Login
Prova gratuita

Come prevenire gli attacchi di acquisizione di account sul vostro sito web (2026)

Illustrazione sulla prevenzione delle frodi per l'acquisizione di account, che mostra minacce come password rubate, attacchi di phishing e riempimento di credenziali bloccate da misure di sicurezza come CAPTCHA, autenticazione a più fattori, monitoraggio dei login e fingerprinting dei dispositivi.
captcha.eu

Le frodi di acquisizione di account sono costate ai consumatori $15,6 miliardi nel 2024, e 33% delle vittime abbandonano completamente il servizio interessato anche dopo il ripristino dell'account. Gli aggressori non hanno bisogno di violare i vostri sistemi. Utilizzano credenziali rubate da altre violazioni, bot automatizzati e phishing per varcare la porta di casa. Questa guida spiega come funzionano effettivamente gli attacchi ATO, quali flussi prendono di mira per primi e come stratificare le difese in modo che nessun singolo errore esponga i vostri utenti.

Tempo di lettura stimato: 13 minuti

Prova CAPTCHA.eu gratuitamente - senza carta di credito
Visualizza tutte le integrazioni

In sintesi

Cosa significa ATO

Un utente malintenzionato ottiene l'accesso a un account utente reale e può rubare dati, effettuare ordini, svuotare i saldi o modificare i dettagli del conto da una posizione di fiducia.

Punto di ingresso più comune

Credential stuffing: gli aggressori testano le coppie nome utente-password rubate da altre violazioni, perché gli utenti riutilizzano ancora le password tra i vari servizi.

Dove si inserisce il CAPTCHA

La protezione bot al momento del login, della registrazione e della reimpostazione della password aumenta il costo degli attacchi automatici prima che raggiungano la logica di autenticazione.

Cosa tratta questa guida

Che cos'è l'acquisizione di un conto e perché è importante

L'acquisizione dell'account, o ATO, avviene quando un aggressore ottiene l'accesso non autorizzato a un account utente reale. Una volta entrato, può modificare le password, esportare dati personali, effettuare ordini fraudolenti, riscattare punti fedeltà, attivare pagamenti o accedere ad altri sistemi collegati a quell'account.

È più pericoloso del normale spam o del probing perché l'aggressore non sembra più un intruso esterno. Ha l'aspetto di un utente legittimo. Ecco perché i costi di bonifica aumentano rapidamente dopo che gli account sono stati compromessi e perché prevenire l'accesso in primo luogo costa molto meno che contenere i danni in seguito. Secondo il rapporto 2025 Cost of a Data Breach di IBM, il costo medio di una violazione basata sulle credenziali è di $4,67 milioni.

Perché l'ATO è più difficile di quanto sembri

Gli aggressori non hanno sempre bisogno di violare il vostro sistema di autenticazione. In molti casi, sfruttano i punti deboli che lo circondano: password riutilizzate, flussi di recupero deboli, MFA mancante o endpoint di login non protetti che invitano all'automazione. La sicurezza degli account dipende da qualcosa di più della sola politica delle password.

Come inizia di solito l'acquisizione di un account

L'account takeover non è una singola tecnica. È il risultato di diversi percorsi di attacco che portano tutti allo stesso risultato: l'accesso non autorizzato a un account reale.

PERCORSO DI ATTACCO
COSA ACCADE
PERCHÉ FUNZIONA
Credential stuffing
I bot testano su scala le coppie nome utente-password violate da altri servizi
Gli utenti riutilizzano le password, per cui una violazione espone gli account di molti servizi
Forza bruta / spruzzatura di password
I bot provano password comuni per molti account o molte ipotesi per un unico account.
Password deboli e limitazione del tasso mancante rendono gli account facili da indovinare
Phishing / adversary-in-the-middle
Gli aggressori inducono gli utenti a inserire le credenziali su pagine di login fasulle che le trasmettono in tempo reale
Gli attacchi relay intercettano i codici MFA mentre l'utente li inserisce, aggirando la protezione a due fattori
Abuso della reimpostazione della password
Gli aggressori sfruttano i flussi di recupero deboli, enumerano gli account validi o intercettano i codici di ripristino.
I flussi di recupero sono spesso meno protetti del login stesso
Furto in sessione
Gli aggressori rubano un token di sessione valido invece di effettuare il login.
Browser compromessi, malware o controlli di sessione deboli espongono le sessioni attive.

Il Credential stuffing è il percorso più scalabile. OWASP lo descrive come l'uso automatico di credenziali rubate da precedenti violazioni contro altri sistemi di login. Una volta che un account è dotato di MFA o passkey, tuttavia, gli aggressori spesso si orientano verso il phishing o l'abuso di recupero. Ecco perché una difesa completa protegge l'intero ciclo di vita dell'account, non solo il modulo di accesso.

Acquisizione dell'account vs. credential stuffing vs. forza bruta

Questi termini sono correlati ma non intercambiabili. La distinzione più chiara è che l'acquisizione dell'account è il risultato finale. Il riempimento delle credenziali e la forza bruta sono due dei percorsi di attacco che lo causano.

Il modo più semplice per pensarci

L'acquisizione di account è il problema aziendale. L'infiltrazione di credenziali e la forza bruta sono due percorsi tecnici che portano a questo risultato. È necessario difendersi da ogni percorso separatamente: bloccare la forza bruta non impedisce il furto di credenziali, e bloccare entrambi lascia ancora aperti il phishing e il furto di sessione.

TERMINE
COSA SIGNIFICA
DIFESE PRIMARIE
Acquisizione del conto (ATO)
Accesso non autorizzato a un account utente reale, risultato finale
Sicurezza a più livelli: MFA, protezione dai bot, rilevamento delle anomalie, hardening del ripristino
Credential stuffing
Utilizzando credenziali reali rubate da precedenti violazioni, testate automaticamente su scala.
MFA, CAPTCHA all'accesso, screening delle password violate
Forza bruta / spruzzatura di password
Indovinare le password attraverso ripetuti tentativi automatici contro uno o più account
Limitazione della tariffa, blocco dell'account, CAPTCHA, MFA

Quali flussi vengono presi di mira per primi dagli aggressori

Ridurre rapidamente il rischio ATO significa concentrarsi sui flussi che gli aggressori utilizzano più spesso. L'ordine di priorità riportato di seguito riflette i modelli di attacco reali, non le classifiche di rischio teoriche.

  • Accesso. Il punto di ingresso principale per lo stuffing di credenziali, lo spraying di password e l'ATO guidato da bot. Il volume di attacchi più elevato di qualsiasi flusso.
  • Ripristino della password. Gli aggressori sondano qui per enumerare gli account validi, attivare le e-mail di reset su larga scala o intercettare i codici tramite lo scambio di SIM. Spesso è meno protetto del login, nonostante comporti rischi equivalenti.
  • Registrazione. La creazione di account falsi non è di per sé un'ATO, ma i bot registrano account in massa per abusare delle prove gratuite, dei programmi di referral e dei punti fedeltà, e per alimentare frodi future.
  • Azioni di conto ad alto rischio. Modifiche di e-mail, aggiunte di metodi di pagamento, riscatti di fedeltà ed esportazioni di dati all'interno di una sessione già autenticata meritano controlli più severi rispetto a un normale clic di sessione.

Il giusto ordine di priorità

Proteggere prima l'accesso. Poi proteggere la reimpostazione della password. Quindi aggiungere la protezione bot alla registrazione. Quindi aggiungere una verifica graduale per le azioni post-login ad alto rischio. Questa sequenza copre i percorsi di attacco che causano la maggior parte degli incidenti ATO nella pratica.

Cosa blocca ogni strato di difesa

Nessun singolo controllo blocca ogni percorso ATO. Il Credential stuffing aggira il limitatore di velocità debole. Il phishing aggira l'MFA basato su SMS. L'abuso della reimpostazione della password aggira le protezioni di solo login. Una prevenzione efficace richiede livelli che mirano ciascuno a una parte diversa della catena di attacco.

TIPO DI ATTACCO
FERMATO DA
NON FERMATO DA
Credential stuffing
CAPTCHA, MFA, screening delle password violate
Limitazione della velocità da sola (attacchi distribuiti)
Forza bruta / spruzzatura
CAPTCHA, limitazione della tariffa, blocco dell'account
Blocco IP da solo (attacchi distribuiti)
Phishing / AiTM relay
FIDO2/passkey, MFA resistente al phishing, formazione degli utenti
SMS MFA, CAPTCHA, limitazione della tariffa
Abuso della reimpostazione della password
CAPTCHA sul flusso di reset, progetto di recupero sicuro
Protezioni per il solo accesso
Creazione di account falsi
CAPTCHA alla registrazione, verifica dell'e-mail
Protezioni per il solo accesso
Abuso della sessione post-login
Rilevamento delle anomalie, reautenticazione, controlli step-up
Controlli CAPTCHA o di solo login

Sette difese che funzionano

  • Richiedere l'MFA o, meglio ancora, il passepartout

    L'MFA è la difesa più forte contro il furto di account, perché una password rubata non è più sufficiente da sola. Il CISA raccomanda l'MFA come protezione di base contro l'accesso non autorizzato agli account e i dati Microsoft dimostrano che blocca oltre il 99,2% dei tentativi di compromissione automatica degli account. Come minimo, richiedete l'MFA per gli account di amministratore e privilegiati e incoraggiatela per tutti gli utenti. Ove possibile, passare a passkeys o all'autenticazione FIDO2 supportata da hardware. Queste sono resistenti al phishing perché la credenziale si lega al dominio esatto, quindi una pagina di login falsa non può intercettare una risposta valida della passkey.

  • Aggiungere un CAPTCHA invisibile per il login, la registrazione e la reimpostazione della password

    Il CAPTCHA invisibile fa qualcosa che l'MFA non fa: aumenta il costo dell'abuso automatico prima che le credenziali vengano testate. Le campagne di acquisizione di account si basano sulla scala. Che l'aggressore utilizzi password violate, spruzzi o abusi di reset, ha bisogno di inviare un gran numero di richieste a basso costo. Il CAPTCHA invisibile applica la resistenza dei bot in background senza mostrare i puzzle agli utenti reali. I bot diventano più costosi da gestire, mentre gli utenti legittimi non subiscono alcun attrito visibile. Per i siti web europei, la scelta di un CAPTCHA cookieless, ospitato nell'UE, elimina anche la domanda di consenso ePrivacy dalle pagine di autenticazione, cosa che le soluzioni CAPTCHA tradizionali non possono offrire.

Bloccate il riempimento delle credenziali e la forza bruta prima che raggiungano la logica del vostro account.

CAPTCHA.eu protegge il login, la registrazione e la reimpostazione della password senza cookie o trasferimenti di dati dagli Stati Uniti. Ospitato in Austria, certificato WCAG 2.2 AA, 100 verifiche gratuite all'inizio.

Iniziare la prova gratuita
Contatta il reparto vendite

  • Esaminare le password rispetto ai set di dati di violazione noti

    Se un utente sceglie una password che compare già in un corpus pubblico di violazioni, è possibile che gli aggressori la stiano già testando. Il NIST raccomanda di verificare le password rispetto agli elenchi di credenziali compromesse al momento della registrazione e della modifica della password, e di rifiutare le password note come violate prima che vengano impostate. Questo non ferma un attacco già in corso. Tuttavia, con il tempo, elimina dalla vostra base di utenti i bersagli più facili per il furto di credenziali. L'API di Have I Been Pwned fornisce accesso gratuito a oltre 10 miliardi di credenziali compromesse a questo scopo.

  • Rilevare modelli di autenticazione anomali

    La semplice limitazione del tasso è importante, ma non è sufficiente. L'acquisizione di account spesso si presenta come una normale attività distribuita su molti account, IP o dispositivi. Osservate gli schemi che indicano un'attività automatizzata o post-compromissione, come ad esempio molti account colpiti dalla stessa impronta digitale del dispositivo, un account a cui si accede da località geografiche impossibili o un accesso riuscito seguito immediatamente da modifiche di e-mail, password o pagamenti. La guida all'autenticazione di OWASP raccomanda la riautenticazione dopo eventi sospetti. In pratica, ciò significa intensificare la verifica ogni volta che il comportamento dell'account cambia improvvisamente o tocca impostazioni sensibili.

  • Resettare la password e il recupero dell'account

    Molte squadre proteggono bene il login ma lasciano debole il recupero. Questa è una lacuna che gli aggressori sfruttano attivamente. Il Forgot Password Cheat Sheet di OWASP raccomanda risposte coerenti, indipendentemente dall'esistenza o meno di un account, token di ripristino monouso di breve durata e attenzione a non rivelare l'esistenza dell'account attraverso messaggi di errore diversi. Applicare il CAPTCHA e la limitazione della velocità al flusso di recupero. Richiedere la riautenticazione prima di modificare gli attributi dell'account ad alto rischio dopo il recupero. Si tratta di misure semplici da implementare, che consentono di chiudere uno dei punti di accesso all'ATO più comunemente trascurati.

  • Richiedere la verifica a tappe per le azioni rischiose sul conto

    Non tutte le azioni all'interno di una sessione autenticata devono fare affidamento sullo stesso livello di garanzia. La modifica di un indirizzo e-mail, la reimpostazione dell'MFA, l'aggiunta di una destinazione di pagamento o l'esportazione di dati dovrebbero attivare una verifica più rigorosa rispetto alla consultazione di una dashboard. In questo modo si limita il raggio d'azione se un aggressore ottiene l'accesso ma non ha ancora superato una fase di verifica più forte, guadagnando tempo affinché il rilevamento delle anomalie possa segnalare la sessione.

  • Notificare rapidamente agli utenti e ai team di sicurezza

    La notifica rapida riduce i danni. Avvisate gli utenti quando un nuovo dispositivo, browser o geografia accede al loro account. Avvisate il team di sicurezza quando si verifica un picco di fallimenti di login, richieste di reset o modifiche di account ad alto rischio. OWASP raccomanda di notificare agli utenti i tentativi di accesso falliti o sospetti e di rendere più semplice per gli utenti la disconnessione di tutte le sessioni e la modifica delle credenziali quando l'attività sembra sconosciuta.

Cosa fare durante un attacco attivo

Se si sospetta una campagna attiva di acquisizione di account, la velocità conta più della perfezione. L'obiettivo è rallentare immediatamente l'attacco, proteggere gli account esposti e conservare prove sufficienti per capire cosa è successo. In pratica, la risposta segue solitamente quattro fasi.

Rallentare immediatamente l'attacco

Iniziate a rafforzare la protezione dei flussi che l'aggressore probabilmente abuserà: login, reset della password e registrazione. Abilitare o rendere più severo il CAPTCHA per primo, perché di solito è il modo più rapido per aumentare il costo del traffico automatizzato. Allo stesso tempo, aumentate i limiti di velocità e limitate temporaneamente il traffico sospetto in base alla geografia, agli intervalli di proxy o alla reputazione dell'IP del fornitore di hosting se i log mostrano un chiaro schema di attacco.

Proteggere i conti più a rischio

Richiedere l'MFA o la riautenticazione per gli account che mostrano un comportamento sospetto, in particolare quando si notano posizioni di accesso insolite, ripetuti tentativi falliti o improvvisi cambi di account. Se la compromissione è già confermata o altamente probabile, forzate la reimpostazione della password e revocate immediatamente le sessioni attive. In questo modo si limita la capacità dell'aggressore di continuare a operare dall'interno dell'account.

Controllare cosa è successo dopo l'accesso

Non fermatevi all'evento di autenticazione in sé. Esaminate le azioni a valle all'interno degli account colpiti, tra cui le modifiche degli indirizzi e-mail, gli aggiornamenti dei pagamenti o delle operazioni bancarie, gli ordini, i rimborsi di fedeltà, le modifiche delle password e le esportazioni di dati. In molti incidenti di ATO, il vero danno si verifica solo dopo che il login è riuscito, quindi questa revisione vi dice a che punto è arrivato l'attaccante e quali utenti hanno bisogno di un follow-up urgente.

Conservare le prove e prepararsi alla notifica

Conservate i registri, i dati di sessione e gli eventi di autenticazione per l'intera finestra di attacco. Queste prove sono necessarie per la risposta agli incidenti, per l'analisi delle frodi e, in caso di accesso a dati personali, per la valutazione ai sensi dell'articolo 33 del GDPR. Se potete rafforzare solo un altro flusso mentre l'incidente è in corso, proteggete la reimpostazione della password. Gli aggressori spesso si spostano lì non appena il login diventa più difficile da sfruttare.

Una regola pratica durante un incidente attivo

Se potete proteggere solo un altro flusso in questo momento, proteggete la reimpostazione della password. In genere gli aggressori si spostano lì non appena il login diventa più difficile da sfruttare.

Perché l'ATO è un problema del GDPR per gli operatori europei

Per gli operatori di siti web europei, l'acquisizione di un account crea due problemi contemporaneamente: un incidente di sicurezza e una potenziale violazione del GDPR. Se un aggressore accede ai dati personali contenuti in un account utente, ciò costituisce una violazione dei dati personali ai sensi del GDPR, con obblighi specifici che ne conseguono immediatamente.

Sotto Articolo 32, i responsabili del trattamento devono implementare misure di sicurezza tecniche e organizzative adeguate. Per qualsiasi sito che memorizzi dati personali dietro l'autenticazione dell'utente, la protezione bot e l'MFA fanno parte di tale obbligo. Un'organizzazione che subisce un'ATO per furto di credenziali senza protezione bot a livello di login avrebbe difficoltà a dimostrare l'adozione di misure adeguate.

Sotto Articolo 33, Una violazione dei dati personali deve essere valutata entro 72 ore. Se è probabile che comporti un rischio per i diritti e le libertà delle persone, è necessario segnalarla all'autorità di vigilanza entro tale termine. Secondo i dati di IBM del 2025, il tempo medio per identificare una violazione basata sulle credenziali è di 186 giorni, ben oltre le 72 ore. Il rilevamento delle anomalie e il monitoraggio delle sessioni migliorano direttamente la capacità di soddisfare l'articolo 33, riducendo i tempi di rilevamento.

Sotto Articolo 34, Se la violazione può comportare un rischio elevato per le persone (ad esempio nel settore sanitario, dei servizi finanziari o dei dati personali sensibili), è necessario informare direttamente anche gli utenti interessati.

L'angolo del consenso ai cookie nelle pagine di autenticazione

I servizi CAPTCHA tradizionali spesso impostano i cookie o si affidano al tracciamento comportamentale. Nelle pagine di login e di recupero, questo crea una domanda di consenso ePrivacy che si aggiunge al problema della sicurezza. Un CAPTCHA cookieless proof-of-work elimina completamente la questione del consenso dal flusso di autenticazione.

Domande frequenti

Che cos'è l'acquisizione di un conto corrente in termini semplici?

L'acquisizione dell'account avviene quando un aggressore ottiene l'accesso non autorizzato a un account utente reale e lo utilizza come se fosse il legittimo proprietario: per visualizzare dati, effettuare ordini, trasferire fondi o modificare i dettagli dell'account.

L'acquisizione dell'account è la stessa cosa del credential stuffing?

No. L'infiltrazione di credenziali è un percorso comune per l'acquisizione di un account. L'acquisizione dell'account è il risultato finale. Gli aggressori possono raggiungerlo anche attraverso il phishing, flussi di recupero deboli, furto di sessioni o forza bruta, ognuno dei quali necessita di difese separate.

L'MFA impedisce l'acquisizione dell'account?

L'MFA blocca la maggior parte degli attacchi basati sul furto di credenziali, perché una password rubata non è più sufficiente per accedere. Tuttavia, l'MFA non blocca gli attacchi relay basati sul phishing, in cui l'aggressore intercetta il codice monouso in tempo reale mentre l'utente lo inserisce. Per gli account di alto valore, i metodi resistenti al phishing, come le passkey o le chiavi di sicurezza hardware, offrono una protezione più forte.

Il CAPTCHA impedisce l'acquisizione dell'account?

CAPTCHA blocca il livello automatizzato dei bot (riempimento di credenziali, forza bruta e abuso di registrazione di massa) prima che questi attacchi raggiungano la logica di autenticazione. Non blocca il phishing, non sostituisce l'MFA e non rileva gli abusi post-login. Funziona meglio come uno dei livelli di uno stack di difesa più ampio, non come soluzione a sé stante.

Qual è la difesa più efficace contro l'acquisizione di un account?

L'MFA o le chiavi d'accesso sono il controllo singolo più efficace. I dati Microsoft dimostrano che l'MFA può bloccare oltre il 99,2% dei tentativi di compromissione automatica dell'account. L'approccio più efficace nel mondo reale è stratificato: MFA combinato con protezione bot in tutti i flussi di autenticazione, screening delle password violate, progettazione di un forte recupero e rilevamento delle anomalie.

Quali pagine devo proteggere per prime?

Prima il login, che riceve il maggior numero di attacchi. Poi la reimpostazione della password, che gli aggressori prendono attivamente di mira ma che i team spesso lasciano meno protetta. Poi la registrazione e le azioni post-login ad alto rischio, come la modifica dell'e-mail o l'impostazione dei pagamenti.

Quali sono gli obblighi del GDPR in caso di acquisizione di un account?

Se l'acquisizione comporta un accesso non autorizzato ai dati personali, si tratta di una violazione dei dati personali ai sensi del GDPR. Dovete valutarla entro 72 ore e notificarla alla vostra autorità di vigilanza se è probabile che la violazione crei un rischio per le persone. Se il rischio è elevato, dovete anche informare direttamente gli utenti interessati. La protezione bot e il rilevamento delle anomalie riducono sia la probabilità di una violazione che il tempo necessario per rilevarla.

Lettura correlata

Servizi finanziari della Federal Reserve: Frode di acquisizione dei conti (febbraio 2026): Le frodi ATO hanno causato $15,6 miliardi di perdite dichiarate negli Stati Uniti nel 2024; 33% dei clienti che sperimentano l'ATO abbandonano completamente il servizio interessato.
IBM Cost of a Data Breach Report 2025: costo medio di una violazione basata su credenziali $4,67 milioni; tempo medio per l'identificazione 186 giorni
Documentazione di Microsoft Entra MFA: L'MFA può bloccare oltre il 99,2% dei tentativi automatici di compromissione dell'account.
Guida CISA AMF: L'MFA come forte protezione contro l'accesso non autorizzato all'account
Scheda informativa OWASP sulla prevenzione del Credential Stuffing
Scheda informativa sull'autenticazione OWASP: riautenticazione dopo eventi sospetti
Scheda informativa OWASP sulla password dimenticata: risposte coerenti e design sicuro dei token di recupero
Minacce automatiche OWASP alle applicazioni webModelli di abuso automatico relativi all'account
NIST SP 800-63-4Guida all'identità digitale, comprese le raccomandazioni per lo screening delle password violate.
Sono stato fregato API: controllo gratuito delle credenziali di violazione per i flussi di registrazione e di cambio password

Provate l'alternativa europea costruita per le implementazioni basate sulla privacy

Se il vostro team ha bisogno di una protezione bot a basso attrito con hosting austriaco, nessun cookie nel livello CAPTCHA, elaborazione basata sull'UE, prezzi trasparenti e accessibilità certificata TÜV, provate CAPTCHA.eu su un flusso reale prima di decidere. Iniziate con il vostro modulo di login, iscrizione o contatto. 100 richieste gratuite, nessuna carta di credito richiesta.

Iniziare la prova gratuita
Contatta il reparto vendite

messaggi recenti

it_ITItalian
en_USEnglish de_DEGerman fr_FRFrench es_ESSpanish nl_NLDutch it_ITItalian