Get your free and exclusive 80-page Banking Passkey Report
passkeys buy vs build guide

Guida Passkeys: Sviluppare o Acquistare?

Sviluppare o acquistare una soluzione passkey? Scopri i pro e i contro delle passkey fai-da-te rispetto alle soluzioni dei fornitori (SaaS e on-premise), le sfide, i costi e le best practice.

Vincent Delitz

Vincent

Created: July 15, 2025

Updated: July 16, 2025


See the original blog version in English here.

Scarica la guida completa: Sviluppare o Acquistare una soluzione Passkey#

Scarica gratuitamente la guida completa Sviluppare o Acquistare una soluzione Passkey e accedi a tutti gli approfondimenti.

  • ✅ Richiesta da team di Adidas, Woolworths & Mitsubishi
  • ✅ Elenco completo dei componenti e modello di costo per decidere se acquistare o sviluppare
  • ✅ Un framework decisionale pratico di 50 pagine

Sviluppare o acquistare una soluzione passkey?

Scarica la guida completa: Sviluppare o Acquistare

Ottieni una checklist completa per l'implementazione delle passkey, confrontando soluzioni fai-da-te e di fornitori (SaaS e on-premise), le sfide principali, i costi e le best practice.

Scarica la guida completa: Sviluppare o Acquistare

Scarica la guida gratuita Sviluppare o Acquistare

1. Motivazione: Dovrei acquistare o sviluppare una soluzione di autenticazione con passkey?#

L'idea di creare la propria implementazione di passkey sembra allettante: controllo totale, integrazioni personalizzate e nessun vincolo con i fornitori. Dopotutto, FIDO2 si basa su standard aperti e scrivere le prime righe di codice WebAuthn sembra abbastanza semplice. Quanto può essere difficile, in fondo?

Ma è spesso qui che inizia la complessità, specialmente se si prevede di creare una soluzione per uno scenario di distribuzione su larga scala con milioni di utenti in settori come:

  • Servizi bancari e finanziari (ad es. online, banche, pagamenti, fintech)
  • Governo e servizi pubblici (ad es. portali per i cittadini, piattaforme fiscali e di previdenza sociale)
  • Assicurazioni e sanità (ad es. portali per i pazienti, piattaforme assicurative digitali)
  • E-commerce e retail (ad es. marketplace, programmi fedeltà)
  • Telecomunicazioni e utility (ad es. operatori di telefonia mobile, fornitori di energia)
  • Viaggi e ospitalità (ad es. account di compagnie aeree, programmi fedeltà di hotel)

La vera sfida inizia dopo il primo login con passkey andato a buon fine e spesso si manifesta solo quando si sta già implementando la soluzione. Improvvisamente compaiono casi limite imprevisti, errori utente poco chiari e potenziali blocchi dell'account dovuti alla non disponibilità delle passkey. Quella che sembrava un'integrazione semplice si trasforma in mesi o addirittura anni di sviluppo, costi di manutenzione imprevisti e un potenziale progetto passkey fallito.

Tuttavia, sviluppare una soluzione interna può anche essere la scelta giusta per alcune organizzazioni e requisiti specifici. Abbiamo parlato con decine di organizzazioni dei loro piani di implementazione delle passkey e ne abbiamo accompagnate alcune nel loro percorso. Questa guida aiuterà a determinare quando un approccio fai-da-te (DIY) alle passkey può avere senso e quando scegliere un fornitore di passkey affermato è la decisione più intelligente.

Con la nostra Guida Passkeys: Sviluppare o Acquistare, vogliamo rispondere alle seguenti domande:

  1. Quali componenti sono necessari per implementare le passkey e diventare passwordless?
  2. Dovrei implementare le passkey internamente o usare un fornitore esterno?
  3. Qual è il vantaggio di avere un fornitore di passkey quando esistono librerie open-source?
  4. Quali sono le sfide più grandi nella creazione di una soluzione passkey?
  5. Quali sono i rischi di implementare le passkey internamente?

2. Prerequisiti: Perché le passkey sono il nuovo standard di login#

Le password sono obsolete, insicure e frustranti. Le passkey eliminano i rischi di phishing, migliorano l'esperienza utente e semplificano l'autenticazione, diventando il nuovo standard per i login sicuri. Che si scelga di sviluppare internamente o di utilizzare una soluzione esterna, l'integrazione delle passkey rappresenta un importante aggiornamento per la sicurezza e l'usabilità.

Google ha scoperto che puntare sulla facilità d'uso o sulla velocità è una strategia che funziona e convince. Le persone generalmente si lamentano di dover effettuare l'accesso, quindi qualsiasi cosa renda il processo più facile e veloce è un vantaggio.

Oltre a questi vantaggi di sicurezza, c'è un enorme potenziale di risparmio sui costi operativi con le passkey. È possibile ridurre il numero di SMS OTP inviati agli utenti, che possono accumularsi in modo massiccio per grandi basi di utenti. Inoltre, l'onere che il recupero di password e MFA impone ai team di assistenza clienti è un altro fattore di costo che può essere eliminato.

Inoltre, le passkey migliorano i tassi di successo e i tempi di login per gli utenti, portando in definitiva a migliori tassi di conversione, un fattore chiave per la crescita del fatturato in settori come e-commerce, retail o viaggi.

3. Il percorso verso il passwordless: Che ruolo hanno le passkey?#

L'obiettivo finale per molte organizzazioni che considerano l'introduzione delle passkey è diventare completamente passwordless. Per raggiungere questo obiettivo, ci sono tipicamente quattro fasi da completare. La velocità con cui queste fasi progrediscono dipende in gran parte dalle capacità tecniche dell'organizzazione, dai modelli di login e dalla base di utenti. In alcuni casi, anche fattori esterni come la pressione pubblica per introdurre un'autenticazione più sicura o vincoli finanziari possono giocare un ruolo.

Analizziamo queste quattro fasi e descriviamole, poiché l'implementazione delle passkey è solo uno dei passaggi per garantire il successo di un progetto passkey.

3.1 Fase 1: Integrare le passkey#

Il primo passo nella transizione verso un sistema completamente passwordless è integrare le passkey come metodo di login. In questa fase, le password e altri metodi di autenticazione rimangono attivi come fallback per garantire che gli utenti possano ancora accedere ai loro account se non hanno ancora adottato le passkey. Un'integrazione di successo richiede una compatibilità perfetta con i flussi di login e le policy di sicurezza esistenti. Le organizzazioni dovrebbero concentrarsi sul rendere la creazione delle passkey semplice, assicurando che sia gli utenti tecnici che quelli non tecnici possano adottare il nuovo metodo di autenticazione senza attriti.

Igor Gjorgjioski Testimonial

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

Corbado proved to be a trusted partner. Their hands-on, 24/7 support and on-site assistance enabled a seamless integration into VicRoads' complex systems, offering passkeys to 5 million users.

Le aziende si affidano a Corbado per proteggere i loro utenti e rendere i login più fluidi con le passkey. Richiedi subito la tua consulenza gratuita sulle passkey.

Richiedi una consulenza gratuita

3.2 Fase 2: Aumentare l'adozione delle passkey#

Una volta integrate le passkey, la sfida successiva è incentivare l'adozione da parte degli utenti. Molte organizzazioni sottovalutano l'importanza di questa fase, ma senza un'ampia adozione da parte degli utenti, un progetto passkey è destinato a fallire. L'obiettivo è incoraggiare il maggior numero possibile di utenti a creare e utilizzare le passkey, rendendole idealmente il metodo di login predefinito.

Le tattiche chiave per aumentare l'adozione includono l'educazione proattiva degli utenti, i suggerimenti nell'interfaccia utente che promuovono la creazione di passkey e programmi di incentivazione che premiano gli utenti per il passaggio. Le organizzazioni dovrebbero fissare una soglia di adozione critica, come il 50-80% degli utenti attivi che utilizzano le passkey, prima di passare alla fase successiva. Per una comprensione più approfondita del perché l'adozione è cruciale, consultate il nostro articolo dedicato su come bassi tassi di adozione possono compromettere il vostro progetto passkey.

3.3 Fase 3: Rimuovere le password#

Quando l'adozione delle passkey raggiunge una massa critica, le organizzazioni possono iniziare a eliminare gradualmente le password. Tuttavia, rimuovere le password troppo presto o senza un'attenta pianificazione può portare a problemi di usabilità e a un aumento delle richieste di supporto. Si raccomanda un approccio graduale:

  • Iniziare rimuovendo le password dagli account in cui gli utenti si autenticano costantemente con le passkey.
  • Offrire la rimozione della password come opzione nelle impostazioni dell'account per gli early adopter.
  • Utilizzare insight basati sui dati per identificare gli utenti pronti a diventare completamente passwordless. Ad esempio, gli utenti con più passkey registrate su dispositivi diversi possono avere la priorità per la rimozione della password.
  • Comunicare proattivamente i vantaggi della rimozione della password per creare fiducia negli utenti.

Guidando strategicamente gli utenti verso un'autenticazione completamente passwordless, le organizzazioni possono massimizzare la sicurezza senza interrompere l'esperienza utente.

3.4 Fase 4: Automatizzare il recupero dell'account#

Una volta rimosse le password, i meccanismi di recupero dell'account devono essere robusti e sicuri. I metodi di recupero tradizionali si basano spesso su interventi manuali, come ticket di supporto o reset via email, che possono introdurre rischi per la sicurezza e costi operativi. Le organizzazioni devono implementare soluzioni di recupero dell'account self-service moderne che mantengano la sicurezza migliorando al contempo l'esperienza utente.

Gli elementi chiave del recupero automatico dell'account includono:

  • Controlli di liveness: Prevengono l'acquisizione non autorizzata dell'account assicurando che l'utente sia fisicamente presente.
  • Verifica dell'identità: Sfruttano documenti d'identità emessi dal governo e la verifica biometrica per confermare l'identità.
  • Passkey di fallback: Consentono agli utenti di recuperare gli account utilizzando passkey di backup memorizzate su altri loro dispositivi.

Molte organizzazioni investono già in processi di recupero automatizzati indipendentemente dalla loro transizione al passwordless per ridurre i costi e migliorare l'usabilità. Tuttavia, in un ecosistema basato sulle passkey, questi meccanismi diventano ancora più critici per mantenere la sicurezza e ridurre l'attrito.

Sulla base di queste quattro fasi, cercheremo ora di aiutarvi a valutare la decisione di acquistare o sviluppare. Pertanto, è molto importante per il successo a lungo termine del vostro progetto passkey avere in mente tutte le fasi e non solo integrare le passkey (questo può ancora essere un obiettivo, ma in tal caso si lascia inutilizzato il pieno potenziale delle passkey).

4. Come determinare l'approccio giusto per le passkey#

La scelta tra una soluzione passkey fai-da-te ed una esterna dipende dalle risorse tecniche della vostra azienda, dalle priorità di sicurezza, dalle dimensioni dell'implementazione e dalla strategia passkey a lungo termine. Nella prossima sezione, analizzeremo gli aspetti chiave per aiutarvi a prendere la decisione migliore.

La tabella seguente mostra diversi criteri di valutazione da considerare. In base all'affermazione verso cui propendete di più, vengono forniti un numero diverso di punti.

Come usare la matrice di valutazione:

Per ogni criterio, scegliete se la vostra azienda necessita di una soluzione più semplice o più elaborata.

  • Assegnate 1 punto per ogni risposta in cui la complessità nel vostro caso è più bassa e si allinea maggiormente con la descrizione a sinistra.
  • Assegnate 5 punti per ogni categoria in cui la vostra risposta si allinea maggiormente con la descrizione di complessità più alta a destra.
  • Se non siete sicuri, usate 3 punti come opzione neutra.

Scarica la guida completa: Sviluppare o Acquistare una soluzione Passkey#

Scarica gratuitamente la guida completa Sviluppare o Acquistare una soluzione Passkey e accedi a tutti i criteri di valutazione.

Sviluppare o acquistare una soluzione passkey?

Scarica la guida completa: Sviluppare o Acquistare

Ottieni una checklist completa per l'implementazione delle passkey, confrontando soluzioni fai-da-te e di fornitori (SaaS e on-premise), le sfide principali, i costi e le best practice.

Scarica la guida completa: Sviluppare o Acquistare

Scarica la guida gratuita Sviluppare o Acquistare

5. Come usare questa guida in modo efficace#

Quando si decide se sviluppare o acquistare una soluzione passkey, è importante considerare l'intero processo, non solo una singola fase del rollout. Anche se la vostra priorità a breve termine è offrire le passkey come MVP, dovreste anticipare le implicazioni a lungo termine, in particolare l'incentivazione dell'adozione. Di seguito, consigliamo come utilizzare questa guida e interpretare i risultati, con un'enfasi sul perché l'adozione conta più di quasi ogni altro fattore.

5.1 Concentrarsi sull'adozione come fattore di successo n. 1#

Non importa quanto sia avanzata la vostra soluzione passkey, se gli utenti non la adottano creando e utilizzando le passkey per il login, l'intero progetto è a rischio. Nella nostra esperienza, le organizzazioni spesso sottovalutano lo sforzo necessario per allontanare gli utenti dalle password. Anche se implementate le passkey in modo impeccabile a livello tecnico, una bassa adozione porterà a:

  • Dipendenza persistente dalle password, annullando i benefici di sicurezza delle passkey.
  • ROI minimo, poiché i risparmi sui costi (meno reset di password, riduzione degli SMS OTP) dipendono da un uso significativo delle passkey per il login.
  • Esperienza utente frammentata, se la maggior parte degli accessi avviene ancora con metodi tradizionali e solo una piccola parte utilizza le passkey.

Un'alta adozione, a volte del 50% o addirittura oltre l'80% della vostra base di utenti, è tipicamente richiesta prima di poter fare progressi significativi verso la riduzione o l'eliminazione totale delle password. Organizzazioni come Google e Amazon stabiliscono obiettivi di adozione espliciti e conducono sistematicamente test A/B, campagne di educazione degli utenti e suggerimenti nell'interfaccia utente per garantire che le passkey siano ampiamente adottate. Questo sforzo concentrato sull'adozione non è opzionale; è ciò che trasforma il vostro rollout di passkey da una semplice funzionalità a un vantaggio competitivo tangibile.

5.2 Usare la guida in modo olistico o per fasi#

Questa guida è progettata per aiutarvi a prendere decisioni informate sull'implementazione delle passkey in ogni fase del percorso:

  1. Fase 1 (Integrare le passkey): Se state semplicemente considerando se adottare le passkey e come integrarle, concentratevi sui criteri Sviluppare vs. Acquistare per l'integrazione delle passkey.
  2. Fase 2 (Aumentare l'adozione): Se volete che le passkey siano più di una semplice funzionalità, pianificate fin dall'inizio come incentivare l'adozione da parte degli utenti, anche per un MVP, poiché richiede un investimento tecnologico aggiuntivo, spesso sostanzialmente maggiore rispetto all'implementazione iniziale.
  3. Fase 3 (Rimuovere le password): Se l'eliminazione delle password è un obiettivo strategico a lungo termine, assicuratevi che la vostra architettura e i flussi utente siano progettati tenendo presente questo passo finale.
  4. Fase 4 (Automatizzare il recupero dell'account): Anche se non siete pronti a diventare completamente passwordless oggi, assicuratevi che il vostro approccio alle passkey possa evolvere verso un recupero robusto e senza attriti per evitare ostacoli futuri.

Di queste, la Fase 2 (Aumentare l'adozione) è la più importante. Potete valutare ogni sezione separatamente, ma tenete presente che il vostro successo a lungo termine e il ROI dipendono spesso da quanto seriamente prendete l'adozione fin dall'inizio.

5.3 Coinvolgere gli stakeholder chiave e allinearsi sugli obiettivi di adozione#

Se siete nella fase iniziale della decisione di implementare le passkey, iniziate con la prima sezione della matrice di valutazione (integrazione delle passkey) e compilatela con il management, l'IT, i product owner e altri decisori chiave. Chiedetevi:

  1. Qual è il nostro tasso di login con passkey desiderato? È sufficiente un 5% per dimostrare la fattibilità o abbiamo bisogno del 50-80% prima di considerare le passkey un successo?
  2. Abbiamo il budget e il sostegno della dirigenza per eseguire test A/B per mesi, condurre campagne di ottimizzazione, creare materiali educativi e perfezionare continuamente i flussi utente in modo che gli utenti capiscano e vogliano passare alle passkey? È disponibile una capacità di ingegneria sufficiente per implementare tutti i report, le analisi e i test necessari? Possiamo rilasciare aggiornamenti abbastanza frequentemente per raggiungere questi obiettivi?
  3. Qual è la visione a lungo termine? Puntiamo alla rimozione delle password o solo a fornire un'alternativa?

Rispondere a queste domande in anticipo assicura che il vostro progetto passkey non diventi un vicolo cieco. Le organizzazioni che non pianificano l'adozione si trovano spesso bloccate con le password per anni, compromettendo l'intera strategia di sicurezza ed esperienza utente.

5.4 Più ci si allontana dal "neutro", più un fornitore ha senso#

All'interno della matrice, ogni criterio di valutazione può posizionarvi ovunque, dalla complessità più bassa (1) alla complessità più alta (5). Più le vostre risposte si spostano verso e oltre la zona neutra (3), più forte è il caso per l'utilizzo di un fornitore specializzato in passkey:

  • Requisiti di alta complessità - come metodi di fallback avanzati, conformità rigorosa, analisi approfondite e UX multi-dispositivo - moltiplicano il vostro onere di ingegneria e manutenzione.
  • Forte enfasi sull'adozione - raggiungere un'alta adozione delle passkey rapidamente o rimuovere le password richiede tipicamente flussi utente ben testati, telemetria dettagliata e suggerimenti strutturati.

Questi fattori possono sopraffare i team interni, sia tecnicamente che organizzativamente. Una soluzione di passkey gestita può spesso fornire best practice collaudate, aggiornamenti rapidi e competenze del mondo reale per accelerare l'adozione molto più velocemente di un approccio fai-da-te.

5.5. La prospettiva di Corbado: Quando un fornitore è la scelta migliore#

Come specialisti di passkey, noi di Corbado abbiamo un punto di vista ben preciso. Se le passkey sono sulla vostra roadmap e desiderate un'implementazione all'avanguardia che incentivi attivamente l'adozione, Corbado Connect può aiutarvi ad affrontare le complessità su larga scala. Ecco perché:

L'adozione è integrata nella soluzione: La nostra piattaforma è progettata per massimizzare l'adesione degli utenti attraverso suggerimenti intelligenti, analisi e test A/B continui, che favoriscono anche il risparmio sui costi.

Prossimi passi:

  1. Compilate ogni sezione pertinente della matrice di valutazione - considerando sia gli obiettivi immediati che quelli a lungo termine.
  2. Date priorità all'adozione nel vostro processo decisionale - allineatevi con gli stakeholder su obiettivi di adozione espliciti e sulle risorse per raggiungerli.
  3. Confrontate il TCO per le soluzioni interne e quelle dei fornitori una volta compresa la vostra complessità e le vostre ambizioni di adozione e seguite il vostro processo interno per valutare se sviluppare o acquistare.

  1. Consultate esperti di passkey (come Corbado) se i vostri obiettivi strategici puntano verso una piattaforma completamente gestita che affronti efficacemente sia le sfide tecniche che quelle di adozione.

Affrontando le passkey in modo olistico e rendendo l'adozione uno degli obiettivi chiave, otterrete i migliori risultati. Ciò significa sicurezza più forte, login semplificati e un percorso reale verso un futuro senza password. Se siete interessati a saperne di più su Corbado Connect e su come aiutiamo i nostri clienti a raggiungere un'alta adozione delle passkey, siamo qui per parlarne.

6. Come misurare il successo di un'implementazione di passkey?#

Ora che abbiamo aiutato a determinare l'approccio giusto per rispondere alla domanda "Acquistare o Sviluppare?", analizziamo come valutare il successo di un'implementazione di passkey. A tal fine, definiamo i KPI di input e di output di un progetto passkey.

6.1 Quali sono i KPI di input importanti per le passkey?#

I KPI di input aiutano a monitorare l'adozione iniziale delle passkey e se si stanno creando le condizioni necessarie per un uso diffuso. Questi indicatori precedono il comportamento di login effettivo, ma sono cruciali per consentire un'adozione significativa e ottimizzare l'implementazione.

KPIDefinizionePerché è importanteCome misurarloBenchmark
Tasso di Accettazione delle PasskeyPercentuale di utenti che, dopo aver effettuato il login con successo (post-sign-in), ricevono un "nudge" (un invito o suggerimento a configurare una passkey) e scelgono di crearne una. Questo KPI misura specificamente la reattività degli utenti a questi inviti post-sign-in, evidenziando l'efficacia del messaggio del nudge nel guidare la creazione di passkey. Questo approccio è considerato all'avanguardia perché gli utenti di solito non creano passkey proattivamente tramite le impostazioni dell'account o di gestione delle credenziali. Invece, le passkey vengono adottate con maggior successo quando gli utenti vengono invitati direttamente dopo il login, rendendo i nudge il principale motore della creazione di passkey. Assicuratevi di differenziare tra il primo nudge e quelli successivi, poiché i tassi diminuiscono.Un'alta accettazione indica una persuasione dell'utente e un design del nudge di successo. Tassi bassi segnalano attrito, messaggi poco chiari o esitazione dell'utente.Formula: (n. di utenti che completano la creazione della passkey dopo il nudge) ÷ (n. di utenti esposti al nudge). Segmentare per OS/browser/dispositivo.50%-75% al primo nudge, fino all'85% su più nudge su mobile. Più basso su desktop. Dipende molto dal testo e dall'implementazione.
Tasso di Successo nella Creazione di PasskeyProporzione di utenti che iniziano la cerimonia di registrazione della passkey ma la completano con successo (cioè, nessun abbandono).Mostra quanti utenti abbandonano a metà creazione a causa di UX confusa, problemi tecnici o ripensamenti.Formula: (n. di registrazioni di passkey completate) ÷ (n. di tentativi di registrazione) Analizzare i punti di fallimento per OS/browser/dispositivo.Vicino al 100%.
Numero di Passkey CreateConteggio cumulativo delle passkey appena create in un dato periodo (giornaliero, settimanale, mensile).Una misura grezza dell'adozione, spesso considerata un KPI semi-output. Riflette il volume di utilizzo delle passkey e i potenziali futuri spostamenti del login lontano dalle password.Formula: Somma di tutte le passkey appena registrate per categorie di OS, browser, dispositivo. Monitorare le tendenze di crescita nel tempo. Il numero assoluto non ha implicazioni, dipende dalle dimensioni della base di utenti.Una quantità sostanziale al giorno non appena l'implementazione è completa.

Questi KPI di input fungono da indicatori anticipatori della futura adozione delle passkey e consentono alle organizzazioni di perfezionare l'educazione degli utenti, i flussi UX e l'implementazione tecnica.

6.2 Quali sono i KPI / OKR di output importanti per le passkey?#

I KPI di output (OKR) misurano il successo effettivo dell'adozione delle passkey valutando il comportamento degli utenti, i miglioramenti operativi e l'impatto sul business. Questi indicatori riflettono l'efficacia reale di un'implementazione di passkey. Il Tasso di Login con Passkey è un KPI di output fondamentale perché riflette direttamente l'adozione e l'utilizzo effettivo delle passkey. Un tasso di login con passkey in aumento indica un onboarding di successo e una preferenza continua degli utenti per le passkey rispetto ai metodi di autenticazione tradizionali.

KPIDefinizionePerché è importanteCome misurarloBenchmark
Tasso di Attivazione UtenteTra tutti gli utenti che hanno visto almeno un nudge (potrebbero essere più inviti nel tempo), la percentuale che ha infine creato almeno una passkey.Misura il successo complessivo dell'onboarding delle passkey su più nudge. Gli utenti possono rifiutare il primo nudge ma convertirsi in seguito.Formula: (n. di utenti unici che hanno creato ≥1 passkey) ÷ (n. di utenti unici a cui è stato mostrato almeno un nudge) Segmentare per OS, browser, dispositivo per vedere chi alla fine adotta le passkey. Con la crescita dell'implementazione, anche le passkey eliminate devono essere riflesse qui.Oltre il 50% in 12 mesi. Il tasso di login con passkey converge verso il Tasso di Attivazione Utente. Dipenderà dalla composizione dei vostri utenti.
Tasso di Login con PasskeyLa percentuale di tutti gli eventi di login completati utilizzando una passkey anziché un metodo tradizionale (password, SMS OTP, ecc.).Dimostra la frequenza di utilizzo reale delle passkey. Un tasso di login costantemente basso indica che gli utenti preferiscono o tornano alle password nonostante abbiano inizialmente creato le passkey, riflette bassi tassi di attivazione (poiché un alto tasso di login può verificarsi solo se l'attivazione stessa è alta), o deriva da un'implementazione di login non ottimale che non sfrutta automaticamente le passkey esistenti.Formula: (n. di login con passkey) ÷ (Login totali) Segmentare per OS/browser/dispositivo o gruppo di utenti. Questo aiuta a localizzare piattaforme problematiche o dati demografici con un basso utilizzo di passkey.Oltre il 20% in poche settimane, oltre il 50% in 12 mesi. (dipende molto da come si implementa)
Tasso di Successo del Login con PasskeyProporzione dei tentativi di login con passkey che si concludono con successo senza ricorrere a un fallback.Rivela attrito all'interno del flusso della passkey. Un tasso più basso può indicare confusione dell'utente, vincoli ambientali o problemi di compatibilità del dispositivo che portano al fallback. Un valore non al 100% è previsto, poiché gli utenti cambiano dispositivo o tentano di accedere da dispositivi non connessi. Dipende molto dal modello di utilizzo dell'utente e dai dispositivi utilizzati.Formula: (n. di login con passkey riusciti) ÷ (n. di tentativi di login con passkey) Tracciare i tentativi parziali, in cui l'utente abbandona la passkey a metà e passa alla password.Oltre il 95% su mobile web. Oltre il 99% su app native. I tassi di login su desktop dipendono da quanti dei vostri utenti hanno più dispositivi e da dove si registrano per la prima volta.
Tempo di Login con Passkey vs. Tempo di Login TradizionaleConfronto del tempo medio per autenticarsi tramite passkey rispetto alle password (o altri metodi tradizionali), dal momento in cui l'utente avvia il login al completamento con successo.Accessi più veloci con passkey sono correlati a una maggiore soddisfazione dell'utente e a un uso prolungato.Registrare i timestamp di inizio e di successo di ogni tentativo di login. Calcolare il tempo medio di login con passkey rispetto al tempo medio di login tradizionale. Segmentare per OS/browser/dispositivo per approfondimenti.Guadagni di velocità 3x-5x. Rispetto all'MFA esistente (PW+SMS).
Tasso di FallbackCon quale frequenza gli utenti tornano alle password o a un altro metodo non-passkey durante un tentativo di login inizialmente avviato con una passkey.Mostra una dipendenza continua dai flussi tradizionali, possibly dovuta a una scarsa affidabilità delle passkey o a una mancanza di comfort da parte dell'utente.Formula: (n. di eventi di fallback) ÷ (n. di tentativi di login con passkey) Correlare i dati di fallback con sondaggi degli utenti o ticket di supporto per identificare le cause principali.Questo KPI è fondamentalmente l'inverso del tasso di login con passkey e dipende dalla vostra implementazione.

È importante ottimizzare principalmente per il successo del login con passkey e il tasso di login con passkey per garantire un'esperienza utente senza attriti, lavorando contemporaneamente per aumentare i tassi di attivazione degli utenti, ma solo quando il tasso di successo del login è sufficientemente alto da evitare di introdurre frustrazione nell'utente. Inoltre, tracciare questi KPI per diversi segmenti (come OS, browser e dispositivo) e casi d'uso specifici (ad es. login cross-device) può fornire approfondimenti sui modelli di adozione e sui potenziali punti di attrito.

6.3 Come registrare gli eventi necessari per le metriche delle passkey#

Misurare accuratamente sia i KPI di input (es. accettazione, creazione) che quelli di output (es. tasso di login, uso del fallback) richiede la raccolta di dati da tre fonti principali:

  1. Dati degli eventi del frontend
  2. Archivio delle passkey / credenziali
  3. Log di autenticazione tradizionale e di fallback

6.3.1 Dati degli eventi del frontend#

Per calcolare metriche come il Tasso di Accettazione delle Passkey o il Tasso di Successo nella Creazione di Passkey, è necessario rilevare quanti utenti vedono un nudge post-login, quanti cliccano su "Sì, crea una passkey" e se effettivamente completano la creazione della passkey. Ciò richiede il tracciamento degli eventi JavaScript (o mobile nativo) per catturare:

  • Quando e se il nudge viene mostrato (la prima volta vs. le successive)
  • Quanto tempo impiegano per completare il nudge
  • Se interrompono la cerimonia di creazione della passkey una o più volte

Avrete anche bisogno del parsing dello user agent o dei client hints per collegare i tassi di accettazione a specifiche versioni di OS / browser per poter rilevare percorsi interrotti specifici.

6.3.2 Archivio delle passkey / credenziali#

Dopo che un utente avvia la registrazione sul frontend, il server deve confermare se una nuova passkey è stata effettivamente memorizzata. Avrete bisogno di accedere al database o all'API di un provider di identità esterno che registra l'evento di creazione di ogni credenziale. Questo repository vi aiuta a contare quante passkey esistono per utente e a tracciare l'esito finale (successo o fallimento), assicurandovi di sapere precisamente quali tentativi si sono conclusi con registrazioni completate.

6.3.3 Log di autenticazione tradizionale e di fallback#

Per metriche come il Tasso di Fallback, è necessario esaminare i log e i processi di autenticazione attuali. Unificando questi log con gli eventi del frontend, potete vedere se un utente ha avviato un login con passkey, ha ricevuto un errore e è passato al login di fallback (ad es. SMS o password).

Infine, la misurazione di KPI basati sul tempo come il Tempo di Login con Passkey vs. il Tempo di Login Tradizionale si basa su timestamp sia del client che del server. Poiché molte organizzazioni registrano solo gli accessi riusciti, è necessario aggiungere strumentazione per i flussi di passkey parziali o falliti per valutare veramente l'attrito e il fallback. L'integrazione di queste tre fonti di dati, nel rispetto della privacy e dei vincoli normativi, è spesso più complessa del previsto ed è un altro fattore che porta alcuni team ad adottare piattaforme di passkey specializzate che forniscono analisi e tracciamento degli eventi integrati.

6.3.4 L'approccio integrato di Corbado: Authentication Process Mining#

I componenti di Corbado Connect raccolgono implicitamente tutti i punti dati descritti (centinaia di tipi diversi) generando automaticamente un processo unico per ogni utente che avvia un processo di autenticazione. Attraverso un'integrazione perfetta, Corbado raccoglie anche le metriche di autenticazione dalla vostra soluzione esistente. Questa visione olistica individua con precisione i miglioramenti per gli utenti, fornendo approfondimenti completi su tutti i KPI essenziali delle passkey senza sforzi aggiuntivi da parte vostra.

6.4 Quali sono altri importanti KPI / OKR di output che dovrebbero essere influenzati?#

Inoltre, i seguenti effetti sui KPI di output dovrebbero manifestarsi dopo un'implementazione di passkey di successo e sono per lo più già raccolti all'interno dell'azienda:

Metriche Operative e di Riduzione dei Costi

  • Riduzione dell'uso di SMS OTP – Numero di SMS OTP risparmiati grazie all'autenticazione con passkey (risparmio diretto sui costi).
  • Riduzione delle richieste di reset della password – Diminuzione delle interazioni con l'helpdesk relative a password dimenticate.
  • Riduzione dei ticket di assistenza clienti – Minor volume di problemi di assistenza clienti legati all'autenticazione.
  • Riduzione del volume delle chiamate di supporto – Meno chiamate in entrata relative a problemi di accesso all'account.

Metriche di Impatto sul Business e sulla UX

  • Tassi di ritenzione degli utenti – Percentuale di utenti che continuano ad autenticarsi dopo il primo login.
  • Tasso di conversione – Con quale frequenza gli utenti completano le transazioni dopo l'autenticazione.
  • Tasso di abbandono nei funnel di login – Se le passkey riducono il numero di utenti che abbandonano i tentativi di login.

Tracciando specificamente i KPI di input e output delle passkey e mettendoli in relazione con altri dati, le organizzazioni possono quantificare l'impatto della loro implementazione di passkey e apportare miglioramenti basati sui dati per massimizzare l'adozione, ridurre i costi e migliorare la sicurezza.

7. Raccomandazioni#

La scelta della soluzione passkey giusta dipende dalle vostre sfide specifiche, dai requisiti di sicurezza e dalle considerazioni sui costi. Di seguito sono riportate le raccomandazioni chiave per le decisioni acquistare vs. sviluppare in diversi settori.

7.1 Raccomandazione per le passkey nel settore bancario e dei servizi finanziari#

Considerazioni chiave:

  • La conformità normativa (ad es. PSD2, SOC 2, ISO 27001, GDPR) richiede misure di sicurezza rigorose nell'autenticazione con passkey.
  • Il confronto dei costi delle passkey è cruciale, poiché le banche spesso sottovalutano la complessità e la manutenzione a lungo termine delle soluzioni interne.
  • Un'autenticazione sicura è essenziale per ridurre le frodi di acquisizione dell'account e il phishing.

Raccomandazione: La maggior parte delle banche e delle istituzioni finanziarie dovrebbe affidarsi a una soluzione di un fornitore di passkey piuttosto che svilupparla internamente, poiché la gestione dell'infrastruttura delle passkey introduce complessità nascoste che superano le competenze IT tradizionali. L'implementazione dell'autenticazione con passkey su larga scala richiede ottimizzazioni e aggiornamenti continui, gestione della compatibilità WebAuthn e integrazione perfetta con i sistemi bancari legacy - tutti aspetti che i fornitori di passkey gestiscono già.

Banche come Ubank, Revolut e Finom stanno aprendo la strada all'adozione delle passkey, riconoscendo il potenziale della tecnologia per migliorare la sicurezza e l'esperienza utente. L'analisi del ROI delle passkey spesso favorisce l'acquisto di una soluzione passkey piuttosto che investire in manutenzione e aggiornamenti continui, con implementazioni che mostrano riduzioni significative dei tentativi di frode e dei costi di supporto legati all'autenticazione.

Esempi: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

7.2 Raccomandazione per le passkey nel settore sanitario#

Considerazioni chiave:

  • La conformità a HIPAA e GDPR richiede una sicurezza di autenticazione rigorosa nell'adozione delle passkey.
  • Le sfide dell'implementazione delle passkey includono il bilanciamento tra sicurezza e facilità d'uso per pazienti, personale medico e amministratori IT ospedalieri.
  • Molti sistemi di autenticazione sanitari si basano ancora su infrastrutture legacy, rendendo l'integrazione delle passkey più complessa.

Raccomandazione: Una soluzione di un fornitore di passkey è il modo più efficace per soddisfare i requisiti di conformità semplificando al contempo l'autenticazione. I fornitori di passkey gestiscono le patch di sicurezza, gli aggiornamenti di conformità e l'affidabilità dell'autenticazione, riducendo l'onere per i team IT.

Esempi: CVS Health, Caremark, Helsana, NHS, Swica

7.3 Raccomandazione per le passkey nell'e-commerce e nel retail#

Considerazioni chiave:

  • L'ottimizzazione del tasso di conversione (CRO) è fondamentale per il business: l'attrito nell'autenticazione influisce direttamente sui ricavi.
  • Gli scenari multi-dispositivo devono funzionare senza problemi (gli utenti navigano su mobile ma completano il checkout su desktop).
  • Gli errori di autenticazione aumentano direttamente i tassi di abbandono del carrello, rendendo essenziali flussi di login ottimizzati per l'UX.

Raccomandazione: Le piattaforme di e-commerce traggono il massimo vantaggio da un fornitore di implementazione di passkey che offre alti tassi di adozione. Piattaforme importanti come Amazon e Shopify hanno implementato l'autenticazione con passkey, dimostrando la crescente adozione della tecnologia nell'e-commerce. I dati reali mostrano che oltre il 27% dei login iniziali con password fallisce, mentre l'autenticazione basata su passkey può raggiungere tassi di successo del login del 95-97%, come dimostrato da adozioni precedenti. L'analisi del ROI delle passkey mostra che tassi di conversione più elevati e minori perdite per frode giustificano rapidamente l'investimento.

Amazon ha recentemente dichiarato di aver fissato un obiettivo ambizioso del 100% di adozione delle passkey e l'eliminazione completa delle password.

Google ha anche scoperto che gli utenti di prova che interagiscono con le passkey hanno il 20% in più di probabilità di convertirsi in clienti paganti rispetto a quelli che non lo fanno.

Esempi: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

7.4 Raccomandazione per le passkey nel settore dei viaggi e dell'ospitalità#

Considerazioni chiave:

  • L'autenticazione cross-device è essenziale, poiché gli utenti prenotano viaggi su un dispositivo e fanno il check-in su un altro.
  • I fornitori specializzati in passkey devono garantire login veloci e sicuri per prenotazioni, check-in e gestione dell'account convenienti.
  • La prevenzione delle frodi è una priorità, poiché le piattaforme di viaggi gestiscono transazioni di alto valore.

Raccomandazione: La maggior parte delle aziende di viaggi dovrebbe implementare soluzioni passkey per migliorare la sicurezza e l'esperienza utente. Aziende leader come Kayak e le principali compagnie aeree stanno già utilizzando l'autenticazione con passkey per migliorare la loro esperienza utente. Le soluzioni predefinite offrono un rilevamento delle frodi più forte, esperienze di login senza interruzioni e supporto multi-dispositivo istantaneo. Il settore dell'ospitalità sta beneficiando in particolare della riduzione dei tempi di check-in e del miglioramento della sicurezza attraverso l'implementazione delle passkey, garantendo un'autenticazione fluida su tutti i punti di contatto (app, chioschi, web e piattaforme partner).

Esempi: Air New Zealand, Bolt, Grab, Uber, Hyatt

7.5 Raccomandazione per le passkey nel settore assicurativo#

Considerazioni chiave:

  • I costi di implementazione delle passkey devono essere allineati con le esigenze di conformità e i miglioramenti dell'esperienza utente.
  • Molti clienti assicurativi non sono molto esperti di tecnologia, quindi l'esperienza utente su tutti i tipi di dispositivi e browser è un must.
  • L'integrazione delle passkey con la verifica dell'identità è spesso richiesta per la gestione delle polizze e l'elaborazione dei sinistri.

Raccomandazione: Una soluzione passkey esterna è la più adatta per un'implementazione rapida e la conformità normativa. I fornitori assicurativi segnalano una significativa riduzione dei ticket di supporto legati all'autenticazione dopo l'implementazione delle passkey. Un fornitore di implementazione di passkey con flussi di autenticazione personalizzabili e verifica dell'identità integrata garantisce la sicurezza mantenendo semplici i login dei clienti. L'analisi del ROI delle passkey suggerisce che la riduzione dei reset di password e delle perdite per frode compensa i costi del fornitore.

Esempi: Branch

7.6 Raccomandazione per le passkey nel settore governativo e dei servizi pubblici#

Considerazioni chiave:

Raccomandazione: Per le agenzie governative, è essenziale una soluzione passkey specializzata che soddisfi rigorosi standard di sicurezza garantendo al contempo l'accessibilità. Il successo dell'implementazione presso VicRoads dimostra che le organizzazioni governative traggono il massimo vantaggio da soluzioni passkey esterne che gestiscono automaticamente i requisiti di conformità e gli aggiornamenti di sicurezza. Pertanto, scegliete un fornitore di implementazione di passkey che offra sicurezza di livello enterprise, supporti l'autenticazione multi-dispositivo e fornisca flussi di autenticazione adattiva per soddisfare tutti i cittadini.

Esempio: VicRoads, myGov, State of Michigan

7.7 Raccomandazione per le passkey nel settore delle telecomunicazioni e delle utility#

Considerazioni chiave:

  • Scalabilità e affidabilità sono fondamentali, poiché i fornitori di telecomunicazioni e utility gestiscono spesso milioni di utenti in vari segmenti di clientela, richiedendo un'autenticazione altamente disponibile e tollerante ai guasti.
  • Il supporto multi-dispositivo e cross-platform è essenziale, poiché gli utenti accedono agli account tramite app mobili o portali web. L'autenticazione con passkey deve funzionare senza problemi su tutti i punti di contatto con il cliente.
  • Il supporto per i sistemi di autenticazione legacy è spesso necessario, poiché i fornitori di telecomunicazioni e utility potrebbero dover integrare le passkey nei sistemi IAM e nelle piattaforme di identità dei clienti esistenti senza interrompere i flussi di autenticazione attuali.
  • La prevenzione delle frodi e la sicurezza dell'account sono priorità assolute, in particolare per le frodi di SIM swap, il furto di identità e l'accesso non autorizzato all'account. Le passkey possono ridurre significativamente gli attacchi di phishing e i rischi di credential stuffing.

Raccomandazione: Per i fornitori di telecomunicazioni e utility, l'adozione di una soluzione passkey esterna è l'approccio raccomandato. Data la scala, la complessità e le esigenze di sicurezza di questi settori, un fornitore di passkey gestito garantisce conformità, alta disponibilità e integrazione perfetta con l'infrastruttura di autenticazione esistente. I giganti delle telecomunicazioni e i fornitori di utility digital-first stanno già adottando le passkey come parte dei loro sforzi di modernizzazione della sicurezza per ridurre le frodi e migliorare l'esperienza utente. Inoltre, l'esternalizzazione dell'implementazione delle passkey riduce il costo totale di proprietà (TCO) rispetto allo sviluppo interno, poiché la manutenzione continua, gli aggiornamenti di sicurezza e la conformità normativa sono gestiti dal fornitore.

Esempio: Deutsche Telekom, Telstra, SK Telecom

7.8 Raccomandazione per le passkey nel B2B SaaS#

Considerazioni chiave:

  • L'autenticazione multi-tenant è essenziale per il SaaS B2B, richiedendo un'integrazione scalabile delle passkey tra diversi sistemi IAM.
  • Le aziende si aspettano il SSO (OIDC/SAML), quindi un'integrazione perfetta con i provider di identità è fondamentale per il business.
  • I costi di implementazione delle passkey devono essere bilanciati con altri investimenti in sicurezza, come l'autenticazione a più fattori (MFA) e i modelli di sicurezza zero-trust.

Raccomandazione: Per la maggior parte dei fornitori di SaaS B2B, un'implementazione esterna delle passkey è la scelta ottimale. L'implementazione è solitamente più rapida dello sviluppo interno. Aziende digitali B2B come Notion, Hubspot o Vercel hanno già adottato le passkey per migliorare la sicurezza della loro autenticazione. Il costo totale di proprietà è significativamente inferiore rispetto allo sviluppo interno, poiché la manutenzione, gli aggiornamenti e i requisiti di conformità sono coperti dal fornitore.

Esempio: Canva, DocuSign, Notion

8. Conclusione#

Le passkey sono diventate lo standard globale per l'autenticazione, semplificando i login per gli utenti finali e migliorando al contempo la sicurezza. Mentre le aziende valutano come implementare le passkey, devono decidere se sviluppare una soluzione interna o affidarsi a un fornitore specializzato. Sebbene le implementazioni fai-da-te offrano il pieno controllo, richiedono competenze tecniche significative, risorse di sviluppo e manutenzione continua. Al contrario, i fornitori di passkey offrono un approccio più rapido, scalabile ed economico, garantendo alti tassi di adozione, un'esperienza utente senza interruzioni e la conformità con gli standard di sicurezza in evoluzione.

Questa guida ha affrontato le seguenti domande chiave:

  • Quali componenti sono necessari per implementare le passkey e diventare passwordless?

    Un'implementazione di passkey di successo richiede un'infrastruttura FIDO2/WebAuthn, flussi UX fluidi, meccanismi di fallback e opzioni sicure di recupero dell'account. Le aziende devono anche considerare la compatibilità cross-platform e la conformità alla sicurezza.

  • Dovrei implementare le passkey internamente o usare un fornitore esterno?

    Sebbene lo sviluppo interno offra controllo, comporta un'elevata complessità, costi di manutenzione continui e responsabilità di sicurezza. La maggior parte delle organizzazioni rivolte ai consumatori su larga scala beneficia di una soluzione passkey esterna che offre un'implementazione rapida, costi operativi inferiori e un ridotto onere tecnico.

  • Qual è il vantaggio di avere un fornitore di passkey quando esistono librerie open-source?

    Le librerie WebAuthn open-source forniscono un punto di partenza ma mancano di sicurezza di livello enterprise, di un'esperienza utente ottimizzata per le passkey e di funzionalità che migliorano l'adozione. Un fornitore di passkey garantisce un'implementazione senza interruzioni, scalabilità e strategie di adozione ottimizzate che portano a un migliore ROI, riducendo l'attrito sia per gli utenti che per gli sviluppatori.

  • Quali sono le sfide più grandi nella creazione di una soluzione passkey?

    Lo sviluppo di un sistema di passkey interno richiede una profonda esperienza in WebAuthn, supporto multi-dispositivo e adozione delle passkey. La gestione della complessità continua di dispositivi e browser e la garanzia di alti tassi di adozione aumentano ulteriormente la complessità.

  • Quali sono i rischi di implementare le passkey internamente?

    Le aziende rischiano alti costi di sviluppo, tempi di implementazione prolungati e oneri di manutenzione della sicurezza continui. Fallimenti di conformità, vulnerabilità di sicurezza e una scarsa adozione da parte degli utenti possono compromettere il successo di un rollout di passkey. Una soluzione di passkey gestita da un fornitore mitiga questi rischi offrendo un'infrastruttura di autenticazione collaudata e scalabile con sicurezza e conformità normativa integrate.

Schedule a call to get your free enterprise passkey assessment.

Talk to a Passkey Expert

Share this article


LinkedInTwitterFacebook

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Related Articles

Table of Contents