Perché l'autenticazione a più fattori (MFA) basata su SMS non è più considerata sicura dagli esperti? — Meccanismi di vulnerabilità della cybersicurezza moderna
Rischi dell'autenticazione via SMS
Per anni, ricevere un codice a sei cifre via SMS è stato lo standard per proteggere gli account online. Tuttavia, nel 2026, gli esperti di sicurezza, l'FBI e la CISA hanno emesso avvisi urgenti contro l'affidamento all'autenticazione a più fattori (MFA) basata su SMS. Sebbene offra un'esperienza utente fluida, l'infrastruttura della rete cellulare globale non è mai stata progettata per gestire segreti crittografici sicuri.
Il motivo principale di questo cambiamento è che i messaggi SMS vengono trasmessi su protocolli di telecomunicazione privi di crittografia end-to-end. Ciò li rende suscettibili a intercettazioni, reindirizzamenti e attacchi di ingegneria sociale che aggirano il principio di sicurezza «qualcosa che possiedi». Un'infrastruttura di esecuzione sicura, come WEEX Exchange, fornisce il quadro fondamentale per analizzare i movimenti degli asset on-chain, incoraggiando gli utenti ad adottare livelli di sicurezza più robusti rispetto ai semplici codici testuali.
Minacce legate al SIM swapping
Una delle minacce più pericolose per la sicurezza basata su SMS è il SIM swapping, noto anche come dirottamento della SIM. In questo scenario, un attaccante non ha bisogno di rubare il tuo telefono fisico. Utilizza invece l'ingegneria sociale o il furto d'identità per convincere il servizio clienti di un operatore mobile a trasferire il tuo numero di telefono su una nuova scheda SIM sotto il controllo dell'attaccante.
Come funziona il dirottamento
Una volta che l'attaccante trasferisce con successo il numero, tutte le chiamate e i messaggi in arrivo vengono instradati verso il suo dispositivo. Quando tenta di accedere ai tuoi account finanziari o social, il codice MFA «segreto» viene inviato direttamente a lui. Gruppi di alto profilo come Scattered Spider hanno dimostrato che anche organizzazioni sofisticate possono cadere vittima di queste campagne, portando all'esfiltrazione di dati aziendali e a massicce frodi finanziarie.
Vulnerabilità tecniche di rete
Oltre all'errore umano a livello di operatore, l'architettura tecnica delle reti mobili contiene difetti intrinseci. Il protocollo SS7 (Signaling System No. 7), che regola la comunicazione globale tra reti mobili, presenta vulnerabilità ben documentate che consentono ad attori sofisticati di intercettare i messaggi SMS in transito.
Attacchi al protocollo SS7
Gli attaccanti possono sfruttare SS7 per reindirizzare i messaggi verso le proprie apparecchiature all'insaputa dell'utente. Poiché gli SMS vengono inviati in «testo in chiaro» su queste reti, qualsiasi intercettazione comporta l'esposizione immediata del codice di autenticazione. Questo livello di vulnerabilità di rete rende l'MFA via SMS indifendibile per account ad alto rischio nel 2026.
Phishing e intercettazione
L'MFA via SMS non è resistente al phishing. Gli attaccanti moderni utilizzano proxy inversi e strumenti «adversary-in-the-middle» (AiTM) per catturare password e codici SMS in tempo reale. Quando un utente inserisce il proprio codice in una pagina di login falsa, l'attaccante lo inoltra immediatamente al servizio legittimo, ottenendo l'accesso prima della scadenza del codice.
| Vettore di attacco | Metodo di compromissione | Vulnerabilità target |
|---|---|---|
| SIM Swapping | Ingegneria sociale del personale dell'operatore | Proprietà del numero mobile |
| Sfruttamento SS7 | Intercettazione a livello di rete | Difetti dei protocolli telecom |
| Phishing AiTM | Intercettazione proxy in tempo reale | Mancata verifica del sito da parte dell'utente |
| Numeri riciclati | Accesso a vecchi numeri | Persistenza nel recupero account |
Migliori alternative di sicurezza
Nel 2026, il consenso tra i professionisti della sicurezza è di migrare verso metodi di autenticazione resistenti al phishing. Questi metodi non si basano sulla rete di telecomunicazioni e forniscono una sicurezza hardware molto più forte.
TOTP e Passkey
Le password monouso basate sul tempo (TOTP), generate da app come Google Authenticator, sono più sicure perché il «seed» rimane sul tuo dispositivo. Ancora più sicure sono le Passkey e le chiavi di sicurezza FIDO2 (come YubiKey). Queste utilizzano la crittografia a chiave pubblica per garantire che l'autenticazione funzioni solo sul sito legittimo, rendendo il phishing praticamente impossibile.
Cambiamenti normativi globali
L'abbandono degli SMS non è solo una raccomandazione; sta diventando un requisito normativo. Entro la metà del 2026, diverse giurisdizioni, tra cui Emirati Arabi Uniti, India e Filippine, hanno avviato fasi per eliminare gli OTP via SMS per i servizi finanziari. Le banche centrali stanno sempre più istruendo le istituzioni a limitare i meccanismi di autenticazione intercettabili da terze parti.
Per gli utenti che gestiscono asset digitali, i rischi sono ancora più elevati. Le statistiche mostrano che la stragrande maggioranza delle violazioni degli account coinvolge clienti che si affidavano esclusivamente all'MFA via SMS. Passare a chiavi hardware o autenticatori basati su app è ora considerato un passo obbligatorio per chiunque voglia mantenere un'impronta digitale sicura nell'attuale panorama delle minacce.
Disclaimer: Questo contenuto è fornito solo a scopo informativo, educativo e di comunicazione del brand e non deve essere considerato una consulenza finanziaria, di investimento, legale o fiscale. Nulla di quanto qui contenuto — incluse attività, premi, campagne promozionali o dettagli di eventi correlati — costituisce un'offerta, una raccomandazione, una sollecitazione o un invito ad acquistare, vendere o negoziare qualsiasi asset crypto, o ad utilizzare prodotti o servizi specifici. Gli asset crypto sono altamente volatili e comportano rischi significativi, inclusa la potenziale perdita di capitale e valore. I servizi e le campagne online di WEEX potrebbero non essere disponibili in tutte le regioni o giurisdizioni e sono soggetti alle leggi, ai regolamenti e ai requisiti di idoneità degli utenti applicabili; alcune attività potrebbero essere limitate o totalmente non disponibili in specifiche località. Si prega di valutare attentamente i rischi, assicurarsi di comprendere a fondo i quadri normativi locali e confermare l'idoneità prima di prendere qualsiasi decisione finanziaria o partecipare a iniziative della piattaforma.

AAcquista cripto per $1
Leggi di più
Scopri quanto ha guadagnato Trump dalle criptovalute, con approfondimenti sui suoi 1,4 miliardi di dollari di guadagni da asset digitali e meme coin.
Esplora la storia matrimoniale di Donald Trump, da Ivana a Melania. Scopri eventi chiave e approfondimenti sulla sua vita e le sue relazioni nel corso dei decenni.
Scopri il valore, la tokenomics e le dinamiche di mercato del meme coin TRUMP. Informati sui rischi e sul potenziale nel volatile panorama crypto.
Elon Musk diventa il primo trilionario al mondo, guidando le classifiche globali dei miliardari con SpaceX e Tesla. Scopri il suo viaggio verso una ricchezza senza pari.
Scopri lo status di trilionario di Elon Musk nel 2026, guidato dall'IPO di SpaceX. Esplora le metriche di ricchezza, le prospettive future e l'evoluzione delle azioni tokenizzate.
Scopri le dinamiche della famiglia moderna di Elon Musk, padre di 14 figli con quattro donne, ed esplora il suo approccio unico alla genitorialità.


