ConsulThink ConsulThink ConsulThink
  • Home
  • Chi siamo
  • Solutions & Services ►
    • e-CyberMesh
    • e-CyberDev
    • Consulenza Specialistica
    • Consulthink Academy
    • e-CyLabs
  • News
  • ExperThinkers Room
  • Lavora con noi
  • Contatti
  • Policy
  • Privacy
Data Protection ExperThinkers GRC Information Security Normative Phishing

AiTM: come gli attaccanti bypassano l’MFA

17 Luglio 2026

Introduzione

Immaginiamo lo scenario tipico di un’azienda moderna: dopo mesi di lavoro, il reparto IT annuncia con orgoglio il completamento del rollout della Multi-Factor Authentication (MFA). Da oggi, per accedere ai sistemi, non basta più la semplice password; ogni dipendente deve confermare la propria identità inserendo un codice temporaneo ricevuto sul telefono o cliccando su una notifica push. In ufficio si respira un clima di sollievo: il CISO firma le ultime relazioni di sicurezza, i responsabili della compliance archiviano le pratiche e l’intera organizzazione si sente finalmente protetta da una corazza impenetrabile.

Tuttavia, mentre si celebra questo traguardo, da qualche parte nel mondo un attaccante sta già configurando un server specializzato, pronto a tendere una trappola invisibile. Non sta cercando di indovinare le vostre password né di hackerare fisicamente i vostri smartphone. Il suo obiettivo è molto più sottile e pericoloso: vuole posizionarsi silenziosamente tra voi e il servizio che state utilizzando per rubare la vostra identità digitale proprio mentre la state confermando.

Questo è il cuore degli attacchi Adversary-in-the-Middle (AiTM): una tecnica che non si preoccupa di forzare la serratura, ma preferisce sottrarre le chiavi dalle mani del proprietario nel momento esatto in cui apre la porta.

Come funziona un attacco AiTM: la logica del proxy

Per comprendere davvero la pericolosità di un attacco AiTM, dobbiamo abbandonare l’immagine classica del pirata informatico che tenta di forzare una serratura digitale e sostituirla con quella, molto più inquietante, di un “postino infedele” o di un traduttore simultaneo malintenzionato. In questo scenario, l’attaccante non sta cercando di abbattere le mura del vostro castello; sta invece costruendo un ponte invisibile tra voi e la vostra destinazione, posizionandosi esattamente nel mezzo della conversazione.

Tecnicamente, questo “ponte” è un reverse proxy: un server sofisticato che l’attaccante configura per agire come uno specchio intelligente. Tutto ha inizio con un’esca psicologica: un’e-mail di phishing confezionata con una cura maniacale, capace di riprodurre perfettamente il tono, i loghi e l’urgenza di una comunicazione ufficiale della vostra banca o del vostro ufficio IT. Quando l’utente, spinto dalla fiducia o dalla fretta, clicca sul link contenuto nel messaggio, non atterra sul server reale del servizio, ma su una pagina “fotocopia” ospitata sul server del criminale. Visivamente, nulla tradisce l’inganno: i colori sono giusti, i tasti funzionano e l’indirizzo web sembra quasi identico a quello legittimo.

Qui il meccanismo si mette in moto con una sincronia perfetta: nel momento in cui l’utente inserisce la propria password nella pagina falsa, il proxy la cattura e, in una frazione di secondo, la “incolla” nel modulo di accesso del sito reale. Il servizio autentico, credendo di parlare con l’utente legittimo, risponde inviando la richiesta per il secondo fattore di sicurezza.  L’utente riceve il codice sul proprio smartphone o la notifica push e, sentendosi paradossalmente rassicurato da questo passaggio di sicurezza, lo inserisce o lo approva sulla pagina dell’attaccante. È qui che avviene il furto definitivo: il proxy intercetta anche questo codice temporaneo e lo consegna istantaneamente al sito vero, completando la procedura di login per conto della vittima.

Il vero colpo di scena, tuttavia, avviene nell’istante successivo all’autenticazione. Una volta che il server reale ha validato l’identità, esso emette quello che in gergo tecnico si chiama “cookie di sessione“. Possiamo immaginarlo come un braccialetto elettronico che il sito consegna al browser per dirgli: “Ti ho riconosciuto, per le prossime ore puoi navigare liberamente senza dover mai più reinserire password o codici”. L’attaccante, grazie al suo ruolo di intermediario, ruba questo pass nel momento esatto in cui viene emesso. Da quel secondo in poi, il criminale non ha più bisogno della password o dello smartphone dell’utente: possiede il pass finale. Può installare il cookie nel proprio browser e accedere all’account della vittima con un controllo totale e persistente, agendo nell’ombra mentre l’utente è convinto che tutto sia andato a buon fine.

Il mercato del crimine: PhaaS abbatte le barriere di ingresso

Dobbiamo dimenticare l’epoca in cui un attacco di questo tipo era considerato un’operazione d’élite, un’arma sofisticata e costosa riservata esclusivamente a gruppi di spionaggio statale o ad hacker dalle capacità fuori dal comune. Oggi, lo scenario è radicalmente mutato: quello che un tempo era un artigianato oscuro è diventato un prodotto “chiavi in mano”, pacchettizzato e venduto con logiche commerciali nel sottobosco del Dark Web. Siamo di fronte alla nascita di vere e proprie multinazionali del crimine che operano secondo il modello del Phishing-as-a-Service (PhaaS). Piattaforme dai nomi evocativi come EvilProxy, Tycoon 2FA e Caffeine hanno democratizzato il cyber-crimine, offrendo a chiunque − anche a chi possiede scarse competenze tecniche − la possibilità di lanciare attacchi devastanti.

Questi kit criminali non sono semplici script rudimentali, ma veri e propri software professionali dotati di interfacce grafiche intuitive, pannelli di controllo semplificati e una vasta gamma di modelli preconfigurati, studiati appositamente per clonare i portali dei principali provider cloud mondiali. Gli acquirenti di questi servizi ricevono persino assistenza tecnica, proprio come se stessero acquistando un legittimo software aziendale.

La portata di questa industrializzazione è impressionante e i numeri lo confermano con brutale chiarezza. Basti pensare che, nell’aprile del 2025, sono state intercettate campagne di phishing di proporzioni ciclopiche, orchestrate attraverso la piattaforma Tycoon 2FA, capaci di colpire simultaneamente migliaia di organizzazioni in ogni angolo del pianeta. La pericolosità di questi strumenti è tale da aver permesso ai criminali di scavalcare con estrema facilità le barriere dei più rinomati software di sicurezza e-mail, inclusi quelli che gli analisti di settore considerano i leader assoluti del mercato.

Questa non è più una minaccia teorica o limitata a pochi bersagli eccellenti: il Canadian Centre for Cyber Security ha sollevato il velo su questa realtà documentando centinaia di campagne AiTM che, tra il 2023 e l’inizio del 2025, hanno preso di mira sistematicamente gli account Microsoft Entra ID. È la prova definitiva che l’attacco “nel mezzo” ha smesso di essere un’esotica eccezione statistica per diventare la nuova, amara normalità delle truffe digitali di massa, rendendo il phishing tradizionale un ricordo del passato rispetto a queste nuove offensive automatizzate.

L’anatomia della vulnerabilità: perché TOTP e push sono esposte

La fragilità che accomuna i sistemi di protezione più diffusi, come l’invio di codici tramite SMS, le applicazioni che generano password temporanee (TOTP cioè Time-based One-Time Password) o le semplici notifiche push, risiede in una caratteristica tecnica tanto banale quanto pericolosa: la loro natura “trasferibile”.

Per comprendere il problema, dobbiamo considerare che questi metodi si basano su un’informazione che nasce su un dispositivo e deve essere trasportata manualmente dall’utente all’interno di un modulo di accesso. Questo passaggio fisico − leggere un numero su uno schermo e digitarlo su una tastiera − crea una “finestra di opportunità” per i criminali informatici. Poiché l’utente sta agendo su un canale che crede sicuro, ma che in realtà è controllato da un intermediario invisibile (il proxy), ogni dato inserito viene catturato e replicato istantaneamente. È un limite strutturale insormontabile: nel momento stesso in cui un codice diventa visibile e manipolabile dall’essere umano, esso diventa automaticamente intercettabile da una macchina ostile che può riutilizzarlo in pochi millisecondi, prima ancora che la vittima si renda conto di quanto sta accadendo.

A questa debolezza puramente tecnica si affianca una componente psicologica molto più insidiosa, spesso definita dagli esperti come “MFA fatigue” o stanchezza da autenticazione. In questo scenario, l’attaccante non si limita a intercettare un dato, ma manipola attivamente lo stato emotivo e l’attenzione della persona. Sfruttando il fatto di essere già in possesso delle credenziali iniziali, il malintenzionato inonda lo smartphone della vittima con una raffica incessante di notifiche di approvazione, spesso durante le ore notturne o in momenti di frenesia lavorativa. L’obiettivo è indurre un crollo della vigilanza: per stanchezza, per il desiderio di interrompere quel fastidioso segnale acustico o per una semplice distrazione momentanea, l’utente finisce per premere il tasto “approva”. È un momento di fragilità umana che trasforma una barriera tecnica teoricamente robusta in una porta aperta. Questa strategia non è solo teorica, ma rappresenta la firma operativa di gruppi criminali come Lapsus$, che hanno dimostrato come sia possibile mettere in ginocchio colossi tecnologici di calibro mondiale non violando algoritmi complessi, ma semplicemente logorando la resistenza psicologica degli individui fino a ottenere quel singolo, fatale clic di conferma.

La risposta architetturale: FIDO2 e l’autenticazione resistente al phishing

Per rispondere in modo efficace a questa preoccupante evoluzione del crimine informatico, la tecnologia non si è limitata a correggere i vecchi sistemi, ma ha introdotto un cambio di paradigma radicale attraverso uno standard chiamato FIDO2.

La vera rivoluzione di questo approccio rispetto ai metodi tradizionali risiede nella totale eliminazione dell’elemento umano durante lo scambio dei segreti: FIDO2 non si affida a codici, sequenze numeriche o parole d’ordine che l’utente debba leggere, memorizzare o digitare manualmente. Rimuovendo il fattore “trasferibile”, viene eliminata alla radice la possibilità stessa che un intermediario possa intercettare e riutilizzare l’informazione. Il sistema sposta la difesa su un piano fisico e crittografico, basandosi su una sorta di “serratura digitale intelligente” integrata direttamente nell’hardware dell’utente, che si tratti di una chiavetta di sicurezza USB dedicata o dei sensori biometrici già presenti nei moderni smartphone e computer.

Il cuore tecnologico di questa protezione è un concetto noto come vincolo con l’origine, una funzione che agisce come un controllore invisibile. Quando tentiamo di accedere a un servizio, avviene un dialogo silenzioso e crittografato tra il nostro dispositivo e il server: in questa frazione di secondo, il dispositivo verifica autonomamente che l’indirizzo web (il dominio) del sito sia esattamente quello autentico registrato durante la prima configurazione.

È qui che l’attacco dell’intermediario fallisce inevitabilmente. Se un attaccante riesce a spingerci su un sito “fotocopia” − magari visivamente perfetto ma con un indirizzo web anche solo leggermente diverso dall’originale − la nostra chiave di sicurezza se ne accorgerà all’istante. Poiché la chiave crittografica è indissolubilmente legata al dominio reale, il dispositivo rileverà l’incoerenza e si rifiuterà categoricamente di firmare l’accesso, rendendo il tentativo di furto del tutto vano. Questa architettura è talmente solida e priva di punti ciechi che, secondo i report ufficiali delle agenzie di cybersicurezza, è riuscita a bloccare il 100% delle campagne di attacco basate sulla manipolazione della sessione, consacrandosi oggi come l’unico standard capace di offrire un’autenticazione realmente “resistente al phishing” e a prova di errore umano.

Il collegamento NIS2: “misure adeguate allo stato dell’arte”

Il problema AiTM non è solo operativo. È un rischio di compliance diretto per le organizzazioni soggette alla Direttiva NIS2 − e in Italia, al D.Lgs. 138/2024 che la recepisce − con scadenze operative che nel 2026 diventano cogenti.

L’articolo 21 della Direttiva NIS2 impone agli enti essenziali e importanti di adottare misure tecniche, operative e organizzative “appropriate e proporzionate”, tenendo conto “dello stato dell’arte” in materia di sicurezza. Non è una clausola di stile. È un obbligo di aggiornamento continuo: le misure adeguate di oggi non sono necessariamente quelle adeguate di domani, e il legislatore europeo lo ha scritto esplicitamente. Lo stesso articolo, al comma 2 lettera j), menziona esplicitamente “l’uso di soluzioni di autenticazione a più fattori o di autenticazione continua” tra le misure che gli enti devono adottare. Ma la formulazione è più sofisticata di quanto sembri: non qualsiasi MFA soddisfa il requisito. La norma richiede misure adeguate allo stato dell’arte e, secondo il consenso tecnico internazionale e le principali linee guida (NIST, ENISA, CISA), i metodi tradizionali come TOTP e push notification risultano vulnerabili agli attacchi AiTM, mentre FIDO2 rappresenta una risposta architetturale più avanzata.

La NIS2 non è una direttiva a bassa intensità sanzionatoria. Per i soggetti essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuale − la soglia più elevata. Per i soggetti importanti, fino a 7 milioni di euro o all’1,4% del fatturato. Ma forse più rilevante, per la governance aziendale, è il principio di responsabilità personale del management: l’articolo 23 del decreto italiano è esplicito nel coinvolgere direttamente gli organi di amministrazione nella supervisione delle misure di sicurezza.

In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha emanato le Determinazioni 379887/2025 e 379907/2025 che specificano le misure tecniche di base. L’adeguamento completo è atteso entro ottobre 2026. Le prime scadenze operative − inclusa la notifica degli incidenti e l’implementazione delle misure di base − sono già attive. L’ACN ha dichiarato che adotterà un approccio differenziato: controlli preventivi per i soggetti essenziali, verifiche post-evento per i soggetti importanti, con modalità che richiamano da vicino le ispezioni già sperimentate in ambito GDPR.

Il rischio concreto è il seguente: un’organizzazione che utilizza esclusivamente TOTP o push notification per proteggere accessi critici potrebbe avere difficoltà a dimostrare di aver adottato misure adeguate allo stato dell’arte, soprattutto in presenza di una compromissione tramite AiTM. La documentazione tecnica disponibile − da ENISA, dal Canadian Cyber Centre, da Microsoft − dimostra che il rischio era noto, documentato e mitigabile con tecnologie disponibili sul mercato.

ENISA e il quadro regolatorio europeo convergente

L’ENISA − l’Agenzia dell’Unione Europea per la sicurezza informatica − ha pubblicato nel giugno 2025 una guida tecnica all’attuazione della NIS2 formalmente rivolta ai fornitori digitali e ai gestori di servizi, ma utilizzata come riferimento pratico esteso dall’intera comunità di compliance. La guida converge con le indicazioni di NIST e DORA (Digital Operational Resilience Act) nel segnalare che i controlli di accesso basati su metodi tradizionali non sono più sufficienti e che un numero crescente di framework regolatori richiede esplicitamente o raccomanda l’adozione di MFA resistente al phishing nell’ambito delle architetture zero trust.

Cosa fare adesso: una roadmap operativa

La domanda che segue naturalmente l’analisi è pratica: da dove si inizia? La risposta dipende dal profilo di rischio dell’organizzazione, ma alcune priorità sono universali.

1. Identificare gli accessi ad alto rischio

Non tutti gli accessi hanno lo stesso profilo di rischio. Gli amministratori di sistema, i team IT, gli utenti con accesso a sistemi critici o dati sensibili, chi accede da remoto − questi sono i target primari degli attacchi AiTM. È da questi profili che deve partire qualsiasi programma di migrazione verso l’autenticazione resistente al phishing. Distribuire hardware security key agli amministratori e configurare Conditional Access Policy (CAP) che impongano FIDO2 per gli accessi privilegiati è il primo passo, e ha il miglior rapporto tra costo e riduzione del rischio.

2. Implementare Conditional Access basato su dispositivi registrati

Anche senza una migrazione completa a FIDO2, i CAP che richiedono un dispositivo registrato e conforme rappresentano un’ulteriore barriera contro gli attacchi AiTM. I dati del Canadian Centre for Cyber Security mostrano che i CAP basati su dispositivi registrati hanno bloccato una quota significativa delle campagne analizzate. Non sostituiscono FIDO2, ma aggiungono un livello di difesa che un attaccante in possesso di credenziali e cookie non può facilmente aggirare.

3. Attivare il rilevamento dei proxy AiTM

Gli attacchi AiTM lasciano tracce. Il traffico di autenticazione che passa attraverso un proxy produce anomalie rilevabili: accessi da posizioni geografiche incoerenti con il profilo dell’utente, dispositivi insoliti, IP associati a servizi di cloud hosting. Configurare regole specifiche nel SIEM (il sistema centralizzato di monitoraggio degli eventi di sicurezza) e nelle soluzioni di Identity Threat Detection and Response (ITDR) per questi pattern è un investimento operativo che riduce il tempo di rilevamento degli attacchi in corso.

4. Pianificare la migrazione verso FIDO2

La migrazione verso passkey e hardware token per l’intera popolazione di utenti non avviene in pochi giorni. Richiede una pianificazione che tenga conto della compatibilità dei sistemi esistenti, della formazione degli utenti, della gestione degli account di recovery e della progressiva dismissione dei fattori non resistenti al phishing. Ma il punto di partenza − proteggere gli accessi ad alto rischio − è raggiungibile in tempi brevi e costituisce già un miglioramento sostanziale del profilo di rischio.

5. Documentare le scelte per la compliance NIS2

Nel contesto NIS2, la compliance non è solo fare le cose giuste, è dimostrare di averle fatte. La documentazione delle analisi del rischio, delle scelte tecnologiche e delle loro giustificazioni, del piano di migrazione e dei progressi compiuti è essenziale per affrontare le verifiche dell’ACN. Un’organizzazione che non ha ancora implementato FIDO2 ma ha una roadmap documentata e stia progressivamente migrando è in una posizione molto diversa da una che non ha mai considerato il problema.

Conclusione

L’MFA è ancora necessaria. La fiducia cieca in qualsiasi implementazione dell’MFA − senza considerare la sua architettura e le tecniche di attacco disponibili − è diventata un rischio operativo e di compliance che le organizzazioni non possono più permettersi di ignorare.

Gli attacchi AiTM non sono un fenomeno emergente: sono il presente. Sono documentati dalle principali agenzie di sicurezza informatica mondiali, sono disponibili come servizio su piattaforme criminali accessibili, e hanno già colpito decine di migliaia di organizzazioni in tutti i settori. La risposta tecnica esiste − FIDO2 è una tecnologia matura, supportata nativamente dai principali sistemi operativi e dai principali provider cloud − ma la sua adozione richiede una scelta deliberata, non una delega al fornitore di turno.

La NIS2 pone questa scelta in un contesto normativo preciso. Lo stato dell’arte del 2026 secondo il consenso tecnico e le principali linee guida internazionali non lascia spazio ad ambiguità: l’utilizzo esclusivo di TOTP o push notification per accessi critici può risultare insufficiente rispetto a vettori di attacco consolidati come gli AiTM. Non è solo una questione di best practice: è un rischio di compliance diretto, con sanzioni significative e responsabilità personale per il management.

La domanda da porsi non è se aggiornare l’architettura di autenticazione, è quando e se si vuole farlo in anticipo, in modo pianificato, o in reazione a un incidente, davanti all’autorità di supervisione.

Perché il costo di un attacco AiTM andato a segno (in termini di dati esfiltrati, continuità operativa compromessa, notifiche agli interessati, sanzioni e reputazione) è quasi sempre superiore al costo di una migrazione verso l’autenticazione resistente al phishing. Quella migrazione, oggi, è alla portata di qualsiasi organizzazione che voglia davvero fare la cosa giusta − non solo attestare di averla fatta.

 

Articolo a cura del Team Governance, Risk and Compliance
Consulthink S.p.A.
info[@]consulthink.it

Leggi gli altri articoli nella ExperThinkers Room

 

Fonti e riferimenti

  • Canadian Centre for Cyber Security − Defending against adversary-in-the-middle threats with phishing-resistant MFA (ITSM.30.031). Cyber Centre, ottobre 2025.
  • Microsoft − Microsoft Digital Defense Report 2024
  • Microsoft Security Blog − Adversary-in-the-middle attacks target MFA, settembre 2022
  • Proofpoint − Evolving Threat: Microsoft AiTM Phishing Attacks. Proofpoint Threat Intelligence, 2025.
  • NIST − Special Publication 800-63-4: Digital Identity Guidelines. National Institute of Standards and Technology, 2025.
  • ENISA − Guida tecnica all’attuazione della NIS2. European Union Agency for Cybersecurity, giugno 2025.
  • Direttiva (UE) 2022/2555 − NIS2, Articolo 21: Misure di gestione del rischio di cybersicurezza. Parlamento Europeo e Consiglio dell’Unione Europea, gennaio 2023.
  • Lgs. 4 settembre 2024, n. 138 − Recepimento della Direttiva NIS2 nell’ordinamento italiano. Gazzetta Ufficiale della Repubblica Italiana.
  • ACN − Determinazioni 379887/2025 e 379907/2025: Misure tecniche di base NIS2. Agenzia per la Cybersicurezza Nazionale, 2025.

 

1
Like
Recent posts
Umberto Eco – AI Prompting – Semiomatics
Impronte, iride e algoritmi: la nuova Geografia dell'Identità personale
Previous post Umberto Eco – AI Prompting – Semiomatics
Categorie
  • AI (5)
  • ASSINTEL (1)
  • Awareness (2)
  • Big Data (1)
  • Blockchain (1)
  • Casi di successo (1)
  • Cloud (2)
  • Cyberattack (2)
  • CyberSecurity (10)
  • Data Protection (10)
  • Enterprise Architecture (3)
  • Eventi (1)
  • ExperThinkers (29)
  • Formazione (2)
  • GDPR (13)
  • GRC (10)
  • ICT (2)
  • Information Security (10)
  • IoT (1)
  • Marketing (3)
  • Mobile (1)
  • News (9)
  • Normative (11)
  • Offensive (3)
  • Offensive Security (4)
  • People Management (1)
  • Phishing (3)
  • Premi (1)
  • Privacy (8)
  • R&D (1)
  • Red Team (4)
  • Security (5)
  • Smart Working (1)
  • Software (1)
  • Soluzioni (4)
  • Trend (5)
  • Uncategorized (1)
Ultime News
AiTM: come gli attaccanti bypassano l'MFA
17 Luglio 2026
Umberto Eco – AI Prompting – Semiomatics
17 Luglio 2026
Impronte, iride e algoritmi: la nuova Geografia dell'Identità personale
17 Luglio 2026
AI predittiva e Criminalità: tra Prevenzione, Privacy ed Etica algoritmica
17 Luglio 2026
Cyber Insurance: pro e contro di un fenomeno in continua evoluzione
17 Luglio 2026

P.Iva 07855131004 - Via Cristoforo Colombo, 163 - 00147 Roma

© Consulthink. All Right Reserved 2019


Privacy Policy e Cookie