L’autenticazione a più fattori (MFA) non è più solo una raccomandazione di sicurezza per le grandi aziende. È uno dei modi più pratici per le imprese di ridurre il rischio di sottrazione dell’account e rendere meno utili le password rubate. Man mano che l’accesso ai sistemi aziendali si diffonde tra app cloud, team remoti, dispositivi condivisi e piattaforme di terze parti, l’MFA sta diventando uno strumento sempre più utile.

Tuttavia, durante l’implementazione, i responsabili IT si trovano di fronte alla sfida di valutare se l’MFA sia utile o efficace. Far funzionare l’MFA in un’organizzazione richiede molte decisioni: quali account ne hanno bisogno per primi? Quali metodi MFA dovrebbero essere consentiti? Come puoi evitare la resistenza dei dipendenti? Come puoi assicurarti che l’MFA sia effettivamente imposta, e non solo incoraggiata?

Questa guida è scritta per aiutare la tua azienda a implementare l’MFA con successo. Spiega cos’è l’MFA, perché le sole password non sono più sufficienti, come si confrontano i metodi MFA più comuni per l’uso aziendale e come implementare l’MFA in modo che il tuo team possa adottarla facilmente. Mostra anche come un gestore di password aziendale con supporto 2FA integrato possa rendere le pratiche di autenticazione più forti più facili da gestire su scala.

Cos’è l’autenticazione a più fattori?

Perché le sole password non sono più sufficienti

Tipi di MFA e compromessi per le aziende

Dove fallisce l’implementazione dell’MFA

Il problema della resistenza dei dipendenti

Come implementare l’MFA in tutta la tua azienda

In che modo Proton Pass for Business rende gestibile l’MFA

Cos’è l’autenticazione a più fattori?

L’MFA è un processo di sicurezza che richiede più di un tipo di verifica dell’identità per accedere a un account. Invece di affidarsi solo a una password tradizionale, l’MFA richiede un fattore aggiuntivo che rende più difficile l’accesso non autorizzato.

I tre fattori di autenticazione più comuni sono:

  • Qualcosa che sai, come una password o un PIN.
  • Qualcosa che hai, come un telefono, un’app di autenticazione, una chiave di sicurezza hardware o un dispositivo attendibile.
  • Qualcosa che sei, come un’impronta digitale o il riconoscimento facciale.

In pratica, l’MFA solitamente significa che un dipendente inserisce una password e poi verifica il login tramite un altro metodo, come un codice temporaneo (o TOTP), un’approvazione push, una chiave di accesso o una chiave hardware. L’obiettivo è semplice: se una password viene rubata, indovinata, carpita tramite phishing o riutilizzata, l’autore dell’attacco ha comunque bisogno di un altro fattore per accedere.

L’autenticazione a più fattori in contesti aziendali

Per le aziende, implementare l’MFA è un modo per rafforzare la sicurezza degli account con un controllo degli accessi aggiuntivo, non solo per sostituire le password. Nei contesti aziendali, la sfida consiste nel decidere dove questi metodi sono più necessari e come distribuirli in modo coerente tra diversi sistemi, ruoli e livelli di rischio.

Tuttavia, non tutte le soluzioni MFA sono ugualmente forti. Un codice inviato tramite SMS è meglio di una semplice password, ma non offre la stessa protezione di una chiave di sicurezza hardware o di una chiave di accesso ben implementata. La scelta giusta dipende dal rischio, dall’usabilità, dall’accesso ai dispositivi, dalle esigenze di conformità e da quanto controllo amministrativo la tua azienda riesce a mantenere.

Perché le sole password non sono più sufficienti

Le password forti sono ancora importanti, ma da sole non bastano più. I dipendenti gestiscono più account che mai e i malintenzionati sanno che l’accesso aziendale spesso inizia con una singola credenziale compromessa.

Una password può essere esposta tramite phishing, malware(nuova finestra), violazioni dei dati, credential stuffing, riutilizzo delle password o condivisione non sicura. Una volta che i malintenzionati ottengono un nome utente e una password validi, la loro attività può sembrare un normale tentativo di login, a meno che non sia richiesto un ulteriore livello di verifica.

Ecco perché la protezione dalle violazioni dei dati per le aziende deve includere il controllo delle credenziali, la sicurezza degli endpoint e la formazione dei dipendenti. Una policy sulle password forte aiuta, ma non può impedire che ogni password rubata venga testata contro email, archiviazione cloud, strumenti finanziari, portali amministrativi o sistemi dei clienti.

La posta in gioco dal punto di vista finanziario è alta. Il rapporto sul costo di una violazione dei dati del 2025 di IBM(nuova finestra) stima che il costo medio globale di una violazione dei dati sia di 4,4 milioni di dollari. L’MFA non può eliminare il rischio di violazione, ma riduce uno dei percorsi più comuni verso i sistemi aziendali: l’accesso non autorizzato tramite credenziali compromesse.

L’MFA è particolarmente importante per gli account che controllano altri account. Email, provider di identità, gestori di password, console di amministrazione, piattaforme di sviluppo, strumenti di gestione delle buste paga e sistemi finanziari dovrebbero essere trattati come priorità assoluta, poiché ottenerne l’accesso può sbloccare ulteriori accessi altrove.

Tipi di MFA e compromessi per le aziende

Un’optima implementazione dell’MFA inizia con la scelta dei metodi giusti. L’opzione migliore non è sempre la stessa per ogni azienda, team o sistema. I responsabili IT, ad esempio, devono bilanciare l’efficacia della sicurezza, l’usabilità per i dipendenti, la disponibilità dei dispositivi, il carico di lavoro amministrativo e le esigenze di supporto.

Password monouso via SMS

Le password monouso (OTP) tramite SMS inviano un codice a un numero di telefono durante il login. Questo è uno dei metodi MFA più facili da comprendere per i dipendenti e può essere utile dove non sono disponibili opzioni migliori.

Lo svantaggio è la sicurezza. Gli SMS possono be vulnerabili al SIM swapping, all’intercettazione, all’ingegneria sociale (social engineering) e agli attacchi di recupero del numero di telefono. Inoltre, creano problemi operativi quando i dipendenti cambiano numero, viaggiano all’estero, hanno scarsa ricezione o utilizzano telefoni personali per lavoro.

Per le aziende, è meglio considerare le OTP via SMS come un’opzione di riserva piuttosto che come il metodo MFA preferito. È comunque preferibile alle sole password, ma non dovrebbe essere l’impostazione predefinita per gli account ad alto rischio.

App di autenticazione e codici TOTP

I dipendenti aprono un’app di autenticazione, come Proton Authenticator, copiano il codice generato per il servizio a cui stanno accedendo e lo inseriscono durante il login.

Questo metodo è solitamente più sicuro degli SMS perché il codice viene generato sul dispositivo e non dipende dalla rete mobile. Inoltre, è ampiamente supportato dagli strumenti aziendali, il che lo rende una base pratica per molte implementazioni di MFA.

Il compromesso riguarda l’usabilità e il recupero. I dipendenti devono configurare correttamente l’app, mantenere l’accesso al proprio dispositivo e capire come funziona il recupero se un telefono viene smarrito o sostituito. I team IT devono anche creare policy chiare per i codici di backup, i cambi di dispositivo e l’offboarding dei dipendenti.

Il sistema TOTP funziona bene come metodo MFA aziendale generale, soprattutto se associato a una gestione forte delle password e a processi amministrativi chiari.

Chiavi di sicurezza hardware

Le chiavi di sicurezza hardware, come le YubiKey, offrono un’autenticazione forte perché il dipendente deve possedere fisicamente la chiave per accedere agli account aziendali. Molte chiavi di sicurezza proteggono anche dal phishing perché verificano che il sito web stesso sia legittimo prima di completare l’autenticazione.

Per i ruoli ad alto rischio, le chiavi hardware possono essere una delle opzioni MFA più solide. Sono particolarmente utili per amministratori, dirigenti, team finanziari, sviluppatori e chiunque abbia accesso a sistemi sensibili.

Il compromesso è la complessità dell’implementazione. Le aziende devono acquistare le chiavi, distribuirle, formare i dipendenti, gestire i backup e gestire i dispositivi smarriti o danneggiati. Una strategia basata sulle chiavi hardware necessita anche di un processo di recupero che non indebolisca i vantaggi in termini di sicurezza.

Chiavi di accesso

Le chiavi di accesso utilizzano l’autenticazione crittografica anziché una password tradizionale. In molti casi, i dipendenti sbloccano la chiave di accesso con un’impronta digitale, il riconoscimento facciale, un PIN o l’approvazione del dispositivo. La chiave privata rimane sul dispositivo, il che rende le chiavi di accesso più resistti al phishing rispetto a molti metodi di autenticazione meno recenti.

Per le aziende, le chiavi di accesso possono migliorare sia la sicurezza che l’usabilità. Riducono la dipendenza da segreti condivisi e possono rendere il login più veloce per i dipendenti. La sfida principale riguarda la maturità dell’ecosistema. Non tutti gli strumenti aziendali supportano ancora le chiavi di accesso, e i team IT hanno bisogno di policy per la registrazione dei dispositivi, il recupero, le workstation condivise e l’offboarding dei dipendenti.

Per molte organizzazioni, la soluzione pratica è un modello ibrido: utilizzare le chiavi di accesso dove supportato, mantenere password forti e l’MFA dove sono ancora richiesti, e gestire entrambi attraverso chiare policy di accesso.

Metodo MFALivello di sicurezzaIdoneità per l’aziendaScenario d’uso ideale
SMS OTPBaseFacile da adottare, ma più debole rispetto ad altri metodi MFAOpzione di riserva quando non è disponibile un MFA più sicuro
App di autenticazioneDa moderata a fortePratica opzione predefinita per molti teamAccount aziendali quotidiani e strumenti SaaS
Chiavi di sicurezza hardwareMolto forteIdeale per ruoli ad alto rischio, ma richiede la gestione dei dispositiviAmministratori, dirigenti, team finanziari e sistemi sensibili
Chiavi di accessoMolto forteSicuro e facile da usare dove supportatoApp moderne, flussi di lavoro senza password e accesso resistente al phishing

Dove l’implementazione dell’MFA fallisce

L’MFA può comunque fallire anche se un’azienda l’ha implementato. In realtà, la qualità dell’implementazione è importante quanto lo stesso metodo MFA. Alcuni dei motivi di fallimento possono includere:

  • Ripristino debole. Se i dipendenti possono aggirare l’MFA tramite un semplice ripristino dell’account, scorciatoie dell’help desk o codici di backup protetti in modo inadeguato, i malintenzionati potrebbero prendere di mira il processo di reimpostazione invece della schermata di login.
  • Applicazione incoerente. L’MFA potrebbe essere attivato per alcuni strumenti ma lasciato facoltativo per email, account amministratore, sistemi finanziari, account operativi condivisi o per determinati dipendenti. In questa situazione, l’MFA diventa un’aspirazione piuttosto che un controllo e i malintenzionati possono comunque cercare il percorso più debole disponibile.
  • Scarsa usabilità. Se i dipendenti vengono continuamente interrotti, bloccati fuori o non sanno con certezza cosa approvare, potrebbero sentirsi frustrati e avere maggiori probabilità di commettere errori. La stanchezza da notifiche push ne è un esempio: continue richieste di approvazione possono spingere le persone ad accettarle senza pensare.

Un’implementazione efficace dell’MFA richiede applicazione, monitoraggio e supporto. Dovrebbe essere facile per i dipendenti fare la cosa giusta e difficile lasciare non protetti gli account importanti.

Il problema della resistenza dei dipendenti

La resistenza dei dipendenti è uno dei maggiori ostacoli all’implementazione dell’MFA. I dipendenti potrebbero vederlo come un passaggio aggiuntivo, un blocco per la produttività o un’ennesima regola di sicurezza introdotta senza un contesto.

Questa reazione è comprensibile, soprattutto quando l’MFA viene introdotto all’improvviso o con istruzioni poco chiare. Spesso la resistenza deriva da una scarsa implementazione, non dall’opposizione alla sicurezza in sé.

La soluzione a questo problema consiste nel rendere l’MFA prevedibile e facile da seguire. Spiega ai dipendenti che protegge gli account aziendali anche in caso di furto della password, inizia con strumenti familiari come l’email e le piattaforme aziendali condivise, fornisci passaggi di configurazione chiari e supporta i dipendenti durante i cambi di dispositivo.

Evita di presentare l’MFA come una punizione o un segno di sfiducia. Deve essere percepito come una salvaguardia pratica per l’azienda, i suoi clienti e gli account di lavoro degli stessi dipendenti.

Anche una politica BYOD (bring your own device) può essere d’aiuto. Se i dipendenti utilizzano dispositivi personali per il lavoro, regole chiare per le app di autenticazione, la sicurezza dei dispositivi, la segnalazione dei dispositivi smarriti e la revoca dell’accesso rendono l’implementazione dell’MFA più fluida.

Come implementare l’MFA nella tua azienda

Un’implementazione di successo dell’MFA è un progetto di gestione del cambiamento. I responsabili IT devono decidere cosa proteggere per primo, come funzionerà l’applicazione delle regole, come verranno gestite le eccezioni e come verrà misurata l’adozione.

Passo 1: mappa i tuoi account e i livelli di rischio

Inizia con un inventario degli accessi. Identifica i sistemi da cui dipende la tua azienda e gli account che comportano il rischio maggiore se compromessi.

Dai la priorità a:

  • Account email e provider di identità.
  • Account amministratore e ruoli privilegiati.
  • Account del gestore di password.
  • Strumenti finanziari, per le buste paga e di fatturazione.
  • Archiviazione cloud e condivisione dei file.
  • Sistemi di sviluppo, infrastruttura e produzione.
  • Piattaforme di dati dei clienti e CRM.

In questo modo crei una sequenza di implementazione per la tua azienda basata sul rischio piuttosto che sulla comodità.

Passo 2: scegli i metodi MFA approvati

Decidi quali metodi MFA consentire nella tua azienda. Per molti team, le app di autenticazione o le chiavi di accesso possono diventare l’opzione predefinita, mentre le chiavi di sicurezza hardware sono riservate ai ruoli ad alto rischio. Gli SMS possono rimanere un’alternativa laddove necessario, ma non dovrebbero essere il metodo preferito per i sistemi sensibili.

Documenta la decisione in modo chiaro. I dipendenti devono sapere quali metodi sono approvati, quali sono sconsigliati e cosa fare se smarriscono un dispositivo.

Passo 3: avvia un progetto pilota prima di applicarlo ovunque

Avvia un progetto pilota con il team IT, delle operazioni, finanziario, la dirigenza o un altro gruppo in grado di fornire feedback utili. L’obiettivo è testare il processo di configurazione, la documentazione di supporto, i flussi di ripristino e le impostazioni della policy prima che l’implementazione raggiunga l’intera organizzazione.

Un progetto pilota aiuta anche a individuare dove le richieste MFA sono troppo frequenti, dove i dipendenti hanno bisogno di istruzioni più chiare e quali sistemi richiedono una gestione speciale.

Passo 4: imponi l’MFA prima per gli account ad alto rischio

Incoraggiare l’uso non è sufficiente per i sistemi critici. Una volta completato il progetto pilota, rendi obbligatorio l’MFA per gli account che comportano il rischio più elevato.

Ciò include gli account amministratore, l’email, i sistemi di identità, i gestori di password e gli strumenti finanziari. Se l’uso per questi account rimane facoltativo, i malintenzionati potrebbero comunque trovare un percorso d’accesso all’azienda.

La chiave è applicare le regole fornendo supporto. Dai ai dipendenti un preavviso, guide alla configurazione, orari di assistenza e istruzioni per il ripristino. L’applicazione funziona meglio quando le persone non vengono colte di sorpresa.

Passo 5: estendi al resto dell’organizzazione

Dopo aver protetto gli account ad alto rischio, estendi l’MFA ai restanti strumenti aziendali. Questo può avvenire per reparto, categoria di strumenti o livello di rischio.

Tieni traccia dell’adozione man mano che procedi:

  • Quali account hanno l’MFA attivato?
  • Quali dipendenti non si sono ancora registrati?
  • Quali sistemi consentono ancora l’accesso solo tramite password?
  • Quali eccezioni sono aperte e chi ne è il responsabile?

Un gestore di password aziendale può supportare questo processo offrendo ai team visibilità su quali account hanno già l’MFA attivato e quali necessitano ancora di un’autenticazione più forte.

È qui che molti rilasci rallentano o falliscono. L’MFA richiede una gestione continua dopo la data di implementazione.

Passo 6: esamina le eccezioni e i percorsi di ripristino

Ogni eccezione deve avere un responsabile, un motivo e una data di scadenza. Se non è possibile attivare l’MFA per uno strumento, documentane il motivo e decidi se è necessario un controllo compensativo.

Anche il ripristino merita una revisione periodica. I codici di backup, i flussi di ripristino dell’account, le eccezioni dell’amministratore e i ripristini dei dispositivi possono diventare punti deboli se non vengono controllati. L’implementazione dell’MFA dovrebbe rendere il ripristino sicuro, non semplicemente comodo.

In che modo Proton Pass for Business rende gestibile l’MFA

L’implementazione dell’MFA diventa più semplice quando la gestione delle credenziali è già sotto controllo. Se le password vengono riutilizzate, condivise in modo informale, archiviate nei browser o sparse in fogli di calcolo, l’MFA diventa più difficile da applicare in modo coerente.

Un gestore di password aziendale come Proton Pass for Business aiuta a fare molto di più che rafforzare il livello delle password. Può anche supportare direttamente il secondo fattore. Il supporto 2FA integrato consente ai team di archiviare i codici TOTP in modo sicuro e utilizzare lo stesso gestore di password come dispositivo MFA, facilitando l’adozione di un’autenticazione più forte e la condivisione sicura ove opportuno. I dipendenti possono generare password complesse e uniche, memorizzarle in casseforti crittografate, eseguire il riempimento automatico dei login, utilizzare il supporto 2FA integrato per i codici TOTP e gestire le chiavi di accesso dove supportate.

Ciò migliora anche la visibilità. Gli amministratori devono sapere non solo se i dipendenti hanno password sicure, ma anche quali account hanno già il 2FA attivato e quali si affidano ancora all’accesso solo tramite password. Proton Pass può aiutare gli amministratori IT a evidenziare queste informazioni, rendendo l’adozione dell’MFA più facile da monitorare in tutta l’organizzazione.

Anche le chiavi di accesso sono un fattore chiave. Poiché le aziende si muovono verso un’autenticazione più forte e resistente al phishing, un gestore di password che supporta le chiavi di accesso come Proton Pass aiuta i team a gestire sia i flussi MFA tradizionali sia i nuovi metodi senza password in un unico posto. Ciò rende l’implementazione più pratica in ambienti misti in cui alcuni sistemi utilizzano ancora password e TOTP, mentre altri sono pronti per le chiavi di accesso.

Per i team IT, Proton Pass for Business supporta la gestione centralizzata, le Policy, la condivisione sicura e la visibilità tramite report e log. Ciò rende l’MFA più realistico dal punto di vista operativo, poiché i team possono ridurre la proliferazione delle password rendendo al contempo un’autenticazione più forte più facile da distribuire e gestire in tutta l’organizzazione.

Un gestore di password aziendale non sostituisce l’MFA, ma ne rende l’implementazione molto più semplice perché rafforza il primo fattore, supporta il secondo e offre all’azienda un percorso complessivamente più gestibile verso un’autenticazione più forte.