Ogni giorno vengono sottratte credenziali aziendali tramite phishing, malware o semplice riutilizzo di password. Il problema non è che le persone siano imprudenti: è che una password da sola non è un meccanismo di autenticazione sufficiente nel 2026. L'autenticazione a più fattori (MFA) aggiunge un secondo passaggio di verifica — un codice su app, un token fisico, una notifica sul telefono — che rende inutile la password rubata da sola.

Cosa significa MFA in pratica

L'MFA si basa su una logica semplice: per accedere a un account servono almeno due elementi distinti tra loro. Di solito si combinano:

  • Qualcosa che sai — la password
  • Qualcosa che hai — il telefono con l'app authenticator, o una chiave hardware USB
  • Qualcosa che sei — l'impronta digitale o il riconoscimento facciale

Per una PMI, la combinazione più pratica è: app authenticator (Microsoft Authenticator, Google Authenticator) per tutti i dipendenti, e chiave hardware FIDO2 per gli amministratori IT e i dirigenti. Le chiavi FIDO2 costano dai 25 ai 60 euro l'una e sono la forma più robusta disponibile oggi, perché resistono anche agli attacchi di phishing più sofisticati.

L'SMS come secondo fattore è meglio di niente, ma è la forma meno sicura: i codici via SMS possono essere intercettati o aggirati tramite SIM swapping. Se si parte da zero, meglio puntare direttamente a un'app authenticator.

Perché il rapporto costo/beneficio è difficile da battere

Il costo di una soluzione MFA per applicazioni aziendali o accesso VPN si aggira attorno ai 3-5 euro per utente al mese. Per molte PMI che usano già Microsoft 365 Business Premium, l'MFA è già inclusa nella licenza esistente — non c'è nessun costo aggiuntivo per attivarla.

Dall'altro lato, secondo i dati IBM 2025 riportati da BullTech, il costo medio di un data breach per una PMI italiana si aggira attorno ai 43.000 euro. Una cifra che non include i costi indiretti: fermo operativo, danno reputazionale, comunicazioni ai clienti, eventuale assistenza legale.

Una PMI con 30 utenti che attiva l'MFA spende meno di 1.800 euro l'anno. Basta un singolo incidente evitato per giustificare anni di investimento.

A questo si aggiunge il rischio normativo. La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, prevede sanzioni che per i soggetti importanti possono arrivare a 7 milioni di euro. Non sono numeri campati in aria: sono le cifre scritte nel testo della legge.

NIS2 e l'obbligo MFA entro settembre 2026

La NIS2 riguarda le PMI italiane con almeno 50 dipendenti o 10 milioni di euro di fatturato che operano in settori considerati critici o importanti: energia, trasporti, sanità, digitale, manifatturiero avanzato, e altri. Se la tua azienda rientra in questi parametri, l'adeguamento tecnico completo è richiesto entro il 30 settembre 2026.

L'ACN (Agenzia per la Cybersicurezza Nazionale) ha pubblicato linee guida operative che includono esplicitamente l'MFA obbligatoria su tutti gli accessi critici, i servizi cloud e le connessioni da remoto. Non si tratta di una raccomandazione: è un requisito tecnico verificabile in sede di audit.

Anche per le aziende che non rientrano direttamente nell'ambito NIS2, la normativa ha un effetto a cascata: i grandi committenti e le pubbliche amministrazioni inizieranno a richiedere evidenze di adeguamento ai propri fornitori. Chi non si adegua rischia di perdere contratti, non solo sanzioni.

Il punto cieco: gli account amministrativi senza MFA

I dati di Intrusa.io sulle PMI italiane mostrano un fatto preoccupante: oltre il 21% delle utenze amministrative non ha l'MFA attiva. Sono gli account più pericolosi da esporre, perché chi li controlla ha accesso completo ai sistemi.

Un attaccante che ottiene la password di un amministratore senza MFA può, in pochi minuti, cifrare i file aziendali con ransomware, esfiltrare dati sensibili o creare nuovi account con privilegi elevati. Il fatto che l'azienda sia piccola non è una protezione: è semmai un incentivo per chi attacca, perché le PMI sono spesso meno presidiate delle grandi organizzazioni.

Sempre dai dati Intrusa.io, oltre il 60% degli attacchi gestiti dai SOC italiani nel 2025 ha coinvolto realtà sotto i 250 dipendenti. Le PMI sono il bersaglio preferito del ransomware proprio perché percepite come più vulnerabili.

Come partire: una sequenza pratica

Non serve un progetto lungo mesi. Per una PMI che parte da zero, una sequenza ragionevole è questa:

  1. Verifica cosa hai già. Se usi Microsoft 365 Business Premium o Google Workspace, l'MFA è già inclusa. Non stai comprando niente: stai attivando una funzione che paghi e non usi.
  2. Parti dagli account critici. Amministratori IT, accessi al gestionale, VPN aziendale, posta elettronica dei dirigenti. Questi sono i bersagli principali.
  3. Estendi a tutti gli utenti. L'app authenticator è gratuita, si installa sullo smartphone in cinque minuti e richiede una formazione minima.
  4. Usa chiavi hardware per chi ha privilegi elevati. Per gli amministratori, una chiave FIDO2 elimina il rischio residuo del phishing sui codici OTP.
  5. Documenta tutto. Per NIS2 non basta attivare l'MFA: serve evidenza che sia attiva, monitorata e inclusa nelle policy aziendali.

Il punto 5 è quello che molte PMI trascurano. L'attivazione tecnica è la parte più semplice. La documentazione e la governance — policy scritte, log di accesso, procedure di gestione degli account — sono ciò che un audit NIS2 andrà a verificare.

Se non hai un responsabile IT interno, una o due giornate di consulenza esterna sono sufficienti per configurare correttamente l'MFA su Microsoft 365 o Google Workspace e impostare le policy di base. Non è un progetto da mesi: è un intervento puntuale con effetti immediati.