--- url: 'https://www.corbado.com/it/blog/insurance-customer-portal-passkeys' title: 'Guida alle Passkey per i Portali Clienti Assicurativi' description: 'Passkey per i portali clienti assicurativi: riduci gli ATO, taglia i costi delle OTP e modernizza l''MFA degli assicurati nelle compagnie regolamentate con CIAM legacy.' lang: 'it' author: 'Vincent Delitz' date: '2026-05-20T13:52:05.360Z' lastModified: '2026-05-20T13:53:51.409Z' keywords: 'passkey portale clienti assicurazioni, riduzione frodi login clienti assicurativi, account takeover portale assicurativo, sicurezza login assicurati MFA, modernizzazione MFA portale clienti assicurazioni, passkey assicurati' category: 'Passkeys Strategy' --- # Guida alle Passkey per i Portali Clienti Assicurativi ## Key Facts - **Le perdite per account takeover** nel settore assicurativo stanno accelerando: il NYDFS ha multato otto compagnie assicurative auto per un totale di **19 milioni di dollari USA nell'ottobre 2025** per non aver applicato l'MFA sui sistemi di preventivazione rivolti al pubblico, consentendo attacchi di credential stuffing sui dati dei conducenti. - **I costi degli SMS OTP** su scala assicurativa raggiungono **da 0,01 a 0,05 dollari USA per messaggio**; una compagnia con 5 milioni di assicurati che effettuano l'accesso due volte al mese spende **da 1,2 a 6 milioni di dollari USA all'anno** per il solo invio di OTP, prima ancora di calcolare i mancati recapiti e le chiamate di supporto. - **I reset delle password e le chiamate di supporto per l'MFA** rappresentano circa il **20-40% del volume dei call center assicurativi**, con ogni chiamata che costa **dai 5 ai 25 dollari USA** a seconda del tempo dell'agente e dei passaggi di verifica dell'identità. - **L'implementazione delle passkey di Aflac** ha ottenuto **500.000 registrazioni** con un **tasso di successo del login del 96%**; Branch Insurance ha visto i **ticket di supporto degli agenti scendere di circa il 50%** dopo il lancio. - **I dati della FIDO Alliance** mostrano che le passkey aumentano la conversione del login di **30 punti percentuali**; HealthEquity è andata oltre, rendendo le passkey **obbligatorie per tutti gli utenti** nell'autunno del 2025 senza possibilità di rinuncia. ## 1. Introduzione I portali clienti per le [assicurazioni](LNK_ASSICURAZIONI) sono sotto pressione da più direzioni contemporaneamente. Il rischio di account takeover è in aumento, gli SMS OTP sono costosi su larga scala, i call center assorbono le conseguenze dei fallimenti di password e MFA, e i regolatori si aspettano sempre più un'MFA resistente al phishing. Questa combinazione fa delle [assicurazioni](LNK_ASSICURAZIONI) uno dei casi d'uso più evidenti per l'autenticazione dei clienti tramite passkey. **Questo articolo copre:** 1. **Perché i portali assicurativi sono un forte caso d'uso per le passkey**: rischio di ATO, costosi flussi OTP, ritardato rilevamento delle frodi e crescente pressione normativa. 2. **Come si confrontano le passkey con i metodi di autenticazione legacy**: SMS OTP, email OTP, TOTP e device trust in termini di sicurezza, UX, conformità e costi. 3. **Cosa rende diverse le implementazioni per gli assicuratori**: CIAM legacy, architettura di portali multi-brand, flussi per agenti rispetto a quelli per assicurati e normative regionali. 4. **Come gli assicuratori possono lanciare le passkey con un modello operativo pratico**: cosa misurare, come utilizzare il modello di maturità e come passare da accessi basati su OTP a un'MFA resistente al phishing. 5. **Come le passkey guidano l'adozione digitale e la migrazione al self-service**: il caso strategico per i leader a livello C e VP: spostamento dei canali, deflessione dei call center e collegamento tra osservabilità dell'autenticazione e risultati di business. ## 2. Perché i portali clienti assicurativi sono un obiettivo primario per l'account takeover? I portali clienti assicurativi contengono alcuni dei dati personali più sensibili in circolazione, pur affidandosi spesso a una debole sicurezza di accesso. Ciò li rende un bersaglio naturale per gli attacchi basati sulle credenziali. Gli account degli assicurati contengono numeri di previdenza sociale, dettagli [bancari](LNK_BANCHE), cartelle cliniche e cronologia dei sinistri. Tutto questo può essere monetizzato attraverso il furto d'identità o richieste di indennizzo fraudolente. A differenza dei portali [bancari](LNK_BANCHE) dove il monitoraggio delle transazioni rileva le frodi in tempo reale, le frodi assicurative spesso impiegano settimane o mesi per emergere. Un aggressore che ottiene l'accesso all'account di un assicurato può cambiare i beneficiari, presentare sinistri fraudolenti, o esfiltrare dati personali molto prima che l'assicuratore rilevi la compromissione. **Le dimensioni del problema:** - **Credential stuffing alla porta d'ingresso:** Il NYDFS ha multato otto assicurazioni auto per un totale di 19 milioni di dollari USA nell'ottobre 2025, in particolare perché non hanno applicato l'MFA sui sistemi di preventivazione rivolti al pubblico. Gli aggressori hanno utilizzato il credential stuffing per accedere in massa ai dati sensibili dei conducenti. - **Gli SMS OTP sono costosi e fragili:** Su scala assicurativa (milioni di assicurati), i costi di invio degli SMS OTP si accumulano rapidamente. Una compagnia che invia 10 milioni di OTP al mese a 0,03 dollari USA per messaggio spende 3,6 milioni di dollari USA all'anno, e questo supponendo una consegna del 100%. Nella pratica, il filtraggio dei carrier, la portabilità dei numeri e il roaming internazionale fanno sì che il 5-15% degli OTP non arrivi mai, e ogni mancata consegna può generare una chiamata di supporto. - **Carico sui call center per il ripristino delle password:** I call center assicurativi gestiscono già richieste complesse su sinistri e polizze. Aggiungere il ripristino delle password e la risoluzione dei problemi MFA a questo mix distoglie il tempo degli agenti dalle attività che generano entrate. Le stime del settore collocano le chiamate relative all'autenticazione al 20-40% del volume totale del call center per i [servizi finanziari](LNK_BANCHE) ai consumatori. - **La pressione normativa si sta intensificando:** Oltre al NYDFS, la FTC Safeguards Rule ha reso obbligatoria l'MFA per gli istituti finanziari non bancari da giugno 2023, e la NAIC Insurance Data Security Model Law (adottata in più di 25 stati) richiede un'MFA basata sul rischio per tutti i licenziatari. Dati di alto valore, rilevamento ritardato delle frodi, costi crescenti degli OTP e regolamentazioni sempre più severe indicano tutti la stessa direzione: i portali assicurativi hanno urgente bisogno di un'autenticazione resistente al phishing. > - I portali assicurativi sono obiettivi ATO di alto valore perché le frodi impiegano settimane a emergere, > a differenza del settore bancario dove il monitoraggio delle transazioni intercetta gli abusi in tempo reale. > - Il NYDFS ha multato otto assicurazioni auto per 19 milioni di dollari USA nell'ottobre 2025 per la mancanza di MFA su > sistemi rivolti al pubblico; le sanzioni arrivano fino a 75.000 dollari USA al giorno. > - Gli SMS OTP su scala assicurativa costano da 1,2 a 6 milioni di dollari USA all'anno prima dei costi generali di supporto; il 5-15% > dei messaggi non arriva mai. > - Aflac, Branch Insurance ed HealthEquity hanno già implementato le passkey con risultati misurabili: > successo del login al 96%, ~50% in meno di ticket di supporto e registrazione obbligatoria senza > rinunce. ## 3. Come si confrontano le passkey con SMS OTP, email OTP, TOTP e device trust per i portali assicurativi? Scegliere il giusto metodo di autenticazione significa valutare sicurezza, esperienza utente, recupero, complessità di implementazione, onere di supporto, livello di conformità e costi su scala. La tabella seguente illustra come si posiziona ogni opzione. | Metodo | Sicurezza | UX | Recupero | Complessità di Implementazione | Onere di Supporto | Conformità | Costi su Scala | | ----------------------------- | ------------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------ | | **SMS OTP** | Bassa: vulnerabile a SIM-swapping, intercettazione SS7 e attacchi di phishing relay. Il NYDFS segnala esplicitamente gli SMS come MFA debole. | Media: familiare ma lenta (aspettare il messaggio, cambiare app, digitare il codice). Tasso di fallimento della consegna del 5-15% su scala. | Facile: legato al numero di telefono, ma la portabilità del numero crea lacune nel recupero. | Bassa: la maggior parte delle piattaforme CIAM supporta SMS OTP di default. | Alto: i fallimenti di recapito, i codici scaduti e il roaming internazionale generano un elevato volume nei call center. | Minima: soddisfa le checklist di base per l'MFA, ma NYDFS e CISA raccomandano alternative resistenti al phishing. | Alto: da 0,01 a 0,05 dollari USA per messaggio. A 10M di OTP/mese: 1,2-6M di dollari USA/anno prima dei costi di supporto. | | **Email OTP** | Bassa: gli account email sono frequentemente compromessi; i codici OTP sono soggetti a phishing e replay. | Bassa: consegna lenta (da secondi a minuti), passaggio tra le app, i codici scadono. | Facile: legato all'email, ma la compromissione dell'email si riversa a cascata su tutti gli account collegati. | Bassa: banale da implementare tramite SMTP. | Alto: filtri antispam, ritardi di consegna e codici scaduti generano ticket di supporto. | Debole: non soddisfa gli standard MFA resistenti al phishing secondo le linee guida NYDFS o FTC. | Basso: costo marginale quasi zero per messaggio, ma alti costi indiretti di supporto. | | **TOTP (App Authenticator)** | Media: elimina il rischio di SIM-swapping ma i codici rimangono soggetti a phishing tramite attacchi relay in tempo reale. | Media: richiede l'installazione dell'app, l'inserimento manuale del codice e la sincronizzazione dell'orario. Attrito per assicurati non tecnici. | Difficile: se si perde il dispositivo senza codici di backup, il recupero dell'account richiede la verifica manuale dell'identità. | Media: richiede l'educazione degli utenti e l'installazione dell'app; l'adozione è tipicamente sotto il 20% senza obbligatorietà. | Medio: meno problemi di consegna rispetto agli SMS, ma persistono recuperi per perdita del dispositivo ed errori di configurazione. | Moderata: soddisfa i requisiti MFA di base ma non è resistente al phishing secondo gli standard NYDFS/CISA. | Basso: nessun costo per l'autenticazione, ma il supporto dell'app e le procedure di recupero aggiungono costi indiretti. | | **Device Trust** | Media: riduce l'attrito sui dispositivi riconosciuti ma non fornisce resistenza al phishing; il cookie/fingerprint può essere riutilizzato. | Alta: invisibile agli utenti sui dispositivi fidati; accessi successivi senza soluzione di continuità. | Media: la perdita del dispositivo o le modifiche al browser azzerano la fiducia, richiedendo una nuova verifica. | Media: richiede infrastruttura per il fingerprinting dei dispositivi e policy sul decadimento della fiducia. | Basso: pochi prompt rivolti agli utenti sui dispositivi fidati, ma i reset della fiducia generano confusione. | Insufficiente da sola: non si qualifica come MFA sotto nessun quadro normativo principale senza un secondo fattore. | Basso: solo costo dell'infrastruttura; nessuna tariffa per l'autenticazione. | | **Passkey (FIDO2/WebAuthn)** | **Alta**: crittografica, vincolata al dominio, resistente al phishing di progettazione. Immune a credential stuffing, SIM-swapping e attacchi relay. | **Alta**: conferma biometrica o tramite PIN in meno di 2 secondi. Nessun inserimento di codici, nessun cambio di app. Aflac ha raggiunto il 96% di successo nel login. | Media: legata all'ecosistema della piattaforma (Portachiavi iCloud, Google Password Manager). Il blocco dell'ecosistema richiede la verifica dell'identità per il recupero. | Medio-Alta: richiede server WebAuthn, strategia rpID, flussi di registrazione, logica di fallback e telemetria lato client. | **Basso**: Branch Insurance ha visto scendere i ticket di supporto di circa il 50% dopo l'implementazione delle passkey. | **Forte**: soddisfa i requisiti di MFA resistente al phishing previsti da NYDFS Part 500, FTC Safeguards Rule e NAIC Model Law. NIST SP 800-63B riconosce le passkey sincronizzate come conformi ad AAL2. | **Basso**: costo zero per autenticazione. ROI realizzato attraverso l'eliminazione degli SMS, la riduzione delle frodi e la deflessione dei call center. | **In sintesi:** Le passkey sono l'unica opzione che ottiene i punteggi più alti in sicurezza, UX, onere di supporto, conformità e costi su scala. Il compromesso è la complessità dell'implementazione, ma si tratta di un investimento una tantum che si ripaga da solo man mano che l'adozione cresce. ## 4. Cosa rende diversa l'implementazione delle passkey per gli assicuratori? Distribuire le passkey nel settore [assicurativo](LNK_ASSICURAZIONI) non è la stessa cosa che implementarle nelle [banche](LNK_BANCHE) o nel SaaS. Gli assicuratori devono gestire infrastrutture legacy, complessità multi-brand, popolazioni di utenti divergenti e requisiti normativi stratificati che influenzano ogni decisione di implementazione. ### 4.1 Piattaforme CIAM legacy La maggior parte delle grandi compagnie assicurative gestisce l'identità dei consumatori su piattaforme CIAM aziendali come Ping Identity, ForgeRock o Okta. Queste piattaforme ora supportano FIDO2/WebAuthn a livello di protocollo, ma tale supporto copre solo la cerimonia di backend. Il livello di adozione (solleciti alla registrazione, prompt sensibili al dispositivo, gestione degli errori e telemetria lato client) è mancante o richiede uno sviluppo personalizzato significativo. Questo crea la stessa "trappola dell'1%" vista nelle implementazioni bancarie: la casella di controllo dell'IdP è spuntata, ma l'adozione ristagna perché nessuno ha costruito il percorso di prodotto che sposti gli assicurati dalle password alle passkey. ### 4.2 Portali multi-brand e strategia rpID Un tipico grande assicuratore gestisce prodotti auto, casa, vita e specialità, spesso su sottodomini separati o persino su domini distinti acquisiti tramite fusioni e acquisizioni. Le passkey sono vincolate all'origine: una credenziale creata su `auto.assicuratore.it` non funzionerà su `vita.assicuratore.it` a meno che entrambi non condividano lo stesso Relying Party ID (rpID). **La soluzione:** - Definire un singolo rpID ancorato al dominio principale (es. `gruppoassicurativo.it`) prima di iniziare qualsiasi lavoro sulle passkey. - Indirizzare tutta l'autenticazione attraverso un livello SSO centralizzato (OIDC/SAML) che utilizza questo rpID condiviso. - Se i domini legacy non possono essere consolidati immediatamente, utilizzare le Origini Correlate (Related Origins) per colmare il divario senza forzare una nuova registrazione. ### 4.3 Flussi per agenti vs. flussi per assicurati Le assicurazioni hanno due popolazioni di utenti molto diverse che accedono agli stessi sistemi di backend: | Dimensione | Assicurati | Agenti / Broker | | --------------- | ----------------------------------------------------------- | --------------------------------------------------------------------- | | Frequenza di login | Bassa (pagamento mensile, rinnovo annuale, sinistri) | Alta (preventivazione giornaliera, gestione polizze, controllo provvigioni) | | Profilo del dispositivo | Smartphone e tablet personali; ampia diversità di OS/browser | Workstation condivise d'agenzia, laptop aziendali, spesso dietro firewall | | Livello di fiducia | Bassa fiducia iniziale; deve essere costruita tramite la registrazione | Alta fiducia di base; spesso prevagliati attraverso l'onboarding dell'agenzia | | Sensibilità | Accesso completo ai dati personali (Codice Fiscale, dati bancari, sanitari) | Ampio accesso ai dati personali di molteplici assicurati | | Esigenze di fallback | Non devono mai essere bloccati da sinistri o pagamenti | Non devono mai essere bloccati dalla preventivazione o dall'emissione di polizze | Branch Insurance ha mostrato come questo funzioni nella pratica: sono partiti con gli agenti (maggiore frequenza, ambiente più controllato) e hanno raggiunto un'adozione iniziale del 25% prima di espandersi agli assicurati. Iniziare dagli agenti ha costruito la fiducia interna e ha fatto emergere fin dall'inizio i problemi specifici dei dispositivi. ### 4.4 Panorama normativo regionale L'autenticazione assicurativa non è solo un problema normativo statunitense. Le regole esatte differiscono per mercato, ma la direzione è coerente: controlli di identità più forti, copertura MFA più ampia e maggiore attenzione ai canali digitali rivolti ai clienti. - **Stati Uniti:** La normativa NYDFS Part 500 impone un'MFA universale entro novembre 2025 per i soggetti coperti, compresi gli assicuratori con licenza a New York. Il NYDFS segnala esplicitamente gli SMS OTP come deboli e raccomanda alternative resistenti al phishing. La NAIC Insurance Data Security Model Law spinge un'MFA basata sul rischio in oltre 25 stati, mentre la FTC Safeguards Rule richiede l'MFA per alcune istituzioni finanziarie non bancarie e intermediari. - **Unione Europea:** Il [DORA](https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en) è entrato in vigore il 17 gennaio 2025 e si applica alle compagnie assicurative in tutta l'UE. Il DORA va oltre la semplice regola MFA, alzando gli standard sulla gestione del rischio ICT, sulla segnalazione degli incidenti, sui test di resilienza e sulla supervisione delle terze parti per i sistemi rivolti ai clienti. - **Australia:** [APRA CPS 234](https://handbook.apra.gov.au/standard/cps-234) richiede controlli di sicurezza delle informazioni proporzionati al rischio in tutte le compagnie assicurative e altri enti regolamentati da APRA. Le [linee guida MFA del 2023 di APRA](https://www.apra.gov.au/use-of-multi-factor-authentication-mfa) richiedono specificamente un'autenticazione rafforzata per gli accessi privilegiati, remoti e per le attività ad alto rischio, e notano che le lacune materiali dell'MFA che colpiscono gli assicurati possono rappresentare una debolezza di sicurezza da segnalare. - **Canada:** [OSFI Guideline B-13](https://www.osfi-bsif.gc.ca/en/guidance/guidance-library/technology-cyber-risk-management) si applica agli istituti finanziari regolamentati a livello federale, inclusi gli assicuratori. L'OSFI afferma che le aziende dovrebbero implementare controlli di accesso e identità basati sul rischio, compresa l'MFA sui canali rivolti all'esterno e sugli account privilegiati. Per gli assicuratori multi-regione, l'implicazione pratica è semplice: progettare l'autenticazione dei clienti per soddisfare il regime normativo più severo applicabile. La direzione comune è verso un'MFA basata sul rischio e sempre più resistente al phishing, non una continua dipendenza dagli SMS OTP. ## 5. Cosa dovrebbero misurare gli assicuratori prima e dopo il lancio delle passkey? Lanciare le passkey senza la telemetria lato client è come stipulare una polizza assicurativa senza i dati di underwriting. Non saprete cosa sta fallendo, dove o per chi, fino a quando il vostro call center non sarà sommerso. L'errore del "lancio alla cieca" osservato nelle implementazioni bancarie si applica altrettanto qui, specialmente data la diversità demografica degli assicurati con cui gli assicuratori hanno a che fare. Come minimo, gli assicuratori dovrebbero misurare tre risultati orientati al business: - **Tasso di successo del login:** Gli assicurati e gli agenti riescono ad accedere in modo più affidabile dopo il lancio delle passkey? - **Tasso di registrazione:** Gli utenti stanno effettivamente creando passkey, o l'adozione si ferma dopo il primo prompt? - **Volume di fallback e supporto:** Gli utenti tornano agli SMS o al ripristino della password, e i ticket di supporto legati all'autenticazione stanno diminuendo? Se questi tre numeri si muovono nella giusta direzione, il lancio sta funzionando. In caso contrario, è necessario regolare i tempi del prompt, la progettazione del fallback, la copertura dei dispositivi o l'educazione degli utenti prima di scalare ulteriormente. ### 5.1 I percorsi per i sinistri e le modifiche dell'account contano più dei login generici I portali assicurativi non sono solo esperienze del tipo "accedi e controlla il saldo". I momenti a più alto rischio si verificano spesso quando un assicurato denuncia un sinistro, modifica i dettagli di pagamento, aggiorna un indirizzo, aggiunge un conducente, cambia un beneficiario o accede a documenti sensibili. Tali percorsi non dovrebbero essere raggruppati in un KPI generico per i login. Di conseguenza, gli assicuratori dovrebbero monitorare separatamente le prestazioni delle passkey per gli eventi di account ad alto rischio. Se il successo del login appare complessivamente buono, ma i percorsi relativi a sinistri o pagamenti continuano a ripiegare sugli SMS o sul recupero manuale, in realtà il lancio non sta riducendo il rischio operativo dove conta di più. Questa è una delle maggiori differenze tra le assicurazioni e le app per i consumatori utilizzate più frequentemente. ### 5.2 I login a bassa frequenza cambiano la strategia di adozione Molti assicurati accedono solo poche volte all'anno: al rinnovo, dopo un problema di fatturazione o quando denunciano un sinistro. Ciò rende l'adozione delle passkey nelle assicurazioni fondamentalmente diversa dai prodotti a uso quotidiano. Ci sono meno opportunità per sollecitare, educare e recuperare da una brutta prima esperienza. Questo è il motivo per cui gli assicuratori dovrebbero misurare le registrazioni per percorso e non solo nel complesso. Un prompt mostrato dopo un [pagamento](LNK_PAGAMENTI) andato a buon fine o dopo un controllo dello stato di un sinistro può convertire molto meglio rispetto a un prompt freddo visualizzato nella prima schermata di accesso a distanza di mesi dall'ultima sessione. Nelle assicurazioni, i migliori momenti di adozione sono solitamente legati alla fiducia e al completamento di un'operazione, non alla frequenza dei login. ## 6. Cos'è l'Insurance Authentication Maturity Model? Questo quadro a quattro livelli offre agli assicuratori un modo per valutare la loro posizione attuale sull'autenticazione, fissare traguardi mirati e comunicare i progressi a consigli di amministrazione, regolatori e revisori. Ogni livello si basa su quello precedente. | Livello | Nome | Metodo di Autenticazione | Resistenza al Phishing | Posizione di Conformità | Onere di Supporto | Profilo dei Costi | Visibilità | | ----- | -------------------------------------- | -------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------ | | **1** | **Solo SMS** | Password + SMS OTP come unico secondo fattore | Nessuna: gli SMS sono intercettabili tramite SIM-swap, SS7 e phishing relay | Non rispetta le indicazioni NYDFS sulla resistenza al phishing; conformità minima FTC; gap sul rischio NAIC | Alto: fallimenti di recapito OTP, codici scaduti e reset delle password generano il 20-40% del volume del call center | Alto: da 0,01 a 0,05 dollari USA per OTP su scala oltre ai costi di supporto | Minima: solo log HTTP lato server; nessun dato sulla cerimonia lato client | | **2** | **MFA Abilitata** | Password + SMS/TOTP/push come secondo fattore | Bassa: TOTP e push sono soggetti a phishing tramite relay in tempo reale; i push sono vulnerabili agli attacchi di fatigue | Soddisfa i requisiti base dell'MFA per FTC e NAIC; non soddisfa la raccomandazione NYDFS sulla resistenza al phishing | Medio: meno problemi di consegna degli SMS, ma errori di setup TOTP e push fatigue creano nuove categorie di ticket | Medio: il TOTP elimina il costo per messaggio, ma i costi di supporto dell'app rimangono | Limitata: può tracciare la selezione del metodo MFA ma manca di telemetria a livello di cerimonia | | **3** | **Resistente al Phishing** | Passkey distribuite come metodo principale; password/OTP come fallback per dispositivi non compatibili | Alta: le credenziali FIDO2/WebAuthn sono vincolate al dominio e crittografiche; immuni a phishing, stuffing e SIM-swap | Soddisfa o supera i requisiti NYDFS, FTC e NAIC; conforme ad AAL2 secondo il NIST SP 800-63B | Basso: Branch Insurance ha riscontrato una riduzione dei ticket del ~50%; Aflac ha raggiunto il 96% di successo nel login | Basso: costo zero per autenticazione; ROI derivante dall'eliminazione degli SMS e dalla riduzione delle frodi | Moderata: funnel di registrazione e autenticazione strumentati; classificazione di base degli errori implementata | | **4** | **Resistente al Phishing + Osservabilità** | Passkey come predefinito; valutazione della fiducia nel dispositivo (device trust); step-up basato sul rischio per anomalie; fallback intelligenti | Massima: autenticazione crittografica + valutazione continua del device trust + segnali comportamentali | Pronto per l'audit: la telemetria completa supporta l'attestazione del CEO/CISO, l'esame del NYDFS e il reporting normativo | Minimo: il rilevamento proattivo delle anomalie previene i problemi prima che raggiungano il call center | Minimo: l'instradamento di fallback ottimizzato riduce al minimo la spesa residua per gli SMS; le perdite per frodi si riducono | Completa: dashboard in tempo reale che coprono curve di adozione, tassi di errore per dispositivo/OS, decadimento della fiducia e copertura del fattore SCA | Il diagramma seguente visualizza i quattro livelli di maturità come una progressione dal livello solo SMS alla piena osservabilità. **Come utilizzare questo modello:** 1. **Valutare:** Identificare il proprio livello attuale effettuando un audit sui metodi di autenticazione, sulla copertura della telemetria e sulle lacune di conformità in tutti i portali rivolti ai clienti. 2. **Pianificare:** Definire una roadmap di 12-18 mesi per raggiungere almeno il Livello 3. Gli assicuratori sotto la supervisione del NYDFS dovrebbero mirare al Livello 4 per supportare il doppio requisito di certificazione del CEO/CISO. 3. **Comunicare:** Utilizzare il modello nelle presentazioni ai consigli di amministrazione e nelle presentazioni normative per dimostrare progressi strutturati anziché miglioramenti estemporanei. ## 7. Come le passkey guidano l'adozione digitale e la migrazione al self-service La maggior parte dei dirigenti assicurativi tratta l'autenticazione come una questione IT. Questo è un errore. Per i leader a livello C e VP, le cui priorità strategiche includono lo spostamento degli assicurati dai call center e dalle filiali al self-service digitale, l'autenticazione è il principale punto di attrito che ostacola questo obiettivo. ### 7.1 L'autenticazione è la porta d'ingresso per ogni iniziativa digitale Ogni iniziativa assicurativa digitale (sinistri self-service, modifiche online alle polizze, [pagamenti](LNK_PAGAMENTI) digitali, flussi di firma elettronica) inizia con un login. Se gli assicurati non riescono a superare in modo affidabile quella porta d'ingresso, nessuno degli investimenti a valle genererà ROI. I dati sono chiari: - **Il 43% dei consumatori** afferma che la gestione dei login [influisce sulla loro volontà di utilizzare i servizi online](https://beyondencryption.com/research/customer-portals-logins-preferences). - **Il 64% ha abbandonato un acquisto** perché ha dovuto [creare un account o non è riuscito ad accedere](https://beyondencryption.com/research/customer-portals-logins-preferences). - **Il 60% dei consumatori** trova [i portali di assicurazioni, pensioni e mutui difficili da navigare](https://beyondencryption.com/research/customer-portals-logins-preferences), e l'accesso rappresenta il primo e più comune punto di fallimento. - **Solo il 20% dei clienti assicurativi** dichiara che i canali digitali sono il modo preferito per interagire con il proprio assicuratore, in gran parte perché l'esperienza (a partire dall'autenticazione) è [peggiore di quella offerta dalle app bancarie o retail](https://insurancenewsnet.com/innarticle/why-insurers-are-losing-customers-at-the-login-screen). Il seguente diagramma illustra come questi quattro dati si combinino in un unico modello che blocca l'adozione. Per gli assicuratori che spendono milioni in riprogettazioni di portali, chatbot e flussi di lavoro digitali per i sinistri, un'esperienza di accesso tramite password e SMS OTP mina l'intero investimento. Gli assicurati che non riescono ad accedere o rinunciano per la frustrazione ripiegano sul contatto telefonico con il centro assistenza o sulla visita in filiale: esattamente i canali ad alto costo che la strategia digitale intendeva sostituire. ### 7.2 Quantificare il passaggio al self-service Spostare gli assicurati dai canali con assistenza umana al self-service digitale è una delle strategie di riduzione dei costi a maggiore impatto nel settore assicurativo: - **Le interazioni telefoniche costano [dai 8 ai 15 dollari USA a contatto](https://hyperleap.ai/blog/insurance-customer-service-automation-statistics-2026)** contro meno di 1 dollaro USA per il self-service. Su scala assicurativa, anche uno spostamento del 10% dal telefono al digitale permette di risparmiare milioni all'anno. - **Gli utenti dei portali hanno il 12% in meno di probabilità di disdire** le proprie polizze rispetto a chi non utilizza il portale. Gli utenti multicanale mostrano un [tasso di fidelizzazione superiore del 25%](https://content.insured.io/resources/insured.io-study-of-250000-insurance-consumers-reveals-that-omnichannel-carrier-portals-can-increase-retained-premium-by-25-percent). - **Le compagnie assicurative che implementano il self-service digitale** segnalano [riduzioni dei costi di servizio del 15-25% e costi di gestione dei sinistri inferiori del 30%](https://www.cxpilots.com/epiphanies/the-state-of-digital-cx-in-insurance-2026-benchmark-report). - **L'82% dei clienti assicurativi vuole risolvere i problemi senza chiamare**, ma solo [il 56% segnala strumenti self-service adeguati](https://www.rediansoftware.com/top-10-insurance-digital-transformation-2026/) - un divario che l'attrito dell'autenticazione allarga ulteriormente. Il grafico sottostante mostra come questa economia si confronti sui vari canali. Le passkey affrontano direttamente il divario tra le intenzioni del cliente e l'effettivo utilizzo del portale. Quando l'accesso richiede meno di 2 secondi con una conferma biometrica invece di un flusso password più OTP che fallisce il 5-15% delle volte, un maggior numero di assicurati completa il percorso digitale invece di prendere in mano il telefono. ### 7.3 Cosa rivela l'osservabilità di Corbado sull'adozione digitale La maggior parte degli assicuratori sa che il proprio tasso di adozione digitale è inferiore a quanto desiderato. Ciò a cui non riescono a rispondere è il **perché**. È incompatibilità del dispositivo? Attrito nel flusso di registrazione? Un particolare OS o browser in cui le passkey falliscono silenziosamente? Un segmento demografico a cui non viene mai richiesto di registrarsi? È qui che l'osservabilità dell'autenticazione di Corbado offre qualcosa che nessun altro strumento sul mercato ha: la capacità di collegare la telemetria dell'autenticazione direttamente a metriche aziendali come il tasso di adozione digitale, il tasso di completamento del self-service e la migrazione dei canali. Corbado fa emergere: - **Dove gli assicurati abbandonano l'imbuto di autenticazione**: non solo "login fallito" ma quale fase della cerimonia, su quale dispositivo e per quale segmento di utenti. - **Quali categorie sono bloccate sui metodi legacy**: ad esempio, assicurati over 60 su Android che non vedono mai un prompt per la passkey perché il loro dispositivo non è compatibile, venendo indirizzati silenziosamente agli SMS e poi al call center. - **Il collegamento diretto tra successo dell'autenticazione e coinvolgimento digitale**: se il tasso di successo del login aumenta di 10 punti percentuali, di quanto aumenta l'utilizzo self-service del portale? Quante chiamate in meno arrivano al contact center? Per un CIO o un SVP of Digital che presenta i risultati al consiglio di amministrazione, questo trasforma "abbiamo lanciato le passkey" in "le passkey hanno aumentato l'adozione del self-service digitale del X%, ridotto il volume del call center del Y% e fatto risparmiare Z dollari USA a trimestre". Questa è la narrazione strategica che giustifica l'investimento e accelera la più ampia roadmap di trasformazione digitale. ## 8. Come Corbado aiuta gli assicuratori a implementare le passkey La maggior parte degli assicuratori ha già una piattaforma CIAM (Ping, ForgeRock, Okta) in grado di gestire la cerimonia WebAuthn. Ciò che manca è il livello di adozione che trasforma "supportiamo le passkey" in "il 50% dei nostri assicurati usa le passkey". Corbado fornisce quel livello. ### 8.1 Motore di adozione I componenti UI predefiniti di Corbado e la sua logica decisionale gestiscono il percorso di registrazione che le piattaforme CIAM lasciano allo sviluppo personalizzato: - **Prompt di registrazione contestuali** emergono in momenti di alta fiducia (subito dopo un controllo MFA andato a buon fine) anziché essere sepolti nelle impostazioni dell'account. - **Urgenza progressiva** passa da solleciti "Opzionali" a "Raccomandati" a "Obbligatori" su una tempistica configurabile, adattandosi alla curva di adozione di 12-18 mesi di cui la maggior parte degli assicuratori ha bisogno. - **A/B testing** per messaggi di registrazione, tempistiche e posizionamento, per ottimizzare i tassi di conversione tra diversi segmenti di assicurati e linee di prodotto. ### 8.2 Intelligenza dei dispositivi Corbado mantiene una matrice costantemente aggiornata sulla compatibilità delle passkey a livello di dispositivo: - Se uno specifico modello Samsung ha un'implementazione delle passkey difettosa, Corbado elimina automaticamente il prompt, indirizzando l'utente a un fallback senza frustrazioni. - [Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) rileva le capacità del dispositivo prima di richiedere l'azione, prevenendo gli errori di "Operazione interrotta" che causano picchi nelle richieste di supporto. - La diversità dei dispositivi tipica delle assicurazioni (tablet datati utilizzati da pensionati, postazioni di agenzia condivise, laptop gestiti dall'azienda) è gestita attraverso policy di fiducia configurabili. ### 8.3 Fallback intelligenti Corbado previene i blocchi permanenti instradando in modo intelligente gli utenti verso alternative quando il loro dispositivo o ambiente non è pronto per le passkey: - Gli assicurati con dispositivi incompatibili vedono una transizione fluida verso il miglior metodo alternativo anziché una schermata di errore. - I flussi di recupero basati sulla verifica dell'identità (eKYC, scansione ID + liveness) consentono la re-iscrizione senza l'intervento del call center. - Le policy di fallback specifiche per gli agenti accolgono postazioni condivise e ambienti con proxy aziendali che bloccano i flussi ibridi (tramite codice QR). ### 8.4 Telemetria forense Corbado fornisce quella "visione a raggi X" che i log del CIAM lato server non sono in grado di offrire: - **La dashboard Device Trust** fa emergere i tassi di successo per tipo di passkey, classificazione dei dispositivi e copertura dei fattori SCA. - **Il rilevamento delle anomalie in tempo reale** segnala pattern insoliti (picchi di dispositivi condivisi, registrazioni da ambienti sospetti) prima che diventino incidenti di sicurezza. - **La reportistica per l'audit** fornisce ai CISO i dati necessari per la certificazione annuale NYDFS, per gli esami della NAIC e per i resoconti interni al consiglio di amministrazione. Corbado non sostituisce il vostro attuale stack CIAM. Si posiziona di fronte ad esso, gestendo la complessità reale della frammentazione dei dispositivi, l'educazione degli utenti e la visibilità operativa che determinano se il vostro investimento nelle passkey produrrà ROI o si arresterà al di sotto dell'1% di adozione. ## 9. Conclusione I portali per i clienti assicurativi sono sotto pressione da più direzioni contemporaneamente: l'aumento degli attacchi ATO, le costose infrastrutture SMS OTP, il sovraccarico dei call center causato dai reset delle password, l'inasprimento delle aspettative normative negli USA, in UE, in Australia e in Canada, nonché il mandato strategico di spostare gli assicurati dai canali umani ad alto costo verso il self-service digitale. Le passkey affrontano tutti e cinque questi punti eliminando le credenziali soggette a phishing, rimuovendo i costi di autenticazione, riducendo l'onere di supporto, allineandosi con il passaggio a un'MFA più forte e rimuovendo l'attrito di accesso che ostacola l'adozione del digitale. Aflac (500.000 registrazioni, tasso di successo del 96%), Branch Insurance (riduzione dei ticket del 50%) e HealthEquity (lancio obbligatorio senza rinunce) hanno già dimostrato che l'adozione su vasta scala funziona. La chiave è trattare le passkey come un percorso di prodotto piuttosto che come una casella da spuntare a livello infrastrutturale: investite nei flussi di registrazione, strumentate il client, pianificate i fallback e costruite la telemetria che collega le prestazioni dell'autenticazione alle metriche aziendali a cui il vostro consiglio d'amministrazione tiene veramente (tasso di adozione digitale, deflessione delle chiamate e completamento del self-service). Utilizzate il [Modello di Maturità dell'Autenticazione Assicurativa](#6-cosè-linsurance-authentication-maturity-model) per valutare la vostra posizione attuale, fissare un obiettivo a 12-18 mesi e comunicare i progressi strutturati al consiglio e alle autorità di regolamentazione. ## Domande Frequenti ### Come riducono le passkey il rischio di account takeover nei portali clienti assicurativi? Le passkey utilizzano la crittografia a chiave pubblica-privata legata al dominio dell'assicuratore, rendendole immuni al phishing, al credential stuffing e agli attacchi di SIM-swapping che affliggono i flussi di password e SMS OTP. Aflac ha riportato un tasso di successo del login del 96% dopo aver implementato le passkey, e Branch Insurance ha visto scendere i ticket di supporto di circa il 50%. Poiché nessun segreto condiviso viene trasmesso durante l'autenticazione, gli aggressori non possono raccogliere credenziali riutilizzabili nemmeno se controllano la rete. ### Quali normative di conformità definiscono i requisiti di autenticazione per i portali clienti assicurativi e in che modo le passkey sono utili? Negli Stati Uniti, la normativa NYDFS Part 500, l'FTC Safeguards Rule e la NAIC Insurance Data Security Model Law spingono tutti gli assicuratori verso una MFA più forte. Fuori dagli Stati Uniti, gli assicuratori dell'UE rientrano nel DORA, quelli australiani nell'APRA CPS 234 e quelli canadesi nella OSFI Guideline B-13, che alzano tutte le aspettative sui controlli di autenticazione per i sistemi rivolti ai clienti. Le passkey aiutano perché forniscono un'MFA resistente al phishing utilizzando credenziali crittografiche FIDO2/WebAuthn mentre riducono la dipendenza dai flussi SMS OTP più deboli. ### Come si confrontano le passkey con SMS OTP, TOTP e device trust per l'autenticazione nei portali assicurativi? L'SMS OTP costa da 0,01 a 0,05 dollari USA per messaggio su larga scala, è vulnerabile a SIM-swapping e phishing e genera un elevato carico per i call center a causa dei mancati recapiti. Le app TOTP eliminano il costo per messaggio ma rimangono vulnerabili al phishing e richiedono l'inserimento manuale del codice. Il device trust riduce l'attrito sui dispositivi noti ma non offre alcuna resistenza al phishing. Le passkey combinano la sicurezza resistente al phishing con un costo per autenticazione pari a zero e tempi di accesso inferiori a 2 secondi, rendendole l'unico metodo che ottiene il punteggio massimo nelle dimensioni di sicurezza, UX, costi e conformità. ### Cosa rende diversa l'implementazione delle passkey per gli assicuratori rispetto alle banche o alle aziende SaaS? Gli assicuratori affrontano la complessità di portali multi-brand in cui i prodotti auto, casa e vita possono essere eseguiti su sottodomini separati che richiedono una strategia rpID unificata. Le piattaforme CIAM legacy come Ping, ForgeRock o Okta gestiscono il WebAuthn nel backend ma offrono strumenti limitati per l'adozione. I flussi degli agenti rispetto a quelli degli assicurati richiedono livelli di fiducia e profili di dispositivi diversi. La pressione normativa copre inoltre molteplici giurisdizioni: gli assicuratori statunitensi affrontano la NYDFS Part 500, la NAIC Model Law e la FTC Safeguards Rule, gli assicuratori dell'UE rientrano nel DORA, gli assicuratori australiani rispondono all'APRA CPS 234 e quelli canadesi alla OSFI Guideline B-13. Questo richiede un piano di lancio che soddisfi lo standard applicabile più rigoroso. ### Cos'è l'Insurance Authentication Maturity Model e come possono usarlo gli assicuratori per valutare i propri progressi? L'Insurance Authentication Maturity Model (Modello di Maturità dell'Autenticazione Assicurativa) definisce quattro livelli: Livello 1 (Solo SMS) con OTP a fattore singolo e nessuna resistenza al phishing; Livello 2 (MFA abilitata) con password più SMS o TOTP che soddisfa la conformità di base; Livello 3 (Resistente al phishing) con passkey distribuite, registrazione protetta e fallback intelligenti; Livello 4 (Resistente al phishing + osservabilità) con telemetria completa, device trust e monitoraggio continuo. Gli assicuratori possono utilizzare il modello per identificare il proprio livello attuale, fissare obiettivi intermedi e comunicare i progressi a consigli di amministrazione e regolatori.