Cos'è l'autenticazione a più fattori adattiva (MFA adattiva)?

By Bryan Clark

Che cos'è l'MFA adattiva?

L'autenticazione a più fattori adattiva (MFA adattiva o A-MFA) è un metodo di autenticazione a più fattori che richiede fattori di autenticazione diversi o aggiuntivi in base al contesto di una richiesta di login o accesso.

Immagina che sia una mattina d'autunno soleggiata e tu decida, invece di recarti alla postazione del tuo ufficio, di lavorare da remoto dal bar appena aperto in centro. Ordini un caffè, prendi il tuo laptop e cerchi di accedere alla dashboard della tua azienda. Il sistema riconosce immediatamente che stai utilizzando una nuova rete wifi insieme a un dispositivo che non ha mai registrato prima. Invece di un semplice "accesso negato", ricevi una singola richiesta di scansione delle impronte digitali.

In questa situazione, viene impiegato un ulteriore livello di sicurezza perché il rischio è superiore al normale. Questa protezione "in base alle necessità" è il cuore dell'autenticazione adattiva a più fattori (A-MFA). Questa autenticazione basata sul rischio è un modo più intelligente per rafforzare il livello di sicurezza senza sacrificare la comodità. 

Secondo il Report Cost of a Data Breach di IBM del 2025, il costo medio di una violazione dei dati è ora di 4,4 milioni di dollari. Questo fatto da solo sottolinea perché le organizzazioni non possono permettersi di utilizzare le stesse difese di base per ogni utente. Con l'aumento degli attacchi di phishing generati dall'intelligenza artificiale (AI), le soluzioni MFA dovrebbero essere un requisito minimo per la sicurezza. Fortunatamente, esistono numerose opzioni per implementare l'A-MFA, come Auth0 e Duo. In questo articolo spiegheremo come l'MFA adattiva misura il rischio in tempo reale. Esploreremo anche i casi d'uso in cui è più utile e ti forniremo una comprensione di base necessaria per decidere dove collocarla nel tuo framework di sicurezza.

MFA adattivo e MFA tradizionale

La maggior parte di noi ha già utilizzato l'autenticazione a più fattori (MFA) in un momento o nell'altro. L'MFA aggiunge requisiti di sicurezza aggiuntivi ai tuoi account richiedendo di dimostrare la tua identità utilizzando metodi di autenticazione aggiuntivi. Come il single sign-on (SSO) e l'autenticazione a due fattori (2FA), l'MFA rientra nel pilastro di autenticazione della gestione delle identità e degli accessi (IAM). Invece del metodo tradizionale di affidarsi semplicemente a una password, in genere sono necessari due o più fattori per accedere. Questi fattori rientrano in tre categorie principali:

  1. Qualcosa che solo l'utente conosce, come una password o la risposta a una domanda di sicurezza.

  2. Qualcosa che possiedi, come uno smartphone, un token di sicurezza o anche una chiave fisica (come una chiave Yubi su una chiavetta USB).

  3. Un tuo tratto distintivo, in particolare i dati biometrici, un'impronta digitale o una scansione del viso.

Ad esempio, potrebbe esserti chiesto di inserire la tua password (conoscenza), quindi potrebbe esserti inviato un codice SMS sul tuo telefono (qualcosa che possiedi) o di scansionare la tua impronta digitale (tratto distintivo). Combinando questi fattori, l'MFA rende molto più difficile per utenti non autorizzati accedere ai tuoi account, anche se la password è stata compromessa. Ora combina questo approccio con un sistema che applica ulteriori misure di sicurezza solo quando rileva un rischio maggiore per la sicurezza, e ottieni l'essenza dell'MFA adattiva.  

Pensa all'MFA adattiva come a un potenziamento rispetto all'MFA tradizionale. Inventata da Abhijit Kumar Nag e Dipankar Dasgupta, questa misura protettiva porta la tradizionale MFA a un livello superiore. Utilizza informazioni contestuali dai modelli quotidiani dell'utente per valutare il livello di rischio associato a un specifico tentativo di accesso. Se il livello di rischio per un specifico tentativo di accesso utente supera una soglia prestabilita, sarà considerato un evento trigger. 

L'MFA adattativa consente agli amministratori di sistema di classificare i criteri di attivazione in base a diversi fattori, tra cui i ruoli degli utenti e gli asset aziendali. Prendi l'esempio che abbiamo usato prima, in cui accedi a una dashboard aziendale da un bar. Se non ci sei mai stato prima, potrebbe essere visto come un evento trigger. Tuttavia, se ci va abbastanza spesso e più o meno alla stessa ora, probabilmente non verrà visto come un evento trigger. Se qualcuno tentasse invece di accedere alla dashboard della tua azienda il giorno seguente usando le tue credenziali in un paese dall'altra parte del mondo ad un orario insolito, quasi certamente verrebbero mostrati degli avvisi. Questa dimostrazione illustra in cosa consiste l'MFA adattiva: comprendere i modelli di un utente specifico e applicare misure supplementari per la sicurezza solo quando qualcosa sembra sospetto o fuori dalla norma. Nella sezione successiva, parleremo delle funzioni MFA tradizionali e di come differiscono dall'MFA adattiva.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Come funziona l'autenticazione a più fattori adattiva?

L'adattiva MFA è molto simile all'MFA tradizionale, con alcuni progressi aggiuntivi per mantenere i tuoi dati sensibili sicuri senza sacrificare l'usabilità. Di seguito spiegheremo i passaggi dell'MFA adattiva e come funziona.

Passaggio 1: autenticazione iniziale

Un utente tenta di accedere a un sistema (ad esempio, una dashboard aziendale, un'applicazione o altro) inserendo un nome utente e una password, o una chiave di accesso. Il sistema inizia a confrontare queste credenziali rispetto alle credenziali che ha memorizzato.

Passaggio 2: valutazione del rischio

Questa è la fase che distingue l'MFA adattiva dall'MFA tradizionale. Mentre l'MFA tradizionale richiede semplicemente un secondo fattore di autenticazione, l'MFA adattativa analizza il livello di rischio e poi determina il livello di autenticazione appropriato per tale rischio.

Inizia raccogliendo e confrontando i dati della richiesta di accesso corrente con quelli delle richieste di accesso precedenti. I dati possono includere:

  • Località: quest'area è una geolocalizzazione familiare per questo utente o in una città o addirittura in un paese diverso?

  • Dispositivo o tipo di dispositivo: questo dispositivo è un dispositivo aziendale o di proprietà personale? Questo dispositivo è il solito utilizzato per accedere o è un nuovo dispositivo? Di solito l'accesso viene tentato da un telefono cellulare quando l'utente accede da un laptop?

  • Ora del giorno: questi orari di lavoro normali sono quelli in cui questo dipendente accede normalmente o questo intervallo di tempo è sospetto?

  • Comportamento dell'utente: a cosa sta cercando di accedere l'utente, tenendo conto dei fattori combinati indicati in precedenza?

  • Rete: questa rete fa parte di un IP aziendale, privato o pubblico?

  • Dati storici: tutte le informazioni di accesso precedenti di questo utente vengono memorizzate e conservate rispetto al tentativo di accesso attuale.

Un sistema di punteggio del rischio valuta i risultati e assegna un livello di rischio a questo tentativo di accesso. Ad esempio, un accesso da un altro paese su un nuovo dispositivo durante l'orario non lavorativo da un indirizzo IP non riconosciuto potrebbe avere un alto livello di rischio.

Passo 3: risposta all'autenticazione

Il punteggio di rischio determina una risposta di autenticazione specifica per il contesto. Ciò potrebbe includere:

  • Trigger MFA standard (basso rischio): potrebbe essere una password monouso (OTP) inviata al dispositivo mobile dell'utente tramite una notifica push o un'app di autenticazione come Google o Microsoft Authenticator.

  • Trigger MFA potenziato (rischio medio): qui il sistema potrebbe applicare un metodo più rigoroso per l'autenticazione, come la biometria (scansioni facciali o digitali) o domande di sicurezza o autenticazione basata sulla conoscenza (domande sulla storia specifica dell'utente).

  • Blocco e avviso immediati (rischio elevato): in casi ad alto rischio, il sistema potrebbe bloccare immediatamente il tentativo di accesso e avvisare il dipartimento di sicurezza dell'organizzazione.

Passo 4: osservazione continua e miglioramento

I sistemi A-MFA monitorano continuamente l'attività e i comportamenti di ogni utente per identificare meglio le anomalie nel tempo. Sempre più spesso, i sistemi A-MFA adottano algoritmi di machine learning per apprendere dai precedenti tentativi di login o accesso di un utente. Più tentativi di login il sistema incontra, più abile diventerà nell'identificare tentativi validi e sospetti.

Diagramma del workflow di MFA adattiva
Diagramma del workflow di MFA adattiva

Perché implementare l'MFA adattiva?

Le organizzazioni adottano l'MFA adattiva per diversi motivi, tra cui:

  • Maggiore livello di controllo per gli amministratori di sistema: i sistemi A-MFA consentono agli amministratori di aumentare o ridurre il numero di requisiti di autenticazione in base alla riservatezza dell'asset e/o al ruolo della persona che tenta di accedervi.

  • Usabilità ottimale senza sacrificare la sicurezza: l'A-MFA consente flessibilità nelle richieste di autenticazione, in modo che la sicurezza si adatti alla situazione e non sia un ostacolo all'esperienza dell'utente.

  • Resilienza complessiva migliorata: adottare l'A-MFA come parte di un approccio di sicurezza zero-trust rafforza immediatamente la sicurezza e riduce significativamente il rischio di violazioni dei dati derivanti da attacchi come il phishing.

Autore

Bryan Clark

Senior Technology Advocate
Soluzioni correlate
IBM Verify autenticazione senza password

Vai oltre l'autenticazione di base con le opzioni senza password o a più fattori.

 Esplora l'autenticazione senza password di IBM Verify
Soluzioni di sicurezza

Difendi i tuoi ambienti hybrid cloud e AI con una protezione intelligente e automatizzata per dati, identità e minacce.

 Esplora le soluzioni per la sicurezza
Servizi di gestione delle identità e degli accessi

Proteggi e gestisci l'accesso degli utenti con controlli automatici dell'identità e una governance basata sul rischio negli ambienti hybrid cloud.

         Esplora i servizi IAM
    Fasi successive

    Scopri come l'autenticazione senza password può aggiungere un ulteriore livello di protezione ai tuoi account e offrirti un controllo dettagliato e contestuale sull'accesso alle applicazioni.

         Scopri l'autenticazione senza password di IBM Verify Esplora le soluzioni per la sicurezza
    Note a piè di pagina

    Phan, Kim Gwen. "Implementing Resiliency of Adaptive Multi-Factor Authentication Systems." Master’s Specialization in Information Assurance, St. Cloud State University, 2018. https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1095&context=msia_etds.

    Suleski, Tance, Mohiuddin Ahmed, Wencheng Yang ed Eugene Wang. "A Review of Multi-Factor Authentication in the Internet of Healthcare Things." Digit Health 9 (2023): 20552076231177144. https://pmc.ncbi.nlm.nih.gov/articles/PMC10214092/.

    Ghosh, Arpita e Sayak Nag. "A Comprehensive Review of Secure Authentication Systems in Healthcare IoT." Digit Health 2023; 9: 20552076231177146. https://pmc.ncbi.nlm.nih.gov/articles/PMC10498322/.

    Springer, Paul. Cyber Security: A Practitioner’s Guide. Cham: Springer, 2017. https://link.springer.com/book/10.1007/978-3-319-58808-7.

    IBM. "Autenticazione a più fattori." IBM Think. Consultato il 3 novembre 2025. https://www.ibm.com/it-it/think/topics/multi-factor-authentication.