{"id":184,"date":"2026-06-17T12:47:11","date_gmt":"2026-06-17T12:47:11","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/17\/google-authenticator-vs-authy-vs-2fas\/"},"modified":"2026-06-17T12:48:51","modified_gmt":"2026-06-17T12:48:51","slug":"google-authenticator-vs-authy-vs-2fas","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/17\/google-authenticator-vs-authy-vs-2fas\/","title":{"rendered":"App 2FA a Confronto: Google vs Authy vs 2FAS [2026]"},"content":{"rendered":"\n

Scegliere l’app di autenticazione a due fattori giusta nel 2026 non \u00e8 pi\u00f9 una questione banale. Dopo la violazione di Authy che ha esposto 33 milioni di numeri di telefono nel 2024, il ritiro delle app desktop di Twilio e la svolta di Microsoft che ha abbandonato il salvataggio delle password, il panorama \u00e8 cambiato in profondit\u00e0. Questo confronto mette a confronto cinque app 2FA tra le pi\u00f9 usate, Google Authenticator, Microsoft Authenticator, Authy, Aegis e 2FAS, con dati aggiornati al 17 giugno 2026, una tabella di specifiche a 12 righe, prezzi reali, casi d’uso concreti e un verdetto basato sui numeri.<\/p>\n\n\n\n

La domanda che molti utenti italiani ed europei si pongono \u00e8 semplice: quale app protegge davvero i miei account senza esporre i miei dati a un cloud che non controllo? La risposta dipende dal tuo profilo. Chi vuole comodit\u00e0 totale tra dispositivi sceglie strumenti diversi rispetto a chi mette la privacy e il GDPR al primo posto. Vediamo perch\u00e9, con prove alla mano.<\/p>\n\n\n\n

Perch\u00e9 l’autenticazione a due fattori conta nel 2026<\/h2>\n\n\n\n

L’autenticazione a due fattori (2FA) aggiunge un secondo livello di verifica oltre alla password. Anche se un criminale ruba le tue credenziali tramite phishing o un infostealer, senza il codice temporaneo generato dall’app non riesce ad accedere. Nel 2025 gli infostealer hanno sottratto 1,8 miliardi di credenziali a livello globale, una cifra che spiega perch\u00e9 la sola password non basta pi\u00f9. Un’app di autenticazione genera un codice TOTP (Time-based One-Time Password) che cambia ogni 30 secondi, secondo lo standard descritto nello RFC 6238.<\/p>\n\n\n\n

Le app TOTP sono nettamente pi\u00f9 sicure dell’SMS. Un codice via messaggio pu\u00f2 essere intercettato con un attacco di SIM swapping o tramite vulnerabilit\u00e0 del protocollo SS7. Il codice generato in locale dall’app, invece, non transita su alcuna rete: nasce dal seed segreto memorizzato sul dispositivo e dall’orario corrente. Per questo CISA, ENISA e tutti i principali enti di sicurezza raccomandano di abbandonare l’SMS in favore di un’app dedicata o, dove possibile, delle passkey.<\/p>\n\n\n\n

La scelta dell’app, per\u00f2, comporta un compromesso preciso tra comodit\u00e0 e controllo. Un’app che sincronizza i tuoi seed su un cloud ti salva quando perdi il telefono, ma affida quei segreti a un fornitore terzo. Un’app offline-first ti d\u00e0 il controllo totale, ma se non fai un backup manuale e perdi il dispositivo rischi di restare bloccato fuori da decine di account. Capire questo bivio \u00e8 la chiave per scegliere bene. Nelle sezioni seguenti analizziamo ciascuna app proprio rispetto a questo equilibrio.<\/p>\n\n\n\n

Un terzo fattore in crescita nel 2026 \u00e8 il passaggio alle passkey, credenziali crittografiche che eliminano del tutto la password. Alcune di queste app, come Microsoft Authenticator, fungono gi\u00e0 da gestore di passkey. Per ora, per\u00f2, milioni di servizi continuano a supportare solo il TOTP classico, quindi un’app di autenticazione resta indispensabile ancora per anni.<\/p>\n\n\n\n

Le cinque app a confronto: tabella delle specifiche<\/h2>\n\n\n\n

Prima di entrare nei dettagli di ogni app, ecco il quadro completo. La tabella seguente riassume le 12 caratteristiche pi\u00f9 importanti per scegliere un’app di autenticazione nel 2026. I dati provengono dalle pagine ufficiali degli sviluppatori, dalle recensioni 2026 di PCMag e Zapier e dai conteggi di installazione del Google Play Store.<\/p>\n\n\n\n

\n
Caratteristica<\/th>Google Authenticator<\/th>Microsoft Authenticator<\/th>Authy<\/th>Aegis<\/th>2FAS<\/th><\/tr><\/thead>
Sviluppatore<\/td>Google<\/td>Microsoft<\/td>Twilio<\/td>Beem Development<\/td>Two Factor Auth<\/td><\/tr>\n
Open source<\/td>No<\/td>No<\/td>No<\/td>S\u00ec<\/td>S\u00ec<\/td><\/tr>\n
Prezzo<\/td>Gratis<\/td>Gratis<\/td>Gratis<\/td>Gratis<\/td>Gratis<\/td><\/tr>\n
Backup cloud<\/td>S\u00ec (account Google)<\/td>S\u00ec (account Microsoft)<\/td>S\u00ec (cloud Twilio)<\/td>No (solo locale)<\/td>S\u00ec (Google Drive\/iCloud)<\/td><\/tr>\n
Crittografia end-to-end del backup<\/td>No<\/td>Parziale<\/td>S\u00ec<\/td>S\u00ec (locale)<\/td>S\u00ec (file cifrato)<\/td><\/tr>\n
Sincronizzazione multi-dispositivo<\/td>S\u00ec<\/td>S\u00ec<\/td>S\u00ec<\/td>No (export manuale)<\/td>S\u00ec<\/td><\/tr>\n
App desktop<\/td>No<\/td>No<\/td>No (ritirata 03\/2024)<\/td>No<\/td>No (estensione browser)<\/td><\/tr>\n
Estensione browser<\/td>No<\/td>No<\/td>No<\/td>No<\/td>S\u00ec<\/td><\/tr>\n
Piattaforme<\/td>Android, iOS<\/td>Android, iOS<\/td>Android, iOS<\/td>Android<\/td>Android, iOS, browser<\/td><\/tr>\n
Supporto passkey<\/td>No<\/td>S\u00ec<\/td>No<\/td>No<\/td>No<\/td><\/tr>\n
Richiede un account<\/td>No (s\u00ec per backup)<\/td>S\u00ec<\/td>S\u00ec (numero telefono)<\/td>No<\/td>No<\/td><\/tr>\n
Installazioni Google Play<\/td>100 Mln+<\/td>100 Mln+<\/td>10 Mln+<\/td>1 Mln+<\/td>1 Mln+<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Dalla tabella emergono gi\u00e0 alcuni schemi netti. Le due app dei colossi, Google e Microsoft, dominano per diffusione con oltre 100 milioni di installazioni ciascuna, ma nessuna delle due \u00e8 open source. Authy resta l’opzione con la crittografia end-to-end del backup cloud pi\u00f9 solida, ma porta sulle spalle l’eredit\u00e0 della violazione del 2024 e il ritiro delle app desktop. Aegis e 2FAS sono i campioni della privacy: open source, senza obbligo di account, con backup che restano sotto il controllo dell’utente. Nelle prossime sezioni vediamo cosa significa tutto questo nella pratica quotidiana.<\/p>\n\n\n\n

Google Authenticator: semplicit\u00e0 e l’incognita del backup<\/h2>\n\n\n\n

Google Authenticator \u00e8 probabilmente l’app 2FA pi\u00f9 conosciuta al mondo, con oltre 100 milioni di installazioni sul Play Store e un volume di ricerca in Italia di circa 22.200 query mensili solo per il suo nome. La sua forza \u00e8 la semplicit\u00e0 assoluta: scansioni un codice QR, ottieni un codice a sei cifre, fine. Non richiede la creazione di un account per il funzionamento di base, un punto a favore di chi vuole il minimo attrito.<\/p>\n\n\n\n

La svolta importante \u00e8 arrivata ad aprile 2023, quando Google ha aggiunto la sincronizzazione tramite account Google. Da allora i tuoi seed possono essere salvati nel cloud e ripristinati su un nuovo telefono, risolvendo lo storico problema dell’app: se perdevi il dispositivo, perdevi tutti i codici. La comodit\u00e0, per\u00f2, ha un costo. Una recensione video del 2026 ha evidenziato che il backup cloud di Google Authenticator non \u00e8 crittografato end-to-end. In pratica i seed sono cifrati all’interno dell’infrastruttura Google, ma Google detiene tecnicamente le chiavi. Per un’autorit\u00e0 di certificazione dei tuoi account, \u00e8 un dettaglio tutt’altro che secondario.<\/p>\n\n\n\n

Quando ha senso e quando no<\/h3>\n\n\n\n

Google Authenticator \u00e8 perfetto per l’utente che vive gi\u00e0 nell’ecosistema Google e vuole zero complicazioni. La sincronizzazione funziona senza configurazioni, il trasferimento tra Android e iOS via codice QR \u00e8 immediato e l’interfaccia \u00e8 essenziale. Per chi gestisce account personali a basso rischio, copre tutto il necessario senza costi.<\/p>\n\n\n\n

Diventa la scelta sbagliata, invece, per chi protegge account ad alto valore o lavora in contesti soggetti a obblighi di riservatezza. L’assenza di crittografia end-to-end sul backup, l’impossibilit\u00e0 di proteggere l’app con un PIN o la biometria su tutte le piattaforme e la natura a codice chiuso la rendono meno adatta a profili professionali esigenti. In Europa, dove il GDPR impone attenzione su dove risiedono i dati, affidare i propri seed a un backup non end-to-end di un fornitore extra-UE merita una riflessione. Se cerchi un secondo fattore robusto per le tue API, leggi anche la nostra guida su come implementare il TOTP in Node.js<\/a>.<\/p>\n\n\n\n

Microsoft Authenticator: passkey s\u00ec, password no<\/h2>\n\n\n\n

Microsoft Authenticator condivide con Google il primato di diffusione, con oltre 100 milioni di installazioni sul Play Store. \u00c8 pensato per ruotare attorno all’ecosistema Microsoft: oltre ai codici TOTP standard, gestisce le notifiche push per l’accesso senza password agli account Microsoft, supporta Microsoft Verified ID per le credenziali verificabili e, dal 2025, funge da gestore di passkey. Puoi creare, conservare e usare le passkey direttamente dall’app sui dispositivi compatibili, una funzione che nessuna delle altre quattro app offre.<\/p>\n\n\n\n

Il 2025 ha per\u00f2 portato una cesura. Microsoft ha annunciato la fine della funzione di gestione password integrata: da giugno 2025 l’app ha smesso di salvare nuove password e il supporto al riempimento automatico (autofill) \u00e8 terminato ad agosto 2025. Chi usava Authenticator anche come password manager leggero si \u00e8 ritrovato a dover migrare le credenziali altrove. Microsoft ha spinto gli utenti verso il riempimento di Edge, una mossa che molti hanno letto come un tentativo di consolidamento dell’ecosistema pi\u00f9 che come un miglioramento per l’utente.<\/p>\n\n\n\n

Per la parte 2FA, l’app resta solida. Il backup cloud \u00e8 legato all’account Microsoft e funziona bene per chi usa gi\u00e0 Office 365 o Entra ID in azienda. La sincronizzazione su un nuovo dispositivo richiede l’account Microsoft, quindi serve avere a portata di mano le credenziali di quel profilo. L’integrazione con l’autenticazione aziendale, comprese le policy di accesso condizionato di Entra, \u00e8 il vero asso nella manica per i reparti IT.<\/p>\n\n\n\n

Lo svantaggio \u00e8 la stessa dipendenza dall’ecosistema. Se non usi servizi Microsoft, parte del valore dell’app va perso e ti ritrovi con un client TOTP appesantito da funzioni che non sfrutti. Per l’utente generico esistono alternative pi\u00f9 snelle. Per un’azienda con Microsoft 365, invece, \u00e8 quasi sempre la scelta naturale, perch\u00e9 riduce il numero di strumenti da gestire e centralizza l’identit\u00e0.<\/p>\n\n\n\n

Authy: sincronizzazione cloud dopo la violazione del 2024<\/h2>\n\n\n\n

Per anni Authy, di propriet\u00e0 di Twilio, \u00e8 stata la risposta preferita di chi voleva sincronizzazione multi-dispositivo e backup cloud affidabile. Offre un backup crittografato end-to-end protetto da una password di backup che solo tu conosci, il che significa che nemmeno Twilio pu\u00f2 leggere i tuoi seed senza quella password. Sulla carta, \u00e8 il modello di sincronizzazione cloud pi\u00f9 sicuro tra le cinque app analizzate.<\/p>\n\n\n\n

Il 2024 ha per\u00f2 segnato due colpi durissimi. Il primo: a marzo 2024 Twilio ha ritirato le app desktop per Windows, macOS e Linux. La fine del supporto era inizialmente prevista per agosto 2024, ma \u00e8 stata anticipata al 19 marzo 2024. Chi usava Authy sul computer \u00e8 rimasto con la sola app mobile, perdendo uno dei vantaggi storici del prodotto. Il secondo colpo, pi\u00f9 grave: a giugno 2024 un attacco ha sfruttato un endpoint API non protetto e gli aggressori hanno raccolto 33 milioni di numeri di telefono associati ad account Authy. Twilio ha reso pubblico l’incidente a luglio 2024.<\/p>\n\n\n\n

\u00c8 importante chiarire la portata della violazione. Gli aggressori hanno ottenuto numeri di telefono, non i seed TOTP n\u00e9 i codici degli utenti. I secondi fattori sono rimasti al sicuro grazie alla crittografia. Tuttavia, i 33 milioni di numeri esposti hanno alimentato campagne di phishing e smishing mirate, perch\u00e9 un attaccante che sa quali numeri usano Authy pu\u00f2 confezionare messaggi credibili. L’episodio ha incrinato la fiducia in un prodotto che fa della sicurezza la sua ragione d’essere.<\/p>\n\n\n\n

Authy resta valida per chi necessita di sincronizzazione cloud reale e end-to-end, ma il ritiro del desktop e la violazione hanno ridotto il suo vantaggio competitivo. Richiede un numero di telefono per la registrazione, un dato in pi\u00f9 affidato a Twilio, e questo \u00e8 proprio l’elemento che \u00e8 stato esposto. Per un confronto sui rischi delle violazioni a catena, vedi la nostra analisi degli infostealer che hanno rubato 1,8 miliardi di credenziali<\/a>.<\/p>\n\n\n\n

Aegis Authenticator: open source e offline-first<\/h2>\n\n\n\n

Aegis Authenticator \u00e8 la scelta dei puristi della privacy. \u00c8 completamente open source, con il codice pubblico su GitHub e verificabile da chiunque, e conta oltre un milione di installazioni sul Play Store. La filosofia \u00e8 opposta a quella di Google e Microsoft: nessun cloud, nessun account, nessuna telemetria. I token sono cifrati in locale con una password principale che imposti tu, e l’app funziona interamente offline.<\/p>\n\n\n\n

Questo modello offline-first ha vantaggi e svantaggi precisi. Il vantaggio \u00e8 il controllo totale: i tuoi seed non lasciano mai il dispositivo a meno che tu non lo decida esplicitamente esportandoli. Aegis supporta l’export e l’import dei token, anche per migrare da altre app, e permette di salvare un backup cifrato dove preferisci, che sia una scheda SD, un disco esterno o un cloud di tua scelta. Per un utente europeo attento al GDPR, \u00e8 la postura pi\u00f9 difendibile, perch\u00e9 elimina ogni intermediario non controllato.<\/p>\n\n\n\n

Il limite della piattaforma unica<\/h3>\n\n\n\n

Il grande limite di Aegis \u00e8 che esiste solo per Android. Non ha un’app iOS, n\u00e9 una versione desktop, n\u00e9 un’estensione browser. Se usi un iPhone, Aegis semplicemente non \u00e8 un’opzione. Anche per chi \u00e8 su Android, l’assenza di sincronizzazione automatica significa che devi gestire i backup manualmente: una responsabilit\u00e0 in pi\u00f9, ma anche la fonte della sua sicurezza. Perdere il telefono senza un backup recente significa ricreare manualmente ogni 2FA, un processo lungo se gestisci decine di account.<\/p>\n\n\n\n

Aegis \u00e8 la scelta giusta per l’utente Android tecnicamente competente che mette la privacy e il controllo sopra ogni cosa, e che \u00e8 disposto a gestire i propri backup. Per chi vuole un’esperienza senza pensieri o usa iOS, occorre guardare altrove. La sua natura open source significa anche che la sicurezza non dipende dalla fiducia in un’azienda, ma dalla revisione pubblica del codice, un principio che condividiamo nella nostra guida alle passkey contro le password<\/a>.<\/p>\n\n\n\n

2FAS: privacy senza account e l’Editors’ Choice di PCMag<\/h2>\n\n\n\n

2FAS \u00e8 la sorpresa di questo confronto e il candidato che meglio bilancia privacy e comodit\u00e0. \u00c8 open source, gratuita, conta oltre un milione di installazioni e, soprattutto, non richiede alcuna registrazione di un account per funzionare. Nella recensione 2026 di PCMag \u00e8 stata nominata Editors’ Choice insieme ad Aegis e Stratum, un riconoscimento che la colloca tra le migliori in assoluto per il 2026.<\/p>\n\n\n\n

La caratteristica distintiva di 2FAS \u00e8 il modello di backup. L’app non gestisce un proprio cloud, ma salva un file di backup cifrato nel servizio che usi gi\u00e0: Google Drive su Android e Windows, oppure iCloud Drive sui dispositivi Apple. In questo modo ottieni la comodit\u00e0 del ripristino senza affidare i tuoi seed a un’infrastruttura proprietaria del fornitore dell’app. I dati restano nel tuo spazio cloud, e il file \u00e8 cifrato. \u00c8 un compromesso intelligente tra il modello offline di Aegis e il cloud centralizzato di Authy.<\/p>\n\n\n\n

2FAS aggiunge inoltre un’estensione browser, l’unica delle cinque app a offrirla, che consente di inserire i codici sul computer senza prendere in mano il telefono per ogni accesso. La sincronizzazione tra dispositivi funziona all’interno dello stesso ecosistema, e l’app \u00e8 disponibile sia su Android sia su iOS, superando il limite di piattaforma di Aegis. Per chi cerca la privacy di un’app open source senza rinunciare all’usabilit\u00e0 multi-dispositivo, 2FAS \u00e8 oggi la proposta pi\u00f9 completa.<\/p>\n\n\n\n

I limiti sono pochi. Non supporta le passkey, e la base utenti pi\u00f9 ridotta rispetto ai colossi significa una community pi\u00f9 piccola, anche se attiva. Per la grande maggioranza degli utenti europei che vogliono un’app sicura, trasparente e comoda senza dover scegliere tra privacy e praticit\u00e0, 2FAS \u00e8 la risposta pi\u00f9 equilibrata del 2026.<\/p>\n\n\n\n

Prezzi e piani a confronto<\/h2>\n\n\n\n

La buona notizia per gli utenti \u00e8 che tutte e cinque le app sono completamente gratuite per le funzioni di autenticazione a due fattori. Nessuna richiede un abbonamento per generare codici TOTP o per fare backup. La tabella seguente chiarisce cosa include esattamente la versione gratuita di ciascuna e dove emergono eventuali costi indiretti, come la dipendenza da un account a pagamento.<\/p>\n\n\n\n

\n
App<\/th>Costo 2FA<\/th>Costo backup<\/th>Funzioni a pagamento<\/th>Costo indiretto<\/th><\/tr><\/thead>
Google Authenticator<\/td>0 \u20ac<\/td>0 \u20ac (account Google)<\/td>Nessuna<\/td>Account Google gratuito<\/td><\/tr>\n
Microsoft Authenticator<\/td>0 \u20ac<\/td>0 \u20ac (account Microsoft)<\/td>Nessuna per il 2FA<\/td>Funzioni avanzate via Entra ID aziendale<\/td><\/tr>\n
Authy<\/td>0 \u20ac<\/td>0 \u20ac (cloud Twilio)<\/td>Nessuna (lato consumatore)<\/td>API a consumo solo per sviluppatori<\/td><\/tr>\n
Aegis<\/td>0 \u20ac<\/td>0 \u20ac (locale)<\/td>Nessuna<\/td>Nessuno, donazioni facoltative<\/td><\/tr>\n
2FAS<\/td>0 \u20ac<\/td>0 \u20ac (Google Drive\/iCloud)<\/td>Nessuna<\/td>Spazio cloud personale (in genere gi\u00e0 incluso)<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Il vero costo, quindi, non \u00e8 monetario ma di compromesso. Con Google e Microsoft “paghi” con la dipendenza dall’ecosistema e con un backup che non \u00e8 interamente sotto il tuo controllo. Con Authy paghi con un numero di telefono affidato a Twilio. Con Aegis e 2FAS non paghi nulla in termini di dati, perch\u00e9 restano nelle tue mani, ma con Aegis ti assumi l’onere della gestione manuale dei backup. La gratuit\u00e0 universale rende il prezzo un fattore neutro: la decisione si gioca tutta su sicurezza, privacy e comodit\u00e0. Per chi confronta strumenti di sicurezza a pagamento, pu\u00f2 essere utile anche la nostra comparativa Proton Pass contro 1Password<\/a>.<\/p>\n\n\n\n

Benchmark e valutazioni da tre fonti<\/h2>\n\n\n\n

Le app di autenticazione non si misurano con benchmark di velocit\u00e0 come una GPU, perch\u00e9 la generazione di un codice TOTP \u00e8 istantanea su qualsiasi smartphone moderno. I parametri rilevanti sono diffusione, riconoscimento editoriale e copertura delle funzioni. Abbiamo incrociato tre fonti, i conteggi di installazione del Google Play Store, le valutazioni della recensione 2026 di PCMag e il confronto 2026 di Zapier, per costruire un quadro affidabile.<\/p>\n\n\n\n

\n
App<\/th>Installazioni (Play Store)<\/th>Riconoscimento PCMag 2026<\/th>Posizionamento Zapier 2026<\/th>Punto di forza chiave<\/th><\/tr><\/thead>
Google Authenticator<\/td>100 Mln+<\/td>Citata, no Editors’ Choice<\/td>Comodit\u00e0 con backup cloud<\/td>Semplicit\u00e0 e diffusione<\/td><\/tr>\n
Microsoft Authenticator<\/td>100 Mln+<\/td>Verified ID evidenziato<\/td>Migliore per utenti Microsoft<\/td>Passkey ed ecosistema aziendale<\/td><\/tr>\n
Authy<\/td>10 Mln+<\/td>Citata per sync e backup<\/td>Sync cloud end-to-end<\/td>Backup E2EE<\/td><\/tr>\n
Aegis<\/td>1 Mln+<\/td>Editors’ Choice<\/td>Privacy e controllo locale<\/td>Open source, offline<\/td><\/tr>\n
2FAS<\/td>1 Mln+<\/td>Editors’ Choice<\/td>Privacy senza account<\/td>Open source con estensione browser<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Il dato pi\u00f9 interessante \u00e8 la divergenza tra diffusione e giudizio editoriale. Google e Microsoft Authenticator dominano per numero di installazioni, ma nessuna delle due ha ottenuto l’Editors’ Choice di PCMag nel 2026. I premi sono andati ad Aegis e 2FAS, app con una frazione delle installazioni dei colossi, proprio per la loro postura su privacy e trasparenza. Zapier, dal canto suo, segmenta i consigli per profilo: comodit\u00e0 per gli utenti dei grandi ecosistemi, controllo per chi sceglie open source.<\/p>\n\n\n\n

La lezione \u00e8 chiara: la popolarit\u00e0 di un’app non coincide con la sua qualit\u00e0 in termini di privacy. Google e Microsoft Authenticator sono diffuse perch\u00e9 preinstallate nei rispettivi flussi e suggerite da milioni di servizi, non perch\u00e9 siano le pi\u00f9 sicure. Quando gli esperti valutano in modo indipendente, le app open source salgono in cima alla classifica. \u00c8 un divario che pesa molto per l’utente europeo orientato al GDPR.<\/p>\n\n\n\n

Cosa dicono gli esperti e i creator<\/h2>\n\n\n\n

Oltre alle recensioni editoriali, la community tecnica ha sviluppato posizioni piuttosto nette su queste app. Vale la pena raccoglierle, perch\u00e9 spesso anticipano le tendenze prima delle testate generaliste.<\/p>\n\n\n\n

Nella cultura degli sviluppatori, divulgatori come Fireship<\/strong> hanno reso popolare un principio semplice: per gli strumenti che custodiscono segreti, l’open source non \u00e8 un vezzo ma un requisito di fiducia, perch\u00e9 consente di verificare cosa fa davvero il codice. Applicato alle app 2FA, questo ragionamento spinge naturalmente verso Aegis e 2FAS, le uniche due del gruppo il cui codice \u00e8 ispezionabile. La trasparenza, in questa visione, vale pi\u00f9 del marchio.<\/p>\n\n\n\n

Sul fronte dell’esperienza utente, recensori come MKBHD<\/strong> hanno costruito la propria autorevolezza ricordando che la sicurezza pi\u00f9 sofisticata serve a poco se l’utente la abbandona perch\u00e9 scomoda. Da questo punto di vista la semplicit\u00e0 di Google Authenticator e la sincronizzazione fluida di 2FAS contano quanto la crittografia: un secondo fattore che le persone usano davvero batte un secondo fattore teoricamente perfetto ma macchinoso.<\/p>\n\n\n\n

Tra gli sviluppatori pi\u00f9 seguiti, ThePrimeagen<\/strong> incarna l’approccio pragmatico di chi diffida delle soluzioni che legano l’utente a un singolo ecosistema. La fine dell’autofill password di Microsoft Authenticator nell’agosto 2025 \u00e8 esattamente il tipo di mossa che alimenta questo scetticismo: una funzione su cui gli utenti facevano affidamento, rimossa per ragioni di strategia aziendale. La lezione che la community ne trae \u00e8 preferire strumenti portabili, che non ti tengano in ostaggio.<\/p>\n\n\n\n

Il filo comune di queste voci \u00e8 coerente con il verdetto delle testate: trasparenza, usabilit\u00e0 e indipendenza dall’ecosistema sono i tre criteri che separano un’app 2FA eccellente da una semplicemente diffusa. Non a caso convergono tutti verso le opzioni open source quando la priorit\u00e0 \u00e8 la fiducia di lungo periodo.<\/p>\n\n\n\n

Sicurezza e crittografia: chi protegge davvero i tuoi seed<\/h2>\n\n\n\n

Il cuore della scelta \u00e8 una domanda sola: chi pu\u00f2 leggere i tuoi seed TOTP oltre te? Il seed \u00e8 la chiave segreta da cui l’app deriva ogni codice; chi lo possiede pu\u00f2 clonare il tuo secondo fattore. Le cinque app rispondono in modo molto diverso a questa domanda, e capirlo \u00e8 decisivo.<\/p>\n\n\n\n

Authy adotta il modello pi\u00f9 rigoroso per il cloud: backup crittografato end-to-end con una password di backup che resta solo sul tuo dispositivo. Nemmeno Twilio pu\u00f2 decifrare i seed senza quella password. Aegis e 2FAS adottano un approccio diverso ma altrettanto solido: i seed restano cifrati in locale (Aegis) o in un file cifrato dentro il tuo cloud personale (2FAS), senza passare per un’infrastruttura del fornitore. In tutti e tre i casi, il fornitore dell’app non ha accesso ai tuoi segreti.<\/p>\n\n\n\n

Google Authenticator \u00e8 l’anello debole su questo fronte. Il backup cloud non \u00e8 end-to-end: i seed sono cifrati nell’infrastruttura Google, ma Google detiene tecnicamente le chiavi. Significa che, in caso di richiesta legale, errore interno o compromissione dell’account Google, esiste una superficie di rischio che con le altre app non c’\u00e8. Microsoft Authenticator si colloca in una posizione intermedia, con un backup legato all’account Microsoft il cui modello tecnico non \u00e8 dettagliato pubblicamente come quello di Authy.<\/p>\n\n\n\n

C’\u00e8 poi la dimensione della superficie d’attacco lato server. La violazione Authy del 2024 dimostra che anche un’app con crittografia eccellente \u00e8 vulnerabile se l’azienda espone un endpoint API mal protetto. In quel caso non sono finiti i seed, ma 33 milioni di numeri di telefono, abbastanza per alimentare phishing mirato. Le app che non raccolgono dati personali, come Aegis e 2FAS che non chiedono nemmeno un account, riducono drasticamente questa superficie: non si pu\u00f2 rubare ci\u00f2 che non viene raccolto. Per approfondire come avvengono questi attacchi, leggi la nostra guida alle violazioni dei dati<\/a>.<\/p>\n\n\n\n

GDPR e residenza dei dati in Europa<\/h2>\n\n\n\n

Per gli utenti italiani ed europei la questione della residenza dei dati non \u00e8 un dettaglio accademico. Il GDPR impone trasparenza su quali dati personali vengono raccolti, dove vengono conservati e chi vi accede. Un’app di autenticazione tocca dati estremamente sensibili, perch\u00e9 i seed proteggono l’accesso a tutta la tua vita digitale. La scelta dell’app, quindi, ha implicazioni di conformit\u00e0 per chi gestisce dati anche in ambito professionale.<\/p>\n\n\n\n

Le app che non raccolgono dati personali partono avvantaggiate. Aegis non chiede alcun account e non invia nulla a un server: dal punto di vista del GDPR, \u00e8 la postura pi\u00f9 semplice da giustificare, perch\u00e9 non c’\u00e8 trasferimento di dati personali verso un titolare esterno. 2FAS si comporta in modo simile, dato che non richiede registrazione e usa il cloud che l’utente ha gi\u00e0 scelto. In entrambi i casi la responsabilit\u00e0 del trattamento resta in capo all’utente, non a un fornitore extra-UE.<\/p>\n\n\n\n

Google, Microsoft e Twilio sono aziende statunitensi e processano i dati nella propria infrastruttura globale. Per un consumatore privato l’impatto pratico \u00e8 contenuto, ma per un’azienda europea soggetta a obblighi di conformit\u00e0 la presenza di seed o numeri di telefono nei sistemi di un fornitore extra-UE solleva domande su trasferimenti internazionali, clausole contrattuali standard e ruoli di titolare e responsabile del trattamento. La violazione Authy ha reso questa preoccupazione concreta: 33 milioni di numeri europei e mondiali esposti sono esattamente lo scenario che il GDPR mira a prevenire.<\/p>\n\n\n\n

La raccomandazione per chi opera in un contesto regolato \u00e8 preferire un’app che riduca al minimo i dati affidati a terzi. Aegis e 2FAS, con il loro modello senza account, semplificano la valutazione d’impatto sulla protezione dei dati. Resta inteso che nessuna delle app analizzate fornisce una dichiarazione formale di conformit\u00e0 GDPR per ciascuna funzione, quindi la valutazione finale spetta sempre al titolare del trattamento. Per il quadro normativo europeo aggiornato, \u00e8 utile la nostra analisi della direttiva NIS2 in Italia<\/a>.<\/p>\n\n\n\n

Cinque casi reali di scelta<\/h2>\n\n\n\n

La teoria si capisce meglio con esempi concreti. Ecco cinque profili reali e l’app che risulta pi\u00f9 adatta a ciascuno, sulla base dei dati raccolti finora.<\/p>\n\n\n\n

1. La famiglia con iPhone e Android misti.<\/strong> Marco usa un iPhone, la moglie un Android, e vogliono entrambi un backup automatico senza pensieri. Aegis \u00e8 escluso perch\u00e9 solo Android. La scelta ideale \u00e8 2FAS, che funziona su entrambe le piattaforme e salva il backup cifrato su iCloud per lei e Google Drive per lui, senza creare account aggiuntivi. In alternativa, Google Authenticator per la massima semplicit\u00e0, accettando il backup non end-to-end.<\/p>\n\n\n\n

2. Il consulente che lavora con dati sanitari.<\/strong> Giulia gestisce account che toccano dati sensibili e deve giustificare le sue scelte in ottica GDPR. Per lei la priorit\u00e0 \u00e8 non affidare seed a fornitori extra-UE. Aegis, su un dispositivo Android dedicato al lavoro, \u00e8 la risposta pi\u00f9 difendibile: nessun cloud, nessun account, controllo totale e backup cifrato conservato dove decide lei.<\/p>\n\n\n\n

3. L’amministratore IT di una PMI su Microsoft 365.<\/strong> L’azienda di Luca usa Entra ID e Office 365. Microsoft Authenticator \u00e8 la scelta naturale: si integra con le policy di accesso condizionato, gestisce le notifiche push senza password e supporta le passkey. Centralizzare l’identit\u00e0 nello stesso ecosistema riduce il numero di strumenti da amministrare.<\/p>\n\n\n\n

4. Lo sviluppatore che lavora molto da desktop.<\/strong> Sara passa la giornata al computer e vuole inserire i codici senza prendere il telefono ogni volta. Dopo il ritiro delle app desktop di Authy a marzo 2024, l’opzione migliore \u00e8 2FAS con la sua estensione browser, l’unica delle cinque a offrire l’inserimento dei codici direttamente dal computer.<\/p>\n\n\n\n

5. L’utente comune che vuole solo proteggere social e banca.<\/strong> Davide non \u00e8 tecnico e vuole il minimo sforzo. Google Authenticator copre il caso d’uso con la massima semplicit\u00e0: scansiona il QR, attiva la sincronizzazione tramite account Google e ha i codici al sicuro su ogni nuovo telefono. Per un profilo a rischio medio, \u00e8 pi\u00f9 che sufficiente.<\/p>\n\n\n\n

Pro e contro di ciascuna app<\/h2>\n\n\n\n

Riassumiamo i punti di forza e di debolezza emersi, per una consultazione rapida prima della decisione.<\/p>\n\n\n\n