Addio password, ecco come cambia la sicurezza online
#CYBERSECURITY, TECNOMANIA
27 maggio 2026

Addio password, ecco come cambia la sicurezza online

Passkey, biometria e chiavi fisiche per proteggere identità e account digitali
Gennaro Annunziata

Per anni abbiamo considerato la password una formalità digitale, una sequenza da ricordare, aggiornare di tanto in tanto e rendere più complessa usando numeri, maiuscole e simboli. Oggi quel gesto, così abituale, è diventato uno dei punti più fragili della sicurezza online. Non perché siamo improvvisamente diventati più distratti, ma perché attorno alle credenziali si è sviluppata un’economia criminale organizzata, alimentata da strumenti sempre più potenti e accessibili.
La nostra identità non coincide più con un solo documento o con un singolo account ma è distribuita tra posta elettronica, banca online, social network, e-commerce, servizi pubblici digitali, app aziendali, cloud personali e dispositivi sincronizzati. Se una credenziale viene compromessa, il rischio raramente resta confinato a un solo servizio ma può aprire la strada a furti d’identità, frodi, accessi abusivi o, nei contesti aziendali, a incidenti ben più gravi.
Il modello tradizionale mostra limiti sempre più evidenti. Per gestire decine di account, molti utenti riutilizzano la stessa password o ne creano varianti minime. Altri le salvano nel browser, in note non protette o in luoghi facili da recuperare. Del resto, la memoria umana non è fatta per ricordare decine di credenziali lunghe, uniche e non prevedibili.
Il punto, però, è che oggi la complessità non basta più. Una password robusta può rendere più difficile un tentativo tradizionale di compromissione dell’account, ma diventa inutile se viene sottratta da un malware, intercettata attraverso una falsa pagina di accesso, recuperata da un archivio violato o salvata per errore in un ambiente non controllato. Non dobbiamo chiederci soltanto quanto sia forte una password, ma quante occasioni esistano perché esca dal nostro controllo.

Gli attacchi di credential stuffing sfruttano proprio questa debolezza. Quando una password finisce in un database criminale, software automatici la provano in pochi secondi su decine di altri servizi. Se l’utente l’ha riutilizzata, un vecchio account può diventare il punto di partenza per entrare nella posta, nei profili social o nei servizi finanziari.
Negli ultimi anni il phishing è cambiato. Non più email sgrammaticate o messaggi facilmente riconoscibili. Oggi una falsa comunicazione, una richiesta di aggiornamento credenziali, un avviso bancario o una pagina di login clonata possono essere costruiti con grande precisione.

L’intelligenza artificiale non ha inventato il phishing, ma lo ha reso più credibile e più rapido da produrre. Un attaccante può generare messaggi corretti, personalizzati, coerenti con il tono di un’azienda o di un servizio clienti. Può imitare urgenze operative, linguaggio interno, richieste amministrative. Nei contesti più esposti, entrano in gioco anche deepfake vocali e video con una chiamata che sembra provenire da un dirigente, una richiesta urgente di pagamento, una riunione online manipolata.

Accanto al phishing ci sono gli infostealer, malware progettati per estrarre password salvate, cookie di sessione, token e dati memorizzati nel browser. In alcuni casi, il criminale non deve nemmeno conoscere la password ma può sfruttare direttamente una sessione già autenticata. Così l’utente può anche aver scelto una password eccellente ma se il suo dispositivo è compromesso, la credenziale può essere rubata senza nemmeno essere stata digitata dal malcapitato.
Per le aziende, una credenziale VPN o un accesso remoto sottratto possono rappresentare l’inizio di un attacco ransomware. Molti incidenti non partono da attacchi spettacolari, ma da un login formalmente valido fatto dalla persona sbagliata. Il sistema vede una password corretta e solo dopo, spesso troppo tardi, ci si accorge che dietro quell’accesso non c’era il dipendente autorizzato.
La password è qualcosa che sappiamo e, proprio per questo, può essere comunicata, copiata, rubata e riutilizzata.

Il passwordless rompe questa logica alla radice. Non si basa più su ciò che l’utente digita, ma su un legame diretto tra il servizio e il dispositivo utilizzato per accedere.
Le passkey sono una delle soluzioni centrali di questo nuovo modello. Quando vengono attivate, il dispositivo crea una coppia di chiavi digitali, di cui una privata resta custodita in modo sicuro sullo smartphone o sul computer dell’utente, mentre l’altra pubblica è associata al servizio online. Al momento dell’accesso, non viene richiesta alcuna password ma il dispositivo firma una richiesta (challenge) generata dal servizio, dimostrando la propria autenticità senza mai esporre la chiave privata. In termini semplici, è come se il dispositivo possedesse una chiave impossibile da copiare: il sito verifica che sia autentica, ma senza mai vedere o ricevere il “segreto” vero e proprio.

La chiave privata non lascia mai il dispositivo: viene sbloccata localmente tramite impronta digitale, riconoscimento facciale o PIN. Quest’ultimo non funziona come una password tradizionale, non viaggia in rete, non viene conservato su un server e non può essere riutilizzato su altri siti. Nel contesto appena descritto la biometria viene spesso fraintesa. Usare il volto o l’impronta non significa consegnare quei dati a un servizio. Il dato biometrico resta sul dispositivo e serve solo ad autorizzare localmente l’operazione. Il sito riceve la conferma dell’autenticazione, non la scansione del volto o dell’impronta.
Le passkey funzionano solo con il dominio reale del servizio e anche una copia perfetta del sito non è in grado di attivare il processo di autenticazione. Questo significa che il phishing perde il suo principale punto di forza, cioè la capacità di ingannare l’utente inducendolo a digitare le proprie credenziali.
Accanto alle passkey ci sono le chiavi hardware, particolarmente utili per amministratori di sistema, professionisti esposti, dirigenti, figure finanziarie e utenti con accesso a dati critici. Sono meno comode per l’uso quotidiano di massa, ma offrono un livello di protezione molto elevato.
Il modello passwordless, però, non basta da solo. Va accompagnato da gestione dei dispositivi, procedure di recupero robuste, controllo dei privilegi, revoca tempestiva degli accessi e monitoraggio dei comportamenti anomali. In molti casi, il bersaglio si sposta dai login ai processi di recupero dell’account e alla gestione dell’identità.
La prima criticità è la dipendenza dal dispositivo. Se il telefono diventa la chiave principale della nostra vita digitale, bisogna sapere cosa accade in caso di smarrimento, furto o guasto. Servono backup degli accessi, dispositivi secondari configurati, procedure di recupero snelle ma non facili da manipolare.
C’è poi il tema dell’interoperabilità. Gli utenti si muovono tra ecosistemi diversi come Apple, Google e Microsoft, passando continuamente da dispositivi personali a quelli aziendali. Se l’esperienza diventa frammentata o incoerente, il rischio è che la semplicità promessa dal passwordless venga vanificata e si torni alla vecchia password per comodità.
Non basta attivare una funzione, occorre ripensare la gestione dell’identità. Anche la cultura degli utenti pesa. Per anni abbiamo associato la sicurezza a qualcosa da ricordare; ora dobbiamo abituarci a un modello in cui dispositivo, biometria locale e contesto diventano parte dell’identificazione.
Resta inoltre il rischio degli attacchi ai processi di recupero. I criminali proveranno a colpire assistenza clienti, email di recupero, SIM, documenti rubati o procedure deboli. Il passwordless riduce molti rischi, ma non elimina la necessità di vigilanza.
Per i cittadini il cambiamento sarà graduale. Accederemo sempre più spesso senza digitare password: banca, e-commerce, social, servizi pubblici digitali, cloud. Sembrerà una comodità, ma sarà una modifica profonda del rapporto tra persona, dispositivo e identità.
Diventerà più importante proteggere smartphone e computer. Aggiornamenti, blocco schermo, app affidabili, controllo dei dispositivi collegati e attenzione agli account di recupero. Il dispositivo sarà sempre più il centro della nostra identità digitale.
Per le aziende, l’identità è ormai uno dei nuovi perimetri della cybersecurity. In un mondo di cloud, lavoro ibrido e applicazioni distribuite, non basta difendere la rete. Bisogna proteggere accessi, privilegi, sessioni e comportamenti. Il tema riguarda anche la compliance. Una credenziale compromessa può produrre danni operativi, economici, reputazionali e legali. Proteggere l’identità digitale non è più una buona pratica tecnica, ma una responsabilità verso clienti, fornitori e dipendenti.
Nel passaggio al passwordless conviene partire dagli account più importanti: email principale, banca, identità digitale, cloud, social e strumenti di lavoro. Dove disponibili, le passkey vanno valutate, verificando prima i metodi di recupero e configurando più dispositivi quando possibile.
Nel frattempo l’autenticazione a più fattori resta una valida alternativa, meglio se non affidata solo agli SMS. È importante distinguere il passwordless dall’autenticazione a più fattori.

Con la two-factor authentication (2FA), la password continua a esistere e rappresenta ancora il primo fattore di accesso a cui viene affiancata da un secondo controllo, come un codice sul telefono o una notifica.
Finché useremo password, un password manager resta utile per crearle uniche e robuste, evitando riutilizzi e varianti prevedibili.
La password non sparirà da un giorno all’altro. Continueremo a convivere con vecchi e nuovi sistemi. Ma il cambiamento è avviato. La sicurezza online non può più fondarsi su un segreto statico che l’utente deve ricordare e proteggere da solo. Il futuro dell’identità digitale passerà da accessi più difficili da rubare e più semplici da usare correttamente. Non eliminerà ogni rischio, ma renderà molto più difficile trasformare un errore umano in un accesso abusivo.
Gennaro Annunziata