Abilitare la verifica in due passaggi (2FA) nelle principali app social

Sommario

• Cos’è la verifica in due passaggi?
• Facebook
• Twitter
• Instagram
• Snapchat
• WhatsApp
• Telegram
• Signal
• TikTok
• Discord
• Twitch
• Steam
• LinkedIn
• Best practice generali
• Backup e recupero dell’accesso
• Quando la 2FA può fallire e come intervenire
• Confronto dei metodi di 2FA
• Checklist per utenti e amministratori
• Decisione rapida: quale metodo usare
• Domande frequenti

Cos’è la verifica in due passaggi?

La verifica in due passaggi (2FA) è un livello aggiuntivo di protezione che richiede, oltre alla password, un secondo elemento di prova di identità: solitamente un codice temporaneo, una chiave hardware o una conferma via e-mail/SMS. Definizione rapida: 2FA = qualcosa che sai (password) + qualcosa che hai (telefono, app, chiave).

I metodi più comuni:

• Codici via SMS: un codice numerico inviato al tuo numero di telefono.
• App di autenticazione: app come Google Authenticator o Authy che generano codici TOTP offline.
• Chiave di sicurezza (hardware): dispositivi USB/NFC compatibili con standard come FIDO2/WebAuthn.
• Codici di recupero: elenchi di codici monouso forniti dal servizio per il recupero.

Vantaggi principali:

• Difende contro furti di password e phishing passivo.
• Alcuni metodi (chiave hardware) resistono anche a phishing sofisticato.

Limiti:

• Richiede gestione di backup per il caso di perdita del dispositivo.
• Alcuni metodi (SMS) possono essere più vulnerabili a intercettazioni o SIM swap.

Facebook

Per abilitare la 2FA su Facebook bisogna accedere alle impostazioni dell’account. Le opzioni standard sono: app di autenticazione, SMS e chiave di sicurezza. Si consiglia l’app di autenticazione o la chiave fisica per la massima protezione.

PC

1. Vai su Facebook nel browser e clicca sulla freccia in alto a destra.
2. Seleziona “Impostazioni e privacy”.

3. Seleziona “Impostazioni”.

4. Dal menu a sinistra scegli “Sicurezza e accesso”.

5. Sulla destra scorri fino a “Verifica in due passaggi” e cliccaci.
6. Le opzioni: App di autenticazione (raccomandata), Messaggi di testo (SMS), Chiave di sicurezza (USB/NFC).

7. Se scegli l’app di autenticazione, clicca su “Usa app di autenticazione”. Verrà mostrato un QR code.

8. Apri l’app autenticatore sul telefono, scansiona il QR e inserisci il codice generato per completare l’abbinamento.

Dopo l’attivazione, torna su “Verifica in due passaggi” per aggiungere metodi di backup: SMS, chiavi di sicurezza e codici di recupero.

Mobile

1. Apri l’app Facebook.
2. Tocca il menu (≡) in alto a destra e scorri fino a “Impostazioni e privacy” > “Impostazioni”.

3. Vai su “Password e sicurezza”.

4. Tocca “Usa la verifica in due passaggi” e scegli il metodo (app, SMS, chiave).

Note importanti:

• Salva i codici di recupero in un posto sicuro (cifrato o su carta conservata).
• Aggiungi una chiave di sicurezza se gestisci account sensibili.

Twitter

Twitter offre tre opzioni: SMS, app di autenticazione e chiave di sicurezza (richiede attivazione preliminare di SMS o app). Per la migliore protezione, usare app di autenticazione o chiave hardware.

PC

1. Clicca su “Altro” nel menu laterale.

2. Seleziona “Impostazioni e privacy”.

3. Vai su “Sicurezza e accesso all’account” > “Sicurezza”.

4. Clicca su “Verifica in due passaggi” e scegli il metodo.

Nota: per la chiave di sicurezza occorre usare un browser aggiornato compatibile (Chrome, Firefox, Edge, Safari, Opera).

Mobile

1. Tocca il menu (≡) e vai su “Impostazioni e privacy”.

2. Tocca “Sicurezza e accesso all’account” > “Sicurezza” > “Verifica in due passaggi” e abilita il metodo preferito.

Instagram

Instagram supporta SMS e app di autenticazione; su browser la scelta può essere limitata a SMS.

PC

1. Apri Instagram nel browser e clicca sull’immagine del profilo in alto a destra.

2. Vai su “Impostazioni” > “Privacy e sicurezza” e trova la sezione “Verifica in due passaggi”.

3. Clicca su “Usa messaggi di testo” per attivare l’SMS, oppure usa l’app sul mobile per un’opzione migliore (app autenticatrice).

Mobile

1. Apri l’app, vai al profilo (in basso a destra) e tocca il menu (≡).

2. Vai su “Impostazioni” > “Sicurezza” > “Verifica in due passaggi” e premi “Inizia”.

3. Scegli tra SMS e app di autenticazione (consigliata l’app) e segui le istruzioni.

Snapchat

Snapchat chiama la 2FA “Verifica accesso”. È disponibile solo su mobile.

1. Apri l’app e tocca l’icona del profilo in alto a sinistra.

2. Tocca l’ingranaggio delle impostazioni e seleziona “Verifica accesso” (Two-Factor Authentication).

3. Scegli tra SMS e app di autenticazione e segui le istruzioni.

WhatsApp

WhatsApp offre la verifica in due passaggi attraverso un PIN a sei cifre che puoi impostare solo dall’app mobile. È pensata come protezione aggiuntiva al numero di telefono.

1. Apri WhatsApp e vai su Menu (⋮) > “Impostazioni” > “Account”.

2. Tocca “Verifica in due passaggi”.

3. Premi “Attiva” e imposta un PIN a 6 cifre; puoi aggiungere un indirizzo e-mail di recupero (consigliato).

Consiglio: scegli un PIN difficile da indovinare, non usare sequenze ovvie, e registra l’e-mail di recupero.

Telegram

Telegram supporta la “Two-Step Verification” che aggiunge una password secondaria oltre all’SMS. È disponibile su desktop e mobile.

PC

1. Apri Telegram, menu in alto a sinistra > “Impostazioni”.

2. Vai a “Privacy e sicurezza” e clicca su “Abilita la verifica in due passaggi”.

3. Inserisci una password aggiuntiva che verrà richiesta insieme al codice SMS quando effettui il login su un nuovo dispositivo.

Mobile

1. Apri Telegram e vai al menu (≡) > “Impostazioni” > “Privacy e sicurezza” > “Verifica in due passaggi”.

2. Tocca su “Imposta password” e scegli una passphrase robusta.

Nota: Telegram usa sia il codice SMS sia la password secondaria; senza questa password non è possibile recuperare l’account.

Signal

Signal fornisce una protezione chiamata “Registration Lock” che agisce come 2FA: richiede il PIN di Signal per registrare nuovamente il numero su un dispositivo. Disponibile solo su mobile.

1. Apri Signal, tocca i tre puntini in alto a destra > “Impostazioni” > “Account”.

2. Attiva “Blocco registrazione” (Registration Lock). Verrà richiesta la PIN di Signal al momento della registrazione su un nuovo dispositivo.

Attenzione: Signal non supporta attualmente app autenticatrici TOTP né codici di recupero.

TikTok

TikTok permette la 2FA via SMS o email dall’app mobile.

1. Apri TikTok, vai su “Profilo” > Menu (≡) > “Impostazioni e privacy” > “Sicurezza e accesso”.

2. Tocca “Verifica in due passaggi” e scegli tra SMS o email.

Suggerimento: se possibile, usa l’email come seconda opzione di recupero oltre al numero SMS.

Discord

Discord richiede l’uso di un’app autenticatrice per abilitare la 2FA; la procedura è disponibile sia su PC che mobile.

PC

1. Apri Discord e clicca sull’icona a forma d’ingranaggio in basso a sinistra (User Settings).

2. Nella sezione “Il mio account”, clicca su “Abilita l’autenticazione a due fattori”.

3. Inserisci la password e copia il QR mostrato nell’app autenticatrice per collegare l’account.

Mobile

1. Nell’app mobile tocca l’icona profilo > “Il mio account” > “Abilita l’autenticazione a due fattori”.

2. Inserisci la password e usa il codice generato dall’app autenticatrice.

Consiglio: conserva i codici di backup forniti da Discord in luogo sicuro.

Twitch

Twitch permette la 2FA via SMS/e-mail e richiede attenzione nel processo di verifica e conferma dell’indirizzo.

PC

1. Clicca sulla tua immagine profilo > “Sicurezza e privacy” > “Configura la verifica in due passaggi”.

2. Segui la procedura: verifica e-mail, inserimento numero di telefono e codice di conferma.

Mobile

1. Apri l’app, tocca profilo > “Impostazioni account” > “Verifica in due passaggi” > “Abilita 2FA”.

2. Inserisci il numero e il codice che riceverai via SMS.

Steam (Steam Guard)

Steam usa “Steam Guard” per la protezione 2FA: puoi ricevere codici via app Steam o via email.

PC

1. Apri il client Steam > “Steam” (menu in alto) > “Impostazioni”.

2. Nella sezione Account clicca “Gestisci la sicurezza dell’account Steam Guard” e scegli tra app o e-mail.

3. Se scegli l’app, apri Steam Mobile > menu > Steam Guard > “Aggiungi autenticatore”.

Consiglio: l’app Steam fornisce codici e ha anche una funzione di recupero tramite e-mail.

LinkedIn

LinkedIn consente la 2FA via app di autenticazione o SMS. È importante per proteggere dati professionali e contatti.

Desktop

1. Clicca il menu sotto la tua foto profilo > “Impostazioni e privacy”.

2. Vai a “Accesso e sicurezza” > “Verifica in due passaggi” > “Attiva”.

3. Scegli tra app autenticatrice o numero di telefono e completa la procedura.

Mobile

1. Apri l’app > tocca avatar > “Impostazioni” > “Accesso e sicurezza” > “Verifica in due passaggi” > “Configura”.

Best practice generali

• Usa un’app di autenticazione o una chiave hardware invece di SMS quando possibile.
• Conserva i codici di recupero offline (stampa o gestore di password cifrato).
• Abilita più di un metodo di recupero se il servizio lo permette (es. SMS + email + chiave).
• Aggiorna il tuo numero di telefono quando cambi operatore prima di dismettere il vecchio SIM.
• Usa password uniche e complesse (gestore di password raccomandato).
• Aggiorna regolarmente le app e il sistema operativo per correggere vulnerabilità.

Fact box: cosa proteggi con la 2FA

• Email e profilo social
• Dati personali e professionali
• Accesso a servizi finanziari collegati
• Proprietà intellettuale e contenuti digitali

Backup e recupero dell’accesso

È fondamentale pianificare il recupero dell’account prima di perdere l’accesso.

Checklist minima per il backup:

• Genera e salva i codici di recupero forniti dal servizio.
• Configura un indirizzo e-mail di recupero verificato.
• Aggiungi una seconda app autenticatrice o un secondo dispositivo se supportato (es. Authy sync).
• Registra almeno una chiave hardware di backup (Yubikey o simili) se gestisci account critici.
• Memorizza PIN/password secondarie in un password manager affidabile o su carta in luogo sicuro.

Mini-metodologia per migrare 2FA a un nuovo telefono:

1. Prima di dismettere il vecchio telefono, apri l’app autenticatrice e usa la funzione di trasferimento (se disponibile).
2. Se usi Google Authenticator, usa la funzione “Trasferisci account” per esportare i token.
3. Se l’app non supporta il trasferimento, reimposta 2FA su ciascun servizio: disattiva temporaneamente la 2FA, riattivala sul nuovo dispositivo e salva nuovi codici di recupero.
4. Per i servizi che supportano importazione/export (es. Authy), abilita la sincronizzazione multi-dispositivo prima del cambio.

Quando la 2FA può fallire e come intervenire

Situazioni comuni e contromisure:

• Perdita del telefono: usa i codici di recupero o l’e-mail di recupero per ripristinare l’accesso.
• SIM swap (furto del numero): non fare affidamento solo su SMS. Se usi SMS, aggiungi un metodo alternativo (app o chiave hardware).
• Codici non accettati: verifica l’ora del dispositivo (TOTP dipende dall’ora sincronizzata). Abilita “data e ora automatiche”.
• Account compromesso con 2FA ancora attivato: contatta il supporto della piattaforma e fornisci prove di identità; disattiva app terze con sessioni attive.

Incident runbook (azione rapida se perdi l’accesso):

1. Raccogli tutte le prove di proprietà account (e-mail, ricevute, screenshot profilo).
2. Usa codici di recupero se disponibili.
3. Contatta il supporto della piattaforma con ID, prove e dettagli temporali dell’ultimo accesso.
4. Se la piattaforma richiede verifica tramite documento, invia solo tramite canali ufficiali e verifica la policy sulla privacy.

Confronto dei metodi di 2FA

• Chiave hardware (FIDO2/WebAuthn)

  • Pro: massima protezione contro phishing, non dipende da telefono o rete.
  • Contro: costa denaro, bisogna portarla con sé.

• App di autenticazione (TOTP)

  • Pro: funziona offline, più sicura degli SMS.
  • Contro: richiede backup/transfer quando si cambia dispositivo.

• SMS

  • Pro: semplice, universale.
  • Contro: vulnerabile a SIM swap e intercettazioni.

• Codici di recupero

  • Pro: utile come ultima risorsa.
  • Contro: se non conservati in modo sicuro, possono essere usati da terzi.

Matrice decisionale qualitativa (Impatto × Sforzo)

• Chiave hardware: Alto impatto, Medio sforzo (costo)
• App autenticatrice: Alto impatto, Basso sforzo
• SMS: Medio impatto, Basso sforzo
• Codici di recupero: Alto impatto, Basso sforzo (ma richiede gestione sicura)

Checklist per ruolo

Checklist per utente singolo:

• Abilita 2FA su tutti i servizi principali (email, social, finanza).
• Usa app autenticatrice o chiave hardware.
• Conserva codici di recupero offline e in password manager.
• Attiva almeno un metodo di backup.

Checklist per responsabile IT / amministratore:

• Forza l’uso della 2FA per account con accesso privilegiato.
• Fornisci chiavi hardware agli amministratori critici.
• Documenta procedure di recupero e contatti supporto per i principali servizi.
• Monitora tentativi di accesso sospetti e rotazione delle chiavi.

Role-based playbook per incidenti 2FA:

1. Utente segnala perdita accesso.
2. IT verifica identità tramite badge, email aziendale, o procedure definite.
3. Reimposta 2FA solo dopo verifica; abilita metodi temporanei e richiedi rotazione immediata delle credenziali.
4. Documenta e aggiorna il registro degli incidenti.

Decisione rapida: quale metodo usare

flowchart TD
  A[Hai accesso a una chiave hardware?] -->|Sì| B[Usa chiave hardware 'FIDO2']
  A -->|No| C[Vuoi portare con te il telefono?]
  C -->|Sì| D[Usa app autenticatrice 'TOTP']
  C -->|No| E[Usa SMS ma aggiungi backup]
  D --> F{Hai backup sicuri?}
  F -->|Sì| G[Fatto]
  F -->|No| H[Crea codici di recupero e salvali]
  E --> I[Considera chiave hardware come backup]

Domande frequenti

1. Devo resettare la 2FA quando cambio telefono?

Dipende dal metodo. Se usi un’app autenticatrice che supporta l’esportazione/trasferimento, puoi migrare i token. Altrimenti dovrai disattivare e riattivare la 2FA per ciascun servizio o usare i codici di recupero.

2. Quali app autenticatrici sono raccomandate?

Google Authenticator (semplice, ampiamente supportata), Authy (sincronizzazione multi-dispositivo crittografata), Microsoft Authenticator. Scegli un’app che permetta backup sicuri se non vuoi gestire manualmente ogni servizio.

3. Il codice a sei cifre non funziona: cosa fare?

I codici TOTP si basano sull’orario: assicurati che l’orologio del dispositivo sia impostato su data/ora automatiche. Se il problema persiste, verifica che il token sia stato generato per l’account corretto e che non ci siano duplicati.

Rischi e mitigazioni

Rischio: SIM swap — Mitigazione: non affidarti solo agli SMS, aggiungi app autenticatrice o chiave hardware.

Rischio: perdita del dispositivo — Mitigazione: codici di recupero offline, email di recupero verificata.

Rischio: phishing mirato che ruba anche il codice — Mitigazione: usa chiavi hardware o metodi con protezione anti-phishing (WebAuthn).

Glossario rapido (1 riga ciascuno)

• 2FA: verifica in due passaggi, richiede due elementi di autenticazione.
• TOTP: codice temporaneo basato sul tempo (usato dalle app autenticatrici).
• FIDO2/WebAuthn: standard per chiavi hardware e autenticazione senza password.
• SIM swap: trasferimento fraudolento del numero telefonico a un’altra SIM.

Sommario finale

Abilitare la verifica in due passaggi è una delle azioni più efficaci per proteggere i propri account social. Preferisci app di autenticazione o chiavi hardware rispetto agli SMS quando possibile. Organizza i backup (codici di recupero, email) prima di cambiare dispositivo e stabilisci procedure di recupero chiare se gestisci account critici.

Importante: attiva la 2FA oggi stesso sui tuoi account prioritari (email, social, conti finanziari) e conserva i codici di recupero in modo sicuro.

Domande frequenti aggiuntive

Per approfondire: consulta le pagine di supporto ufficiali di ciascun servizio oppure usa un password manager che integri il supporto per TOTP per semplificare gestione e backup.