Passkey: la morte annunciata delle password è finalmente arrivata?
Per decenni, la password ha rappresentato il principale scudo tra l’utente e i propri dati digitali, spesso anche l’unico. Un sistema nato negli anni Sessanta nei laboratori del MIT, concepito per un mondo in cui l’accesso a un computer era un privilegio riservato a pochi ricercatori, governa oggi l’autenticazione di miliardi di persone. Fernando Corbató, il padre delle password, confessò prima di morire di conservare le proprie su un quaderno di carta: un epitaffio involontario sull’inadeguatezza strutturale di ciò che aveva inventato.
Il 2025 ha segnato quello che molti analisti considerano il punto di non ritorno. Non una dichiarazione d’intenti, ma un cambiamento misurabile nei comportamenti e nell’infrastruttura globale dell’autenticazione. Le passkey, implementazione dello standard FIDO2/WebAuthn, hanno smesso di essere un esperimento da laboratorio per diventare tecnologia di massa. Ma “tecnologia di massa” significa davvero “soluzione definitiva”? La risposta, come spesso accade in sicurezza informatica, è più complessa di quanto i comunicati stampa dei grandi vendor lascino intendere.
I numeri della svolta
I dati pubblicati dalla FIDO Alliance nel suo Passkey Index 2025, realizzato in collaborazione con la società di ricerca Liminal e basato su metriche aggregate provenienti da Amazon, Google, Microsoft, PayPal, Target e TikTok, disegnano un quadro inequivocabile. Secondo la FIDO Alliance, più di 15 miliardi di account online possono oggi usare le passkey per accedere ai servizi, un numero più che raddoppiato rispetto all’anno precedente.
Sul versante consumer, il sondaggio FIDO World Passkey Day (1° maggio 2025) ha rilevato che il 74% dei consumatori è consapevole dell’esistenza delle passkey e il 69% le ha già attivate su almeno uno dei propri account; più della metà degli intervistati le ritiene sia più sicure (53%) sia più comode (54%) rispetto alle password tradizionali.
Sul versante enterprise il dato è altrettanto significativo: un’indagine HID e FIDO Alliance condotta nell’autunno 2024 su 400 executive di aziende con oltre 500 dipendenti ha rilevato che l’87% dichiara di aver già distribuito passkey o di essere in fase attiva di deployment, con una crescita di 14 punti percentuali rispetto al 2022. Va però sottolineato che si tratta di un campione autoselezionato di organizzazioni già impegnate nel deployment o intenzionate a farlo: non è quindi rappresentativo della totalità delle imprese, e va letto come indicatore del segmento più avanzato del mercato.
I dati operativi dei singoli operatori confermano la svolta. Amazon ha reso le passkey disponibili al 100% dei propri utenti e conta già 175 milioni di passkey create; Google riporta 800 milioni di account che usano passkey, con oltre 2,5 miliardi di autenticazioni in due anni, registrando un miglioramento del 30% nel tasso di successo dei login e un aumento del 20% nella velocità di accesso.
Microsoft, che a maggio 2025 ha reso le passkey il metodo di accesso predefinito per tutti i nuovi account, registra quasi un milione di nuove passkey create ogni giorno, un tasso di successo del 98% nei login con passkey contro il 32% delle password tradizionali, con accessi fino a otto volte più veloci rispetto alla combinazione password più MFA.
Sul versante dei password manager, Dashlane nel suo Passkey Power 20 Report 2025 registra autenticazioni con passkey più che raddoppiate anno su anno (1,3 milioni al mese) e il 40% dei propri utenti conserva ormai almeno una passkey, il doppio rispetto all’anno precedente.
Occorre però mantenere il senso delle proporzioni. Stando alle stime basate sui dati FIDO e del settore, la quota di login aziendali completamente privi di password nel 2025 è ancora inferiore al 10%: i grandi numeri sugli “account che supportano le passkey” riflettono la disponibilità tecnica, non necessariamente l’adozione come metodo primario.
Come funziona la magia crittografica
Comprendere perché le passkey siano strutturalmente superiori alle password richiede di chiarire cosa cambia a livello architetturale. Con una password, l’utente crea un segreto condiviso: lo conosce l’utente e lo conosce il servizio. Questo modello introduce una superficie d’attacco enorme: database violati, phishing, credential stuffing, keylogger.
Con una passkey, il paradigma si inverte completamente. Al posto di un segreto condiviso, il sistema utilizza una coppia di chiavi crittografiche: la chiave privata non lascia mai il dispositivo dell’utente, mentre la chiave pubblica viene registrata dal servizio. L’autenticazione avviene tramite meccanismi già familiari come Face ID, Touch ID, Windows Hello o il PIN del dispositivo.
Il vantaggio di sicurezza più rilevante è la resistenza intrinseca al phishing. Ogni passkey è crittograficamente vincolata a uno specifico dominio: anche se l’utente accedesse a un sito malevolo che impersona il legittimo servizio, browser e sistema operativo bloccherebbero il tentativo a livello tecnico. Non è una protezione che dipende dalla vigilanza dell’utente: è una proprietà matematica del protocollo. Per un approfondimento su come gli attacchi di tipo Adversary-in-the-Middle sfruttano invece le debolezze della MFA tradizionale, si rimanda all’analisi pubblicata su ICT Security Magazine sugli attacchi AiTM che bypassano la MFA.
Il FIDO Alliance Passkey Index 2025 conferma la superiorità operativa con dati precisi: le passkey raggiungono un tasso di successo del 93% nei login rispetto al 63% degli altri metodi, impiegano in media 8,5 secondi per completare un’autenticazione contro i 31,2 secondi dell’MFA tradizionale, e riducono dell’81% le chiamate all’help desk legate all’autenticazione.
Il mercato e la spinta regolatoria
L’adozione delle passkey non è guidata solo dalla tecnologia. Un fattore cruciale, spesso sottovalutato, è la convergenza normativa globale che sta eliminando le alternative meno sicure.
Il 2025 è stato l’anno in cui i regolatori di tutto il mondo hanno dichiarato che l’OTP via SMS non è più sufficiente: gli Emirati Arabi hanno obbligato tutte le istituzioni finanziarie a eliminare SMS e OTP email entro marzo 2026; l’India ha introdotto nuove regole di autenticazione per i pagamenti digitali con effetto dal 1° aprile 2026; le Filippine hanno imposto alle banche di limitare i meccanismi di autenticazione intercettabili da terzi entro giugno 2026.
Sul versante del mercato, le stime divergono tra le diverse società di ricerca. Authsignal stima che il mercato globale dell’autenticazione passwordless abbia raggiunto 24,1 miliardi di dollari nel 2025, proiettato a crescere con un CAGR del 18,24% fino a 55,7 miliardi nel 2030; stime più ottimistiche di Straits Research proiettano una crescita fino a 86 miliardi entro il 2033. In ogni caso, si tratta di una transizione infrastrutturale con un calendario preciso e investimenti concreti.
Le sfide reali: dove le passkey mostrano i loro limiti
Sarebbe però disonesto presentare le passkey come una soluzione priva di criticità. Le sfide esistono, sono documentate e meritano un’analisi rigorosa.
Il problema del recovery. Quando un utente perde il dispositivo su cui è memorizzata la passkey, perde l’accesso all’autenticazione e deve ricorrere a metodi di recupero alternativi. Si crea così una situazione paradossale: un meccanismo più sicuro genera nuove vulnerabilità nella fase di recupero dell’account, se l’utente non ha predisposto opzioni di backup adeguate. Gli esperti di sicurezza descrivono il recovery come “l’anello debole” del paradigma passwordless, perché i processi di recupero attuali ricadono ancora su fattori potenzialmente compromettibili.
La risposta del settore è in corso. A Microsoft Ignite 2025, Microsoft ha introdotto in public preview per Entra ID le passkey sincronizzate abbinate a un sistema di recupero account basato su verifica biometrica tramite intelligenza artificiale confrontata con documenti d’identità governativi in 192 paesi: un approccio che combina la semplicità delle passkey sincronizzate con un processo di recupero ad alta affidabilità.
Il dilemma synced vs. device-bound. Le passkey si dividono in due categorie: quelle sincronizzate, che viaggiano attraverso iCloud Keychain, Google Password Manager o Microsoft Authenticator, e quelle legate al dispositivo. La scelta delle passkey sincronizzate ha generato dibattiti e critiche: poiché le credenziali possono essere trasmesse tra dispositivi, il rischio di attacchi remoti aumenta e i provider di passkey possono diventare un single point of failure in caso di compromissione, come già avvenuto nel breach di LastPass nel 2022.
Su questo punto, il NIST SP 800-63-4, finalizzato nel luglio 2025, ha fornito una risposta normativa importante: classifica le passkey sincronizzate come conformi all’Authenticator Assurance Level 2 (AAL2), risolvendo un’ambiguità che aveva reso alcuni settori regolamentati esitanti nell’adozione.
La trappola del lockout enterprise. In ambienti aziendali, l’implementazione delle passkey presenta insidie operative non banali. Come documentato da Corbado nel suo deployment guide, la creazione di una policy di Conditional Access che richieda autenticazione phishing-resistant per tutte le app cloud blocca immediatamente ogni utente che non abbia ancora registrato una passkey, inclusa la pagina di registrazione stessa. Questa dipendenza circolare, nota come “paradosso Register Security Info“, impone di emettere un Temporary Access Pass agli utenti prima di attivare l’enforcement. Per chi volesse affrontare la migrazione pratica in contesto italiano, ICT Security Magazine ha pubblicato una guida tecnica alla migrazione FIDO2 per il CISO.
La portabilità: problema in via di soluzione. Fino a settembre 2025, le passkey di Apple non potevano essere esportate verso gestori di terze parti. Con iOS 26, Apple ha introdotto la portabilità delle credenziali tramite il nuovo standard Credential Exchange, consentendo agli utenti di spostare le passkey tra il gestore integrato di Apple e quelli di terze parti. Il Credential Exchange Protocol (CXP/CXF) della FIDO Alliance è tuttavia ancora in sviluppo attivo nel 2026 e la portabilità piena tra tutti gli ecosistemi non è ancora completamente standardizzata.
Le popolazioni escluse. Esiste infine una questione di inclusione digitale che la narrazione mainstream tende a trascurare. Le passkey presuppongono dispositivi moderni e sistemi operativi aggiornati. I dati di Corbado mostrano che il 75,44% dei dispositivi era passkey-ready al luglio 2025: significa che circa un quarto del parco installato globale, concentrato in ambienti legacy, sanità, pubblica amministrazione e manifatturiero, non è ancora attrezzato.
Il problema della concentrazione del potere e la sfida dell’IA agentica
C’è una dimensione critica che va nominata esplicitamente: le passkey, nella loro implementazione più diffusa, spostano il potere di autenticazione verso un oligopolio di piattaforme. Apple, Google e Microsoft sono simultaneamente custodi delle credenziali (tramite iCloud Keychain, Google Password Manager, Windows Hello) e costruttori dei dispositivi su cui quelle credenziali risiedono. Un utente che perde l’accesso al proprio Apple ID si trova in una situazione in cui sia la credenziale sia il meccanismo di recovery dipendono dallo stesso attore. La diversificazione attraverso password manager indipendenti (1Password, Bitwarden, Dashlane) e l’accelerazione della standardizzazione aperta del Credential Exchange Protocol rimangono passaggi necessari per evitare che la sicurezza si trasformi in dipendenza.
A questa sfida strutturale se ne aggiunge una nuova, emersa con chiarezza nel corso del 2025: l’IA agentica. Andrew Shikiar, CEO della FIDO Alliance, ha sintetizzato la contraddizione in modo memorabile: “Abbiamo trascorso un decennio a capire come impedire ai bot di autenticarsi; ora dobbiamo capire come abilitarli.” In un mondo in cui i modelli linguistici prenotano voli, inviano email e accedono a piattaforme SaaS per conto delle persone, l’autenticazione basata su biometria umana e possesso fisico del dispositivo mostra i propri limiti strutturali. La FIDO Alliance ha avviato lo sviluppo di nuovi standard e programmi di certificazione per le credenziali digitali, con l’obiettivo di risolvere il problema dell’autenticazione per gli agenti AI che operano in nome degli utenti.
La roadmap verso il futuro passwordless
Il 2026 si profila come l’anno del consolidamento. Sul fronte tecnico si intravede già la prossima sfida: la crittografia post-quantum. L’IANA ha aggiunto gli algoritmi crittografici post-quantum alla lista COSE nell’aprile 2025, creando le basi per passkey resistenti ai computer quantistici nel medio termine. Le organizzazioni più lungimiranti stanno già progettando la propria infrastruttura con algorithm agility: la capacità di sostituire le primitive crittografiche senza riscrivere il codice applicativo.
Sul fronte consumer, i casi d’uso dimostrano la maturità operativa. I dati di eBay dall’Authenticate Conference 2025 mostrano che un prompt biometrico automatico al momento del login genera il 75% di tutte le nuove registrazioni di passkey, contro il 10% prodotto da chi accede volontariamente alle impostazioni dell’account. Il posizionamento contestuale del prompt è la variabile più determinante per il tasso di adozione.
Analisi critica: soluzione definitiva o transizione necessaria?
La domanda che apre questo articolo merita una risposta articolata, non una dichiarazione trionfale.
Le passkey sono la risposta più convincente disponibile oggi al problema dell’autenticazione di massa. I dati operativi sono inequivocabili: tassi di successo superiori, resistenza strutturale al phishing, eliminazione dei database di credenziali, velocità d’accesso misurabilmente migliore. Non è tecnologia speculativa: è infrastruttura in produzione con centinaia di milioni di utenti reali.
Dichiarare “la password è morta” sarebbe però prematuro per almeno quattro ragioni. Prima: la quota reale di login completamente passwordless è ancora sotto il 10% nel mondo enterprise, e i grandi numeri sull’adozione riflettono disponibilità tecnica, non sostituzione effettiva. Seconda: le sfide di recovery e portabilità non sono completamente risolte, anche se i progressi del 2025 (NIST SP 800-63-4, iOS 26 Credential Exchange, sistemi di recupero AI-assisted di Microsoft) le hanno ridimensionate sensibilmente. Terza: la concentrazione del controllo nelle mani di pochi ecosistemi è un rischio sistemico che la standardizzazione aperta deve ancora completare. Quarta: l’autenticazione nell’era dell’IA agentica pone domande a cui FIDO2/WebAuthn, nella sua forma attuale, non risponde ancora.
La password non muore domani mattina. Ma è in coma, e le passkey sono il sistema che la sostituirà: non con un bang, ma con il silenzio progressivo di un’interfaccia che smette semplicemente di chiedere di ricordare qualcosa. Il futuro dell’autenticazione non sarà tanto la fine di un segreto quanto la fine dell’onere di custodirlo.
