OneKitTools logoOneKitTools
security5 min di lettura

"2FA Spiegato: Perché i Codici SMS Sono Meno Sicuri di Quanto Pensi"

L'autenticazione a due fattori è essenziale — ma non tutti i 2FA sono uguali. Scopri perché i codici SMS possono essere intercettati, quali alternative sono più sicure e come proteggere davvero i tuoi account.

OneKitTools Team14 aprile 2026

Due Password Non Equivalgono a Due Fattori

"Attiva il 2FA" è un consiglio che senti ovunque. Ma la maggior parte delle persone attiva la versione SMS — un codice a 6 cifre inviato al telefono — e si considera al sicuro. Sono più al sicuro rispetto a chi non usa il 2FA, sì. Ma il 2FA basato su SMS ha debolezze reali e ben documentate che dovresti conoscere.

Non è per spaventarti e farti abbandonare il 2FA via SMS. È per aiutarti a capire cosa stai ottenendo davvero, e quando usare qualcosa di più sicuro.

Cos'è l'Autenticazione a Due Fattori?

I fattori di autenticazione si dividono in tre tipi:

  • Qualcosa che conosci — password, PIN
  • Qualcosa che hai — telefono, chiave hardware, app authenticator
  • Qualcosa che sei — impronta digitale, riconoscimento facciale

L'autenticazione a due fattori (2FA) significa usare due tipi diversi. Una password + codice SMS è "qualcosa che conosci" + "qualcosa che hai". Questo è vero 2FA — ed è nettamente migliore rispetto alla sola password.

Il problema non è il 2FA in sé. Il problema è che "qualcosa che hai (un telefono)" può essere dirottato senza rubare fisicamente il tuo telefono.

Perché il 2FA via SMS Può Essere Intercettato

SIM Swapping

L'attacco SMS più comune. Ecco come funziona:

  1. Un attaccante chiama il tuo operatore mobile fingendo di essere te
  2. Sostiene di aver perso il telefono e di aver bisogno di trasferire il numero su una nuova SIM
  3. L'operatore trasferisce il tuo numero alla sua SIM
  4. Ogni SMS inviato al "tuo" numero arriva ora all'attaccante
  5. L'attaccante richiede reset della password + codici SMS per i tuoi account

Questo è successo a personaggi importanti. Account di exchange di criptovalute, account email, social media — il SIM swapping è un vettore ben noto perché la verifica dell'identità da parte degli operatori è applicata in modo incoerente.

Vulnerabilità del Protocollo SS7

Il protocollo SS7 è la colonna vertebrale tecnica quarantennale che instrada le chiamate telefoniche e gli SMS in tutto il mondo. Presenta vulnerabilità di sicurezza note che consentono ad attaccanti di stato e gruppi criminali sofisticati di intercettare i messaggi SMS in transito senza toccare il tuo telefono o il tuo operatore.

Per la maggior parte delle persone, gli attacchi SS7 sono teorici. Per obiettivi di alto valore (dirigenti, giornalisti, attivisti), sono una minaccia reale.

Phishing dei Codici SMS in Tempo Reale

L'attacco più comune contro gli utenti normali: una pagina di accesso falsa cattura la tua password E il tuo codice SMS simultaneamente, poi li riproduce sul sito reale prima che il codice scada.

Inserisci le tue credenziali su un sito falso convincente → accedono al sito reale → il sito reale ti invia un SMS → inserisci l'SMS sul sito falso → l'attaccante ha la tua sessione.

Questo si chiama attacco di "phishing in tempo reale" o attacco "adversary-in-the-middle" (AiTM). Funziona contro il 2FA via SMS anche senza che tu abbia ceduto il tuo telefono.

Cosa È Più Sicuro degli SMS

App Authenticator (TOTP)

App come Google Authenticator, Authy o qualsiasi app compatibile TOTP generano codici temporanei localmente sul tuo dispositivo. Nessun SMS, nessun operatore coinvolto.

Perché è meglio: i codici vengono generati sul tuo dispositivo, non inviati su una rete. Un SIM swap non serve — il codice è sul tuo telefono originale. Il phishing in tempo reale funziona ancora (se inserisci il codice su un sito falso), ma gli attacchi SS7 non si applicano.

Usalo per: qualsiasi servizio che lo supporta. Preferiscilo agli SMS.

Chiavi di Sicurezza Hardware (FIDO2/WebAuthn)

Dispositivi fisici (YubiKey, Google Titan, ecc.) che si collegano via USB o toccano via NFC. Quando accedi, tocchi fisicamente la chiave per confermare.

Perché è più sicuro: prova crittografica, nessun codice da intercettare, resistente al phishing (la chiave verifica di parlare con il sito reale controllando il dominio). Il phishing in tempo reale non funziona — la chiave non si autenticherà su un dominio falso.

Usalo per: i tuoi account più critici — email, banche, account aziendali. Vale l'investimento.

Passkeys

Le passkey sostituiscono completamente le password usando la crittografia a chiave pubblica memorizzata sul tuo dispositivo. Supportate da Apple, Google, Microsoft e un numero crescente di servizi.

Perché è più sicuro: nessuna password da rubare, nessun codice da intercettare, resistente al phishing per design (binding crittografico del dominio). La chiave privata non lascia mai il tuo dispositivo.

Usalo per: qualsiasi servizio che le supporta (Apple ID, Account Google, GitHub, PayPal, 1Password e molti altri).

La Classifica Onesta

Dal meno al più sicuro:

  1. Nessun 2FA — solo password (da evitare)
  2. 2FA via SMS — meglio di niente, vulnerabile a SIM swap + phishing AiTM
  3. App authenticator (TOTP) — immune al SIM swap, ancora vulnerabile al phishing AiTM
  4. Chiave hardware (FIDO2) — resistente al phishing, richiede presenza fisica
  5. Passkeys — resistente al phishing, nessuna password, migliore UX tra le opzioni sicure

Cosa Fare in Pratica

Per la maggior parte delle persone:

  • Usa un'app authenticator (non SMS) dove possibile
  • Usa gli SMS se è l'unica opzione — è comunque molto meglio di niente
  • Attiva il 2FA sull'email prima — è la chiave maestra di tutti i tuoi altri account

Per account di alto valore (banche, crypto, accesso aziendale):

Per tutti:

  • Non riutilizzare mai le password su siti diversi
  • Se si verifica una violazione: cambia la password, controlla se la stessa password è stata usata altrove, attiva il 2FA se non lo hai già fatto

Conclusione

Il 2FA via SMS è meglio di nessun 2FA. Se è l'unica opzione, usalo. Ma se un servizio offre un'app authenticator o una chiave hardware, scegli quella — il miglioramento della sicurezza è significativo.

La cosa più importante è avere il 2FA sull'account email. L'email è il meccanismo di recupero per tutto il resto — se un attaccante controlla la tua email, può reimpostare ogni altra password che hai.

Controlla se la tua email è stata coinvolta in una violazione — poi attiva il 2FA oggi stesso.

Condividi

Articoli correlati

security

Cosa Succede Davvero ai Tuoi Dati Quando un Sito Viene Hackerato

5 min di lettura
security

"Sicurezza delle Password: Come Verificare se la Tua Password è Trapelata"

2 min di lettura

Strumenti menzionati

Password Generator
Email Breach Checker
Hash Generator