Come attivare autenticazione due fattori 2FA 2026
Il principio del 2FA è semplice: invece di verificare la tua identità con una sola cosa (la password, qualcosa che sai), la combini con un secondo elemento — qualcosa che hai (il tuo telefono) o qualcosa che sei (impronta digitale, Face ID). Anche se la tua password viene rubata in un data breach, senza accesso fisico al tuo telefono l’attaccante non può entrare.
Il 2FA è il secondo pilastro della sicurezza online — il primo è una buona password. Se non hai ancora aggiornato le tue password, inizia dalla guida su come creare password sicure.
Tipi di secondo fattore — dal meno al più sicuro
SMS (codice via messaggio): il più diffuso ma anche il meno sicuro — gli SMS possono essere intercettati o reindirizzati con attacchi SIM-swapping. Usalo se è l’unica opzione disponibile, ma preferisci le alternative.
App authenticator (TOTP): genera codici temporanei ogni 30 secondi sul tuo telefono, senza connessione internet. Molto più sicuro degli SMS — non può essere intercettato. Le migliori app: Aegis (Android, open source), Raivo (iPhone), Google Authenticator, Microsoft Authenticator.
Chiave hardware (YubiKey): un dispositivo fisico USB/NFC che inserisci nel computer o avvicini al telefono. Il metodo più sicuro in assoluto — praticamente impossibile da attaccare da remoto. Costa circa 50-70 euro. Consigliato per chi gestisce dati molto sensibili.
Passkey: il futuro dell’autenticazione — sostituisce password e 2FA con una chiave crittografica legata al tuo dispositivo e al tuo biometrico (Face ID/impronta). Google, Apple, Microsoft e molti siti lo supportano già nel 2026.
Come attivare il 2FA su Google
- Vai su myaccount.google.com → Sicurezza
- Trova “Verifica in due passaggi” e clicca su di essa
- Clicca “Inizia”
- Segui la procedura guidata — Google propone prima Google Prompt (notifica sul telefono), poi app authenticator, poi SMS come backup
- Consiglio: scegli Google Authenticator come metodo principale — scannerizza il QR code mostrato con l’app
- Salva i codici di backup mostrati alla fine — sono 10 codici usa-e-getta per accedere se perdi il telefono. Salvali in un posto sicuro (stampali o salvali in un posto non digitale)
Come attivare il 2FA su Apple ID (iPhone/Mac)
- Su iPhone: Impostazioni → [tuo nome] → Accedi e sicurezza → Autenticazione a due fattori
- Su Mac: Preferenze di Sistema → ID Apple → Password e sicurezza → Abilita autenticazione a due fattori
- Apple usa il proprio sistema 2FA — invia un codice a 6 cifre ai tuoi dispositivi Apple fidati (o via SMS) quando accedi con il tuo Apple ID su un nuovo dispositivo
Facebook e Instagram
Facebook: Impostazioni e privacy → Impostazioni → Centro account → Password e sicurezza → Autenticazione a due fattori → scegli il tuo account → attiva con app authenticator o SMS. Instagram: Profilo → Menu tre righe → Impostazioni → Sicurezza → Autenticazione a due fattori → App di autenticazione.
WhatsApp → Impostazioni → Account → Verifica in due passaggi → Attiva. Imposta un PIN a 6 cifre che ti verrà chiesto periodicamente e quando reinstalli WhatsApp su un nuovo dispositivo. Aggiungi anche un’email di recupero nel caso dimentichi il PIN.
Amazon
Account e liste → Account → Accedi e sicurezza → Verifica in due fasi → Inizia. Amazon supporta app authenticator (consigliato) o SMS.
Cosa fare se perdi il telefono con il 2FA attivo
Questa è la paura principale di chi non attiva il 2FA. La risposta è: se hai salvato i codici di backup (ogni servizio li mostra durante la configurazione), puoi accedere usando quelli. Per questo salvare i codici di backup è obbligatorio — non saltare quel passaggio.
Se non hai i codici di backup, il recupero dipende dal servizio: Google ha un processo di recupero account; Apple permette il recupero con un dispositivo fidato; Facebook e Instagram richiedono un processo di verifica identità più lungo. In ogni caso, non è impossibile — ma è scomodo. I codici di backup eliminano questo rischio.