OTP è l'acronimo di One-Time Passcode (o One-Time Password). Si tratta di un codice unico e di breve durata generato per una singola sessione di autenticazione. A differenza di una password statica, un OTP scade dopo l'uso o dopo un breve lasso di tempo, rendendo più difficile per gli hacker riutilizzare le credenziali intercettate.

Che cos'è l'OTP via SMS?

L'OTP via SMS è un codice di accesso monouso inviato al numero di cellulare dell'utente tramite messaggio di testo. Si tratta della forma di OTP più diffusa, ma anche della più vulnerabile: è soggetta ad attacchi di SIM swap, exploit del protocollo SS7 e phishing in tempo reale. Le linee guida del NIST sull'identità digitale limitano ora l'uso dell'OTP via SMS per l'autenticazione ad alta sicurezza.

Gli OTP sono più sicuri delle sole password statiche, ma presentano notevoli vulnerabilità — in particolare gli OTP basati su SMS, che possono essere intercettati tramite attacchi di SIM swapping o SS7 senza che l'autore dell'attacco debba avere accesso fisico al dispositivo della vittima. Il TOTP basato su app è più resistente, ma rimane comunque vulnerabile agli attacchi di phishing relay in tempo reale. Per i casi d'uso che richiedono un elevato livello di sicurezza, la maggior parte dei framework di sicurezza raccomanda ormai di andare oltre gli OTP e di adottare metodi resistenti al phishing, come la verifica biometrica.

È possibile intercettare l'OTP?

Gli OTP inviati via SMS possono essere intercettati tramite lo scambio di SIM, le vulnerabilità del protocollo SS7 o strumenti di phishing in tempo reale. Gli OTP generati da app sono più resistenti alle intercettazioni, ma rimangono vulnerabili alla compromissione del dispositivo e alle tecniche di ingegneria sociale. Gli OTP inviati via e-mail dipendono interamente dalla sicurezza dell'account di posta elettronica.

Qual è la differenza tra l'autenticazione OTP e quella biometrica?

L'autenticazione tramite OTP soddisfa il fattore "ciò che possiedi": si basa sull'accesso a un dispositivo o a una casella di posta elettronica che può andare perso, essere rubato o compromesso. L'autenticazione biometrica soddisfa il fattore "ciò che sei": utilizza una caratteristica fisica intrinseca, come il volto, che non può essere trasferita o duplicata. Se abbinata al rilevamento della vitalità, l'autenticazione biometrica conferma inoltre che la persona sia fisicamente presente e stia effettuando l'autenticazione in tempo reale, cosa che gli OTP non sono in grado di fare.

Che cos'è l'autenticazione OTP? | Rischi e alternative (2026)

Q: È possibile hackerare l'OTP?

Sì. I metodi più comuni sono gli attacchi di tipo "SIM swap" (convincere un operatore a trasferire un numero di telefono su una SIM controllata dall'autore dell'attacco), lo sfruttamento del protocollo SS7 (intercettazione dei messaggi SMS a livello di rete) e il phishing "man-in-the-middle" in tempo reale (inoltro dei codici OTP attraverso una pagina di accesso proxy prima della loro scadenza). Questi attacchi non richiedono l'accesso al dispositivo della vittima.

2 gennaio 2026

I codici di accesso monouso (OTP) sono da oltre vent'anni un pilastro della sicurezza online. Se avete mai ricevuto un codice a sei cifre via SMS per accedere al vostro conto bancario, ne avete già utilizzato uno. Tuttavia, con l'aumentare della sofisticazione degli attacchi informatici, la domanda che le organizzazioni e i team di sicurezza si pongono non è più «dovremmo usare gli OTP?», ma «gli OTP sono ancora abbastanza sicuri?».

Questo articolo spiega cos'è l'autenticazione tramite OTP, come funzionano i diversi tipi, quali rischi specifici comportano e perché la verifica biometrica del volto sta sostituendo sempre più gli OTP come metodo di autenticazione preferito per i casi d'uso che richiedono un elevato livello di sicurezza.

Che cos'è l'OTP? Significato e definizione

Un OTP è un codice generato dal computer, valido per una singola sessione di autenticazione e che scade dopo un breve lasso di tempo – in genere da 30 a 120 secondi – oppure immediatamente dopo l'uso.

A differenza di una password statica, che rimane invariata finché l'utente non la modifica, un OTP è unico ogni volta. Ciò elimina il rischio di attacchi di tipo "replay" delle credenziali, in cui un malintenzionato riutilizza una password intercettata. Gli OTP vengono inviati tramite SMS, e-mail, un'app di autenticazione o un dispositivo token hardware.

L'autenticazione OTP viene comunemente utilizzata come componente dell'autenticazione a più fattori (MFA), soddisfacendo il fattore di possesso, ovvero il livello di sicurezza basato su «ciò che si possiede». Si parte dal presupposto che solo l'utente legittimo abbia accesso al dispositivo o alla casella di posta elettronica che riceve il codice.

Come funziona l'OTP?

Il processo OTP di base si articola in tre fasi:

L'utente tenta di effettuare l'accesso o di completare una transazione.
Il sistema genera un codice univoco e a durata limitata e lo invia al dispositivo o all'indirizzo e-mail registrati dall'utente.
L'utente inserisce il codice per autenticarsi. La sessione viene concessa se il codice corrisponde e non è scaduto.

Gli OTP vengono generati utilizzando uno dei due algoritmi sottostanti:

HOTP (password monouso basata su HMAC): il codice viene generato in base a un contatore che aumenta ad ogni evento di autenticazione. Il codice rimane valido fino al suo utilizzo, anziché scadere dopo un determinato periodo di tempo.
TOTP (Time-Based One-Time Password):il codice viene generato in base all'ora corrente e scade dopo un intervallo prestabilito, solitamente di 30 secondi. Le app di autenticazione come Google Authenticator utilizzano il sistema TOTP.

Nel caso degli OTP via SMS, non viene utilizzato nessuno dei due algoritmi: il codice viene semplicemente generato dal server e trasmesso tramite la rete mobile, senza alcun collegamento crittografico con il dispositivo dell'utente.

Le principali tipologie di autenticazione OTP

SMS OTP: un codice monouso inviato al tuo numero di cellulare tramite SMS. È il formato più diffuso, ma anche il più vulnerabile.
Codice OTP via e-mail:un codice inviato alla casella di posta elettronica registrata. Comodo, ma dipende dalla sicurezza dell'account e-mail.
TOTP (Time-Based, App-Generated): un codice a rotazione generato da un'app di autenticazione (Google Authenticator, Microsoft Authenticator, Authy). Più sicuro degli SMS perché non viene trasmesso tramite la rete telefonica. Di solito ha una validità di 30 secondi.
HOTP (basato su contatore): un codice che aumenta di valore ad ogni utilizzo anziché scadere dopo un determinato periodo di tempo. Utilizzato in alcune implementazioni di token hardware.
Token hardware:un dispositivo fisico dedicato (non uno smartphone) che visualizza un codice monouso. Sono comunemente utilizzati in ambito aziendale e nei servizi finanziari.

Autenticazione OTP: Qual è il problema?

Mela Abesamis si era sempre considerata attenta quando si trattava di sicurezza informatica. Conosceva bene gli attacchi di phishing e altre tattiche di frode comuni e sapeva come individuarli. Era anche abituata a ricevere dalla sua banca i codici OTP (One Time Passcode), inviati via SMS al suo dispositivo mobile per autenticare la sua identità.

Ma poi, nel dicembre 2021, Mela ha ricevuto un messaggio dalla sua banca in cui le veniva comunicato che 50.025 pesos filippini (circa 950 dollari) erano stati trasferiti dal suo conto a un certo Mark Nagoyo. Questa è stata la prima e unica indicazione che ha ricevuto del fatto che fosse stato effettuato un trasferimento di denaro. Non aveva mai sentito parlare di Mark Nagoyo, di certo non aveva effettuato il pagamento e non aveva ricevuto un codice di sicurezza monouso durante la transazione.

Non era l'unica. La frode ha colpito oltre 700 titolari di conti. In filippino, la parola «nagoyo» significa «prendere in giro qualcuno».

Alla fine, cinque persone sono state incriminate per questa truffa. I truffatori hanno utilizzato tecniche di phishing per ottenere le credenziali di accesso ai conti bancari. Sono poi riusciti a eludere completamente i controlli di sicurezza basati su OTP della banca – le vittime hanno riferito che le transazioni sono state elaborate senza che venisse richiesto alcun codice OTP – e a svuotare i conti bancari delle persone.

La banca ha rimborsato gli importi in questione, ma questo non ha compensato completamente l'esperienza traumatica delle vittime.

Questo è solo un esempio di come l'autenticazione OTP stia diventando sempre meno un ostacolo per gli hacker, sempre più sofisticati. Questo articolo analizza nel dettaglio come funzionano questi attacchi e quali sono le alternative più sicure.

Gli OTP sono sicuri?

I codici OTP sono più sicuri delle sole password statiche. Poiché ogni codice è unico e ha una validità limitata nel tempo, la sua intercettazione non fornisce all'autore dell'attacco credenziali riutilizzabili.

Tuttavia, gli OTP presentano un limite strutturale fondamentale: soddisfano solo il fattore di autenticazione basato sul possesso – «ciò che possiedi». Qualunque dispositivo o casella di posta elettronica riceva il codice, può essere compromesso. Un telefono rubato, un numero di telefono dirottato o un codice ottenuto tramite phishing rendono l'autenticazione OTP del tutto inefficace, senza che l'autore dell'attacco debba violare alcun sistema crittografico.

Il consenso tra i ricercatori nel campo della sicurezza e le autorità di regolamentazione è cambiato. Le Linee guida sull'identità digitale del NIST (SP 800-63B) limitano ora esplicitamente l'uso degli OTP via SMS per l'autenticazione ad alto livello di sicurezza, data la loro vulnerabilità all'intercettazione. Analogamente, il National Cyber Security Centre del Regno Unito raccomanda alle organizzazioni di abbandonare i fattori di autenticazione secondari basati su SMS laddove siano disponibili alternative.

Quindi: gli OTP sono più sicuri delle sole password, ma non sono abbastanza sicuri per casi d'uso che richiedono un elevato livello di sicurezza — e le tecniche di attacco che li prendono di mira stanno diventando sempre più facili da eseguire su larga scala.

È possibile hackerare l'OTP?

Sì, e esistono diversi metodi ben documentati che gli hacker utilizzano per intercettare o aggirare l'autenticazione OTP senza bisogno di accedere fisicamente al dispositivo della vittima.

Attacchi tramite sostituzione della SIM

L'attacco tramite OTP via SMS più diffuso. Il truffatore raccoglie i dati personali della vittima — tramite phishing, violazioni dei dati o ingegneria sociale — e li utilizza per convincere l'operatore di telefonia mobile della vittima a trasferire il numero di telefono su una scheda SIM sotto il controllo dell'autore dell'attacco. Tutti i messaggi SMS successivi, compresi gli OTP, vengono quindi recapitati all'autore dell'attacco.

Le frodi tramite sostituzione della SIM stanno aumentando vertiginosamente. L'organismo britannico di controllo sulle frodi Cifas ha registrato un'impennata del 1.055% nei casi di sostituzione non autorizzata della SIM nel 2024, con un aumento da 289 casi nel 2023 a quasi 3.000. Negli Stati Uniti, l'Internet Crime Complaint Center dell'FBI ha registrato nel 2024 perdite per 26 milioni di dollari legate a segnalazioni di furti di SIM, e un singolo caso ha portato a una sentenza arbitrale di 33 milioni di dollari a carico di T-Mobile dopo che uno scambio di SIM ha permesso il furto di criptovalute.

La vulnerabilità del protocollo SS7

L'SS7 (Signaling System No. 7) è un protocollo in uso da decenni che costituisce la base delle reti mobili 2G e 3G, compreso l'instradamento degli SMS. Presenta un difetto di progettazione che consente agli aggressori che hanno accesso alla rete SS7, in genere gruppi criminali sofisticati o attori statali, di intercettare chiamate e messaggi di testo in transito, compresi i codici OTP.

In Germania, alcuni truffatori hanno sfruttato il protocollo SS7 tramite un operatore di rete straniero per intercettare su larga scala i codici OTP inviati via SMS ai clienti di O2 Telefonica, riuscendo così a svuotare i conti bancari di un numero imprecisato di clienti.

Phishing in tempo reale e intercettazione degli OTP

Una categoria di attacchi in crescita e particolarmente pericolosa. I toolkit di tipo «man-in-the-middle» — tra cui framework ampiamente diffusi come Evilginx — consentono agli aggressori di creare versioni proxy molto realistiche di pagine di accesso legittime. Quando una vittima inserisce le proprie credenziali e il codice OTP, il server dell’aggressore li intercetta in tempo reale e li inoltra al sito autentico prima che il codice OTP scada. L’aggressore ottiene così pieno accesso alla sessione, nonostante la vittima abbia completato correttamente l’autenticazione a più fattori (MFA).

Questo attacco non richiede l'accesso alla SIM, né lo sfruttamento del protocollo SS7, né l'uso di malware: bastano una pagina di phishing convincente e un sistema di inoltro automatizzato. È in grado di aggirare con la stessa efficacia sia gli OTP via SMS che quelli via e-mail, nonché il TOTP.

Rischi specifici del TOTP

Il TOTP basato su app è più resistente alle intercettazioni rispetto agli SMS, ma presenta comunque dei punti deboli che possono essere sfruttati:

Furto o compromissione del dispositivo. Se un malintenzionato ottiene l'accesso a un dispositivo su cui è installata un'app di autenticazione — e quello stesso dispositivo viene utilizzato per completare la transazione — i «due fattori» si riducono a uno solo. La classificazione MFA diventa quindi discutibile.
Esposizione dei codici di ripristino. La maggior parte delle app di autenticazione genera codici di ripristino durante la configurazione. Se tali codici vengono conservati in modo non sicuro (in un'app per appunti, in un'e-mail o in un backup su cloud), diventano un punto di vulnerabilità.
Ingegneria sociale. Gli hacker contattano sempre più spesso le vittime in tempo reale, spacciandosi per membri dei servizi antifrode delle banche, e le costringono a comunicare il proprio codice TOTP durante una chiamata di “verifica dell’account”.

Quali sono i rischi per la sicurezza dell'autenticazione OTP?

Il problema fondamentale dell'autenticazione OTP è che soddisfa solo il fattore di autenticazione basato sul possesso. Ciò che si possiede — che si tratti del cellulare o di un token hardware — può andare perso, essere rubato, compromesso o oggetto di spoofing a livello di operatore. Di seguito è riportata una sintesi dei principali vettori di rischio in base al tipo di OTP.

Rischi per la sicurezza legati agli OTP via SMS

Come dimostra il caso delle Filippine, gli hacker non hanno bisogno di rubarti il telefono per aggirare l'OTP via SMS. I messaggi di testo non sono crittografati e sono associati a un numero di telefono piuttosto che a un dispositivo specifico. I principali vettori di attacco sono lo scambio di SIM, lo sfruttamento del protocollo SS7 e il phishing in tempo reale – tutti argomenti trattati in dettaglio in precedenza.

Rischi per la sicurezza di TOTP

L'autenticazione TOTP e quella basata su app offrono una maggiore sicurezza rispetto agli SMS, poiché il codice viene generato localmente e non viene trasmesso attraverso la rete di un operatore. Tuttavia, come già sottolineato, la compromissione del dispositivo, il phishing in tempo reale e il social engineering rimangono tutte vie di attacco possibili. Inoltre, il TOTP soddisfa ancora solo il fattore di possesso, sollevando dubbi sul fatto che si tratti effettivamente di un'autenticazione a più fattori quando sia la transazione che l'autenticazione avvengono sullo stesso dispositivo.

L'autenticazione OTP offre un'esperienza utente obsoleta?

La pandemia ha accelerato la domanda di esperienze utente fluide e incentrate sul lavoro da remoto. L'autenticazione OTP presenta delle lacune sotto diversi aspetti.

Processo attivo

L'autenticazione OTP richiede un intervento da parte dell'utente: prendere in mano un dispositivo, aprire un'app o passare da una schermata all'altra. La finestra di scadenza di 30 secondi del TOTP comporta che gli utenti che non agiscono con sufficiente rapidità vadano incontro a errori di autenticazione, il che crea difficoltà e talvolta porta addirittura all'abbandono della procedura.

Una mancanza di inclusività

L'autenticazione tramite OTP presuppone che gli utenti dispongano di un dispositivo mobile, di un numero di telefono attivo e della capacità di seguire istruzioni articolate in più passaggi su schermate diverse. Non tutti ne sono in grado. Per gli utenti con determinate disabilità, per le fasce d'età più anziane o per coloro che non dispongono di un accesso costante a un dispositivo mobile, la sicurezza basata su OTP crea vere e proprie barriere di esclusione. Anche la verifica biometrica richiede un dispositivo, ma elimina la necessità di un numero di telefono attivo e riduce i passaggi cognitivi a un'unica azione passiva, in linea con le WCAG 2.2 AA.

OTP contro autenticazione biometrica: un confronto

Mentre l'autenticazione OTP soddisfa il fattore di possesso («ciò che possiedi»), l'autenticazione biometrica soddisfa il fattore di inerenza — «ciò che sei». Il tuo volto non può essere smarrito, rubato o trasferito a un altro numero.

Autenticazione OTP

Fattore di autenticazione: possesso — «ciò che possiedi» (un dispositivo o una casella di posta).

Possono essere rubati o intercettati? Sì — gli OTP via SMS tramite sostituzione della SIM, exploit SS7 o reindirizzamento tramite phishing. Gli OTP TOTP tramite furto del dispositivo o ingegneria sociale.

Resistente al phishing? No: i toolkit di tipo «man-in-the-middle» in tempo reale riescono a eludere sia gli OTP via SMS che i TOTP.

Esperienza utente: Attiva — richiede il passaggio da una schermata all'altra o da un'app all'altra, con tempi stretti per l'inserimento dei codici TOTP.

Verifica l'effettiva presenza? No: conferma il possesso di un dispositivo, non l'identità della persona che lo detiene.

NIST SP 800-63B: SMS OTP limitato agli usi ad alta sicurezza. Il TOTP soddisfa solo il livello AAL2.

Verifica biometrica del volto (iProov)

Fattore di autenticazione: Inerenza — «ciò che sei» (il tuo volto).

Può essere rubato o intercettato? No: un volto non può essere trasferito su un altro dispositivo né intercettato durante il trasferimento.

Resistente al phishing? Sì: il rilevamento della presenza in tempo reale sventano foto e video falsificati, nonché i deepfake generati dall'intelligenza artificiale.

Esperienza utente: passiva — una breve scansione del volto senza istruzioni, senza fretta e senza cambio di schermata.

Verifica la presenza effettiva? Sì — conferma che si tratti della persona giusta, una persona reale, autenticandola in questo preciso istante.

NIST SP 800-63B: Soddisfa i requisiti di verifica biometrica AAL2/AAL3 con rilevamento della vitalità

Perché la verifica biometrica è un'alternativa migliore all'autenticazione OTP?

Sebbene un codice di accesso monouso possa essere intercettato, copiato o oggetto di attacchi di ingegneria sociale, nessuno può rubarti il volto. L'autenticazione biometrica offre alle organizzazioni un metodo più sicuro per verificare l'identità degli utenti confrontandola con un documento d'identità rilasciato dalle autorità durante le fasi di registrazione e onboarding, nonché per effettuare una nuova verifica degli utenti già registrati in momenti ad alto rischio, come l'autorizzazione dei pagamenti o le modifiche all'account.

Può essere utilizzato anche per un recupero dell'account davvero sicuro, un processo sempre più vulnerabile che altri metodi di autenticazione non riescono a risolvere.
L'autenticazione facciale di iProov è fuori banda , ovvero un tipo di autenticazione che utilizza un canale di comunicazione completamente separato. La tecnologia iProov parte dal presupposto che il dispositivo sia stato compromesso ed elabora l'autenticazione in modo sicuro nel cloud. Anche se un malintenzionato ha pieno accesso al dispositivo di qualcuno, il processo di autenticazione rimane sicuro.

In che modo il rilevamento della presenza in tempo reale si differenzia dall'autenticazione OTP?

Anche i sistemi biometrici di base possono essere ingannati: gli hacker possono utilizzare una maschera, una foto stampata o un video della vittima per ingannare un sistema di riconoscimento facciale di base. È proprio in questi casi che un sistema avanzato di rilevamento della vitalità fa la differenza.

Il rilevamento della vitalità utilizza la tecnologia biometrica per verificare che la persona che effettua l'autenticazione sia un essere umano reale e in vita, e non una foto, un video, una maschera o un deepfake generato dall'intelligenza artificiale. L'autenticazione tramite OTP non è in grado di garantire questo livello di sicurezza. Mark Nagoyo non era una persona reale, ma i truffatori sono comunque riusciti a eseguire centinaia di transazioni non autorizzate utilizzando credenziali rubate.

Scopri come la tecnologia di rilevamento della presenza umana di iProov definisce gli standard di sicurezza e supera le altre soluzioni.

In che modo la verifica biometrica del volto è diversa dall'autenticazione OTP?

Il rilevamento della vitalità utilizza la verifica facciale per garantire che si tratti della persona giusta e di una persona reale: due livelli di sicurezza che l'autenticazione tramite OTP non è in grado di garantire.

Tuttavia, il rilevamento della vitalità da solo non è in grado di verificare se una persona stia effettuando l'autenticazione in quel preciso momento. Le soluzioni biometriche basate su dati scientifici di iProov, invece, sono in grado di farlo. Ciò è possibile grazie alla tecnologia Flashmark™ di iProov, che illumina il volto dell'utente remoto con una sequenza unica e casuale di colori che non può essere riprodotta o manipolata sinteticamente, impedendo così lo spoofing.

A differenza dell'autenticazione tramite OTP via SMS — che utilizza reti telefoniche vulnerabili per l'invio dei codici di accesso — iProov è una tecnologia basata sul cloud, il che significa che i suoi sistemi di protezione sono nascosti agli occhi degli hacker, rendendo l'intercettazione molto più difficile.

Come già detto, l’autenticazione tramite OTP richiede agli utenti di recuperare e inserire attivamente un codice. La soluzione Genuine Presence Assurance di iProov è invece completamente passiva. Utilizzando qualsiasi dispositivo dotato di fotocamera frontale, gli utenti devono semplicemente guardare nella fotocamera e l’autenticazione viene completata, senza istruzioni da leggere, codici da copiare né fretta. Per saperne di più sull’evoluzione del panorama delle minacce che gli OTP devono affrontare, consulta il Rapporto 2025 sulla Threat Intelligence di iProov.

Se desideri rendere la tua autenticazione online più sicura e semplice e vuoi sfruttare i vantaggi dell'autenticazione biometrica, richiedi una demo qui.

Autenticazione OTP: Domande frequenti

Cosa significa OTP?: OTP è l'acronimo di One-Time Passcode (o One-Time Password). Si tratta di un codice unico e di breve durata generato per una singola sessione di autenticazione. A differenza di una password statica, un OTP scade dopo l'uso o dopo un breve lasso di tempo, rendendo più difficile per gli hacker riutilizzare le credenziali intercettate.
Che cos'è l'autenticazione OTP?: L'autenticazione OTP è un metodo che consente di verificare l'identità di un utente tramite un codice temporaneo monouso. Viene comunemente utilizzata come secondo fattore nell'autenticazione a più fattori (MFA), insieme alla password. Il codice OTP viene inviato tramite SMS, e-mail o un'app di autenticazione e deve essere inserito entro un breve intervallo di tempo prima della scadenza per completare l'autenticazione.
Che cos'è l'OTP via SMS?: L'OTP via SMS è un codice di accesso monouso inviato al numero di cellulare dell'utente tramite messaggio di testo. Si tratta della forma di OTP più diffusa, ma anche della più vulnerabile: è soggetta ad attacchi di SIM swap, exploit del protocollo SS7 e phishing in tempo reale. Le linee guida del NIST sull'identità digitale limitano ora l'uso dell'OTP via SMS per l'autenticazione ad alta sicurezza.
L'OTP è sicuro?: Gli OTP sono più sicuri delle sole password statiche, ma presentano vulnerabilità significative – in particolare gli OTP basati su SMS, che possono essere intercettati tramite attacchi di SIM swapping o SS7 senza che l'autore dell'attacco debba avere accesso fisico al dispositivo della vittima. I TOTP basati su app sono più resistenti all'intercettazione, ma rimangono vulnerabili agli attacchi di phishing relay in tempo reale. Per i casi d'uso ad alta sicurezza, la maggior parte dei framework di sicurezza raccomanda ora di andare oltre gli OTP e passare a metodi resistenti al phishing, come le passkey o la verifica biometrica.
È possibile hackerare l'OTP?: Sì. I metodi più comuni sono gli attacchi di tipo «SIM swap» (convincere un operatore a trasferire un numero di telefono su una SIM controllata dall’autore dell’attacco), lo sfruttamento del protocollo SS7 (intercettazione di messaggi SMS a livello di rete) e il phishing «man-in-the-middle» in tempo reale (inoltro dei codici OTP attraverso una pagina di accesso proxy prima della loro scadenza). Questi attacchi non richiedono l’accesso al dispositivo della vittima e sono sempre più alla portata di criminali senza competenze tecniche.
È possibile intercettare l'OTP?: Gli OTP inviati via SMS possono essere intercettati tramite lo scambio di SIM, le vulnerabilità del protocollo SS7 o strumenti di phishing in tempo reale. Gli OTP generati da app non vengono trasmessi attraverso la rete dell'operatore e sono quindi più resistenti alle intercettazioni, ma rimangono vulnerabili alla compromissione del dispositivo e al social engineering. Gli OTP inviati via e-mail dipendono interamente dalla sicurezza dell'account di posta elettronica.
Qual è la differenza tra l'autenticazione OTP e quella biometrica?: L'autenticazione tramite OTP soddisfa il fattore "ciò che possiedi": si basa sull'accesso a un dispositivo o a una casella di posta elettronica che può andare perso, essere rubato o compromesso. L'autenticazione biometrica soddisfa il fattore "ciò che sei": utilizza una caratteristica fisica intrinseca, come il volto, che non può essere trasferita o ceduta. Se abbinata al rilevamento della vitalità, l'autenticazione biometrica conferma inoltre che la persona è fisicamente presente e sta effettuando l'autenticazione in tempo reale, cosa che gli OTP non sono in grado di fare.

Autenticazione OTP: cos'è? Quali sono i rischi? Qual è la soluzione biometrica?

Indice dei contenuti

Che cos'è l'OTP? Significato e definizione
Come funziona l'OTP?
Le principali tipologie di autenticazione OTP
Autenticazione OTP: Qual è il problema?
Gli OTP sono sicuri?
È possibile hackerare l'OTP?
Quali sono i rischi per la sicurezza dell'autenticazione OTP?
- Rischi per la sicurezza legati agli OTP via SMS
- Rischi per la sicurezza di TOTP
L'autenticazione OTP offre un'esperienza utente obsoleta?
- Processo attivo
- Una mancanza di inclusività
OTP contro autenticazione biometrica: un confronto
- Autenticazione OTP
- Verifica biometrica del volto (iProov)
Perché la verifica biometrica è un'alternativa migliore all'autenticazione OTP?
In che modo il rilevamento della presenza in tempo reale si differenzia dall'autenticazione OTP?
In che modo la verifica biometrica del volto è diversa dall'autenticazione OTP?
Autenticazione OTP: Domande frequenti

Inviami approfondimenti

Torna al blog

Rapporti

Video

Eventi

Webinar

Fogli informativi

Strumenti e calcolatori

Blog

Centro di documentazione

Approfondimenti sul settore

Enciclopedia biometrica

Che cos'è l'autenticazione OTP? Come funziona, rischi e alternative (2026)

Che cos'è l'OTP? Significato e definizione

Come funziona l'OTP?

Le principali tipologie di autenticazione OTP

Autenticazione OTP: Qual è il problema?

Gli OTP sono sicuri?