Autenticazione a due fattori: guida per la contabilità

Perché l'autenticazione a due fattori è indispensabile nella consulenza fiscale

Gli studi di consulenza fiscale gestiscono quotidianamente dati finanziari altamente riservati: bilanci fiscali, rendiconti, buste paga, coordinate bancarie di centinaia di aziende clienti. Nel 2025, secondo il rapporto annuale dell'ANSSI, gli attacchi di phishing mirati alle professioni regolamentate sono aumentati del 37% in un anno. Di fronte a questa minaccia, l'autenticazione a due fattori (2FA) — anche chiamata autenticazione multifactor (MFA) — rappresenta la prima linea di difesa tecnica consigliata.

L'autenticazione a due fattori si basa su un principio semplice: per accedere a un sistema, l'utente deve provare la sua identità attraverso due elementi distinti. Il primo è generalmente "qualcosa che conosci" (una password), il secondo è "qualcosa che possiedi" (uno smartphone, una chiave fisica) o "qualcosa che sei" (dati biometrici). Questo meccanismo rende quasi impossibili gli attacchi basati sul furto di password sola, che rappresentano ancora l'81% delle violazioni di dati secondo il rapporto Verizon DBIR 2024.

Per i consulenti fiscali, la conformità al regolamento eIDAS e ai suoi requisiti di identificazione forte non è più un'opzione: è una necessità normativa ed etica. Questo articolo ti spiega, passo dopo passo, come configurare la 2FA nel tuo studio, quali strumenti scegliere e come accompagnare i tuoi collaboratori in questa transizione.

---

I metodi di autenticazione a due fattori adatti al settore contabile

Le applicazioni di autenticazione (TOTP)

Il metodo più diffuso negli studi contabili è l'utilizzo di un'applicazione che genera codici temporali (TOTP — Time-based One-Time Password). Soluzioni come Google Authenticator, Microsoft Authenticator o Authy generano un codice di 6 cifre rinnovato ogni 30 secondi. Questo codice è associato a un segreto condiviso archiviato nell'applicazione durante la fase di registrazione (scansione di un codice QR).

Vantaggi per gli studi: implementazione senza costi aggiuntivi, funziona offline, compatibile con la quasi totalità dei software contabili (Sage, Cegid, ACD, MyUnisoft). Svantaggio: se il collaboratore perde il suo telefono, la procedura di recupero deve essere anticipata (codici di backup da conservare in un luogo sicuro).

Le chiavi di sicurezza fisiche (FIDO2/WebAuthn)

Per gli studi che gestiscono grandi volumi di dati sensibili o sottoposti a frequenti audit, le chiavi di sicurezza hardware (tipo YubiKey o Feitian) offrono il livello di protezione più elevato. Basate sugli standard FIDO2 e WebAuthn, sono resistenti al phishing per progettazione: la chiave verifica crittograficamente il dominio del sito prima di autenticarsi, il che neutralizza gli attacchi di tipo "man-in-the-middle".

Un numero crescente di portali fiscali e di piattaforme di deposito obbligatorio (DGFiP, infogreffe) tende ad accettare questi standard. Uno studio che gestisce cento mandati può ammortizzare l'acquisto di chiavi (circa 50-80 € l'una) in poche settimane grazie alla riduzione del tempo di gestione degli incidenti di sicurezza.

SMS OTP: da evitare per i dati sensibili

Sebbene i codici inviati via SMS rimangono un'opzione in molti sistemi, il NIST americano (National Institute of Standards and Technology) li ha declassati nel 2016 dalla categoria dei metodi di autenticazione forte. Gli attacchi per SIM swapping (trasferimento fraudolento di un numero di telefono verso una SIM controllata da un attaccante) hanno colpito diversi studi contabili francesi negli ultimi anni. Per gli accessi ai dati fiscali o agli strumenti di firma elettronica per gli studi legali e contabili, l'SMS OTP deve essere considerato solo come soluzione di ultima istanza.

---

Come configurare l'autenticazione a due fattori: guida passo dopo passo

Passaggio 1 — Inventario delle applicazioni e definizione del perimetro

Prima di qualsiasi implementazione tecnica, redigi un inventario esaustivo di tutte le applicazioni utilizzate nel tuo studio:

• Software contabili: Cegid Loop, Sage 100 Cloud, ACD Inforce, Quadratus, MyUnisoft
• Messaggistica e strumenti collaborativi: Microsoft 365, Google Workspace, Slack
• Strumenti di gestione documentale e firma: piattaforme di deposito, strumenti di workflow
• Accessi remoti: VPN, RDP, desktop virtuali
• Portali client: spazi di scambio documenti con i clienti

Per ogni applicazione, verifica se la 2FA è disponibile (sezione "Sicurezza" delle impostazioni) e quale metodo è supportato (TOTP, FIDO2, SMS). Classifica le applicazioni per criticità in base alla sensibilità dei dati accessibili.

Passaggio 2 — Implementazione tecnica e registrazione dei collaboratori

Per Microsoft 365, la configurazione avviene tramite il portale Azure Active Directory (Entra ID). Attiva "Security Defaults" oppure, per gli studi con più di 10 collaboratori, configura politiche di Accesso condizionale (disponibili dalla licenza Business Premium in su). Queste politiche consentono di richiedere la 2FA solo in determinate condizioni: accesso dall'esterno dell'ufficio, accesso da un dispositivo sconosciuto, orario inusuale.

Per i software contabili, la procedura varia a seconda dell'editore:

• Cegid Loop: impostazioni di sicurezza > attiva la doppia autenticazione > genera i codici QR per ogni utente
• MyUnisoft: amministrazione > sicurezza > autenticazione forte > forza la 2FA per tutti i profili
• Sage 100 Cloud: contatta l'amministratore Sage o il tuo rivenditore per attivare il modulo MFA

Prevedi una sessione di registrazione con ogni collaboratore (15-20 minuti per persona). Distribuisci a ogni utente una scheda riepilogativa con i suoi codici di recupero, da conservare in un luogo sicuro e fisico (cassaforte dello studio, ad esempio).

Passaggio 3 — Politica di gestione e procedure di emergenza

L'implementazione tecnica è solo metà del lavoro. Una politica di sicurezza documentata deve specificare:

• Chi può disabilitare temporaneamente la 2FA (solo l'amministratore di sistema, mai il collaboratore stesso)
• Procedura di smarrimento del dispositivo: blocco immediato dell'account, rigenerazione dei codici di backup, re-registrazione supervisionata
• Frequenza di revisione: audit semestrale degli accessi e dei metodi di autenticazione
• Gestione dei licenziamenti: revoca immediata degli accessi e dei segreti 2FA al momento di qualsiasi partenza di collaboratore

Questa politica si integra naturalmente nel tuo piano di continuità operativa (BCP) e nel tuo registro di trattamento dei dati ai sensi del RGPD. Consultare il centro di aiuto Certyneo può fornirti modelli di politiche adatti alle piccole e medie strutture.

---

Integrazione della 2FA con gli strumenti di firma elettronica

La firma elettronica avanzata o qualificata, come definita dal regolamento eIDAS, richiede un'identificazione forte del firmatario. Concretamente, quando il tuo studio trasmette una lettera di incarico o un contratto di prestazione da firmare a un cliente, la piattaforma di firma deve verificare l'identità del firmatario in modo robusto. È precisamente qui che interviene la 2FA.

Nelle piattaforme di firma conformi a eIDAS (livello avanzato o qualificato), il firmatario riceve un link per email, quindi deve convalidare la sua identità tramite un secondo canale (SMS, applicazione di autenticazione o certificato qualificato). Questo processo crea una pista di audit timestampata e crittograficamente verificabile, che costituisce una prova irrefutabile in caso di controversia — una questione cruciale per i consulenti fiscali che impegnano la loro responsabilità civile professionale in ogni incarico.

Per comprendere i diversi livelli di firma e scegliere quello adatto ai tuoi flussi documentali, si consiglia la lettura della guida completa della firma elettronica. Gli studi che utilizzano Certyneo beneficiano di un'integrazione nativa della 2FA nel percorso di firma, il che riduce l'attrito per il firmatario mantenendo il livello di conformità richiesto.

Particolare attenzione deve essere prestata alle lettere di incarico (obbligatorie secondo la norma professionale 2400 dell'OEC) e ai rapporti di revisione legale: questi documenti impegnano la responsabilità personale del professionista e richiedono una tracciabilità di autenticazione impeccabile. Puoi anche utilizzare un generatore di contratti basato su IA per automatizzare la creazione di questi documenti integrando fin dalla progettazione i requisiti di autenticazione forte.

---

Formare e sensibilizzare i collaboratori: il fattore umano

L'implementazione tecnica più rigorosa è resa inefficace se i collaboratori non comprendono le criticità o aggirano i dispositivi di sicurezza. Nella consulenza fiscale, i team sono spesso composti da profili molto vari: soci senior, collaboratori junior, tirocinanti, assistenti di direzione. La formazione deve essere adatta a ogni profilo.

Programma di sensibilizzazione consigliato per uno studio di 5-30 persone:

1. Sessione di lancio (1 ora): presentazione dei rischi concreti (esempi di incidenti reali anonimi nel settore), dimostrazione dal vivo della configurazione, domande e risposte
2. Tutorial video brevi (3-5 minuti ciascuno): un tutorial per applicazione critica, disponibili nell'intranet dello studio
3. Esercizio di phishing simulato: invio di un falso email di phishing a 3 mesi dalla distribuzione per misurare la vigilanza reale e identificare i collaboratori che necessitano di supporto aggiuntivo
4. Integrazione nell'onboarding: ogni nuovo collaboratore configura la sua 2FA nel suo primo giorno, con un referente dedicato

L'Ordine dei Consulenti Fiscali (OEC) offre anche risorse di formazione continua sulla cybersicurezza nell'ambito degli obblighi di formazione annuale (40 ore per i consulenti fiscali iscritti nel registro). Queste formazioni possono essere valorizzate nel tuo approccio alla qualità se il tuo studio è certificato ISO 9001 o punta a una certificazione di cybersicurezza (etichetta ExpertCyber dell'ANSSI, ad esempio).

Quadro legale applicabile all'autenticazione forte nella consulenza fiscale

L'implementazione dell'autenticazione a due fattori in uno studio di consulenza fiscale si inscrive in un quadro normativo denso, articolato attorno a diversi testi fondamentali.

Il Regolamento eIDAS n. 910/2014 e la sua revisione eIDAS 2.0 (Regolamento UE 2024/1183) costituiscono il fondamento di riferimento per tutto ciò che riguarda l'identificazione elettronica in Europa. L'articolo 8 definisce tre livelli di garanzia per i mezzi di identificazione elettronica: basso, sostanziale e elevato. Per gli atti che impegnano la responsabilità professionale di un consulente fiscale (firma di rapporti, convalida di bilanci fiscali in linea), il livello di garanzia "sostanziale" o "elevato" è richiesto, il che implica obbligatoriamente un'autenticazione multifactor.

Il RGPD (Regolamento UE 2016/679), nel suo articolo 32, impone ai responsabili del trattamento di implementare "misure tecniche e organizzative appropriate" per garantire la sicurezza dei dati personali. Uno studio di consulenza fiscale tratta dati personali sensibili (dati finanziari, dati sulla salute tramite buste paga con assenze per malattia, ecc.). L'assenza di 2FA sugli accessi ai software contabili costituisce molto probabilmente un inadempimento di questo articolo, esponendo lo studio a sanzioni che possono raggiungere il 4% del fatturato annuale mondiale (articolo 83 RGPD).

Il Codice civile, articoli 1366 e 1367, disciplinano il valore giuridico della firma elettronica. L'articolo 1367 specifica che "l'affidabilità di un procedimento di firma elettronica è presunta, salvo prova contraria, quando tale procedimento implementa una firma elettronica qualificata". L'autenticazione forte è un componente essenziale di questa presunzione di affidabilità.

La direttiva NIS2 (Direttiva UE 2022/2555), trasposta nel diritto francese dalla legge n. 2024-449 del 21 maggio 2024 e dai suoi decreti di applicazione, estende gli obblighi di cybersicurezza a un ampio spettro di entità. Sebbene gli studi di consulenza fiscale non siano direttamente elencati come entità essenziali, quelli che forniscono servizi digitali a entità essenziali o importanti (strutture sanitarie, enti locali, aziende di infrastrutture critiche) possono essere soggetti a obblighi per effetto riflesso tramite i loro contratti di prestazione.

La norma professionale 2400 dell'Ordine dei Consulenti Fiscali impone inoltre un obbligo di diligenza rafforzato in materia di sicurezza dei sistemi informativi per gli studi che gestiscono incarichi legali. L'ANSSI consiglia esplicitamente la MFA come misura minima nella sua guida "Sicurezza dei sistemi informativi per le PMI/TPE" (edizione 2024).

Responsabilità civile professionale: in caso di violazione di dati client risultante dall'assenza di 2FA, l'assicuratore RCP dello studio potrebbe invocare un'inadempienza caratterizzata per ridurre o rifiutare la copertura. Si consiglia vivamente di conservare la documentazione tecnica dell'implementazione della 2FA come prova di diligenza.

Scenari di utilizzo: la 2FA in pratica negli studi contabili

Scenario 1 — Uno studio di consulenza fiscale di medie dimensioni

Uno studio che raggruppa una quindicina di collaboratori e gestisce circa 400 incarichi attivi ha deciso di implementare la 2FA su tutti i suoi strumenti in seguito a un incidente di phishing che aveva quasi compromesso l'accesso al suo software per i salari. La direzione ha optato per Microsoft Authenticator su Microsoft 365 (posta, SharePoint, Teams) e per le applicazioni TOTP native del suo software contabile cloud.

L'implementazione è stata realizzata in tre settimane: una settimana di inventario e configurazione, una settimana di registrazione dei collaboratori in gruppi di cinque, una settimana di follow-up e risoluzione dei problemi. Risultato: zero incidenti di compromissione di account nei 12 mesi successivi, rispetto a due incidenti l'anno precedente. Il tempo di gestione degli incidenti di sicurezza è stato ridotto di circa il 70%. Lo studio è stato anche in grado di giustificare a diversi clienti di grandi dimensioni (tra cui una PMI industriale cliente che impone una carta di sicurezza dei fornitori) che i suoi sistemi rispettano i requisiti MFA.

Scenario 2 — Uno studio specializzato nella revisione legale di PMI

Uno studio di revisione legale che gestisce circa sessanta incarichi di revisione legale si è trovato di fronte a un requisito specifico: un numero crescente di clienti chiede una prova di conformità RGPD al rinnovo degli incarichi. Lo studio ha scelto di implementare chiavi di sicurezza FIDO2 per i soci (accesso ai fascicoli più sensibili) e applicazioni TOTP per i collaboratori senior, mantenendo gli SMS OTP solo per gli accessi a bassa sensibilità.

Parallelamente, lo studio ha integrato la firma elettronica avanzata nei suoi flussi di rapporti di revisione, con autenticazione forte sistematica del firmatario. Grazie alla pista di audit generata, due potenziali controversie con clienti che contestavano la data effettiva di consegna di un rapporto sono state risolte a favore dello studio fornendo i log di autenticazione timestampati. La riduzione dei tempi di firma dei rapporti (da una media di 5 giorni a meno di 24 ore) ha anche permesso di fluidificare la fatturazione e di migliorare la liquidità dello studio di circa il 15%.

Scenario 3 — Uno studio in fase di crescita esterna

Una rete regionale di studi contabili che ha assorbito tre strutture indipendenti in due anni si è trovata con una notevole eterogeneità di sistemi: alcuni studi assorbiti non avevano alcuna politica di 2FA, altri utilizzavano SMS OTP. Il gruppo ha approfittato di questa integrazione per standardizzare una soluzione unificata di gestione delle identità (IAM — Identity and Access Management) con 2FA obbligatoria.

L'investimento iniziale (licenze IAM, formazione, supporto) è stato stimato a circa 8.000 € per l'intero gruppo (circa 45 collaboratori). In cambio, la riduzione dei costi legati agli incidenti di sicurezza (interventi di prestatari informatici, gestione di crisi) è stata stimata a 15.000-20.000 € nel primo anno. Il gruppo è stato anche in grado di negoziare una riduzione del suo premio assicurativo cyber di circa il 20% fornendo all'assicuratore la documentazione dell'implementazione della 2FA.

Conclusione

L'autenticazione a due fattori non è più un lusso riservato alle grandi strutture: è un imperativo di sicurezza e conformità per qualsiasi studio di consulenza fiscale, indipendentemente dalle sue dimensioni. Tra i requisiti del RGPD, le raccomandazioni dell'ANSSI, gli obblighi eIDAS per la firma elettronica e la pressione crescente dei clienti sugli standard di sicurezza dei loro fornitori, la 2FA è diventata uno standard incontournable del settore.

La buona notizia: l'implementazione è oggi accessibile, rapida e a basso costo. Seguendo i passaggi descritti in questo articolo — inventario delle applicazioni, scelta del metodo adatto, registrazione dei collaboratori, redazione di una politica documentata — il tuo studio può raggiungere un livello di sicurezza robusto in poche settimane.

Certyneo integra nativamente l'autenticazione forte nei suoi flussi di firma elettronica, permettendoti di combinare conformità eIDAS e sicurezza MFA senza complessità aggiuntiva. Scopri le nostre offerte e tariffe o contatta il nostro team per un supporto personalizzato alla conformità del tuo studio.