La password non basta più: cosa accadrà con la MFA obbligatoria nel 2026
Sommario
Il 7 maggio si celebra il World Password Day. Questa ricorrenza assume oggi un significato diverso: i nuovi requisiti in materia di sicurezza informatica della NIS2 renderanno l’MFA obbligatoria entro il 2026.
La Multi-Factor Authentication diventerà presto lo standard necessario per proteggere i dati e garantire la continuità delle attività professionali.
Ma la questione non riguarda solo le normative. La capacità dei cybercriminali di violare le password classiche, anche grazie all’AI, rende l’adozione di sistemi di protezione come biometria e MFA fondamentali per tutte le aziende che vogliono proteggere i propri dati e quelli dei propri Clienti.
Che cosa sono la MFA e la biometria
La Multi-Factor Authentication (MFA) è un sistema di autenticazione che richiede all’utente di verificare la propria identità attraverso almeno due fattori indipendenti, combinando ad esempio una password con un codice temporaneo o un dispositivo fisico.
La biometria, invece, utilizza caratteristiche fisiche o comportamentali uniche — come impronta digitale, riconoscimento facciale o voce — per confermare l’identità di una persona. Integrata nei sistemi di autenticazione, rappresenta uno dei fattori più efficaci perché non può essere facilmente replicata o condivisa.
Questi due sistemi, utilizzati da soli o in maniera combinata, riducono notevolmente il rischio di violazioni e aiutano le persone a mantenere password sicure diverse per ogni device e account, senza bisogno di ricordarle a memoria.
Poca attenzione alle password? Un grande pericolo
A misurare la distanza tra consapevolezza e comportamento reale ci ha pensato il World Password Day Survey 2025 di Bitwarden, condotto su 2.300 adulti occupati in sei Paesi.
Il 72% dei lavoratori della Generazione Z riutilizza le stesse password su account diversi. Il dato più significativo? Il 79% degli stessi intervistati sa perfettamente che si tratta di un comportamento rischioso.
Conoscere il problema, quindi, non basta. Serve un sistema che riduca il margine di errore umano e renda la sicurezza indipendente dalle abitudini individuali.
Biometria, MFA e protocolli passwordless sono ormai lo standard per difendersi da attacchi automatizzati sempre più sofisticati.
Dalla password alla MFA obbligatoria: sette punti chiave
Tutti gli esperti consigliano già da tempo di passare alla Multi Factor Authentication. Ecco una panoramica di cosa sta accadendo con il passaggio dai sistemi basati sulla memoria alle nuove infrastrutture di protezione, come la MFA obbligatoria, richieste dai regolamenti in vigore entro il 2026.
1. Password: i limiti strutturali di uno strumento nato per un altro mondo
Le password classiche sono state progettate in un contesto digitale radicalmente diverso da quello attuale.
Oggi i sistemi di password cracking, molti dei quali basati su Machine Learning, riescono a individuare pattern comuni e sostituzioni di caratteri in pochi secondi.
Una password complessa offre ancora una certa protezione, ma da sola rimane uno strumento fragile di fronte alla sofisticazione delle minacce attuali. La MFA obbligatoria impone alle aziende di mandare in pensione le vecchie password e di sostituirle con nuovi sistemi di protezione più sicuri.
2. Credential stuffing e phishing: le minacce evolvono, i perimetri si ampliano
Gli attaccanti hanno spostato il focus: non cercano più di forzare i sistemi, ma di entrarvi legittimamente.
Sfruttando la tecnica del credential stuffing, i criminali utilizzano liste di credenziali trafugate per tentare l’accesso su più piattaforme, contando sulla tendenza degli utenti al riutilizzo delle password.
In questo scenario, il phishing diventa lo strumento principale per raccogliere identità in modo silenzioso. Anche un’azienda tecnicamente avanzata può risultare vulnerabile se l’accesso iniziale non è protetto da fattori dinamici e non clonabili.
3. Il riconoscimento biometrico: un secondo livello che rafforza l’accesso
Il riconoscimento biometrico — impronta digitale, riconoscimento facciale, scansione dell’iride o identificazione vocale — aggiunge un livello di verifica che non può essere sottratto con un attacco di phishing tradizionale: non esistono credenziali da intercettare o riutilizzare.
Un elemento da considerare attentamente: i dati biometrici, a differenza delle password, sono permanenti.
Per questa ragione, la biometria esprime il massimo della sua efficacia quando viene utilizzata come componente di un sistema di autenticazione multifattore, dove la compromissione di un singolo elemento non è sufficiente a garantire l’accesso.
4. Cos’è l’autenticazione a più fattori e come si integra con la biometria
L’autenticazione a più fattori (o autenticazione multifattore) richiede di verificare la propria identità attraverso almeno due elementi distinti e indipendenti:
- qualcosa che si conosce — una password o un PIN
- qualcosa che si possiede — uno smartphone o un token fisico
- qualcosa che si è — un dato biometrico
La combinazione di questi livelli riduce la superficie d’attacco in modo significativo.
La biometria si inserisce naturalmente come terzo fattore — o, in alcuni casi, come sostituto del primo — rendendo il sistema di autenticazione più solido e allo stesso tempo più fluido per l’utente.
La MFA è oggi integrata nella maggior parte delle piattaforme di gestione delle identità aziendali e richiede un processo di adozione che coinvolge sia la configurazione tecnica sia la formazione del personale.
5. MFA obbligatoria: NIS2 e il quadro normativo
Il D.Lgs. 138/2024, in attuazione della Direttiva NIS2, impone alle organizzazioni l’adozione di misure tecniche e organizzative proporzionate al rischio per garantire la sicurezza dei sistemi informativi.
In questo contesto, l’Agenzia per la Cybersicurezza Nazionale (ACN) indica l’autenticazione a più fattori come requisito fondamentale per la protezione degli accessi, in particolare quelli privilegiati.
In termini pratici, questo significa che basarsi esclusivamente su username e password non è più considerato adeguato. La MFA obbligatoria sarà presto una realtà.
Il calendario per la conformità prevede scadenze graduali che culminano con la piena implementazione delle misure di sicurezza entro ottobre 2026. Il mancato adeguamento espone le organizzazioni a un sistema sanzionatorio differenziato:
- per i soggetti essenziali le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale;
- per i soggetti importanti il limite è fissato a 7 milioni di euro o all’1,4% del fatturato annuo globale.
6. I vantaggi dell MFA obbligatoria per le aziende: sicurezza, operatività e conformità
L’integrazione di MFA e biometria genera benefici diretti sulla resilienza delle infrastrutture e sulla continuità operativa.
Il consolidamento della postura di sicurezza – attraverso strategie come lo Zero Trust – passa attraverso una pianificazione chiara: il primo passo è proteggere gli accessi amministrativi, per poi estendere progressivamente la tecnologia a tutti i nodi della rete.
Documentare ogni fase del processo è essenziale non solo per rispondere ai requisiti di conformità, ma anche per garantire una gestione fluida delle identità digitali. Il risultato è una riduzione concreta delle probabilità di successo degli attacchi basati sulla compromissione delle credenziali.
7. Verso un futuro passwordless: lo standard FIDO2 e le passkey
Lo standard FIDO2 e le passkey rappresentano l’attuale frontiera dell’autenticazione.
Questo modello sostituisce l’inserimento di codici testuali con l’uso di chiavi crittografiche generate dai dispositivi e sbloccate tramite fattori biometrici.
Il vantaggio principale risiede nell’architettura del sistema: la credenziale rimane confinata nel dispositivo fisico e non viene mai condivisa con server esterni.
Questo approccio elimina il rischio di intercettazione durante la trasmissione e semplifica le procedure di accesso, garantendo un livello di protezione elevato e costante.
MFA obbligatoria: dalla password alla verifica certa dell’identità
Le scadenze del 2026, con l’introduzione della MFA obbligatoria, confermano che basarsi solo sulle password è un rischio ormai troppo elevato per qualsiasi attività.
La biometria e l’autenticazione a più fattori diventano quindi requisiti minimi, non più opzionali, per proteggere i dati e rispettare la normativa.
In altre parole, la sicurezza non può più basarsi su qualcosa che può essere indovinato, ma su qualcosa che deve essere dimostrato.
Adottare queste soluzioni significa automatizzare la sicurezza degli accessi: non ci si affida più a una parola scritta, ma a prove tecniche che solo l’utente autorizzato può fornire.
In questo modo, l’azienda riduce i fermi operativi dovuti ad attacchi informatici e si presenta sul mercato con standard di protezione verificabili e allineati alle normative.
