L'autenticazione a più fattori (MFA) è ormai uno standard. E per buone ragioni: aggiunge un livello di protezione reale oltre la password.
Ma c'è un effetto collaterale che si vede sempre più spesso. Quando le notifiche di sicurezza diventano troppe, smettiamo di leggerle davvero. Le approviamo in automatico, quasi senza accorgercene.
Questo fenomeno si chiama alert fatigue. E nel contesto MFA può diventare un punto debole serio: non serve "bucare" nessun sistema, basta spingere una persona a fare clic sul tasto sbagliato.
Che cos'è la alert fatigue
È la stanchezza da avvisi. Succede quando un sistema produce così tante notifiche, richieste di conferma o messaggi urgenti che, col tempo, perdono significato.
Il cervello cerca scorciatoie: riconosce la forma dell'avviso e reagisce senza analizzarlo davvero. È lo stesso meccanismo per cui smettiamo di leggere i banner dei cookie o i pop-up ripetitivi. Non è pigrizia: è come funziona l'attenzione umana sotto sovraccarico.
Perché l'MFA, da sola, non basta
L'MFA riduce in modo significativo il rischio di accessi non autorizzati. Ma non elimina il fattore umano. Se un utente approva una richiesta che non dovrebbe approvare, l'attaccante entra dalla porta principale, senza forzare nulla.
La falla, in questo caso, non è tecnica. È comportamentale: la sicurezza viene trattata come un passaggio di routine, non come una decisione consapevole.
Come funziona l'attacco: push bombing e MFA fatigue
Molte soluzioni MFA inviano una notifica push: "Stai cercando di accedere? Approva o rifiuta." L'attaccante, dopo aver ottenuto username e password — ad esempio tramite phishing o da un data breach — prova a fare login.
A quel punto la vittima riceve la richiesta MFA. Se rifiuta, l'attaccante riprova. E riprova ancora.
Questo bombardamento di notifiche si chiama push bombing o MFA fatigue attack. L'obiettivo è semplice: creare stress o fastidio finché la persona, per far smettere le richieste, preme "Approva".
In alcuni casi l'attaccante aggiunge un elemento di ingegneria sociale: contatta la vittima fingendosi l'help desk e spiega che le notifiche sono normali, invitandola ad approvare. Un dettaglio che può fare tutta la differenza.
Perché a volte le persone approvano davvero
Non è una questione di competenza tecnica. Gli attaccanti scelgono i momenti giusti: durante una call, in viaggio, a fine giornata, sotto pressione. Momenti in cui l'attenzione è bassa e il gesto automatico prende il sopravvento.
In molte organizzazioni, poi, l'MFA è così frequente da diventare rumore di fondo. Quando approvare è diventato un riflesso, prima o poi qualcuno approverà anche la richiesta sbagliata.
I segnali da non ignorare
La regola è semplice: una richiesta MFA va approvata solo se sei tu, in quel momento, ad accedere a quel servizio.
Alcuni segnali che devono far scattare un campanello:
- Una notifica MFA inattesa — anche una sola — è già un segnale da non sottovalutare.
- Più richieste consecutive indicano che qualcuno sta insistendo.
- Richieste in orari insoliti o mentre non stai lavorando meritano attenzione immediata.
Cosa fare lato utente
La difesa più efficace è comportamentale. Si costruisce con regole semplici, ripetibili, da applicare ogni volta.
Quando arriva una richiesta MFA che non ti aspetti:
- Rifiuta. Sempre.
- Non approvare per farla finire. È esattamente quello che l'attaccante vuole.
- Segnala al team IT o alla sicurezza, anche se non sei sicuro di cosa stia succedendo. Meglio un falso allarme che un accesso riuscito.
Cosa fare lato azienda e IT
Il design del sistema conta quanto la formazione degli utenti. Un'MFA configurata male — che genera troppe richieste o non dà contesto — crea terreno fertile per la stanchezza.
Alcune misure concrete:
- Number matching: invece di un semplice "Approva/Rifiuta", l'utente deve confermare un numero mostrato nella schermata di login. Riduce in modo significativo le approvazioni distratte.
- Limitazione dei tentativi: bloccare o rallentare le richieste ripetute e attivare alert verso l'IT in caso di push bombing.
- Contesto nella notifica: mostrare informazioni utili — applicazione, posizione geografica, dispositivo — aiuta l'utente a capire se la richiesta è legittima.
- Formazione e awareness: spiegare agli utenti come funzionano questi attacchi è una delle difese più efficaci. Chi conosce il meccanismo è molto meno vulnerabile.
Il punto che conta davvero
La sicurezza non fallisce solo per limiti tecnologici. Fallisce anche — e spesso — per abitudini sbagliate.
Un sistema MFA ben configurato è uno strumento potente. Ma se chi lo usa lo tratta come un fastidio da eliminare in fretta, quella protezione si svuota. La consapevolezza non è un optional