Guida alle Passkey per i Portali Clienti Assicurativi

1. Introduzione#

I portali clienti per le assicurazioni sono sotto pressione da più direzioni contemporaneamente. Il rischio di account takeover è in aumento, gli SMS OTP sono costosi su larga scala, i call center assorbono le conseguenze dei fallimenti di password e MFA, e i regolatori si aspettano sempre più un'MFA resistente al phishing. Questa combinazione fa delle assicurazioni uno dei casi d'uso più evidenti per l'autenticazione dei clienti tramite passkey.

Questo articolo copre:

1. Perché i portali assicurativi sono un forte caso d'uso per le passkey: rischio di ATO, costosi flussi OTP, ritardato rilevamento delle frodi e crescente pressione normativa.
2. Come si confrontano le passkey con i metodi di autenticazione legacy: SMS OTP, email OTP, TOTP e device trust in termini di sicurezza, UX, conformità e costi.
3. Cosa rende diverse le implementazioni per gli assicuratori: CIAM legacy, architettura di portali multi-brand, flussi per agenti rispetto a quelli per assicurati e normative regionali.
4. Come gli assicuratori possono lanciare le passkey con un modello operativo pratico: cosa misurare, come utilizzare il modello di maturità e come passare da accessi basati su OTP a un'MFA resistente al phishing.
5. Come le passkey guidano l'adozione digitale e la migrazione al self-service: il caso strategico per i leader a livello C e VP: spostamento dei canali, deflessione dei call center e collegamento tra osservabilità dell'autenticazione e risultati di business.

2. Perché i portali clienti assicurativi sono un obiettivo primario per l'account takeover?#

I portali clienti assicurativi contengono alcuni dei dati personali più sensibili in circolazione, pur affidandosi spesso a una debole sicurezza di accesso. Ciò li rende un bersaglio naturale per gli attacchi basati sulle credenziali. Gli account degli assicurati contengono numeri di previdenza sociale, dettagli bancari, cartelle cliniche e cronologia dei sinistri. Tutto questo può essere monetizzato attraverso il furto d'identità o richieste di indennizzo fraudolente.

A differenza dei portali bancari dove il monitoraggio delle transazioni rileva le frodi in tempo reale, le frodi assicurative spesso impiegano settimane o mesi per emergere. Un aggressore che ottiene l'accesso all'account di un assicurato può cambiare i beneficiari, presentare sinistri fraudolenti, o esfiltrare dati personali molto prima che l'assicuratore rilevi la compromissione.

Le dimensioni del problema:

• Credential stuffing alla porta d'ingresso: Il NYDFS ha multato otto assicurazioni auto per un totale di 19 milioni di dollari USA nell'ottobre 2025, in particolare perché non hanno applicato l'MFA sui sistemi di preventivazione rivolti al pubblico. Gli aggressori hanno utilizzato il credential stuffing per accedere in massa ai dati sensibili dei conducenti.
• Gli SMS OTP sono costosi e fragili: Su scala assicurativa (milioni di assicurati), i costi di invio degli SMS OTP si accumulano rapidamente. Una compagnia che invia 10 milioni di OTP al mese a 0,03 dollari USA per messaggio spende 3,6 milioni di dollari USA all'anno, e questo supponendo una consegna del 100%. Nella pratica, il filtraggio dei carrier, la portabilità dei numeri e il roaming internazionale fanno sì che il 5-15% degli OTP non arrivi mai, e ogni mancata consegna può generare una chiamata di supporto.
• Carico sui call center per il ripristino delle password: I call center assicurativi gestiscono già richieste complesse su sinistri e polizze. Aggiungere il ripristino delle password e la risoluzione dei problemi MFA a questo mix distoglie il tempo degli agenti dalle attività che generano entrate. Le stime del settore collocano le chiamate relative all'autenticazione al 20-40% del volume totale del call center per i servizi finanziari ai consumatori.
• La pressione normativa si sta intensificando: Oltre al NYDFS, la FTC Safeguards Rule ha reso obbligatoria l'MFA per gli istituti finanziari non bancari da giugno 2023, e la NAIC Insurance Data Security Model Law (adottata in più di 25 stati) richiede un'MFA basata sul rischio per tutti i licenziatari.

Dati di alto valore, rilevamento ritardato delle frodi, costi crescenti degli OTP e regolamentazioni sempre più severe indicano tutti la stessa direzione: i portali assicurativi hanno urgente bisogno di un'autenticazione resistente al phishing.

3. Come si confrontano le passkey con SMS OTP, email OTP, TOTP e device trust per i portali assicurativi?#

Scegliere il giusto metodo di autenticazione significa valutare sicurezza, esperienza utente, recupero, complessità di implementazione, onere di supporto, livello di conformità e costi su scala. La tabella seguente illustra come si posiziona ogni opzione.

In sintesi: Le passkey sono l'unica opzione che ottiene i punteggi più alti in sicurezza, UX, onere di supporto, conformità e costi su scala. Il compromesso è la complessità dell'implementazione, ma si tratta di un investimento una tantum che si ripaga da solo man mano che l'adozione cresce.

4. Cosa rende diversa l'implementazione delle passkey per gli assicuratori?#

Distribuire le passkey nel settore assicurativo non è la stessa cosa che implementarle nelle banche o nel SaaS. Gli assicuratori devono gestire infrastrutture legacy, complessità multi-brand, popolazioni di utenti divergenti e requisiti normativi stratificati che influenzano ogni decisione di implementazione.

4.1 Piattaforme CIAM legacy#

La maggior parte delle grandi compagnie assicurative gestisce l'identità dei consumatori su piattaforme CIAM aziendali come Ping Identity, ForgeRock o Okta. Queste piattaforme ora supportano FIDO2/WebAuthn a livello di protocollo, ma tale supporto copre solo la cerimonia di backend. Il livello di adozione (solleciti alla registrazione, prompt sensibili al dispositivo, gestione degli errori e telemetria lato client) è mancante o richiede uno sviluppo personalizzato significativo.

Questo crea la stessa "trappola dell'1%" vista nelle implementazioni bancarie: la casella di controllo dell'IdP è spuntata, ma l'adozione ristagna perché nessuno ha costruito il percorso di prodotto che sposti gli assicurati dalle password alle passkey.

4.2 Portali multi-brand e strategia rpID#

Un tipico grande assicuratore gestisce prodotti auto, casa, vita e specialità, spesso su sottodomini separati o persino su domini distinti acquisiti tramite fusioni e acquisizioni. Le passkey sono vincolate all'origine: una credenziale creata su auto.assicuratore.it non funzionerà su vita.assicuratore.it a meno che entrambi non condividano lo stesso Relying Party ID (rpID).

La soluzione:

• Definire un singolo rpID ancorato al dominio principale (es. gruppoassicurativo.it) prima di iniziare qualsiasi lavoro sulle passkey.
• Indirizzare tutta l'autenticazione attraverso un livello SSO centralizzato (OIDC/SAML) che utilizza questo rpID condiviso.
• Se i domini legacy non possono essere consolidati immediatamente, utilizzare le Origini Correlate (Related Origins) per colmare il divario senza forzare una nuova registrazione.

4.3 Flussi per agenti vs. flussi per assicurati#

Le assicurazioni hanno due popolazioni di utenti molto diverse che accedono agli stessi sistemi di backend:

Branch Insurance ha mostrato come questo funzioni nella pratica: sono partiti con gli agenti (maggiore frequenza, ambiente più controllato) e hanno raggiunto un'adozione iniziale del 25% prima di espandersi agli assicurati. Iniziare dagli agenti ha costruito la fiducia interna e ha fatto emergere fin dall'inizio i problemi specifici dei dispositivi.

4.4 Panorama normativo regionale#

L'autenticazione assicurativa non è solo un problema normativo statunitense. Le regole esatte differiscono per mercato, ma la direzione è coerente: controlli di identità più forti, copertura MFA più ampia e maggiore attenzione ai canali digitali rivolti ai clienti.

• Stati Uniti: La normativa NYDFS Part 500 impone un'MFA universale entro novembre 2025 per i soggetti coperti, compresi gli assicuratori con licenza a New York. Il NYDFS segnala esplicitamente gli SMS OTP come deboli e raccomanda alternative resistenti al phishing. La NAIC Insurance Data Security Model Law spinge un'MFA basata sul rischio in oltre 25 stati, mentre la FTC Safeguards Rule richiede l'MFA per alcune istituzioni finanziarie non bancarie e intermediari.
• Unione Europea: Il DORA è entrato in vigore il 17 gennaio 2025 e si applica alle compagnie assicurative in tutta l'UE. Il DORA va oltre la semplice regola MFA, alzando gli standard sulla gestione del rischio ICT, sulla segnalazione degli incidenti, sui test di resilienza e sulla supervisione delle terze parti per i sistemi rivolti ai clienti.
• Australia: APRA CPS 234 richiede controlli di sicurezza delle informazioni proporzionati al rischio in tutte le compagnie assicurative e altri enti regolamentati da APRA. Le linee guida MFA del 2023 di APRA richiedono specificamente un'autenticazione rafforzata per gli accessi privilegiati, remoti e per le attività ad alto rischio, e notano che le lacune materiali dell'MFA che colpiscono gli assicurati possono rappresentare una debolezza di sicurezza da segnalare.
• Canada: OSFI Guideline B-13 si applica agli istituti finanziari regolamentati a livello federale, inclusi gli assicuratori. L'OSFI afferma che le aziende dovrebbero implementare controlli di accesso e identità basati sul rischio, compresa l'MFA sui canali rivolti all'esterno e sugli account privilegiati.

Per gli assicuratori multi-regione, l'implicazione pratica è semplice: progettare l'autenticazione dei clienti per soddisfare il regime normativo più severo applicabile. La direzione comune è verso un'MFA basata sul rischio e sempre più resistente al phishing, non una continua dipendenza dagli SMS OTP.

5. Cosa dovrebbero misurare gli assicuratori prima e dopo il lancio delle passkey?#

Lanciare le passkey senza la telemetria lato client è come stipulare una polizza assicurativa senza i dati di underwriting. Non saprete cosa sta fallendo, dove o per chi, fino a quando il vostro call center non sarà sommerso. L'errore del "lancio alla cieca" osservato nelle implementazioni bancarie si applica altrettanto qui, specialmente data la diversità demografica degli assicurati con cui gli assicuratori hanno a che fare.

Come minimo, gli assicuratori dovrebbero misurare tre risultati orientati al business:

• Tasso di successo del login: Gli assicurati e gli agenti riescono ad accedere in modo più affidabile dopo il lancio delle passkey?
• Tasso di registrazione: Gli utenti stanno effettivamente creando passkey, o l'adozione si ferma dopo il primo prompt?
• Volume di fallback e supporto: Gli utenti tornano agli SMS o al ripristino della password, e i ticket di supporto legati all'autenticazione stanno diminuendo?

Se questi tre numeri si muovono nella giusta direzione, il lancio sta funzionando. In caso contrario, è necessario regolare i tempi del prompt, la progettazione del fallback, la copertura dei dispositivi o l'educazione degli utenti prima di scalare ulteriormente.

5.1 I percorsi per i sinistri e le modifiche dell'account contano più dei login generici#

I portali assicurativi non sono solo esperienze del tipo "accedi e controlla il saldo". I momenti a più alto rischio si verificano spesso quando un assicurato denuncia un sinistro, modifica i dettagli di pagamento, aggiorna un indirizzo, aggiunge un conducente, cambia un beneficiario o accede a documenti sensibili. Tali percorsi non dovrebbero essere raggruppati in un KPI generico per i login.

Di conseguenza, gli assicuratori dovrebbero monitorare separatamente le prestazioni delle passkey per gli eventi di account ad alto rischio. Se il successo del login appare complessivamente buono, ma i percorsi relativi a sinistri o pagamenti continuano a ripiegare sugli SMS o sul recupero manuale, in realtà il lancio non sta riducendo il rischio operativo dove conta di più. Questa è una delle maggiori differenze tra le assicurazioni e le app per i consumatori utilizzate più frequentemente.

5.2 I login a bassa frequenza cambiano la strategia di adozione#

Molti assicurati accedono solo poche volte all'anno: al rinnovo, dopo un problema di fatturazione o quando denunciano un sinistro. Ciò rende l'adozione delle passkey nelle assicurazioni fondamentalmente diversa dai prodotti a uso quotidiano. Ci sono meno opportunità per sollecitare, educare e recuperare da una brutta prima esperienza.

Questo è il motivo per cui gli assicuratori dovrebbero misurare le registrazioni per percorso e non solo nel complesso. Un prompt mostrato dopo un pagamento andato a buon fine o dopo un controllo dello stato di un sinistro può convertire molto meglio rispetto a un prompt freddo visualizzato nella prima schermata di accesso a distanza di mesi dall'ultima sessione. Nelle assicurazioni, i migliori momenti di adozione sono solitamente legati alla fiducia e al completamento di un'operazione, non alla frequenza dei login.

6. Cos'è l'Insurance Authentication Maturity Model?#

Questo quadro a quattro livelli offre agli assicuratori un modo per valutare la loro posizione attuale sull'autenticazione, fissare traguardi mirati e comunicare i progressi a consigli di amministrazione, regolatori e revisori. Ogni livello si basa su quello precedente.

Il diagramma seguente visualizza i quattro livelli di maturità come una progressione dal livello solo SMS alla piena osservabilità.

Come utilizzare questo modello:

1. Valutare: Identificare il proprio livello attuale effettuando un audit sui metodi di autenticazione, sulla copertura della telemetria e sulle lacune di conformità in tutti i portali rivolti ai clienti.
2. Pianificare: Definire una roadmap di 12-18 mesi per raggiungere almeno il Livello 3. Gli assicuratori sotto la supervisione del NYDFS dovrebbero mirare al Livello 4 per supportare il doppio requisito di certificazione del CEO/CISO.
3. Comunicare: Utilizzare il modello nelle presentazioni ai consigli di amministrazione e nelle presentazioni normative per dimostrare progressi strutturati anziché miglioramenti estemporanei.

7. Come le passkey guidano l'adozione digitale e la migrazione al self-service#

La maggior parte dei dirigenti assicurativi tratta l'autenticazione come una questione IT. Questo è un errore. Per i leader a livello C e VP, le cui priorità strategiche includono lo spostamento degli assicurati dai call center e dalle filiali al self-service digitale, l'autenticazione è il principale punto di attrito che ostacola questo obiettivo.

7.1 L'autenticazione è la porta d'ingresso per ogni iniziativa digitale#

Ogni iniziativa assicurativa digitale (sinistri self-service, modifiche online alle polizze, pagamenti digitali, flussi di firma elettronica) inizia con un login. Se gli assicurati non riescono a superare in modo affidabile quella porta d'ingresso, nessuno degli investimenti a valle genererà ROI.

I dati sono chiari:

• Il 43% dei consumatori afferma che la gestione dei login influisce sulla loro volontà di utilizzare i servizi online.
• Il 64% ha abbandonato un acquisto perché ha dovuto creare un account o non è riuscito ad accedere.
• Il 60% dei consumatori trova i portali di assicurazioni, pensioni e mutui difficili da navigare, e l'accesso rappresenta il primo e più comune punto di fallimento.
• Solo il 20% dei clienti assicurativi dichiara che i canali digitali sono il modo preferito per interagire con il proprio assicuratore, in gran parte perché l'esperienza (a partire dall'autenticazione) è peggiore di quella offerta dalle app bancarie o retail.

Il seguente diagramma illustra come questi quattro dati si combinino in un unico modello che blocca l'adozione.

Per gli assicuratori che spendono milioni in riprogettazioni di portali, chatbot e flussi di lavoro digitali per i sinistri, un'esperienza di accesso tramite password e SMS OTP mina l'intero investimento. Gli assicurati che non riescono ad accedere o rinunciano per la frustrazione ripiegano sul contatto telefonico con il centro assistenza o sulla visita in filiale: esattamente i canali ad alto costo che la strategia digitale intendeva sostituire.

7.2 Quantificare il passaggio al self-service#

Spostare gli assicurati dai canali con assistenza umana al self-service digitale è una delle strategie di riduzione dei costi a maggiore impatto nel settore assicurativo:

• Le interazioni telefoniche costano dai 8 ai 15 dollari USA a contatto contro meno di 1 dollaro USA per il self-service. Su scala assicurativa, anche uno spostamento del 10% dal telefono al digitale permette di risparmiare milioni all'anno.
• Gli utenti dei portali hanno il 12% in meno di probabilità di disdire le proprie polizze rispetto a chi non utilizza il portale. Gli utenti multicanale mostrano un tasso di fidelizzazione superiore del 25%.
• Le compagnie assicurative che implementano il self-service digitale segnalano riduzioni dei costi di servizio del 15-25% e costi di gestione dei sinistri inferiori del 30%.
• L'82% dei clienti assicurativi vuole risolvere i problemi senza chiamare, ma solo il 56% segnala strumenti self-service adeguati - un divario che l'attrito dell'autenticazione allarga ulteriormente.

Il grafico sottostante mostra come questa economia si confronti sui vari canali.

Le passkey affrontano direttamente il divario tra le intenzioni del cliente e l'effettivo utilizzo del portale. Quando l'accesso richiede meno di 2 secondi con una conferma biometrica invece di un flusso password più OTP che fallisce il 5-15% delle volte, un maggior numero di assicurati completa il percorso digitale invece di prendere in mano il telefono.

7.3 Cosa rivela l'osservabilità di Corbado sull'adozione digitale#

La maggior parte degli assicuratori sa che il proprio tasso di adozione digitale è inferiore a quanto desiderato. Ciò a cui non riescono a rispondere è il perché. È incompatibilità del dispositivo? Attrito nel flusso di registrazione? Un particolare OS o browser in cui le passkey falliscono silenziosamente? Un segmento demografico a cui non viene mai richiesto di registrarsi?

È qui che l'osservabilità dell'autenticazione di Corbado offre qualcosa che nessun altro strumento sul mercato ha: la capacità di collegare la telemetria dell'autenticazione direttamente a metriche aziendali come il tasso di adozione digitale, il tasso di completamento del self-service e la migrazione dei canali.

Corbado fa emergere:

• Dove gli assicurati abbandonano l'imbuto di autenticazione: non solo "login fallito" ma quale fase della cerimonia, su quale dispositivo e per quale segmento di utenti.
• Quali categorie sono bloccate sui metodi legacy: ad esempio, assicurati over 60 su Android che non vedono mai un prompt per la passkey perché il loro dispositivo non è compatibile, venendo indirizzati silenziosamente agli SMS e poi al call center.
• Il collegamento diretto tra successo dell'autenticazione e coinvolgimento digitale: se il tasso di successo del login aumenta di 10 punti percentuali, di quanto aumenta l'utilizzo self-service del portale? Quante chiamate in meno arrivano al contact center?

Per un CIO o un SVP of Digital che presenta i risultati al consiglio di amministrazione, questo trasforma "abbiamo lanciato le passkey" in "le passkey hanno aumentato l'adozione del self-service digitale del X%, ridotto il volume del call center del Y% e fatto risparmiare Z dollari USA a trimestre". Questa è la narrazione strategica che giustifica l'investimento e accelera la più ampia roadmap di trasformazione digitale.

8. Come Corbado aiuta gli assicuratori a implementare le passkey#

La maggior parte degli assicuratori ha già una piattaforma CIAM (Ping, ForgeRock, Okta) in grado di gestire la cerimonia WebAuthn. Ciò che manca è il livello di adozione che trasforma "supportiamo le passkey" in "il 50% dei nostri assicurati usa le passkey". Corbado fornisce quel livello.

8.1 Motore di adozione#

I componenti UI predefiniti di Corbado e la sua logica decisionale gestiscono il percorso di registrazione che le piattaforme CIAM lasciano allo sviluppo personalizzato:

• Prompt di registrazione contestuali emergono in momenti di alta fiducia (subito dopo un controllo MFA andato a buon fine) anziché essere sepolti nelle impostazioni dell'account.
• Urgenza progressiva passa da solleciti "Opzionali" a "Raccomandati" a "Obbligatori" su una tempistica configurabile, adattandosi alla curva di adozione di 12-18 mesi di cui la maggior parte degli assicuratori ha bisogno.
• A/B testing per messaggi di registrazione, tempistiche e posizionamento, per ottimizzare i tassi di conversione tra diversi segmenti di assicurati e linee di prodotto.

8.2 Intelligenza dei dispositivi#

Corbado mantiene una matrice costantemente aggiornata sulla compatibilità delle passkey a livello di dispositivo:

• Se uno specifico modello Samsung ha un'implementazione delle passkey difettosa, Corbado elimina automaticamente il prompt, indirizzando l'utente a un fallback senza frustrazioni.
• Passkey Intelligence rileva le capacità del dispositivo prima di richiedere l'azione, prevenendo gli errori di "Operazione interrotta" che causano picchi nelle richieste di supporto.
• La diversità dei dispositivi tipica delle assicurazioni (tablet datati utilizzati da pensionati, postazioni di agenzia condivise, laptop gestiti dall'azienda) è gestita attraverso policy di fiducia configurabili.

8.3 Fallback intelligenti#

Corbado previene i blocchi permanenti instradando in modo intelligente gli utenti verso alternative quando il loro dispositivo o ambiente non è pronto per le passkey:

• Gli assicurati con dispositivi incompatibili vedono una transizione fluida verso il miglior metodo alternativo anziché una schermata di errore.
• I flussi di recupero basati sulla verifica dell'identità (eKYC, scansione ID + liveness) consentono la re-iscrizione senza l'intervento del call center.
• Le policy di fallback specifiche per gli agenti accolgono postazioni condivise e ambienti con proxy aziendali che bloccano i flussi ibridi (tramite codice QR).

8.4 Telemetria forense#

Corbado fornisce quella "visione a raggi X" che i log del CIAM lato server non sono in grado di offrire:

• La dashboard Device Trust fa emergere i tassi di successo per tipo di passkey, classificazione dei dispositivi e copertura dei fattori SCA.
• Il rilevamento delle anomalie in tempo reale segnala pattern insoliti (picchi di dispositivi condivisi, registrazioni da ambienti sospetti) prima che diventino incidenti di sicurezza.
• La reportistica per l'audit fornisce ai CISO i dati necessari per la certificazione annuale NYDFS, per gli esami della NAIC e per i resoconti interni al consiglio di amministrazione.

Corbado non sostituisce il vostro attuale stack CIAM. Si posiziona di fronte ad esso, gestendo la complessità reale della frammentazione dei dispositivi, l'educazione degli utenti e la visibilità operativa che determinano se il vostro investimento nelle passkey produrrà ROI o si arresterà al di sotto dell'1% di adozione.

9. Conclusione#

I portali per i clienti assicurativi sono sotto pressione da più direzioni contemporaneamente: l'aumento degli attacchi ATO, le costose infrastrutture SMS OTP, il sovraccarico dei call center causato dai reset delle password, l'inasprimento delle aspettative normative negli USA, in UE, in Australia e in Canada, nonché il mandato strategico di spostare gli assicurati dai canali umani ad alto costo verso il self-service digitale. Le passkey affrontano tutti e cinque questi punti eliminando le credenziali soggette a phishing, rimuovendo i costi di autenticazione, riducendo l'onere di supporto, allineandosi con il passaggio a un'MFA più forte e rimuovendo l'attrito di accesso che ostacola l'adozione del digitale.

Aflac (500.000 registrazioni, tasso di successo del 96%), Branch Insurance (riduzione dei ticket del 50%) e HealthEquity (lancio obbligatorio senza rinunce) hanno già dimostrato che l'adozione su vasta scala funziona. La chiave è trattare le passkey come un percorso di prodotto piuttosto che come una casella da spuntare a livello infrastrutturale: investite nei flussi di registrazione, strumentate il client, pianificate i fallback e costruite la telemetria che collega le prestazioni dell'autenticazione alle metriche aziendali a cui il vostro consiglio d'amministrazione tiene veramente (tasso di adozione digitale, deflessione delle chiamate e completamento del self-service).

Utilizzate il Modello di Maturità dell'Autenticazione Assicurativa per valutare la vostra posizione attuale, fissare un obiettivo a 12-18 mesi e comunicare i progressi strutturati al consiglio e alle autorità di regolamentazione.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande Frequenti#

Come riducono le passkey il rischio di account takeover nei portali clienti assicurativi?#

Le passkey utilizzano la crittografia a chiave pubblica-privata legata al dominio dell'assicuratore, rendendole immuni al phishing, al credential stuffing e agli attacchi di SIM-swapping che affliggono i flussi di password e SMS OTP. Aflac ha riportato un tasso di successo del login del 96% dopo aver implementato le passkey, e Branch Insurance ha visto scendere i ticket di supporto di circa il 50%. Poiché nessun segreto condiviso viene trasmesso durante l'autenticazione, gli aggressori non possono raccogliere credenziali riutilizzabili nemmeno se controllano la rete.

Quali normative di conformità definiscono i requisiti di autenticazione per i portali clienti assicurativi e in che modo le passkey sono utili?#

Negli Stati Uniti, la normativa NYDFS Part 500, l'FTC Safeguards Rule e la NAIC Insurance Data Security Model Law spingono tutti gli assicuratori verso una MFA più forte. Fuori dagli Stati Uniti, gli assicuratori dell'UE rientrano nel DORA, quelli australiani nell'APRA CPS 234 e quelli canadesi nella OSFI Guideline B-13, che alzano tutte le aspettative sui controlli di autenticazione per i sistemi rivolti ai clienti. Le passkey aiutano perché forniscono un'MFA resistente al phishing utilizzando credenziali crittografiche FIDO2/WebAuthn mentre riducono la dipendenza dai flussi SMS OTP più deboli.

Come si confrontano le passkey con SMS OTP, TOTP e device trust per l'autenticazione nei portali assicurativi?#

L'SMS OTP costa da 0,01 a 0,05 dollari USA per messaggio su larga scala, è vulnerabile a SIM-swapping e phishing e genera un elevato carico per i call center a causa dei mancati recapiti. Le app TOTP eliminano il costo per messaggio ma rimangono vulnerabili al phishing e richiedono l'inserimento manuale del codice. Il device trust riduce l'attrito sui dispositivi noti ma non offre alcuna resistenza al phishing. Le passkey combinano la sicurezza resistente al phishing con un costo per autenticazione pari a zero e tempi di accesso inferiori a 2 secondi, rendendole l'unico metodo che ottiene il punteggio massimo nelle dimensioni di sicurezza, UX, costi e conformità.

Cosa rende diversa l'implementazione delle passkey per gli assicuratori rispetto alle banche o alle aziende SaaS?#

Gli assicuratori affrontano la complessità di portali multi-brand in cui i prodotti auto, casa e vita possono essere eseguiti su sottodomini separati che richiedono una strategia rpID unificata. Le piattaforme CIAM legacy come Ping, ForgeRock o Okta gestiscono il WebAuthn nel backend ma offrono strumenti limitati per l'adozione. I flussi degli agenti rispetto a quelli degli assicurati richiedono livelli di fiducia e profili di dispositivi diversi. La pressione normativa copre inoltre molteplici giurisdizioni: gli assicuratori statunitensi affrontano la NYDFS Part 500, la NAIC Model Law e la FTC Safeguards Rule, gli assicuratori dell'UE rientrano nel DORA, gli assicuratori australiani rispondono all'APRA CPS 234 e quelli canadesi alla OSFI Guideline B-13. Questo richiede un piano di lancio che soddisfi lo standard applicabile più rigoroso.

Cos'è l'Insurance Authentication Maturity Model e come possono usarlo gli assicuratori per valutare i propri progressi?#

L'Insurance Authentication Maturity Model (Modello di Maturità dell'Autenticazione Assicurativa) definisce quattro livelli: Livello 1 (Solo SMS) con OTP a fattore singolo e nessuna resistenza al phishing; Livello 2 (MFA abilitata) con password più SMS o TOTP che soddisfa la conformità di base; Livello 3 (Resistente al phishing) con passkey distribuite, registrazione protetta e fallback intelligenti; Livello 4 (Resistente al phishing + osservabilità) con telemetria completa, device trust e monitoraggio continuo. Gli assicuratori possono utilizzare il modello per identificare il proprio livello attuale, fissare obiettivi intermedi e comunicare i progressi a consigli di amministrazione e regolatori.