---
url: 'https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless'
title: 'Come passare a un''autenticazione completamente passwordless'
description: 'Scopri il percorso in 4 fasi per passare dalle passkey a un''autenticazione completamente passwordless: perché le passkey da sole non bastano e come proteggere i flussi di recupero dagli attacchi di phishing.'
lang: 'it'
author: 'Vincent Delitz'
date: '2025-10-31T14:40:22.964Z'
lastModified: '2026-03-25T10:06:01.265Z'
keywords: 'passwordless, passkey, phishing, recupero account, autenticazione, sicurezza informatica, eliminare password'
category: 'Authentication'
---

# Come passare a un'autenticazione completamente passwordless

## 1. Introduzione: Perché implementare le passkey non è il traguardo

Implementare le passkey rappresenta un enorme passo avanti per la
[sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android)
dell'[autenticazione](https://www.corbado.com/it/blog/revolut-passkey), ma non è la fine del percorso. Se abbiamo
già introdotto le passkey, probabilmente stiamo celebrando il miglioramento delle
\[metriche di [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android)], ma **come si passa
effettivamente dall'avere le passkey a un'autenticazione completamente passwordless?**

Le passkey offrono vantaggi cruciali per la
[sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) grazie al loro **\[design
resistente al phishing]** basato sulla crittografia a chiave pubblica legata a domini
specifici, rendendo impossibile per gli aggressori ingannare gli utenti per farli
autenticare su siti fraudolenti. **Eliminano il riutilizzo delle credenziali**, poiché
ogni passkey è unica per un servizio specifico, il che significa che una violazione di un
servizio non influisce sugli altri. Inoltre, offrono **immunità agli attacchi di tipo
brute-force**, sostituendo i segreti memorizzati con chiavi crittografiche che non possono
essere indovinate o forzate.

Tuttavia, questi potenti vantaggi svaniscono nel momento in cui un utente può aggirare
l'[autenticazione](https://www.corbado.com/it/blog/revolut-passkey) con passkey e accedere con una password.
Questo solleva una domanda cruciale: **Perché le passkey da sole non bastano per una
sicurezza completa?** La risposta sta nel capire che finché la porta della password rimane
aperta, gli aggressori cercheranno di attraversarla. Ancora più importante è la domanda,
**cosa rende il recupero dell'account la vulnerabilità nascosta che può compromettere
l'intera implementazione delle passkey?** Recenti violazioni di alto profilo hanno
dimostrato che gli aggressori prendono sempre più di mira i flussi di recupero piuttosto
che l'[autenticazione](https://www.corbado.com/it/blog/revolut-passkey) primaria.

Questo articolo guiderà attraverso l'intero percorso, dall'implementazione delle passkey
al raggiungimento di una vera sicurezza passwordless, affrontando ciascuna di queste
domande critiche con soluzioni pratiche ed esempi reali.

### Cosa significa davvero "Passwordless"?

**La vera autenticazione passwordless significa eliminare completamente le password dalla
propria architettura di sicurezza.** In un sistema passwordless, gli utenti non possono
impostare, reimpostare o utilizzare password in nessun punto del loro percorso di
autenticazione. L'autenticazione si basa invece interamente su metodi crittografici come
le passkey.

Molte organizzazioni affermano di essere "passwordless" pur mantenendo le password in
background come opzione di riserva. Questa non è una vera soluzione passwordless, ma
piuttosto una soluzione "password-optional" (con password opzionale). **La distinzione è
importante perché finché le password esistono in un sistema, compresi i flussi di
recupero, rimangono una vulnerabilità sfruttabile che gli aggressori prenderanno di
mira.**

## 2. I due punti deboli che minano la sicurezza delle passkey

La vera sicurezza passwordless richiede sia l'eliminazione delle password
dall'autenticazione primaria SIA la garanzia che i processi di recupero siano altrettanto
resistenti al \[[phishing](https://www.corbado.com/glossary/phishing)].

### 2.1 Perché le password come opzione di riserva rappresentano un rischio significativo per la sicurezza

Mantenere le password come opzione di riserva preserva tutti i vettori di attacco che le
passkey sono state progettate per eliminare. Gli aggressori semplicemente reindirizzano le
loro campagne di \[[phishing](https://www.corbado.com/glossary/phishing)] verso l'inserimento della password,
mentre gli attacchi di \[[credential stuffing](https://www.corbado.com/glossary/credential-stuffing)] e password
spraying continuano utilizzando credenziali rubate da altre violazioni. L'ingegneria
sociale rimane efficace, poiché gli utenti possono ancora essere ingannati e indotti a
rivelare le password a finti agenti di supporto.

Finché esistono, le password rimangono l'anello più debole, un singolo punto di ingresso
che aggira completamente la sicurezza resistente al \[[phishing](https://www.corbado.com/glossary/phishing)]
delle passkey.

### 2.2 La vulnerabilità del recupero dell'account

Guardare solo all'esperienza di login non è sufficiente. Un vettore di attacco critico ma
spesso trascurato è il **flusso di recupero dell'account**. Anche le organizzazioni che
hanno implementato le passkey possono rimanere vulnerabili se il loro processo di recupero
si basa su metodi suscettibili di phishing come OTP via SMS o magic link via e-mail.

Consideriamo la nota violazione di MGM Resorts nel 2023, dove gli aggressori non hanno
preso di mira il sistema di autenticazione primario, ma hanno sfruttato il processo di
recupero dell'account attraverso l'ingegneria sociale, bypassando tutte le misure di
sicurezza primarie. Allo stesso modo, la violazione del sistema di supporto di Okta ha
dimostrato come i flussi di recupero possano diventare l'anello più debole, consentendo
agli aggressori di reimpostare le credenziali e ottenere l'accesso non autorizzato agli
ambienti dei clienti.

Questi incidenti sottolineano una verità cruciale: **implementare le passkey senza
proteggere il flusso di recupero è come installare una porta d'acciaio lasciando le
finestre aperte**.

![MGMNewsreport.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/MGM_Newsreport_d516890011.png)

## 3. Il percorso verso il passwordless

Raggiungere una vera \[[autenticazione passwordless](https://www.corbado.com/it/faq/cosa-sono-le-passkey)] non è
un singolo passo, ma un percorso strategico che richiede un'attenta pianificazione,
un'implementazione graduale e un'ottimizzazione continua:

![passwordless journey](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/passwordless_journey_438daba96e.png)

### 3.1 Fase 1: Aggiungere le passkey

La prima fase si concentra sull'**introduzione delle passkey come metodo di autenticazione
aggiuntivo**, mantenendo le opzioni esistenti come alternative. Questa fase di costruzione
delle fondamenta consente agli utenti di comprendere e fidarsi della nuova tecnologia,
mantenendo disponibili i metodi familiari per ridurre l'attrito.

**Passaggi chiave per l'implementazione:**

- \[Integrare l'autenticazione con passkey nel flusso di autenticazione esistente]
- Abilitare la \[creazione di passkey per utenti nuovi ed esistenti]
- Mantenere password e altri metodi di autenticazione come alternative
- Monitorare i tassi di \[creazione di passkey] e i modelli di utilizzo

**Metriche di successo:**

- Percentuale di utenti che hanno creato almeno una passkey superiore al 50%
- Tasso di successo della \[creazione di passkey] superiore al 95%
- Utilizzo iniziale delle passkey per l'autenticazione che raggiunge il 20-30%

### 3.2 Fase 2: Aumentare l'adozione delle passkey

Una volta che le passkey sono disponibili, l'attenzione si sposta sull'**incentivare
l'adozione e rendere le passkey il metodo di autenticazione preferito**. Questa fase
trasforma le passkey da un'opzione alternativa alla scelta di autenticazione primaria
attraverso un coinvolgimento strategico dell'utente e l'ottimizzazione.

**Passaggi chiave per l'implementazione:**

- Rendere l'autenticazione con passkey l'\[opzione predefinita nei flussi di login]
- Implementare \[prompt intelligenti] che incoraggino la \[creazione di passkey] dopo
  accessi con password andati a buon fine
- Educare gli utenti sui benefici di sicurezza e convenienza attraverso messaggi in-app
- Fornire incentivi per l'\[adozione delle passkey] (checkout più rapido, funzionalità
  esclusive)
- Eseguire A/B test su diversi messaggi e approcci UI per massimizzare la conversione
- Implementare policy di accesso condizionale che richiedono passkey per operazioni
  sensibili

**Metriche di successo:**

- Oltre il 60% degli utenti attivi con almeno una passkey
- Oltre l'80% degli accessi effettuati con passkey per gli account abilitati
- Tasso di fallimento nella creazione di passkey inferiore al 2%

![Automatic passkey login approach corbado](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Automatic_passkey_login_approach_corbado_797564e31c.png)

### 3.3 Fase 3: Diventare passwordless

È qui che avviene la vera trasformazione della sicurezza: **rimuovere completamente le
password per gli utenti che utilizzano costantemente le passkey**. Questa fase elimina il
principale vettore di attacco disattivando le password per gli utenti che hanno dimostrato
un'\[adozione delle passkey] di successo.

**Passaggi chiave per l'implementazione:**

- Analizzare i modelli di autenticazione degli utenti utilizzando \[sistemi di
  monitoraggio intelligenti]
- Identificare gli utenti che utilizzano esclusivamente passkey con più dispositivi
  compatibili
- Offrire la disattivazione della password con messaggi chiari sui benefici per la
  sicurezza
- Verificare la \[disponibilità di passkey] di backup (sincronizzate nel cloud o su più
  dispositivi)

**Metriche di successo:**

- Oltre il 30% degli utenti idonei che rimuovono volontariamente le password
- Nessun aumento dei tassi di blocco dell'account
- Punteggi di soddisfazione utente mantenuti o migliorati

### 3.4 Fase 4: Recupero resistente al phishing

La fase finale affronta l'ultima \[vulnerabilità]: **trasformare il recupero dell'account
in un processo resistente al phishing**. Questa fase garantisce che i flussi di recupero
corrispondano al livello di sicurezza dell'autenticazione primaria, prevenendo attacchi
tramite punti deboli.

**Passaggi chiave per l'implementazione:**

- Implementare l'autenticazione a più fattori con almeno un fattore resistente al phishing
- Fattori resistenti al phishing disponibili:
    - **Passkey di backup**: Passkey di recupero memorizzate su dispositivi secondari или
      servizi cloud che forniscono una prova crittografica dell'identità (l'opzione più
      diffusa)
    - **\[Digital Credentials API]**: Standard W3C per \[asserzioni] di identità
      verificate crittograficamente da provider attendibili (tecnologia emergente, non
      ancora diffusa)
    - **Chiavi di sicurezza hardware**: Token fisici \[[FIDO2](https://www.corbado.com/glossary/fido2)]
      registrati come fattori di recupero che non possono essere oggetto di phishing o
      duplicati (richiede agli utenti di acquistare e mantenere dispositivi fisici)
    - **Verifica dei documenti d'identità con Liveness Detection**: Scansione di un ID
      \[governativo] combinata con azioni biometriche in tempo reale per dimostrare la
      presenza fisica

**Nota sulle opzioni di recupero:** Sebbene le
\[[Digital Credentials API](https://www.corbado.com/blog/digital-credentials-api)] e le
\[[chiavi di sicurezza hardware](https://www.corbado.com/it/blog/migliori-chiavi-sicurezza-hardware-fido2-2025)]
offrano una forte sicurezza, non sono ancora ampiamente adottate; la prima è una
tecnologia emergente, mentre la seconda richiede agli utenti di acquistare dispositivi
fisici.

Quando le passkey di backup non sono disponibili, la \[verifica dei documenti] d'identità
con liveness detection diventa un'alternativa valida. Nonostante i potenziali workaround
per aggirare i controlli di liveness senza il possesso fisico di un ID, questi metodi
forniscono comunque una sicurezza significativamente più forte rispetto agli OTP
tradizionali, che possono essere facilmente intercettati tramite phishing,
\[[SIM swapping](https://www.corbado.com/faq/sim-swapping-sms-authentication-risk)] o attacchi man-in-the-middle.

**Metriche di successo:**

- 100% dei flussi di recupero include fattori resistenti al phishing
- Zero acquisizioni di account riuscite attraverso i processi di recupero
- Tassi di completamento del recupero mantenuti sopra il 90%

## 4. Esempi di aziende che hanno iniziato a eliminare le password

Il movimento passwordless sta guadagnando terreno in tutto il settore tecnologico, con le
aziende leader che si stanno allontanando dalle password.

### 4.1 Organizzazioni completamente passwordless

Diverse aziende hanno già eliminato completamente le password per le loro operazioni
interne. **Okta, Yubico e Cloudflare hanno di fatto raggiunto l'azzeramento dell'uso delle
password internamente** e i loro flussi di login non accettano più le password.

### 4.2 Aziende in fase di transizione attiva

I giganti della tecnologia **Google, Apple, Microsoft e X stanno attivamente deprecando le
password**, ma non le hanno eliminate del tutto. Il loro approccio bilancia i
miglioramenti della sicurezza con la scelta dell'utente durante il periodo di transizione.

**Google** ha adottato una posizione aggressiva attivando di default l'opzione "Salta la
password quando possibile" per tutti gli account, rendendo le passkey il metodo di
autenticazione preferito, pur consentendo agli utenti di disattivarla se necessario.
Questo approccio opt-out crea un forte slancio verso il passwordless, mantenendo al
contempo la flessibilità per gli utenti non ancora pronti alla transizione.

**Microsoft** fa un passo avanti, consentendo agli utenti di rimuovere completamente le
password dai loro account già da oggi, con l'intenzione di "rimuovere del tutto il
supporto alle password in futuro". Questa chiara roadmap segnala agli utenti che le
password hanno i giorni contati, incoraggiando l'adozione anticipata di metodi
passwordless.

**Apple** ha integrato le passkey in tutto il suo ecosistema e ne promuove attivamente
l'uso, sebbene le password dell'ID Apple rimangano disponibili come opzione di riserva. Il
loro approccio sfrutta la sincronizzazione fluida tra i dispositivi Apple per rendere
l'\[adozione delle passkey] il più semplice possibile.

Queste aziende non stanno forzando un cambiamento immediato, ma stanno inviando un
messaggio chiaro: **le password scompariranno una volta che l'adozione raggiungerà una
massa critica**. Le loro strategie prevedono di rendere le passkey l'opzione predefinita,
educare gli utenti sui benefici e ridurre gradualmente la funzionalità delle password.

## 5. Quando iniziare a eliminare le password?

La decisione di rimuovere le password non dovrebbe essere affrettata o applicata
universalmente. Invece, è meglio adottare un **approccio graduale e basato sui dati** che
consideri il comportamento degli utenti, le capacità dei dispositivi e i profili di
rischio.

### 5.1 Chi dovrebbe iniziare subito il proprio percorso passwordless

**I settori ad alto rischio che oggi subiscono gravi attacchi di phishing dovrebbero
iniziare immediatamente la loro transizione al passwordless, seguendo comunque
un'implementazione strategica e graduale:**

- **Banche e istituti finanziari:** Obiettivi primari per il furto di credenziali. Per le
  banche europee, le passkey si allineano anche ai \[requisiti di
  [Strong Customer Authentication](https://www.corbado.com/faq/sca-psd2-importance) (SCA) della
  [PSD2](https://www.corbado.com/blog/psd2-passkeys)], fornendo un'autenticazione a più fattori (MFA) resistente
  al phishing che soddisfa la \[conformità normativa] migliorando l'esperienza utente.
- **Fornitori di servizi di pagamento e Fintech:** L'accesso diretto ai fondi dei clienti
  li rende attraenti per la criminalità informatica organizzata.
- **Exchange di criptovalute:** Le transazioni irreversibili significano che le
  credenziali rubate portano a perdite permanenti.
- **Sanità e assicurazioni:** Affrontano sia requisiti di conformità sia rischi per la
  sicurezza dei pazienti derivanti dal furto di identità medica.
- **Governo e infrastrutture critiche:** Bersagli di attori statali con sofisticate
  campagne di spear-phishing.

**Per queste organizzazioni, un'azione immediata è fondamentale, ma il successo richiede
comunque un approccio di implementazione metodico e graduale.** Iniziare oggi, ma
implementare strategicamente per garantire un'elevata adozione ed evitare il blocco degli
utenti.

### 5.2 Strategia di implementazione graduale

**Iniziare con un sottogruppo più piccolo:** Avviare la transizione al passwordless con
gli utenti che dimostrano un uso costante delle passkey. Questi early adopter aiuteranno a
identificare potenziali problemi prima di un'implementazione più ampia.

**Analizzare i modelli di comportamento degli utenti:**

- Frequenza di login e metodi utilizzati
- Tipi di dispositivi e compatibilità delle passkey
- Tentativi di autenticazione falliti
- Utilizzo del flusso di recupero
- Modelli di autenticazione tra dispositivi diversi

**Utenti idonei alla disattivazione della password in base a questi modelli:**

- **Si autenticano costantemente tramite passkey**, dimostrando di essere a proprio agio
  con la tecnologia
- **Utilizzano passkey su più dispositivi**, indicando di avere metodi di accesso di
  backup
- **Non hanno utilizzato password o flussi di recupero negli ultimi 30-60 giorni**,
  dimostrando di non fare affidamento sull'autenticazione basata su password

## 6. Come può aiutare Corbado

Corbado fornisce una piattaforma completa per guidare le organizzazioni attraverso tutte e
quattro le fasi del percorso passwordless descritto sopra. Dall'implementazione iniziale
delle passkey al raggiungimento della completa eliminazione delle password, la soluzione
di Corbado gestisce la complessità tecnica fornendo al contempo gli strumenti necessari
per un'adozione di successo da parte degli utenti.

**Supporto per le Fasi 1 e 2:** Corbado offre un'\[integrazione fluida delle passkey] con
gli stack di autenticazione esistenti, prompt intelligenti che massimizzano i tassi di
adozione e analisi dettagliate per monitorare la creazione e l'utilizzo delle passkey. La
funzione
\[[Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence)]
della piattaforma ottimizza automaticamente l'esperienza utente in base alle capacità del
dispositivo и al comportamento dell'utente, garantendo un onboarding senza intoppi.

**Implementazione delle Fasi 3 e 4:** Per le organizzazioni pronte a eliminare
completamente le password, Corbado consente la disattivazione graduale delle password in
base alla prontezza dell'utente, mantenendo al contempo flussi di recupero sicuri e
resistenti al phishing.

Gestendo la compatibilità multipiattaforma, i meccanismi di fallback e l'ottimizzazione
dell'esperienza utente, Corbado accelera la trasformazione passwordless da anni a mesi,
consentendo alle organizzazioni di concentrarsi sul loro core business raggiungendo al
contempo un'autenticazione resistente al phishing.

## Conclusione

Il viaggio verso una vera \[[autenticazione passwordless](https://www.corbado.com/it/faq/cosa-sono-le-passkey)]
risponde alle due domande critiche che abbiamo posto all'inizio:

**Perché le passkey da sole non bastano per una sicurezza completa?** Perché la sicurezza
è forte solo quanto il suo anello più debole. Finché le password rimangono disponibili,
anche come opzione di riserva, gli aggressori si limiteranno a prenderle di mira tramite
phishing, \[[credential stuffing](https://www.corbado.com/glossary/credential-stuffing)] o attacchi di downgrade.
Ogni password nel sistema compromette i benefici di resistenza al phishing delle passkey.

**Cosa rende il recupero dell'account la vulnerabilità nascosta?** I flussi di recupero
sono spesso la porta di servizio dimenticata. Come hanno dimostrato le violazioni di MGM
Resorts e Okta, gli aggressori bypassano sempre più le robuste implementazioni di passkey
sfruttando metodi di recupero più deboli come OTP via SMS o magic link via e-mail. È come
installare una porta d'acciaio lasciando le finestre aperte.

La vera sicurezza passwordless richiede di completare l'intero percorso: implementare le
passkey, incentivarne l'adozione, rimuovere completamente le password e proteggere i
flussi di recupero con metodi resistenti al phishing. Solo chiudendo tutte le porte delle
password, comprese quelle nascoste nei processi di recupero, le organizzazioni possono
raggiungere un'autenticazione veramente sicura.