La versione aggiornata dello schema di certificazione supportato dal governo, Cyber Essentials v3.3, introduce un cambiamento netto: dal 27 April 2026 la presenza di MFA sulle risorse cloud è un punto di fallimento automatico se il servizio la offre e non è abilitata. Questa modifica non riguarda la bontà del principio, che rimane incontrovertibile: il ricorso a più fattori è oggi la difesa più efficace contro gli attacchi basati su credenziali. Tuttavia, la sfida concreta per molte organizzazioni non è ideologica ma operativa; implementare MFA su ambienti caratterizzati da terminali condivisi o personale volontario richiede soluzioni su misura e informazioni pratiche.
Due casi reali emergono come esempi emblematici delle difficoltà: un’azienda di trasporto ferroviario con sale operative dove i terminali sono condivisi tra più operatori e una grande catena di negozi gestita da volontari con altissima rotazione del personale.
In entrambi i casi la scelta di non abilitare MFA non è dovuta a negligenza, ma a timori fondati su operatività e costi. Il problema centrale è che gli strumenti comuni di autenticazione secondaria — SMS, app autenticatrici o push — non si adattano a processi che richiedono accesso immediato o a utenti che non possiedono o non vogliono usare telefoni personali.
Perché il cambiamento è giusto ma complicato
La Nuova regola di Cyber Essentials mira a ridurre gli incidenti legati a password compromesse o credenziali rubate, un obiettivo sostenuto dall’NCSC e da IASME. Il punto controverso riguarda l’applicazione pratica: dove l’assessment trova un servizio cloud che offre MFA, l’assenza di abilitazione è un esito negativo immediato. Questo atteggiamento non lascia margine per rimediare all’interno del ciclo di valutazione, con conseguenze commerciali rilevanti per chi perde la certificazione.
Per molte organizzazioni la certificazione è condizione contrattuale per appalti pubblici o richieste della supply chain, e perdere il certificato può tradursi in perdita di lavoro o condizioni assicurative peggiorate.
Esempi concreti di criticità
Nel caso della sala operativa ferroviaria, il rischio percepito dalle rappresentanze sindacali è che una procedura di autenticazione più lenta possa introdurre ritardi nelle decisioni che influenzano la sicurezza delle circolazioni. Per la catena di negozi gestita da volontari il problema è diverso: gestire l’onboarding di centinaia di persone con telefoni personali, app e credenziali temporanee diventa oneroso in termini di costi e gestione. Entrambi i contesti mostrano che l’assenza di MFA è spesso una scelta operativa pensata, non un’omissione di sicurezza.
Una soluzione già collaudata: FIDO2 e badge NFC
Esiste però un approccio pratico che risolve i vincoli citati: l’adozione di FIDO2 e di autenticazione tramite NFC con badge aziendali. In realtà operative come ospedali, impianti di produzione e retail, la combinazione di un badge fisico e di un breve PIN personale permette l’autenticazione in meno di due secondi: il personale avvicina il badge, digita il PIN breve e ottiene accesso. Questo metodo soddisfa il requisito di multiple componenti di autenticazione perché combina la possession (il badge) e la knowledge (il PIN), e assicura account univoci perché ogni badge è registrato come credenziale FIDO2 individuale.
Perché FIDO2 è conforme e pratico
La versione v3.3 menziona esplicitamente FIDO2 e le passkeys come metodi validi per l’MFA.
La caratteristica chiave è che non si tratta di soluzioni condivise: non è possibile usare chiavi o PIN condivisi, ogni operatore deve avere la propria credenziale, risolvendo così la preoccupazione degli assessori sul requisito di account unico. Inoltre, la velocità e l’affidabilità di un tap NFC rendono l’esperienza utente coerente con le esigenze di accesso rapido in contesti critici.
Cosa devono fare le organizzazioni e i valutatori
La risposta corretta non è indebolire il requisito: sarebbe controproducente. Serve invece una maggiore diffusione di informazioni pratiche e linee guida operative su come implementare MFA in scenari di terminali condivisi, personale a rotazione e risorse con accesso pubblico. NCSC e IASME hanno assunto la decisione giusta; ora il passo cruciale è chiaro: accompagnare le organizzazioni verso soluzioni come FIDO2, fornire esempi implementativi e casi d’uso, e ridefinire i percorsi di supporto per ridurre il rischio che realtà virtuose perdano la certificazione per mancanza di informazione.
Azioni operative raccomandate
Alle organizzazioni si consiglia di mappare tutti i servizi cloud in uso e verificare se offrono MFA, valutare l’adozione di FIDO2 o passkeys per utenti con accesso condiviso e pianificare un progetto pilota per badge NFC nelle aree critiche. Ai valutatori e agli enti certificatori invece si raccomanda di pubblicare guide pratiche, checklist e studi di caso che mostrino come implementare soluzioni compatibili con Cyber Essentials v3.3. Così facendo si mantiene l’integrità dello standard senza penalizzare organizzazioni che hanno esigenze operative specifiche.
