Il 4 marzo 2026 un’operazione coordinata di oltre dieci partner internazionali ha smantellato Tycoon 2FA. Era una piattaforma le cui campagne di phishing raggiungevano oltre 500.000 organizzazioni al mese in tutto il mondo, e non si trattava di un virus o di una vulnerabilità tecnica. Era un servizio commerciale, in vendita a 120 dollari per dieci giorni di accesso, che permetteva di aggirare l’autenticazione a più fattori su diversi ecosistemi.
L’aspetto sconcertante è che tutte le organizzazioni colpite avevano la MFA (Multi Factor Authentication) attiva. È questo il punto. Nel 2026, rispondere “abbiamo abilitato l’MFA” alla domanda “come proteggete i vostri accessi aziendali?” non è più soddisfacente.
Cos’è la Multi Factor Authentication (MFA).
La MFA richiede che l’accesso a un sistema venga verificato attraverso almeno due elementi appartenenti a categorie distinte: qualcosa che sai, come una password o un PIN; qualcosa che hai, come uno smartphone o una chiave di sicurezza hardware; qualcosa che sei, come un’impronta digitale o il riconoscimento facciale.
La logica è solida e funziona ancora oggi per la maggior parte dei casi d’uso. Anche se un attaccante ottiene la tua password, senza il secondo fattore non entra. La MFA continua a bloccare efficacemente la stragrande maggioranza degli attacchi automatizzati di credential stuffing e brute force, quelli in cui qualcuno prova sistematicamente combinazioni di credenziali rubate da data breach precedenti.
Il problema nasce quando l’attaccante smette di provare a rompere la MFA e inizia ad aggirarla.
Come gli attaccanti aggirano la MFA.
Il Microsoft Digital Defense Report 2025 mette su questo punto un numero molto preciso: l’80% delle violazioni che bypassano la MFA passa da una sola tecnica, il furto di session token via attacchi Adversary-in-the-Middle. Il Verizon Data Breach Investigations Report 2025, che ha analizzato oltre 22.000 incidenti reali, conferma la stessa direzione.
Adversary in the Middle (AiTM).
Cos’è questo AiTM? L’attaccante costruisce un clone della pagina di login reale e la interpone tra l’utente e il servizio effettivo. La persona inserisce le proprie credenziali e il codice MFA, e tutto viene inoltrato in tempo reale al servizio autentico, che completa l’autenticazione correttamente. Nel frattempo, però, l’attaccante cattura il session token, ovvero il “biglietto” che il browser usa per restare autenticato senza dover ripetere il login.
Da quel momento ha accesso completo all’account. La MFA non viene mai rieseguita perché tecnicamente non c’è stato alcun errore di autenticazione. Tycoon 2FA, di cui abbiamo parlato all’inizio, funzionava esattamente così.
Dopo lo smantellamento di Tycoon 2FA, molti operatori si sono spostati su una tecnica ancora più insidiosa, il Device Code Phishing, che frutta URL veri di Microsoft e Google. L’utente viene invitato a visitare una pagina reale e inserire un codice fornito dall’attaccante. Nessun filtro e-mail lo intercetta. Nessun browser segnala anomalie.
MFA fatigue (push bombing).
Un altro sistema per aggirare l’MFA è il cosiddetto push bombing, meno sofisticato dell’AiTM, ma più semplice e in certi ambienti altrettanto efficace. L’attaccante ottiene username e password validi, cosa non particolarmente difficile considerando i miliardi di credenziali che circolano nei mercati criminali, e genera decine di richieste di accesso ravvicinate. Lo smartphone della vittima si riempie di notifiche push. La scommessa è che qualcuno, a forza di vedersi arrivare richieste a tutte le ore, ne approvi anche una sola per errore o sfinimento.
Il DBIR 2025 segnala questo vettore come uno dei trend più in crescita e rilevanti nel panorama identity-based.
Session hijacking.
Infine, parliamo di Session hijacking, ossia il dirottamento di sessione. Un malware ruba i cookie di sessione direttamente dal browser dopo che l’autenticazione è già avvenuta. La MFA in questo caso è stata superata dalla vittima stessa, in piena legittimità. L’attaccante entra, semplicemente, riutilizzando una sessione aperta.
Nel Identity Exposure Report 2026 di SpyCloud sono state contate 8,6 miliardi di session cookie rubati da infezioni di infostealer nel solo 2025.
MFA: Il contesto italiano.
Facciamo uno zoom sulla situazione in Italia. Il Rapporto Clusit 2026, presentato a marzo, registra in Italia 507 incidenti gravi nel 2025, contro i 357 dell’anno precedente. È il 42% in più, e colloca il nostro Paese tra i bersagli con la maggiore concentrazione relativa di attacchi. Pur rappresentando circa il 2% del PIL globale, l’Italia assorbe il 9,6% degli incidenti cyber gravi censiti nel mondo. Phishing e social engineering crescono del 66%, e gran parte di questa crescita è attribuibile all’uso di IA generativa nella costruzione di campagne sempre più credibili.
Sul fronte delle credenziali, il dato italiano è particolarmente sbilanciato. In occasione del World Password Day 2026 è emerso che la compromissione delle credenziali ha colpito il 67% delle organizzazioni italiane che hanno subito un attacco nel 2025, contro il 25% della media europea. Solo il 17% delle aziende italiane dichiara però di aver rilevato un aumento degli incidenti, contro il 33% europeo. Cosa ci restituisce questo dato apparentemente contrastante? Significa, purtroppo, che gli attacchi stanno avvenendo, ma le aziende italiane se ne accorgono meno e più tardi.
A questo si aggiunge il quadro normativo. La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, estende gli obblighi di cybersicurezza a una platea molto più ampia rispetto alla NIS originaria. Include fornitori di servizi digitali, operatori di supply chain critiche, soggetti di rilevanza nazionale ed europea. Il problema è che, malgrado le sanzioni possano arrivare fino al 2% del fatturato annuo globale, molte PMI italiane non sanno ancora di rientrare nel perimetro.
Il nuovo standard: MFA phishing-resistant e passkey.
La risposta a questi attacchi non è fare più formazione sulla MFA tradizionale, ma cambiare il modello di autenticazione.
SMS, OTP, notifiche push e codici TOTP si basano su segreti condivisi, ossia numeri o codici che vengono trasmessi e quindi possono essere intercettati, replicati in tempo reale o usati su siti fraudolenti. Ci sono, oggi, sistemi come FIDO2 e le passkey che funzionano diversamente. Semplificando, la chiave privata non lascia mai il dispositivo, e un sito di phishing non può usarla perché è legata al dominio autentico. Quindi, anche se l’utente viene ingannato, l’attaccante non ottiene nulla di riutilizzabile.
Dove sta andando il mercato? I tre segnali
Il NCSC, l’autorità governativa britannica per la cybersecurity, ad aprile 2026 ha annunciato che raccomanda le passkey come metodo di autenticazione preferenziale, dopo decenni di guidance centrata sulle password. Nel rapporto tecnico pubblicato in occasione dell’annuncio, le passkey vengono descritte come una soluzione di sicurezza almeno equivalente, e nella maggior parte dei casi superiore, rispetto alla combinazione tra la password più forte e la verifica in due passaggi.
Microsoft ha coperto il 99,6% di utenti e dispositivi interni con autenticazione phishing-resistant. Sui servizi consumer, da OneDrive a Xbox a Copilot, centinaia di milioni di utenti accedono ogni giorno tramite passkey.
La FIDO Alliance stima che a maggio 2026 siano attive 5 miliardi di passkey nel mondo, quattro volte il dato del 2024. Il 75% dei consumatori ha già abilitato almeno una passkey, il 68% delle organizzazioni enterprise ha distribuito o sta distribuendo passkey per gli accessi dei dipendenti.
Detto questo, la realtà è ancora ibrida. Passkey e FIDO2 per i sistemi moderni, password più MFA per le infrastrutture legacy che il nuovo standard ancora non lo supportano.
L’MFA come mattone di una strategia più ampia.
Anche la MFA phishing-resistant non risolve tutto. Protegge, di fatto, l’accesso iniziale e poco altro. Resta vulnerabile alla compromissione del dispositivo, agli attacchi ai recovery flow, che oggi sono uno dei fronti più caldi, e agli attacchi di social engineering rivolti all’help desk, dove qualcuno convince un operatore a reimpostare credenziali a chi non dovrebbe.
I framework di sicurezza che oggi definiscono lo stato dell’arte, dal NIST SP 800-63 alla direttiva NIS2, fino alle architetture Zero Trust, convergono su un principio comune: l’identità va verificata in modo continuo, non solo al momento del login. L’MFA phishing-resistant è solo uno dei mattoni di questa architettura.
I componenti che la rendono efficace sono diversi. Il Conditional Access concede o blocca gli accessi in base al contesto (dalla posizione geografica al device usato fino al comportamento dell’utente). Il device trust verifica anche da quale dispositivo l’accesso sta arrivando. Il monitoraggio continuo delle sessioni intercetta comportamenti anomali dopo il login. I recovery flow, spesso l’anello più debole della catena, devono essere progettati con cura. E poi c’è la formazione, perché attacchi come il push bombing e il phishing si contrastano anche con la consapevolezza del personale.
Quanto costa non investire in questa stratificazione? L’IBM Cost of a Data Breach Report 2025 quantifica le violazioni basate su credenziali compromesse intorno a un valore economico medio di 4,67 milioni di dollari e a un lasso temporale di intervento e recupero pari a 246 giorni.
Come affrontiamo questi temi con Orazero
Orazero, la nostra divisione cybersecurity, non parte dall’abilitare la MFA su un tenant, ma da una domanda concreta: qual è la postura di sicurezza reale dell’azienda? Questo significa capire dove sono i gap effettivi, quali controlli ha senso implementare in base al profilo di rischio specifico e dove si colloca l’organizzazione rispetto agli obblighi normativi che ormai coinvolgono una platea di aziende molto ampia.
Il processo step by step
Il processo inizia con un Security Assessment. Un’analisi tecnica dell’infrastruttura, degli accessi, dei sistemi esposti, delle credenziali eventualmente già compromesse e circolanti nei mercati del dark web. Da lì emerge un quadro preciso di dove si è esposti e con quale priorità intervenire.
Su quella base si costruisce una roadmap concreta. L’MFA phishing-resistant, o un’architettura passwordless dove i sistemi la supportano, può essere una delle azioni previste, insieme a Conditional Access, gestione delle policy di accesso privilegiato, Log Management e SIEM-UEBA per il monitoraggio in tempo reale. A supportare tutto questo c’è il nostro SOC H24, che monitora gli asset aziendali 24 ore su 24 e interviene in caso di anomalie.
Per le aziende che vogliono testare la solidità dei propri controlli, o che hanno già subito un incidente, mettiamo a disposizione anche Vulnerability Assessment, Penetration Test e simulazioni di Social Engineering, inclusi test di phishing e vishing, per capire dove un attaccante troverebbe resistenza reale e dove no.
Quello che cerchiamo di costruire è una strategia di sicurezza ottimizzata al contesto e alle esigenze di chi abbiamo di fronte, con il supporto continuativo di un team che conosce da vicino le infrastrutture dei clienti e con un occhio alle implicazioni normative, dalla NIS2 al GDPR, che oggi non sono più una questione marginale.
Contattaci
Se vuoi capire da dove partire, siamo disponibili per una consulenza senza impegno. Scrivici a [email protected] o chiamaci allo 035204461.
Fonti
Microsoft Security Blog, World Passkey Day: Advancing passwordless authentication, 7 maggio 2026.
Microsoft Security Blog, Inside Tycoon2FA: How a leading AiTM phishing kit operated at scale, 4 marzo 2026.
Microsoft Digital Defense Report 2025.
Verizon, 2025 Data Breach Investigations Report.
FIDO Alliance, State of Passkeys 2026 Report, 7 maggio 2026.
National Cyber Security Centre (UK), Leave passwords in the past – passkeys are the future, aprile 2026 (CYBERUK 2026, Glasgow).
IBM, Cost of a Data Breach Report 2025.
SpyCloud, 2026 Identity Exposure Report.
Cloudflare, Tycoon 2FA Takedown, 4 marzo 2026.
Clusit, Rapporto Clusit 2026 sulla Sicurezza ICT in Italia e nel Mondo, marzo 2026.
ANSA, World Password Day, furto di credenziali colpisce il 67% delle aziende italiane, 7 maggio 2026 (dati Genetec).
Decreto Legislativo 4 settembre 2024, n. 138, recepimento della Direttiva (UE) 2022/2555 (NIS2).
NIST SP 800-63, Digital Identity Guidelines.
Network 360 – Cybersecurity 360.