L'attrito al login distrugge la conversione: 5 sintomi e soluzioni

Whitepaper di analytics dell'autenticazione. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.

Ottieni il whitepaper

Se sei un product manager responsabile dell'autenticazione, probabilmente avrai sentito dire: "Perché il nostro tasso di conversione è bloccato?". Vengono incolpati i soliti sospetti: spesa pubblicitaria, tempi di caricamento delle pagine, UX del checkout. Ma c'è un passaggio nel funnel che è più difficile da diagnosticare: il login.

La maggior parte degli stack di analisi tratta l'autenticazione in modo binario: connesso o meno. Non catturano l'attrito di autenticazione nel mezzo: l'utente che ha provato tre password e ha rimbalzato, quello il cui codice SMS è arrivato con 45 secondi di ritardo, il cliente abituale che non riusciva a ricordare se aveva usato "Accedi con Google" o se aveva creato una password.

Questo punto cieco è costoso. I tassi di abbandono del carrello si aggirano in media intorno al 70% e una fetta significativa risale all'attrito al login. A differenza dell'abbandono del checkout (di cui ogni team di e-commerce è ossessionato), i fallimenti di login non vengono misurati né risolti.

L'impatto si aggrava: ogni login non riuscito rappresenta un CAC sprecato, un CLTV ridotto e un cliente che potrebbe passare a un concorrente che offre un login senza attriti. Se non puoi strumentarlo, non puoi migliorarlo.

Prima di approfondire, considera questo: se ridurre l'abbandono al login di qualche punto percentuale significa +6 cifre in entrate annuali per una grande azienda di e-commerce, cosa significa per la tua?

Se quei dati non esistono nel tuo stack di analisi, hai identificato il primo sintomo di un problema più profondo: stai volando alla cieca sull'autenticazione.

Ogni fase dell'autenticazione è una tassa sull'intenzione dell'utente. La domanda è: sai quanto stai facendo pagare?

Considera cosa succede quando un utente di ritorno vuole completare un acquisto:

1. Prova la sua solita password. Sbagliata.
2. Prova una variante. Di nuovo sbagliata.
3. Ora si trova di fronte a un bivio: reimpostare la password (oltre 5 minuti di attrito) o abbandonare il carrello (2 secondi).

Per la maggior parte degli utenti, l'abbandono vince. E la tua analisi mostra solo un rimbalzo, non la causa principale.

Questa "tassa sul login" si aggrava nel momento peggiore possibile: il checkout. L'utente ha già investito tempo navigando, confrontando, aggiungendo al carrello. È pronto a pagare. Poi l'attrito di autenticazione colpisce e il carico cognitivo supera la motivazione.

graph TD
    A[Utente di ritorno al checkout] --> B{Prova password solita};
    B -- Fallita --> C{Prova variante password};
    C -- Fallita --> D[Punto di decisione ad alto attrito];
    D -- Percorso di minor resistenza --> E["Abbandono carrello (2 secondi)"];
    D -- Percorso di maggior resistenza --> F["Avvia ripristino password (5+ minuti)"];
    F --> G{Ripristino riuscito?};
    G -- No --> E;
    G -- Yes --> H[Ritorno al checkout e login];

    style E fill:#ffcccc,stroke:#ff0000,stroke-width:2px,color:#990000
    style D fill:#fff4e6,stroke:#ff9900,stroke-width:2px

Cosa tratta questo articolo: questo articolo è un'analisi pratica dei cinque fallimenti di autenticazione che distruggono la conversione e come diagnosticarli nel tuo funnel. Ogni sezione include cosa misurare, quale sia in genere la causa principale e come si presenta la soluzione. L'obiettivo è darti i dati per costruire un business case per gli investimenti nell'autenticazione e una roadmap per eseguirli concretamente.

Come rilevarlo: traccia la differenza tra login_modal_opened e login_successful. Se vedi un abbandono superiore al 20% prima che l'autenticazione sia completata, questa sezione fa al caso tuo.

Perché è importante: questo è il momento di massima intenzione nel tuo funnel. Gli utenti che raggiungono il login hanno già deciso di interagire: sono a un passo dalla conversione. Perderli qui ha il peggior impatto sul ROI di qualsiasi fase del funnel.

Il pattern di "registrazione forzata" è un killer aggressivo delle conversioni. Al checkout, gli utenti hanno investito tempo navigando e confrontando. Forzare la creazione di un account nel momento esatto in cui vogliono pagare crea il massimo attrito alla massima intenzione. Le passkey possono aiutare a risolvere questo problema: scopri come le passkey aumentano la conversione ottenendo il 93% di successo al login rispetto al 63% delle password.

Per un'analisi dettagliata del guest checkout rispetto al login forzato, consulta il nostro articolo dedicato.

Il social login (es. "Accedi con Google", "Continua con Apple") teoricamente riduce l'attrito. Ma una scarsa implementazione crea nuovi problemi di login:

Se questi pulsanti sono nascosti "below the fold", resi in un modo che suggerisce siano opzioni secondarie o inferiori, o se mancano degli "ambiti" appropriati (chiedendo troppi dati), l'utente viene reindirizzato verso il percorso ad alto attrito della password.

Inoltre, l'"effetto NASCAR", in cui una schermata è ingombra di loghi di ogni possibile identity provider (Google, Facebook, Apple, ecc.), può portare alla paralisi decisionale. Al contrario, offrire una sola opzione che l'utente non utilizza (es. offrire solo il login con Facebook quando i tuoi clienti usano principalmente dispositivi Apple) crea un vicolo cieco. La scelta progettuale spesso deriva dal desiderio fuorviato di "possedere la credenziale" (forzando una password locale), che inavvertitamente aumenta l'abbandono spingendo gli utenti verso il percorso di maggior resistenza.

Sui dispositivi mobili, dove lo spazio sullo schermo è limitato e la digitazione è soggetta a errori, il muro del login forzato è ancora più letale. Compilare un modulo di registrazione a più campi sulla tastiera di uno smartphone è un'attività ad alto attrito. Se il pulsante "Registrati" non è facilmente accessibile tramite una soluzione "One-Tap", o se il modulo non supporta correttamente gli attributi di autocompletamento, il tasso di abbandono aumenta significativamente rispetto al desktop. Il divario tra traffico mobile (alto) e conversione mobile (bassa) è spesso spiegato dalla pura difficoltà di navigare attraverso questi muri di login su uno schermo da 6 pollici.

Come rilevarlo: tasso di ripristino della password come percentuale dei tentativi totali di login. Un numero superiore al 10% significa che l'affaticamento da password sta danneggiando il tasso di conversione del login.

Perché è importante: i ripristini delle password sono indicatori di utenti frustrati. Ogni ripristino significa un utente che voleva interagire ma non riesce ad accedere.

Il tasso di ripristino della password misura direttamente l'attrito di autenticazione. Quando gli utenti di ritorno vedono "Password errata", provano delle varianti. Se queste falliscono: avviano il ripristino della password o abbandonano.

graph LR
    Step1(1. Clic su 'Password dimenticata') --> Step2(2. Inserisci email);
    Step2 --> Step3{3. Attesa email \n Latenza variabile};
    Step3 --Arriva in ritardo--> DropOff1[Abbandono: Distratto/Impaziente];
    Step3 --Arriva--> Step4(4. Cambia contesto all'app email);
    Step4 --> Step5{5. Trova email \n Spam/Promozioni?};
    Step5 --Nascosta--> DropOff2[Abbandono: Non trova l'email];
    Step5 --Trovata--> Step6(6. Clicca sul link di ripristino);
    Step6 --> Step7{7. Crea nuova password \n Regole di complessità};
    Step7 --Fallisce regole/Controllo cronologia--> DropOff3[Abbandono: Frustrazione/Rage Quit];
    Step7 --Successo--> Step8(8. Conferma password);
    Step8 --> Step9(9. Ritorna alla schermata di login);
    Step9 --> Step10(10. Inserisci nuove credenziali);
    Step10 --> Success(Ritorno al checkout);

    style DropOff1 fill:#ffdede,stroke:none,color:#cc0000
    style DropOff2 fill:#ffdede,stroke:none,color:#cc0000
    style DropOff3 fill:#ffdede,stroke:none,color:#cc0000
    linkStyle 2,5,8 stroke:#cc0000,stroke-width:2px,stroke-dasharray: 5 5;

Circa il 19% degli utenti abbandona i carrelli perché ha dimenticato la password. Ogni passaggio è un punto di abbandono. Al passaggio 5 (trovare l'email nello spam), hai perso una fetta significativa di utenti.

Quasi il 50% degli utenti abbandonerebbe se gli venisse detto che la nuova password non può essere uguale a una vecchia. Questo "controllo della cronologia" blocca il meccanismo di coping dell'utente per l'affaticamento da password: il riutilizzo. Senza un'alternativa di autenticazione a basso attrito (come le passkey), gli utenti inventano password sul momento che dimenticheranno, assicurando che il ciclo si ripeta.

Forrester stima 70 dollari statunitensi per ogni ripristino della password che richiede l'intervento umano. Per le grandi aziende, questo ammonta a milioni all'anno.

Il costo invisibile è peggiore: utenti di ritorno frustrati che volevano interagire ma sono stati bloccati fuori. Il ciclo di ripristino della password è una ferita autoinflitta alla conversione.

Ironicamente, l'attrito delle password porta a una sicurezza più debole. Poiché gli utenti sono frustrati, ricorrono a comportamenti pericolosi: annotare le password, usare "Password123" o condividere le credenziali. Il 46% dei consumatori statunitensi non riesce a completare le transazioni a causa di un fallimento dell'autenticazione e questo fallimento li spinge verso concorrenti che potrebbero offrire un'esperienza di login fluida. La password è diventata il vettore primario sia per le violazioni della sicurezza (tramite credential stuffing) che per le violazioni delle conversioni (tramite abbandono).

Come rilevarlo: traccia il processo di richiesta OTP, invio OTP e successo OTP. Se il tempo di invio è superiore a 30 secondi o se hai un tasso di fallimento superiore al 5%, allora gli OTP via SMS hanno un problema di conversione.

Perché è importante: gli OTP via SMS scambiano un problema di memoria per un problema di consegna. Le modalità di guasto sono invisibili: vedi l'abbandono, non l'utente che fissa il telefono aspettando un codice che non arriva mai. Peggio ancora: i costi degli SMS scalano con l'uso, quindi stai pagando per l'attrito di autenticazione.

Il difetto fondamentale dell'autenticazione via SMS è la dipendenza dalla rete telefonica (SS7) che non è mai stata progettata per l'autenticazione in tempo reale. La consegna dipende da aggregatori, operatori e accordi di roaming. Un singolo guasto significa che un utente fissa uno schermo, in attesa di un codice che non arriva mai.

Le frodi legate al "pumping" degli SMS hanno innescato un filtraggio antispam aggressivo da parte degli operatori. Gli OTP legittimi vengono intercettati, specialmente per gli utenti internazionali. Un utente tedesco che si registra per un servizio statunitense potrebbe non ricevere mai il codice.

Gli OTP via SMS costringono gli utenti ad abbandonare il flusso di checkout, aprire Messaggi, memorizzare il codice e tornare indietro. Sui sistemi di gestione della memoria aggressivi, questo ricaricamento azzera del tutto il checkout, cancellando i dati del modulo.

Sebbene l'"Auto-fill OTP" su iOS e Android aiuti, spesso fallisce se il formato dell'SMS non corrisponde alle euristiche del sistema operativo.

Come rilevarlo: confronta i tassi di conversione per tipo di dispositivo. Un traffico mobile superiore al 70% ma una conversione che ritarda sul desktop del 30% o più potrebbe significare che c'è un po' di attrito di autenticazione tra dispositivi. Controlla anche i tassi di timeout della sessione al checkout.

Perché è importante: gli utenti navigano su dispositivi mobili, ma spesso acquistano su desktop. Se lo stato di autenticazione non si trasferisce, stai forzando un nuovo login nel momento peggiore. I timeout di sessione aggressivi (impostati da sicurezza/conformità) uccidono le conversioni a metà del checkout o tra due visite.

Il "gap tra dispositivi" è un fenomeno ben documentato nell'e-commerce. Il traffico mobile rappresenta circa il 75% delle visite, tuttavia i tassi di conversione mobile (circa 2%) restano significativamente indietro rispetto ai tassi di conversione desktop (circa 3%). Sebbene le dimensioni dello schermo giochino un ruolo, un contributo significativo a questo gap è l'incapacità di trasferire senza problemi lo stato di autenticazione.

Considera uno scenario comune: un utente su uno smartphone fa clic su un annuncio, naviga in un negozio e aggiunge articoli a un carrello. Sta navigando come "ospite". Decide di finire l'acquisto sul suo laptop dove è più facile digitare i dettagli della carta di credito. Quando apre il sito sul desktop, il suo carrello è vuoto. Per recuperarlo, deve accedere. Tuttavia, se ha creato un account su dispositivo mobile, potrebbe aver utilizzato una funzione "Suggerisci password" che ha creato una stringa complessa che non ha mai visto. Ora, sul suo desktop Windows, non conosce la password.

È di fatto bloccato fuori dalle sue stesse intenzioni. Deve avviare un ripristino della password sul desktop, che invia un'email al suo telefono, forzando un macchinoso ciclo di scambio di dispositivi che spesso si traduce in abbandono. L'attrito per colmare il vuoto d'aria tra mobile e desktop è troppo elevato.

I timeout di sessione vengono spesso impostati dai team di sicurezza/conformità (PCI-DSS, ecc.) senza l'input del prodotto. Un timeout di 15 minuti suona ragionevole finché non ti rendi conto che l'"inattività" per un server corrisponde a "cercare un codice sconto" o "controllare il prezzo di un concorrente" per un utente.

Ciò accade dopo che l'utente si è impegnato. Il rifiuto sembra punitivo. Senza il salvataggio automatico dei dati del modulo, l'utente deve inserire di nuovo tutto. Il 60% dei consumatori cita la frustrazione legata al login (compresi i timeout) come motivo di abbandono totale.

Come rilevarlo: controlla se i tassi di step-up MFA hanno subito picchi dopo un incidente di sicurezza. Cerca aumenti improvvisi nei blocchi di "attività sospetta" che sono correlati a cali di conversione. Sonda il supporto clienti per il volume dei ticket "Non riesco ad accedere".

Perché è importante: i team di sicurezza e di prodotto spesso operano a compartimenti stagni. Dopo un attacco di credential stuffing o un audit di conformità, la sicurezza aggiunge attrito (es. MFA obbligatorio, punteggio di rischio aggressivo) senza visibilità sull'impatto sulla conversione. Il risultato: le frodi calano, ma anche le entrate. L'obiettivo è trovare metodi (come le passkey) che siano al tempo stesso più sicuri e con meno attrito.

Quando gli utenti segnalano "Non riesco ad accedere", quanto tempo ci vuole per la diagnosi? Se ti manca la strumentazione di autenticazione, voli alla cieca.

Un tasso di successo del 90% potrebbe mascherare un fallimento del 50% per gli utenti mobili. Dividi per:

• Dispositivo/browser: Chrome su Android che fallisce mentre Safari su iOS ha successo indica un bug specifico.
• Metodo di autenticazione: se la password ha il 90% di successo ma il social login ha il 60%, concentrati sull'implementazione del social login.
• Touchpoint di ingresso: se il login nell'intestazione ha il 95% di successo ma il login al checkout ha il 70%, il flusso di checkout presenta un attrito unico.
• Nuovo rispetto a di ritorno: i nuovi utenti che falliscono suggeriscono problemi di registrazione; gli utenti di ritorno che falliscono suggeriscono problemi di password/sessione.
• Regione/mercato: le preferenze di accesso ai social variano notevolmente (Facebook è forte negli Stati Uniti, Kakao/Naver in Corea, Google domina in Europa). L'affidabilità della consegna degli SMS varia anche in base all'operatore e al paese.

Per misurazioni complete, consulta il nostro manuale di analisi dell'autenticazione.

Non è necessario smantellare il tuo identity provider (Auth0, Cognito, ForgeRock, Ping) per migliorare. Correzioni di UX ad alto impatto possono essere rilasciate in un singolo sprint.

• Rivela la password: "Mostra password" (icona dell'occhio) riduce i fallimenti di login dovuti a errori di battitura sui dispositivi mobili
• Opzioni di login persistenti: se l'utente ha precedentemente utilizzato Google, evidenzia il pulsante Google. Il badge "Hai utilizzato Google l'ultima volta" riduce il carico cognitivo
• Convalida in linea: convalida i requisiti della password in tempo reale, non all'invio
• Estendi le sessioni: applica i timeout solo per le azioni sensibili, non per la navigazione dei prodotti
• Focus automatico: cursore nel campo dell'email all'apertura del modale, tastiera corretta sui dispositivi mobili

Le modifiche all'UX aiutano, ma la leva più grande è rimuovere del tutto la password. Le passkey risolvono i sintomi 1, 2, 3 e 5:

• Nessuna digitazione: Face ID/Touch ID/Windows Hello: nessuna password da ricordare male
• Nessun ritardo di consegna: nessun codice SMS. La credenziale risiede sul dispositivo
• Nessun ripristino: non si può dimenticare una passkey. Si sincronizza tramite iCloud Keychain o Google Password Manager
• Migliore sicurezza: resistente al phishing fin dalla progettazione: un'autenticazione più forte senza attrito

Sai rispondere a queste domande sulla tua autenticazione?

• Quali combinazioni di dispositivi/browser hanno il calo maggiore?
• Quale percentuale di login fallisce tecnicamente rispetto a quelli annullati dall'utente, suddivisi per metodo (password, social, OTP, passkey)?
• Quando gli utenti segnalano "Non riesco ad accedere", riesci a diagnosticare in pochi minuti - non giorni?
• Come varia il tasso di conversione del login: login nell'intestazione rispetto a login al checkout?

Se no, hai lo stesso punto cieco che ha la maggior parte dei team. Corbado fornisce osservabilità specifica per l'autenticazione su tutti i metodi di auth: creata appositamente per i team che hanno bisogno di analisi senza cambiare il proprio stack di autenticazione.

• Analisi del funnel: traccia la conversione in ogni passaggio da login_initiated a session_established - segmentata per password, social login, OTP e passkey
• Approfondimenti a livello di dispositivo: se Chrome su Android fallisce a una frequenza tripla rispetto a Safari su iOS per un metodo specifico, sai dove concentrarti
• Attribuzione degli errori: i motivi specifici dei guasti (es. password_incorrect, otp_expired, social_login_cancelled, credential_not_found) trasformano vaghi problemi di login in dati azionabili

• Confronto dei metodi: quale metodo di autenticazione ha il tasso di successo più alto? L'attrito più basso? Guarda le metriche sulle passkey per i KPI specifici delle passkey
• Test A/B: testa la preminenza del metodo di autenticazione, i flussi di fallback e gli incoraggiamenti per l'iscrizione
• Analisi di coorte: confronta i tassi di conversione e l'abbandono del carrello tra i metodi di autenticazione
• Dashboard in tempo reale: monitora l'integrità dell'autenticazione durante il Black Friday/lanci di prodotti

Una volta identificato che il login al checkout ha il 20% di successo in meno rispetto al login nell'intestazione:

• Ottimizzazione del metodo: mostra il metodo di autenticazione più veloce per ciascun utente in base alla cronologia
• Conditional UI: il completamento automatico del browser offre le credenziali salvate, abilitando il login senza attriti
• Flussi di fallback: instradamento intelligente dai metodi non riusciti alle alternative senza vicoli ciechi
• Riduzione dei costi: sposta gli utenti dall'OTP via SMS verso metodi a costo inferiore come le passkey. Alcune aziende registrano una riduzione dei costi SMS superiore al 70%

Scopri di più sulle capacità di analisi di Corbado.

L'attrito al login è un problema di entrate che si nasconde in un punto cieco delle metriche. I cinque sintomi sono identificabili e risolvibili:

1. Abbandono del login/registrazione: aggiungi il guest checkout, un social login evidente, sistema la UX sui dispositivi mobili
2. Affaticamento da password: traccia i tassi di ripristino, implementa flussi di aggiunta (append) delle passkey
3. Fallimenti nella consegna degli OTP: misura i tassi di successo per regione/operatore, valuta le alternative
4. Attrito tra dispositivi: estendi le sessioni, preserva lo stato del carrello, migliora l'UX di passaggio (handover)
5. Attrito indotto dalla sicurezza: allinea sicurezza e prodotto su metriche di conversione condivise

Il meta-problema: la maggior parte delle organizzazioni non riesce a vedere l'attrito di autenticazione nelle proprie analisi. I rimbalzi vengono registrati; le cause principali no.

La strada verso il login senza attriti:

1. Strumenta il funnel di autenticazione (vedi il manuale di analisi dell'autenticazione)
2. Segmenta il tasso di conversione del login per dispositivo, metodo, touchpoint
3. Risolvi per primi i problemi a maggiore impatto (spesso modifiche all'UX in un singolo sprint)
4. Costruisci il business case per un'autenticazione a basso attrito
5. Analizza l'intero funnel di e-commerce per capire come si inserisce l'autenticazione nel più ampio percorso di checkout

L'autenticazione è l'unico passaggio che ogni utente deve completare. Ottimizzarla è il lavoro di conversione a maggiore leva che la maggior parte dei team non sta svolgendo.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Traccia eventi discreti da login_initiated a session_established, segmentati per metodo di autenticazione, tipo di dispositivo e touchpoint di ingresso. Un tasso di successo aggregato del 90% può mascherare un tasso di fallimento del 50% per segmenti specifici, come gli utenti mobili. Segmenta per utenti nuovi rispetto a quelli di ritorno per distinguere i problemi di registrazione dai problemi di sessione e password.

L'effetto NASCAR si verifica quando una schermata di login è ingombra di loghi di più provider di identità, creando paralisi decisionale nel momento di maggiore intenzione nel funnel. La soluzione consiste nel mostrare un'opzione primaria evidente con un link secondario 'Altre opzioni' invece di visualizzare tutti i provider contemporaneamente. Offrire un solo provider che gli utenti non riconoscono crea un vicolo cieco altrettanto dannoso.

I timeout di sessione sono in genere impostati da team di sicurezza o conformità senza il contributo del prodotto. Un timeout di 15 minuti viene registrato come inattività del server mentre l'utente controlla i codici sconto o confronta i prezzi in un'altra scheda. Il 60% dei consumatori cita la frustrazione legata al login, inclusi i timeout, come motivo di abbandono totale, e senza il salvataggio automatico del modulo gli utenti devono reinserire tutti i dati di checkout.

L'impatto maggiore è la perdita di conversioni: il 46% dei consumatori statunitensi non riesce a completare le transazioni a causa di un fallimento dell'autenticazione, passando spesso ai concorrenti. Il funnel di ripristino della password contiene molteplici punti di abbandono, tra cui la latenza di consegna delle email, i filtri antispam e le regole di complessità della password, ognuno dei quali perde una porzione di utenti originariamente ad alta intenzione prima che tornino al checkout.

Quasi il 50% degli utenti abbandonerebbe un sito se gli venisse detto che la loro nuova password non può corrispondere a una precedente. Il controllo della cronologia blocca il meccanismo di coping principale per l'affaticamento da password: il riutilizzo di una credenziale familiare. Senza un'alternativa a basso attrito, gli utenti creano sul momento password che dimenticano immediatamente, riavviando l'intero ciclo di abbandono alla visita successiva.