Attivare il secondo fattore via SMS è una delle scelte migliori che puoi fare oggi. È anche la prima che dovrai rivedere.
Le due cose sono vere insieme, ed è tutta lì la difficoltà. Il dibattito degenera di solito in due tifoserie ugualmente sbagliate: chi tratta l’SMS come sicurezza vera e chi lo tratta come teatro. L’SMS è enormemente meglio di niente e, allo stesso tempo, è il più debole dei secondi fattori di uso comune. Non c’è contraddizione. C’è una scala, e l’SMS è il primo gradino — molto più in alto del pavimento.
Quello che l’SMS fa bene
Senza secondo fattore, il tuo account dipende da un segreto che può circolare da anni dentro un dump altrui senza che tu ne sappia nulla. Qualcuno prende quell’elenco, lo prova su un servizio dopo l’altro e, se hai riciclato la password, entra. Non ha scelto te: gli è capitata la tua riga in un foglio di calcolo.
L’SMS spezza questo meccanismo alla radice. Nel momento in cui esiste un secondo fattore, attaccarti smette di essere una pratica automatica e diventa un lavoro mirato contro di te. Bisogna sapere chi sei, che numero usi e chi te lo fornisce. A molti non conviene: ci sono account più facili. Per questo, se un servizio offre solo l’SMS, la risposta è sì, senza distinguo. I distinguo vengono dopo.
Il difetto non è nel tuo telefono
Uno immagina che rompere l’SMS significhi intercettare onde, clonare un chip o infettare il cellulare. Non serve niente di tutto questo. L’attacco che porta via gli account davvero, quello che ricompare senza sosta nei casi pubblici, è il SIM swapping, e consiste in qualcosa di molto più noioso: qualcuno telefona al tuo operatore, dice di aver perso la SIM, risponde a qualche domanda di verifica e chiede un duplicato. Da quel momento i tuoi SMS arrivano a lui.
Guarda bene cosa non è successo. Non è stata rotta nessuna cifratura. Non è stato toccato il tuo telefono. Tu non hai sbagliato niente — e non te ne sei nemmeno accorto, se non perché la tua linea ammutolisce di colpo, cosa che, se stai dormendo, può metterci un po’ a farsi notare. Il SIM swapping non è un attacco tecnico contro di te: è ingegneria sociale contro il tuo operatore. L’anello che cede è un addetto all’assistenza clienti pagato per chiudere in fretta le segnalazioni, al quale è appena stata raccontata una storia perfettamente credibile, perché perdere la SIM è una cosa che alla gente capita tutti i giorni. I casi sono ampiamente documentati e lo schema si ripete con una monotonia che ormai non stupisce più.
La parte scomoda è che lì tu non c’entri nulla: la tua sicurezza dipende dalla procedura di verifica di un’azienda che non hai scelto per quello. E c’è un secondo difetto, più silenzioso: il tuo numero di telefono non è un segreto. L’hai dato al dentista, al fornitore di luce e gas e a mezza rubrica d’Italia. Un identificativo che distribuisci a piene mani qui sta facendo le veci di una credenziale.
Il secondo gradino: un’applicazione
Il gradino successivo è il TOTP — i codici di sei cifre che ruotano ogni trenta secondi in un’app come quelle di Google, Aegis, 1Password o Bitwarden.
Il meccanismo è elegante: il servizio e la tua applicazione condividono un segreto una volta sola, in fase di configurazione, e da lì in poi entrambi calcolano lo stesso codice a partire da quel segreto e dall’ora. Non viene inviato niente. Ed è tutta lì la differenza: se niente viaggia, non c’è niente da dirottare. Non c’è operatore, non c’è numero, non c’è nessuno da chiamare per chiedere un duplicato. Il SIM swapping non ha da dove entrare.
È un salto grosso e costa cinque minuti. Ma non è nemmeno il capolinea, perché il TOTP conserva un punto cieco molto umano: il codice glielo scrivi tu, a chi te lo chiede. Se lo stai digitando su una pagina che somiglia alla tua banca ma non lo è, l’aggressore lo raccoglie e lo rigira al sito vero nei secondi di vita che gli restano. La tua applicazione genera un numero; non sa dove lo incolli.
Il gradino che non si lascia ingannare
La chiave fisica — lo standard FIDO/U2F, una chiavetta USB o NFC, o il cellulare stesso che fa da autenticatore — risolve esattamente questo. Alla registrazione crea una coppia di chiavi legata all’origine: al dominio preciso di quel servizio. All’accesso, il browser le dice per quale dominio viene chiesta la firma, e la chiave firma una sfida che porta dentro quel dominio. Se la pagina è una copia ospitata altrove, il dominio non coincide e non ne esce una firma che il servizio vero accetti.
Detto in altro modo: la chiave non è più sveglia di te; è che non si fida del tuo giudizio. Non guarda il lucchetto, non legge l’URL, non valuta se la mail sembrava legittima. Confronta una stringa di testo con un’altra. È l’unico anello che non si convince con una bella storia — e a questo punto avrai già notato che le belle storie sono esattamente il problema.
«Limitato» non è «vietato»
Il NIST, nella sua SP 800-63B, classifica la verifica fuori banda attraverso la rete telefonica — cioè l’SMS — come limitata. Vale la pena fermarsi sulla parola, perché la sfumatura è tutto il post. Limitato non è vietato: è una categoria intermedia e voluta. Si può continuare a usarlo, ma chi lo usa si assume degli obblighi: valutare il rischio, avvisare gli utenti che quel canale ha una debolezza nota e avere un piano per migrare verso qualcosa di meglio.
È una posizione più intelligente di un veto, e spiega perché l’SMS sia ancora in piedi. Un meccanismo mediocre che la gente usa protegge più di uno eccellente che nessuno attiva. Se domani venisse vietato ovunque, buona parte di quegli account non salirebbe di un gradino: resterebbe con la sola password, che è il pavimento.
Cosa fare, nell’ordine
- Se un servizio offre solo l’SMS, attivalo. Oggi. Il primo gradino è quello che fa guadagnare più quota.
- Se offre il TOTP, passa al TOTP e togli l’SMS come riserva, se te lo consente. La tua sicurezza è quella del metodo più debole che accetti, perché è l’aggressore a scegliere da dove entrare.
- Su quello che conta davvero — mail, banca, gestore di password — metti una chiave fisica. Dalla mail pendono tutti gli «ho dimenticato la password» della tua vita.
- Se il tuo operatore permette un PIN o un blocco della portabilità, mettilo. Non risolve il problema di fondo, ma complica il duplicato a chi telefona.
- E non dimenticare il primo fattore. Il 2FA è una seconda mandata, non un’amnistia per la prima: una password lunga, unica e uscita dal generatore, e se hai dubbi su qualcuna di quelle che già usi, passala dal controllo.
La conclusione è noiosa, ed è per questo che quasi nessuno la dice: l’SMS è sbagliato, e dovresti usarlo se non hai altro. La sicurezza vera non consiste quasi mai nello scegliere l’opzione perfetta, ma nel sapere qual è la peggiore delle buone, usarla finché serve e non scambiarla mai per un traguardo raggiunto.
Fonti: NIST SP 800-63B, che classifica la verifica fuori banda attraverso la rete telefonica pubblica (SMS o voce) come metodo limitato, con gli obblighi di valutazione del rischio, avviso agli utenti e piano di migrazione che quella categoria comporta · specifiche FIDO/U2F e WebAuthn, e la loro verifica dell’origine (dominio) al momento della firma · RFC 6238 (TOTP) · casi pubblici di SIM swapping ampiamente documentati sulla stampa e in procedimenti giudiziari.