Se il dipendente ha i backup codes, li usa per accedere e riconfigura l'app su un nuovo telefono. Se non li ha -- e nella mia esperienza il 40% dei dipendenti non li conserva -- l'admin deve intervenire: accede alla console admin, disattiva la 2FA sull'account del dipendente, e lo fa riconfigurare. Su Google Workspace si fa dalla Console admin > Utenti > seleziona l'utente > Sicurezza > Verifica in due passaggi > Disattiva. Su Microsoft 365 da Entra > Utenti > seleziona l'utente > Metodi di autenticazione > Richiedi nuova registrazione MFA.

Dispositivo nuovo. Il dipendente cambia telefono. Se usa Google Authenticator, deve trasferire gli account manualmente (Google Authenticator ha una funzione "Esporta account" dal vecchio telefono e "Importa account" sul nuovo). Se usa Microsoft Authenticator, il backup su cloud e attivo di default -- basta installare l'app sul nuovo telefono e ripristinare. Se usa Authy, il backup e automatico via cloud. Il mio consiglio: usa un'app con backup cloud (Microsoft Authenticator o Authy) per evitare il problema alla radice.

Resistenza al cambiamento. Ce n'e sempre. "Ma io ho sempre fatto cosi", "E una perdita di tempo", "Non ho mica dati importanti nella mia email". La risposta a tutte queste obiezioni e una sola: non e opzionale. La 2FA e una misura di sicurezza aziendale, non una scelta personale. Cosi come nessuno puo decidere di non chiudere a chiave l'ufficio quando esce, nessuno puo decidere di non usare la 2FA. Il tono conta: non e una punizione, e una protezione. Ma non e negoziabile.

Un punto pratico sulla resistenza: nella mia esperienza, il fastidio dura una settimana. Dopo sette giorni, inserire il codice diventa automatico come inserire il PIN del bancomat. Nessun cliente mi ha mai chiesto di togliere la 2FA dopo averla usata per un mese.

Recovery: cosa fare quando la 2FA blocca l'accesso legittimo

Il peggior scenario con la 2FA e il blocco dell'accesso legittimo: il dipendente non riesce a entrare nel proprio account perche non ha il secondo fattore e non ha i backup codes. Succede. Ecco il protocollo di recovery che implemento.

Scenario 1: il dipendente ha i backup codes. Usa un codice di backup al posto del codice dell'app. Ogni codice funziona una volta sola. Dopo l'accesso, riconfigura l'app authenticator e genera nuovi backup codes. Tempo di risoluzione: 2 minuti.

Scenario 2: il dipendente non ha i backup codes ma l'admin e disponibile. L'admin accede alla console, resetta il secondo fattore dell'utente, e l'utente lo riconfigura. Tempo di risoluzione: 5-10 minuti. Questo e il motivo per cui l'account admin deve avere sempre la 2FA attiva e i backup codes conservati in un posto sicuro e separato -- se l'admin rimane bloccato fuori, non puo sbloccare nessun altro.

Scenario 3: l'admin non e disponibile e nessuno ha i backup codes. Situazione peggiore. Con Google Workspace, l'unica via e il Super Admin -- se anche il Super Admin e bloccato, si deve passare per il supporto Google con verifica dell'identita dell'organizzazione (procedura che puo richiedere giorni). Con Microsoft 365, il Global Admin puo resettare la MFA -- se anche il Global Admin e bloccato, si passa dal supporto Microsoft. In entrambi i casi, parliamo di ore o giorni senza accesso.

Come prevenire lo scenario 3:

  • L'account Super Admin / Global Admin deve avere almeno due metodi 2FA configurati (app authenticator + chiave hardware)
  • I backup codes dell'account admin vanno conservati in una busta sigillata in cassaforte -- non e un'esagerazione, e la prassi che i provider stessi raccomandano
  • Designa sempre un secondo admin con poteri di reset MFA, con backup codes conservati separatamente
  • Testa il recovery una volta: resetta la 2FA di un account di test e verifica che la procedura funzioni. Meglio scoprire i problemi durante un test che durante un'emergenza

Questo si collega direttamente alla gestione degli accessi durante l'offboarding di un dipendente: quando qualcuno esce dall'azienda, la 2FA va disattivata e gli accessi revocati immediatamente. Non il giorno dopo. Non quando "ci ricordiamo".

La 2FA non e opzionale nel 2026

Devo essere diretto su questo punto, perche e un tema su cui non accetto compromessi con i miei clienti.

Nel 2026, gestire email aziendali senza autenticazione a due fattori e negligenza. Non e una scelta tecnica, e una scelta di rischio. E il rischio non e teorico -- e documentato, quantificato, e prevenibile con dieci minuti di configurazione per account.

Nell'articolo sulla crittografia email aziendale ho scritto che la sicurezza si costruisce dal basso, non dall'ultimo piano. La 2FA e il secondo gradino -- subito dopo SPF, DKIM e DMARC. Viene prima della crittografia end-to-end, prima dell'MDM, prima di qualsiasi soluzione avanzata. Perche se un attaccante entra nell'account con una password rubata, nessuna di quelle soluzioni avanzate serve a niente.

Ho visto aziende investire migliaia di euro in firewall, antivirus enterprise, formazione anti-phishing, e poi avere tutti gli account email protetti solo dalla password. E come blindare la porta di casa e lasciare la finestra aperta. La 2FA e la finestra. E chiuderla costa zero (le app authenticator sono gratuite) e richiede minuti, non giorni.

Il messaggio che do a ogni titolare di PMI e semplice: se domani mattina non hai nient'altro da fare per la sicurezza della tua azienda, attiva la 2FA su tutte le email. Oggi. Non il mese prossimo, non quando "avrai tempo". Ogni giorno senza 2FA e un giorno in cui una password rubata e l'unica cosa che separa un attaccante dai dati dei tuoi clienti.

Se vuoi mettere in sicurezza le email aziendali partendo dalle fondamenta -- dalla configurazione DNS alla 2FA, passando per backup e sicurezza mobile -- qui spiego come lavoro con le PMI sulla sicurezza email.

Potrebbe interessarti