CyberTotem
Tutti gli articoli
MFAautenticazionesicurezza operativaNIS2

Multi-factor authentication: perché è il primo controllo da attivare

La MFA è citata esplicitamente nella NIS2 ed è il controllo con il miglior rapporto costo-efficacia. Come funziona, quali sistemi usare e come comunicarlo ai dipendenti.

Team CyberTotem

L'autenticazione a più fattori (MFA, o 2FA nella sua forma a due fattori) è citata esplicitamente nell'Art. 21, punto (j) della Direttiva NIS2. È uno dei pochi controlli tecnici menzionati per nome nella direttiva.

Il motivo è semplice: la MFA è il controllo singolo con il miglior rapporto tra costo di implementazione e riduzione del rischio. Protegge gli account anche quando le credenziali sono già compromesse.

Cos'è l'autenticazione a più fattori

L'autenticazione tradizionale richiede una sola cosa: qualcosa che sai (la password). La MFA aggiunge almeno un secondo fattore, scelto tra categorie diverse:

  • Qualcosa che hai: un telefono (app authenticator), un token fisico, una smartcard
  • Qualcosa che sei: impronta digitale, riconoscimento del volto (biometria)

La combinazione di due fattori di categorie diverse rende enormemente più difficile un accesso non autorizzato: anche se un criminale ottiene la tua password (attraverso phishing, data breach di un altro servizio, o indovinandola), non può accedere all'account senza il secondo fattore.

Cosa dice la NIS2 sulla MFA

L'Art. 21, punto (j) richiede:

"uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti all'interno del soggetto, se del caso"

La locuzione "se del caso" lascia margine di valutazione, ma le linee guida ENISA e la prassi degli auditor convergono su un'indicazione chiara: la MFA deve essere implementata per tutti gli accessi a sistemi critici, e in particolare per gli accessi privilegiati (amministratori di sistema, accesso ai dati sensibili) e gli accessi remoti.

Dove attivare la MFA per prima cosa

Se stai iniziando, prioritizza in questo ordine:

1. Accessi remoti (VPN, desktop remoto) Sono il vettore più sfruttato negli attacchi. Un accesso RDP senza MFA è una porta aperta.

2. Email aziendale L'email è il bersaglio principale del phishing e il punto di accesso a molti altri servizi. Se la casella del CEO è compromessa, l'attaccante può resettare le password di tutto il resto.

3. Applicativi gestionali e cloud (ERP, CRM, cloud storage) Dati aziendali critici. Una violazione qui può avere impatto operativo immediato.

4. Account privilegiati (amministratori IT, accesso ai server) Alta priorità: chi ha accesso admin può fare danni enormi se l'account è compromesso.

5. Tutti gli altri account interni Man mano che la maturità cresce, estendere la MFA a tutti gli utenti.

Quali metodi MFA usare

App authenticator (TOTP) — come Microsoft Authenticator, Google Authenticator, Authy. Genera un codice numerico che cambia ogni 30 secondi. È il metodo più diffuso e bilanciato tra sicurezza e usabilità. Non richiede connettività per generare il codice.

Notifica push — l'app sul telefono mostra una notifica da approvare. Più comodo del codice TOTP, ma richiede connettività e può essere vulnerabile ad attacchi "MFA fatigue" (l'utente stanco di ricevere notifiche clicca "approva" per errore).

Token fisico (hardware key) — dispositivi come YubiKey. Il livello di sicurezza più alto, difficile da phishare. Costo maggiore e gestione più complessa. Consigliato per gli account più privilegiati.

SMS — tecnicamente MFA, ma meno sicuro degli altri metodi per via del SIM swapping. Da usare solo se le alternative non sono praticabili.

Come comunicare la MFA ai dipendenti

Il principale ostacolo all'adozione della MFA non è tecnico: è la resistenza degli utenti che la percepiscono come una seccatura.

Messaggi che funzionano:

  • "Proteggere il tuo account di lavoro protegge anche te: se qualcuno entra con le tue credenziali, sei tu il sospettato."
  • "Con la MFA, anche se qualcuno ruba la tua password (cosa che può succedere in qualsiasi data breach), non riesce comunque ad accedere."
  • "Richiede 5 secondi in più al login — lo stesso tempo di guardare chi bussa prima di aprire la porta."

L'attivazione graduale aiuta: inizia con i ruoli più esposti (IT, finance, management), raccogliendo feedback prima di estendere a tutti.

MFA e NIS2: non basta attivare, bisogna documentare

Come ogni controllo NIS2, l'attivazione della MFA deve essere:

  • Documentata nella policy di gestione degli accessi
  • Tracciabile: quali sistemi hanno MFA attiva, per quali utenti
  • Verificata periodicamente: gli account privilegiati senza MFA sono un gap da correggere

Il check NIS2 di CyberTotem include la valutazione dell'autenticazione nella sezione "Sicurezza operativa".

La MFA è uno dei controlli chiave valutati nel Check NIS2. Fai il check gratuito per vedere il tuo livello complessivo.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo