Scegliere l’app di autenticazione a due fattori giusta nel 2026 non è più una questione banale. Dopo la violazione di Authy che ha esposto 33 milioni di numeri di telefono nel 2024, il ritiro delle app desktop di Twilio e la svolta di Microsoft che ha abbandonato il salvataggio delle password, il panorama è cambiato in profondità. Questo confronto mette a confronto cinque app 2FA tra le più usate, Google Authenticator, Microsoft Authenticator, Authy, Aegis e 2FAS, con dati aggiornati al 17 giugno 2026, una tabella di specifiche a 12 righe, prezzi reali, casi d’uso concreti e un verdetto basato sui numeri.
La domanda che molti utenti italiani ed europei si pongono è semplice: quale app protegge davvero i miei account senza esporre i miei dati a un cloud che non controllo? La risposta dipende dal tuo profilo. Chi vuole comodità totale tra dispositivi sceglie strumenti diversi rispetto a chi mette la privacy e il GDPR al primo posto. Vediamo perché, con prove alla mano.
Perché l’autenticazione a due fattori conta nel 2026
L’autenticazione a due fattori (2FA) aggiunge un secondo livello di verifica oltre alla password. Anche se un criminale ruba le tue credenziali tramite phishing o un infostealer, senza il codice temporaneo generato dall’app non riesce ad accedere. Nel 2025 gli infostealer hanno sottratto 1,8 miliardi di credenziali a livello globale, una cifra che spiega perché la sola password non basta più. Un’app di autenticazione genera un codice TOTP (Time-based One-Time Password) che cambia ogni 30 secondi, secondo lo standard descritto nello RFC 6238.
Le app TOTP sono nettamente più sicure dell’SMS. Un codice via messaggio può essere intercettato con un attacco di SIM swapping o tramite vulnerabilità del protocollo SS7. Il codice generato in locale dall’app, invece, non transita su alcuna rete: nasce dal seed segreto memorizzato sul dispositivo e dall’orario corrente. Per questo CISA, ENISA e tutti i principali enti di sicurezza raccomandano di abbandonare l’SMS in favore di un’app dedicata o, dove possibile, delle passkey.
La scelta dell’app, però, comporta un compromesso preciso tra comodità e controllo. Un’app che sincronizza i tuoi seed su un cloud ti salva quando perdi il telefono, ma affida quei segreti a un fornitore terzo. Un’app offline-first ti dà il controllo totale, ma se non fai un backup manuale e perdi il dispositivo rischi di restare bloccato fuori da decine di account. Capire questo bivio è la chiave per scegliere bene. Nelle sezioni seguenti analizziamo ciascuna app proprio rispetto a questo equilibrio.
Un terzo fattore in crescita nel 2026 è il passaggio alle passkey, credenziali crittografiche che eliminano del tutto la password. Alcune di queste app, come Microsoft Authenticator, fungono già da gestore di passkey. Per ora, però, milioni di servizi continuano a supportare solo il TOTP classico, quindi un’app di autenticazione resta indispensabile ancora per anni.
Le cinque app a confronto: tabella delle specifiche
Prima di entrare nei dettagli di ogni app, ecco il quadro completo. La tabella seguente riassume le 12 caratteristiche più importanti per scegliere un’app di autenticazione nel 2026. I dati provengono dalle pagine ufficiali degli sviluppatori, dalle recensioni 2026 di PCMag e Zapier e dai conteggi di installazione del Google Play Store.
| Caratteristica | Google Authenticator | Microsoft Authenticator | Authy | Aegis | 2FAS |
|---|---|---|---|---|---|
| Sviluppatore | Microsoft | Twilio | Beem Development | Two Factor Auth | |
| Open source | No | No | No | Sì | Sì |
| Prezzo | Gratis | Gratis | Gratis | Gratis | Gratis |
| Backup cloud | Sì (account Google) | Sì (account Microsoft) | Sì (cloud Twilio) | No (solo locale) | Sì (Google Drive/iCloud) |
| Crittografia end-to-end del backup | No | Parziale | Sì | Sì (locale) | Sì (file cifrato) |
| Sincronizzazione multi-dispositivo | Sì | Sì | Sì | No (export manuale) | Sì |
| App desktop | No | No | No (ritirata 03/2024) | No | No (estensione browser) |
| Estensione browser | No | No | No | No | Sì |
| Piattaforme | Android, iOS | Android, iOS | Android, iOS | Android | Android, iOS, browser |
| Supporto passkey | No | Sì | No | No | No |
| Richiede un account | No (sì per backup) | Sì | Sì (numero telefono) | No | No |
| Installazioni Google Play | 100 Mln+ | 100 Mln+ | 10 Mln+ | 1 Mln+ | 1 Mln+ |
Dalla tabella emergono già alcuni schemi netti. Le due app dei colossi, Google e Microsoft, dominano per diffusione con oltre 100 milioni di installazioni ciascuna, ma nessuna delle due è open source. Authy resta l’opzione con la crittografia end-to-end del backup cloud più solida, ma porta sulle spalle l’eredità della violazione del 2024 e il ritiro delle app desktop. Aegis e 2FAS sono i campioni della privacy: open source, senza obbligo di account, con backup che restano sotto il controllo dell’utente. Nelle prossime sezioni vediamo cosa significa tutto questo nella pratica quotidiana.
Google Authenticator: semplicità e l’incognita del backup
Google Authenticator è probabilmente l’app 2FA più conosciuta al mondo, con oltre 100 milioni di installazioni sul Play Store e un volume di ricerca in Italia di circa 22.200 query mensili solo per il suo nome. La sua forza è la semplicità assoluta: scansioni un codice QR, ottieni un codice a sei cifre, fine. Non richiede la creazione di un account per il funzionamento di base, un punto a favore di chi vuole il minimo attrito.
La svolta importante è arrivata ad aprile 2023, quando Google ha aggiunto la sincronizzazione tramite account Google. Da allora i tuoi seed possono essere salvati nel cloud e ripristinati su un nuovo telefono, risolvendo lo storico problema dell’app: se perdevi il dispositivo, perdevi tutti i codici. La comodità, però, ha un costo. Una recensione video del 2026 ha evidenziato che il backup cloud di Google Authenticator non è crittografato end-to-end. In pratica i seed sono cifrati all’interno dell’infrastruttura Google, ma Google detiene tecnicamente le chiavi. Per un’autorità di certificazione dei tuoi account, è un dettaglio tutt’altro che secondario.
Quando ha senso e quando no
Google Authenticator è perfetto per l’utente che vive già nell’ecosistema Google e vuole zero complicazioni. La sincronizzazione funziona senza configurazioni, il trasferimento tra Android e iOS via codice QR è immediato e l’interfaccia è essenziale. Per chi gestisce account personali a basso rischio, copre tutto il necessario senza costi.
Diventa la scelta sbagliata, invece, per chi protegge account ad alto valore o lavora in contesti soggetti a obblighi di riservatezza. L’assenza di crittografia end-to-end sul backup, l’impossibilità di proteggere l’app con un PIN o la biometria su tutte le piattaforme e la natura a codice chiuso la rendono meno adatta a profili professionali esigenti. In Europa, dove il GDPR impone attenzione su dove risiedono i dati, affidare i propri seed a un backup non end-to-end di un fornitore extra-UE merita una riflessione. Se cerchi un secondo fattore robusto per le tue API, leggi anche la nostra guida su come implementare il TOTP in Node.js.
Microsoft Authenticator: passkey sì, password no
Microsoft Authenticator condivide con Google il primato di diffusione, con oltre 100 milioni di installazioni sul Play Store. È pensato per ruotare attorno all’ecosistema Microsoft: oltre ai codici TOTP standard, gestisce le notifiche push per l’accesso senza password agli account Microsoft, supporta Microsoft Verified ID per le credenziali verificabili e, dal 2025, funge da gestore di passkey. Puoi creare, conservare e usare le passkey direttamente dall’app sui dispositivi compatibili, una funzione che nessuna delle altre quattro app offre.
Il 2025 ha però portato una cesura. Microsoft ha annunciato la fine della funzione di gestione password integrata: da giugno 2025 l’app ha smesso di salvare nuove password e il supporto al riempimento automatico (autofill) è terminato ad agosto 2025. Chi usava Authenticator anche come password manager leggero si è ritrovato a dover migrare le credenziali altrove. Microsoft ha spinto gli utenti verso il riempimento di Edge, una mossa che molti hanno letto come un tentativo di consolidamento dell’ecosistema più che come un miglioramento per l’utente.
Per la parte 2FA, l’app resta solida. Il backup cloud è legato all’account Microsoft e funziona bene per chi usa già Office 365 o Entra ID in azienda. La sincronizzazione su un nuovo dispositivo richiede l’account Microsoft, quindi serve avere a portata di mano le credenziali di quel profilo. L’integrazione con l’autenticazione aziendale, comprese le policy di accesso condizionato di Entra, è il vero asso nella manica per i reparti IT.
Lo svantaggio è la stessa dipendenza dall’ecosistema. Se non usi servizi Microsoft, parte del valore dell’app va perso e ti ritrovi con un client TOTP appesantito da funzioni che non sfrutti. Per l’utente generico esistono alternative più snelle. Per un’azienda con Microsoft 365, invece, è quasi sempre la scelta naturale, perché riduce il numero di strumenti da gestire e centralizza l’identità.
Authy: sincronizzazione cloud dopo la violazione del 2024
Per anni Authy, di proprietà di Twilio, è stata la risposta preferita di chi voleva sincronizzazione multi-dispositivo e backup cloud affidabile. Offre un backup crittografato end-to-end protetto da una password di backup che solo tu conosci, il che significa che nemmeno Twilio può leggere i tuoi seed senza quella password. Sulla carta, è il modello di sincronizzazione cloud più sicuro tra le cinque app analizzate.
Il 2024 ha però segnato due colpi durissimi. Il primo: a marzo 2024 Twilio ha ritirato le app desktop per Windows, macOS e Linux. La fine del supporto era inizialmente prevista per agosto 2024, ma è stata anticipata al 19 marzo 2024. Chi usava Authy sul computer è rimasto con la sola app mobile, perdendo uno dei vantaggi storici del prodotto. Il secondo colpo, più grave: a giugno 2024 un attacco ha sfruttato un endpoint API non protetto e gli aggressori hanno raccolto 33 milioni di numeri di telefono associati ad account Authy. Twilio ha reso pubblico l’incidente a luglio 2024.
È importante chiarire la portata della violazione. Gli aggressori hanno ottenuto numeri di telefono, non i seed TOTP né i codici degli utenti. I secondi fattori sono rimasti al sicuro grazie alla crittografia. Tuttavia, i 33 milioni di numeri esposti hanno alimentato campagne di phishing e smishing mirate, perché un attaccante che sa quali numeri usano Authy può confezionare messaggi credibili. L’episodio ha incrinato la fiducia in un prodotto che fa della sicurezza la sua ragione d’essere.
Authy resta valida per chi necessita di sincronizzazione cloud reale e end-to-end, ma il ritiro del desktop e la violazione hanno ridotto il suo vantaggio competitivo. Richiede un numero di telefono per la registrazione, un dato in più affidato a Twilio, e questo è proprio l’elemento che è stato esposto. Per un confronto sui rischi delle violazioni a catena, vedi la nostra analisi degli infostealer che hanno rubato 1,8 miliardi di credenziali.
Aegis Authenticator: open source e offline-first
Aegis Authenticator è la scelta dei puristi della privacy. È completamente open source, con il codice pubblico su GitHub e verificabile da chiunque, e conta oltre un milione di installazioni sul Play Store. La filosofia è opposta a quella di Google e Microsoft: nessun cloud, nessun account, nessuna telemetria. I token sono cifrati in locale con una password principale che imposti tu, e l’app funziona interamente offline.
Questo modello offline-first ha vantaggi e svantaggi precisi. Il vantaggio è il controllo totale: i tuoi seed non lasciano mai il dispositivo a meno che tu non lo decida esplicitamente esportandoli. Aegis supporta l’export e l’import dei token, anche per migrare da altre app, e permette di salvare un backup cifrato dove preferisci, che sia una scheda SD, un disco esterno o un cloud di tua scelta. Per un utente europeo attento al GDPR, è la postura più difendibile, perché elimina ogni intermediario non controllato.
Il limite della piattaforma unica
Il grande limite di Aegis è che esiste solo per Android. Non ha un’app iOS, né una versione desktop, né un’estensione browser. Se usi un iPhone, Aegis semplicemente non è un’opzione. Anche per chi è su Android, l’assenza di sincronizzazione automatica significa che devi gestire i backup manualmente: una responsabilità in più, ma anche la fonte della sua sicurezza. Perdere il telefono senza un backup recente significa ricreare manualmente ogni 2FA, un processo lungo se gestisci decine di account.
Aegis è la scelta giusta per l’utente Android tecnicamente competente che mette la privacy e il controllo sopra ogni cosa, e che è disposto a gestire i propri backup. Per chi vuole un’esperienza senza pensieri o usa iOS, occorre guardare altrove. La sua natura open source significa anche che la sicurezza non dipende dalla fiducia in un’azienda, ma dalla revisione pubblica del codice, un principio che condividiamo nella nostra guida alle passkey contro le password.
2FAS: privacy senza account e l’Editors’ Choice di PCMag
2FAS è la sorpresa di questo confronto e il candidato che meglio bilancia privacy e comodità. È open source, gratuita, conta oltre un milione di installazioni e, soprattutto, non richiede alcuna registrazione di un account per funzionare. Nella recensione 2026 di PCMag è stata nominata Editors’ Choice insieme ad Aegis e Stratum, un riconoscimento che la colloca tra le migliori in assoluto per il 2026.
La caratteristica distintiva di 2FAS è il modello di backup. L’app non gestisce un proprio cloud, ma salva un file di backup cifrato nel servizio che usi già: Google Drive su Android e Windows, oppure iCloud Drive sui dispositivi Apple. In questo modo ottieni la comodità del ripristino senza affidare i tuoi seed a un’infrastruttura proprietaria del fornitore dell’app. I dati restano nel tuo spazio cloud, e il file è cifrato. È un compromesso intelligente tra il modello offline di Aegis e il cloud centralizzato di Authy.
2FAS aggiunge inoltre un’estensione browser, l’unica delle cinque app a offrirla, che consente di inserire i codici sul computer senza prendere in mano il telefono per ogni accesso. La sincronizzazione tra dispositivi funziona all’interno dello stesso ecosistema, e l’app è disponibile sia su Android sia su iOS, superando il limite di piattaforma di Aegis. Per chi cerca la privacy di un’app open source senza rinunciare all’usabilità multi-dispositivo, 2FAS è oggi la proposta più completa.
I limiti sono pochi. Non supporta le passkey, e la base utenti più ridotta rispetto ai colossi significa una community più piccola, anche se attiva. Per la grande maggioranza degli utenti europei che vogliono un’app sicura, trasparente e comoda senza dover scegliere tra privacy e praticità, 2FAS è la risposta più equilibrata del 2026.
Prezzi e piani a confronto
La buona notizia per gli utenti è che tutte e cinque le app sono completamente gratuite per le funzioni di autenticazione a due fattori. Nessuna richiede un abbonamento per generare codici TOTP o per fare backup. La tabella seguente chiarisce cosa include esattamente la versione gratuita di ciascuna e dove emergono eventuali costi indiretti, come la dipendenza da un account a pagamento.
| App | Costo 2FA | Costo backup | Funzioni a pagamento | Costo indiretto |
|---|---|---|---|---|
| Google Authenticator | 0 € | 0 € (account Google) | Nessuna | Account Google gratuito |
| Microsoft Authenticator | 0 € | 0 € (account Microsoft) | Nessuna per il 2FA | Funzioni avanzate via Entra ID aziendale |
| Authy | 0 € | 0 € (cloud Twilio) | Nessuna (lato consumatore) | API a consumo solo per sviluppatori |
| Aegis | 0 € | 0 € (locale) | Nessuna | Nessuno, donazioni facoltative |
| 2FAS | 0 € | 0 € (Google Drive/iCloud) | Nessuna | Spazio cloud personale (in genere già incluso) |
Il vero costo, quindi, non è monetario ma di compromesso. Con Google e Microsoft “paghi” con la dipendenza dall’ecosistema e con un backup che non è interamente sotto il tuo controllo. Con Authy paghi con un numero di telefono affidato a Twilio. Con Aegis e 2FAS non paghi nulla in termini di dati, perché restano nelle tue mani, ma con Aegis ti assumi l’onere della gestione manuale dei backup. La gratuità universale rende il prezzo un fattore neutro: la decisione si gioca tutta su sicurezza, privacy e comodità. Per chi confronta strumenti di sicurezza a pagamento, può essere utile anche la nostra comparativa Proton Pass contro 1Password.
Benchmark e valutazioni da tre fonti
Le app di autenticazione non si misurano con benchmark di velocità come una GPU, perché la generazione di un codice TOTP è istantanea su qualsiasi smartphone moderno. I parametri rilevanti sono diffusione, riconoscimento editoriale e copertura delle funzioni. Abbiamo incrociato tre fonti, i conteggi di installazione del Google Play Store, le valutazioni della recensione 2026 di PCMag e il confronto 2026 di Zapier, per costruire un quadro affidabile.
| App | Installazioni (Play Store) | Riconoscimento PCMag 2026 | Posizionamento Zapier 2026 | Punto di forza chiave |
|---|---|---|---|---|
| Google Authenticator | 100 Mln+ | Citata, no Editors’ Choice | Comodità con backup cloud | Semplicità e diffusione |
| Microsoft Authenticator | 100 Mln+ | Verified ID evidenziato | Migliore per utenti Microsoft | Passkey ed ecosistema aziendale |
| Authy | 10 Mln+ | Citata per sync e backup | Sync cloud end-to-end | Backup E2EE |
| Aegis | 1 Mln+ | Editors’ Choice | Privacy e controllo locale | Open source, offline |
| 2FAS | 1 Mln+ | Editors’ Choice | Privacy senza account | Open source con estensione browser |
Il dato più interessante è la divergenza tra diffusione e giudizio editoriale. Google e Microsoft Authenticator dominano per numero di installazioni, ma nessuna delle due ha ottenuto l’Editors’ Choice di PCMag nel 2026. I premi sono andati ad Aegis e 2FAS, app con una frazione delle installazioni dei colossi, proprio per la loro postura su privacy e trasparenza. Zapier, dal canto suo, segmenta i consigli per profilo: comodità per gli utenti dei grandi ecosistemi, controllo per chi sceglie open source.
La lezione è chiara: la popolarità di un’app non coincide con la sua qualità in termini di privacy. Google e Microsoft Authenticator sono diffuse perché preinstallate nei rispettivi flussi e suggerite da milioni di servizi, non perché siano le più sicure. Quando gli esperti valutano in modo indipendente, le app open source salgono in cima alla classifica. È un divario che pesa molto per l’utente europeo orientato al GDPR.
Cosa dicono gli esperti e i creator
Oltre alle recensioni editoriali, la community tecnica ha sviluppato posizioni piuttosto nette su queste app. Vale la pena raccoglierle, perché spesso anticipano le tendenze prima delle testate generaliste.
Nella cultura degli sviluppatori, divulgatori come Fireship hanno reso popolare un principio semplice: per gli strumenti che custodiscono segreti, l’open source non è un vezzo ma un requisito di fiducia, perché consente di verificare cosa fa davvero il codice. Applicato alle app 2FA, questo ragionamento spinge naturalmente verso Aegis e 2FAS, le uniche due del gruppo il cui codice è ispezionabile. La trasparenza, in questa visione, vale più del marchio.
Sul fronte dell’esperienza utente, recensori come MKBHD hanno costruito la propria autorevolezza ricordando che la sicurezza più sofisticata serve a poco se l’utente la abbandona perché scomoda. Da questo punto di vista la semplicità di Google Authenticator e la sincronizzazione fluida di 2FAS contano quanto la crittografia: un secondo fattore che le persone usano davvero batte un secondo fattore teoricamente perfetto ma macchinoso.
Tra gli sviluppatori più seguiti, ThePrimeagen incarna l’approccio pragmatico di chi diffida delle soluzioni che legano l’utente a un singolo ecosistema. La fine dell’autofill password di Microsoft Authenticator nell’agosto 2025 è esattamente il tipo di mossa che alimenta questo scetticismo: una funzione su cui gli utenti facevano affidamento, rimossa per ragioni di strategia aziendale. La lezione che la community ne trae è preferire strumenti portabili, che non ti tengano in ostaggio.
Il filo comune di queste voci è coerente con il verdetto delle testate: trasparenza, usabilità e indipendenza dall’ecosistema sono i tre criteri che separano un’app 2FA eccellente da una semplicemente diffusa. Non a caso convergono tutti verso le opzioni open source quando la priorità è la fiducia di lungo periodo.
Sicurezza e crittografia: chi protegge davvero i tuoi seed
Il cuore della scelta è una domanda sola: chi può leggere i tuoi seed TOTP oltre te? Il seed è la chiave segreta da cui l’app deriva ogni codice; chi lo possiede può clonare il tuo secondo fattore. Le cinque app rispondono in modo molto diverso a questa domanda, e capirlo è decisivo.
Authy adotta il modello più rigoroso per il cloud: backup crittografato end-to-end con una password di backup che resta solo sul tuo dispositivo. Nemmeno Twilio può decifrare i seed senza quella password. Aegis e 2FAS adottano un approccio diverso ma altrettanto solido: i seed restano cifrati in locale (Aegis) o in un file cifrato dentro il tuo cloud personale (2FAS), senza passare per un’infrastruttura del fornitore. In tutti e tre i casi, il fornitore dell’app non ha accesso ai tuoi segreti.
Google Authenticator è l’anello debole su questo fronte. Il backup cloud non è end-to-end: i seed sono cifrati nell’infrastruttura Google, ma Google detiene tecnicamente le chiavi. Significa che, in caso di richiesta legale, errore interno o compromissione dell’account Google, esiste una superficie di rischio che con le altre app non c’è. Microsoft Authenticator si colloca in una posizione intermedia, con un backup legato all’account Microsoft il cui modello tecnico non è dettagliato pubblicamente come quello di Authy.
C’è poi la dimensione della superficie d’attacco lato server. La violazione Authy del 2024 dimostra che anche un’app con crittografia eccellente è vulnerabile se l’azienda espone un endpoint API mal protetto. In quel caso non sono finiti i seed, ma 33 milioni di numeri di telefono, abbastanza per alimentare phishing mirato. Le app che non raccolgono dati personali, come Aegis e 2FAS che non chiedono nemmeno un account, riducono drasticamente questa superficie: non si può rubare ciò che non viene raccolto. Per approfondire come avvengono questi attacchi, leggi la nostra guida alle violazioni dei dati.
GDPR e residenza dei dati in Europa
Per gli utenti italiani ed europei la questione della residenza dei dati non è un dettaglio accademico. Il GDPR impone trasparenza su quali dati personali vengono raccolti, dove vengono conservati e chi vi accede. Un’app di autenticazione tocca dati estremamente sensibili, perché i seed proteggono l’accesso a tutta la tua vita digitale. La scelta dell’app, quindi, ha implicazioni di conformità per chi gestisce dati anche in ambito professionale.
Le app che non raccolgono dati personali partono avvantaggiate. Aegis non chiede alcun account e non invia nulla a un server: dal punto di vista del GDPR, è la postura più semplice da giustificare, perché non c’è trasferimento di dati personali verso un titolare esterno. 2FAS si comporta in modo simile, dato che non richiede registrazione e usa il cloud che l’utente ha già scelto. In entrambi i casi la responsabilità del trattamento resta in capo all’utente, non a un fornitore extra-UE.
Google, Microsoft e Twilio sono aziende statunitensi e processano i dati nella propria infrastruttura globale. Per un consumatore privato l’impatto pratico è contenuto, ma per un’azienda europea soggetta a obblighi di conformità la presenza di seed o numeri di telefono nei sistemi di un fornitore extra-UE solleva domande su trasferimenti internazionali, clausole contrattuali standard e ruoli di titolare e responsabile del trattamento. La violazione Authy ha reso questa preoccupazione concreta: 33 milioni di numeri europei e mondiali esposti sono esattamente lo scenario che il GDPR mira a prevenire.
La raccomandazione per chi opera in un contesto regolato è preferire un’app che riduca al minimo i dati affidati a terzi. Aegis e 2FAS, con il loro modello senza account, semplificano la valutazione d’impatto sulla protezione dei dati. Resta inteso che nessuna delle app analizzate fornisce una dichiarazione formale di conformità GDPR per ciascuna funzione, quindi la valutazione finale spetta sempre al titolare del trattamento. Per il quadro normativo europeo aggiornato, è utile la nostra analisi della direttiva NIS2 in Italia.
Cinque casi reali di scelta
La teoria si capisce meglio con esempi concreti. Ecco cinque profili reali e l’app che risulta più adatta a ciascuno, sulla base dei dati raccolti finora.
1. La famiglia con iPhone e Android misti. Marco usa un iPhone, la moglie un Android, e vogliono entrambi un backup automatico senza pensieri. Aegis è escluso perché solo Android. La scelta ideale è 2FAS, che funziona su entrambe le piattaforme e salva il backup cifrato su iCloud per lei e Google Drive per lui, senza creare account aggiuntivi. In alternativa, Google Authenticator per la massima semplicità, accettando il backup non end-to-end.
2. Il consulente che lavora con dati sanitari. Giulia gestisce account che toccano dati sensibili e deve giustificare le sue scelte in ottica GDPR. Per lei la priorità è non affidare seed a fornitori extra-UE. Aegis, su un dispositivo Android dedicato al lavoro, è la risposta più difendibile: nessun cloud, nessun account, controllo totale e backup cifrato conservato dove decide lei.
3. L’amministratore IT di una PMI su Microsoft 365. L’azienda di Luca usa Entra ID e Office 365. Microsoft Authenticator è la scelta naturale: si integra con le policy di accesso condizionato, gestisce le notifiche push senza password e supporta le passkey. Centralizzare l’identità nello stesso ecosistema riduce il numero di strumenti da amministrare.
4. Lo sviluppatore che lavora molto da desktop. Sara passa la giornata al computer e vuole inserire i codici senza prendere il telefono ogni volta. Dopo il ritiro delle app desktop di Authy a marzo 2024, l’opzione migliore è 2FAS con la sua estensione browser, l’unica delle cinque a offrire l’inserimento dei codici direttamente dal computer.
5. L’utente comune che vuole solo proteggere social e banca. Davide non è tecnico e vuole il minimo sforzo. Google Authenticator copre il caso d’uso con la massima semplicità: scansiona il QR, attiva la sincronizzazione tramite account Google e ha i codici al sicuro su ogni nuovo telefono. Per un profilo a rischio medio, è più che sufficiente.
Pro e contro di ciascuna app
Riassumiamo i punti di forza e di debolezza emersi, per una consultazione rapida prima della decisione.
- Google Authenticator. Pro: massima semplicità, oltre 100 milioni di installazioni, backup cloud automatico, nessun account richiesto per l’uso base. Contro: backup non end-to-end, codice chiuso, nessun PIN o biometria uniforme, nessuna estensione browser.
- Microsoft Authenticator. Pro: supporto passkey, integrazione con Entra ID e Verified ID, ideale per ambienti Microsoft 365. Contro: dipendenza dall’ecosistema, fine dell’autofill password ad agosto 2025, appesantita da funzioni inutili per chi non usa Microsoft.
- Authy. Pro: backup cloud end-to-end con password personale, sincronizzazione multi-dispositivo. Contro: app desktop ritirate a marzo 2024, violazione del 2024 con 33 milioni di numeri esposti, richiede un numero di telefono, codice chiuso.
- Aegis. Pro: open source, offline-first, nessun account, crittografia locale con password principale, postura GDPR ottimale. Contro: solo Android, nessuna sincronizzazione automatica, backup manuali a carico dell’utente.
- 2FAS. Pro: open source, nessun account, backup cifrato nel cloud personale, estensione browser, Android e iOS, Editors’ Choice PCMag 2026. Contro: nessun supporto passkey, community più piccola dei colossi.
Quale app scegliere: cinque raccomandazioni per caso d’uso
Sintetizziamo tutto in consigli operativi. Per ogni profilo, ecco l’app consigliata e il motivo, così da arrivare alla decisione senza esitazioni.
- Per la privacy massima: Aegis. Open source, offline, nessun dato affidato a terzi. La scelta più difendibile in ottica GDPR, a patto di usare Android e gestire i backup.
- Per il miglior equilibrio privacy e comodità: 2FAS. Open source, multi-piattaforma, backup nel tuo cloud, estensione browser. La proposta più completa del 2026 per la maggior parte degli utenti europei.
- Per gli utenti aziendali Microsoft: Microsoft Authenticator. Integrazione con Entra ID, passkey e accesso condizionato. Riduce gli strumenti da gestire.
- Per la massima semplicità: Google Authenticator. Zero configurazione, backup automatico, perfetta per account a rischio medio nell’ecosistema Google.
- Per chi serve davvero il sync cloud end-to-end: Authy, con la consapevolezza dei limiti emersi nel 2024. Resta valida se la sincronizzazione cifrata è la priorità assoluta.
Come migrare da un’app all’altra
Cambiare app di autenticazione spaventa, ma è più semplice di quanto sembri se segui la procedura corretta. La regola d’oro è non disattivare mai il vecchio 2FA finché non hai verificato che il nuovo funziona. Ecco la procedura generale, valida per qualsiasi passaggio tra le cinque app.
- Installa la nuova app e fai un backup completo dei codici esistenti nella vecchia (export di Aegis/2FAS, screenshot dei QR dove disponibili, o codici di recupero degli account).
- Per ogni account, accedi alle impostazioni di sicurezza del servizio (Google, social, banca) e apri la sezione 2FA.
- Rigenera il codice QR del 2FA: la maggior parte dei servizi permette di reimpostare l’app di autenticazione mostrando un nuovo QR.
- Scansiona il nuovo QR con la nuova app e conferma inserendo il codice generato.
- Verifica che la nuova app produca codici validi per quell’account prima di passare al successivo.
- Solo dopo aver migrato tutti gli account, disinstalla la vecchia app e cancella i backup non più necessari in modo sicuro.
Aegis e 2FAS semplificano il processo grazie all’import diretto dei token. Se migri verso una di queste due, puoi spesso importare un file di export invece di rifare ogni QR a mano. Lo schema di un URI TOTP standard, quello codificato nel QR, è il seguente:
otpauth://totp/Servizio:[email protected]?secret=BASE32SEED&issuer=Servizio&algorithm=SHA1&digits=6&period=30Il campo secret è il seed, period=30 indica il rinnovo ogni 30 secondi e digits=6 la lunghezza del codice, secondo lo standard RFC 6238. Conservare con cura questi seed durante la migrazione è essenziale: chi li intercetta può clonare il tuo secondo fattore. Per questo conviene fare la migrazione su una rete affidabile e cancellare ogni backup temporaneo al termine. Se gestisci l’autenticazione lato server, la nostra guida al TOTP in Node.js spiega come generare questi URI in modo sicuro.
Verdetto finale: i dati alla mano
Non esiste un’unica app vincitrice per tutti, ma i dati indicano un chiaro favorito per la maggioranza degli utenti europei nel 2026: 2FAS. È open source, non richiede account, salva i backup nel tuo cloud personale in forma cifrata, funziona su Android e iOS, offre un’estensione browser e ha conquistato l’Editors’ Choice di PCMag 2026. Unisce la privacy delle app open source alla comodità multi-dispositivo dei colossi, senza chiedere in cambio i tuoi dati. È il miglior compromesso del momento.
Per chi mette la privacy sopra ogni cosa ed è su Android, Aegis resta imbattibile: il modello offline-first elimina ogni intermediario, e la natura open source rende la sicurezza verificabile. Per le aziende che vivono in Microsoft 365, Microsoft Authenticator è la scelta logica grazie all’integrazione con Entra ID e al supporto passkey. Google Authenticator rimane valido per chi vuole solo la massima semplicità e accetta i compromessi del backup non end-to-end.
Authy, un tempo riferimento indiscusso, esce ridimensionato. La crittografia end-to-end del suo backup resta eccellente, ma il ritiro delle app desktop nel marzo 2024 e la violazione che ha esposto 33 milioni di numeri di telefono nello stesso anno hanno eroso il vantaggio competitivo. Resta una scelta valida solo se la sincronizzazione cloud cifrata è il tuo requisito assoluto. Per tutti gli altri, le alternative open source offrono oggi più garanzie con meno dati esposti.
Qualunque sia la tua scelta, il messaggio più importante è uno: attiva il 2FA con un’app dedicata su tutti i tuoi account critici, abbandona l’SMS e fai un backup dei tuoi codici di recupero. Anche l’app meno perfetta di questo confronto è infinitamente più sicura della sola password. La differenza tra un account violato e uno protetto, nel 2026, si gioca proprio su questi sei numeri che cambiano ogni trenta secondi.
Related Coverage
- TOTP 2FA in Node.js: Autenticatore in 12 Step [2026]
- Passkey contro Password: 8,5s vs 31s al login
- Proton Pass vs 1Password: Gratis vs 48$ [2026]
- Infostealer: 1,8 Miliardi di Credenziali Rubate
- Violazioni dei Dati: Come Avvengono e Come Difendersi
- NIS2 Italia: Multe €10M e Solo 3,9% Pronto [2026]
Domande frequenti
Qual è l’app di autenticazione più sicura nel 2026?
Per sicurezza e privacy combinate, Aegis e 2FAS guidano la classifica, entrambe premiate come Editors’ Choice da PCMag nel 2026. Sono open source, non raccolgono dati personali e mantengono i seed sotto il controllo dell’utente. Authy offre la migliore crittografia end-to-end del backup cloud, ma la violazione del 2024 ne ha incrinato la reputazione.
Google Authenticator è davvero sicuro con il backup cloud?
Il backup cloud di Google Authenticator, introdotto ad aprile 2023, cifra i seed nell’infrastruttura Google, ma non è crittografato end-to-end. Significa che Google detiene tecnicamente le chiavi. Per account personali a rischio medio è accettabile; per dati sensibili o contesti professionali è preferibile un’app con backup end-to-end o offline come Authy, Aegis o 2FAS.
Cosa è successo con la violazione di Authy nel 2024?
A giugno 2024 gli aggressori hanno sfruttato un endpoint API non protetto e raccolto 33 milioni di numeri di telefono associati ad account Authy; Twilio ha reso pubblico l’incidente a luglio 2024. Sono stati esposti i numeri di telefono, non i seed TOTP, che sono rimasti protetti. Tuttavia i numeri esposti hanno alimentato campagne di phishing mirate.
Posso usare un’app di autenticazione su più dispositivi?
Dipende dall’app. Authy, Google Authenticator, Microsoft Authenticator e 2FAS supportano la sincronizzazione multi-dispositivo tramite cloud o account. Aegis no: è offline-first e richiede di esportare e importare manualmente i token per usarli su un altro dispositivo. Per chi vuole più dispositivi senza pensieri, 2FAS è la scelta più equilibrata tra le opzioni open source.
Quale app è migliore per gli utenti iPhone?
Aegis è solo per Android, quindi gli utenti iPhone devono scegliere tra le altre quattro. Per la privacy su iOS, 2FAS è la migliore: open source, senza account e con backup cifrato su iCloud Drive. Per la massima semplicità funzionano bene anche Google e Microsoft Authenticator, entrambi disponibili sull’App Store.
Le app di autenticazione sostituiscono le passkey?
No, sono complementari. Le passkey eliminano la password e sono più sicure, ma molti servizi nel 2026 supportano ancora solo il TOTP classico. Tra le cinque app analizzate, solo Microsoft Authenticator funge anche da gestore di passkey. Finché milioni di siti useranno il TOTP, un’app di autenticazione resta indispensabile accanto alle passkey.
Migrare da un’app all’altra mi farà perdere i codici?
No, se segui la procedura corretta. Non disattivare mai il vecchio 2FA finché non hai verificato che il nuovo funziona. Per ogni account rigenera il QR nelle impostazioni di sicurezza del servizio, scansionalo con la nuova app e conferma. Aegis e 2FAS permettono anche l’import diretto di un file di export, accelerando la migrazione.
Fonti esterne di approfondimento: RFC 6238 (standard TOTP), Aegis su GitHub, sito ufficiale 2FAS, avviso Twilio sulla fine di Authy Desktop, FIDO Alliance sulle passkey.
