Passkey FSA Giappone: spinta verso la MFA resistente al phishing (2026)

1. Introduzione: perché la pagina FSA del 16 aprile 2026 è importante#

La pagina FSA giapponese del 16 aprile 2026 è importante perché sposta pubblicamente l'obiettivo dalla generica MFA all'autenticazione resistente al phishing. La pagina cita passkey e PKI come esempi preferiti, rifiuta e-mail e SMS OTP come protezione sufficiente contro il phishing moderno e trasforma una discussione sulla conformità riservata al settore in un segnale di mercato rivolto ai consumatori.

L'annuncio della FSA giapponese del 16 aprile 2026 sembra modesto a prima vista. Non è una nuova legge. Non è un'azione esecutiva diretta. Non pubblica una nuova scadenza per la conformità. Introduce invece una campagna pubblica con volantini e poster scaricabili.

Quello che la Financial Services Agency (FSA) ha fatto qui è spostare la conversazione da un canale industriale/normativo al dominio pubblico. Il regolatore non sta più solo dicendo a banche, broker e associazioni di categoria di rafforzare l'autenticazione. Ora sta dicendo agli utenti comuni che:

• l'autenticazione basata solo su password è debole,
• le e-mail e gli SMS OTP non sono più sufficienti,
• gli utenti dovrebbero preferire la MFA resistente al phishing, e
• le passkey e l'autenticazione PKI sono la direzione giusta.

Questo è un importante cambiamento di tono. E in settori altamente regolamentati come il settore bancario, il tono spesso si trasforma in pressione per l'implementazione molto prima che compaia il successivo testo normativo formale.

Anche questa campagna pubblica non è nata dal nulla. Nel suo stesso briefing in PDF in inglese di giugno 2025, la FSA aveva già avvertito che l'autenticazione solo ID/password è vulnerabile e che le password monouso inviate via e-mail o SMS non sono abbastanza efficaci contro il phishing. Nel frattempo, la copertura del settore alla fine del 2025 descriveva il mercato giapponese con 64 organizzazioni del FIDO Japan Working Group e oltre 50 provider di passkey attivi o pianificati, indicando che lo slancio dell'implementazione era già reale prima della campagna pubblica di aprile 2026 (copertura di CNET Japan). Per una visione più ampia di come le banche, le piattaforme e le autorità di regolamentazione giapponesi si sono mosse verso il passwordless, consulta la nostra panoramica sulle passkey in Giappone.

2. Cosa ha effettivamente pubblicato la FSA il 16 aprile 2026#

La pagina del 16 aprile è un pacchetto di campagne pubbliche coordinato, non una singola nota stampa. Raccoglie 9 risorse riutilizzabili (5 volantini in PDF e 4 video promozionali), allinea banche, gruppi di titoli e polizia attorno allo stesso messaggio e dice ai consumatori che la MFA resistente al phishing dovrebbe sostituire la dipendenza da password più OTP per i percorsi finanziari ad alto rischio.

La pagina ufficiale collega a 5 volantini in PDF, organizzati come panoramica più versioni dettagliate di due temi (MFA resistente al phishing e consapevolezza delle e-mail di phishing):

• Panoramica (概要版)
• MFA resistente al phishing, panoramica
• MFA resistente al phishing, dettagliata
• Consapevolezza delle e-mail di phishing, panoramica
• Consapevolezza delle e-mail di phishing, dettagliata

Insieme ai PDF, la pagina promuove 4 video promozionali sugli stessi due temi, prodotti sia in formato drammatico che manga, in modo che la campagna possa raggiungere diverse fasce d'età e contesti di lettura, non solo lettori di policy.

La campagna è posizionata come uno sforzo congiunto della FSA con:

• associazioni bancarie a livello nazionale,
• banche shinkin,
• cooperative di credito,
• banche del lavoro,
• gruppi dell'industria dei titoli, e
• l'Agenzia Nazionale di Polizia.

Questa ampiezza è importante. Non si tratta di un avviso di nicchia solo per i titoli. È un messaggio coordinato in tutto l'ecosistema finanziario retail del Giappone.

2.1 Il messaggio politico centrale#

Il termine chiave utilizzato nella campagna è フィッシングに耐性のある多要素認証, che significa autenticazione a più fattori resistente al phishing.

I volantini spiegano che l'autenticazione legacy è rimasta indietro rispetto all' attuale modello di minaccia:

• le password possono essere oggetto di phishing o riutilizzate,
• le e-mail / SMS OTP possono essere rubate in tempo reale,
• i malware possono osservare o manipolare la sessione dell'utente, e
• i siti falsi possono imitare il marchio reale in modo così preciso che l'ispezione visiva non è una difesa affidabile.

La campagna presenta poi due esempi principali di autenticazione più forte:

1. Passkey
2. Autenticazione basata su PKI

Questa seconda parte è importante. Il Giappone non sta inquadrando questo puramente come "tutti devono usare le passkey". Il regolatore inquadra il risultato desiderato come autenticazione resistente al phishing e le passkey sono uno dei modi più chiari per i consumatori per arrivarci.

Per rendere concreta questa distinzione, l'inquadramento della FSA separa implicitamente i metodi di autenticazione in questo modo:

2.2 La campagna è anche comportamentale#

I materiali non si concentrano solo sulla tecnologia di autenticazione. Dicono anche agli utenti di:

• evitare di accedere tramite i link all'interno di e-mail o SMS,
• utilizzare i segnalibri o le app ufficiali,
• diffidare di schermate sconosciute e prompt insoliti,
• preferire gli app store ufficiali, e
• fare attenzione alle istruzioni insolite del browser, come le scorciatoie da tastiera impreviste.

In altre parole, la FSA non finge che la sola tecnologia di autenticazione risolva l'intero problema. Sta associando le contromisure tecniche all'igiene comportamentale.

3. Cosa c'è di nuovo in questo caso e cosa no#

La pagina del 16 aprile è una novità perché cambia l'inquadramento pubblico, non perché crea una nuova legge a sé stante. Il vero sviluppo è che il regolatore giapponese spiega ora pubblicamente perché le passkey e la PKI sono migliori rispetto ai flussi password più OTP, offrendo alle istituzioni finanziarie una copertura più forte per riprogettare l'autenticazione attorno alla resistenza al phishing.

3.1 Cosa c'è di effettivamente nuovo#

La pagina del 16 aprile è nuova in almeno quattro modi:

3.1.1 Le passkey fanno ora parte del vocabolario pubblico del regolatore#

Molti regolatori parlano di MFA in termini astratti. La FSA giapponese sta facendo qualcosa di più concreto: sta dicendo al pubblico che le passkey sono una difesa più forte contro il phishing e il furto di identità rispetto ai vecchi modelli di accesso.

Questo è importante perché la denominazione pubblica cambia le decisioni sui prodotti. Una volta che il regolatore nomina pubblicamente le passkey, le istituzioni finanziarie possono giustificare più facilmente gli investimenti al loro interno:

• i team di compliance possono citare il regolatore,
• i team di rischio possono collegare direttamente le passkey alla riduzione delle perdite da phishing,
• i team di prodotto possono posizionare le passkey come allineate alle linee guida ufficiali piuttosto che come un progetto di innovazione opzionale.

3.1.2 La FSA sta declassando pubblicamente gli OTP#

Non si tratta di un'implicazione sottile. I materiali affermano che gli OTP inviati via e-mail o SMS possono ancora essere elusi da:

• phishing in tempo reale,
• intercettazione man-in-the-middle, e
• furto assistito da malware.

Si tratta di un'affermazione più forte rispetto a una generica nota di best practice in cui si afferma che l'OTP è "meno sicuro". È il regolatore che dice al pubblico che la MFA basata su OTP non fornisce una significativa resistenza al phishing.

3.1.3 Il messaggio è intersettoriale#

Il Giappone non limita questo a un solo settore verticale. Banche, broker e altri attori finanziari fanno tutti parte dello stesso segnale pubblico. Ciò aumenta le probabilità di una più ampia normalizzazione dell'ecosistema:

• le banche possono addestrare gli utenti ad aspettarsi un accesso più sicuro,
• i broker possono rendere l'autenticazione più forte un'impostazione predefinita per le azioni ad alto rischio,
• gli utenti incontreranno un linguaggio simile in tutte le istituzioni invece di spiegazioni contraddittorie.

3.1.4 La FSA sta educando direttamente il consumatore#

Questo è il punto più importante.

C'è un'enorme differenza tra:

• un'autorità di regolamentazione che dice agli istituti finanziari cosa dovrebbero implementare, e
• un'autorità di regolamentazione che dice ai clienti come si presenta ora un'autenticazione sicura.

La seconda mossa riduce il rischio politico e di UX dell'implementazione. Una banca o un broker può ora dire: "Questa non è solo una nostra idea; questa è la direzione che il regolatore stesso sta promuovendo".

3.2 Cosa non è nuovo#

La pagina non crea di per sé:

• un nuovo mandato a sé stante,
• una nuova scadenza per l'implementazione,
• una specifica tecnica dettagliata per le passkey,
• una dichiarazione secondo cui le passkey sono l'unica tecnologia accettabile, o
• un elenco di sanzioni legate direttamente a questa campagna.

Questa distinzione è importante perché molti lettori esagereranno l'annuncio dicendo "Il Giappone ha appena reso obbligatorie le passkey". Questo non è abbastanza preciso.

La lettura migliore è:

Ciò è strategicamente importante anche se non si tratta di una nuova regola in sé.

4. Perché la FSA fa bene a concentrarsi sulla MFA resistente al phishing invece che sulla MFA generica#

La FSA ha ragione perché la MFA generica lascia intatto il percorso principale delle frodi. Password più OTP aggiunge un altro segreto riutilizzabile, mentre la MFA resistente al phishing cambia il protocollo in modo che il sito falso non possa completare l'autenticazione nemmeno quando l'utente viene indotto a provarci.

4.1 L'OTP risolve il problema di ieri#

Gli SMS e le e-mail OTP sono stati progettati per rendere più difficile il replay delle credenziali. Funzionano contro alcuni modelli di attacco più vecchi, ma gli aggressori moderni non hanno bisogno di riutilizzare un codice ore dopo. Lo rubano in tempo reale. Questo è ancora più importante in un mercato in cui il riutilizzo delle password in Giappone è ancora estremamente elevato, il che significa che il primo fattore è spesso compromesso prima ancora che inizi la fase OTP.

Questo è il problema centrale del phishing in tempo reale:

1. Una vittima atterra su un sito falso.
2. La vittima inserisce nome utente e password.
3. L'aggressore inoltra tali credenziali al sito reale.
4. Il sito reale richiede un OTP.
5. Il sito falso chiede alla vittima l'OTP.
6. L'aggressore lo utilizza immediatamente per completare l'accesso reale.

In questo flusso di lavoro, l'OTP non ferma l'aggressore. Diventa semplicemente un altro segreto che la vittima può essere indotta a rivelare.

4.2 Le passkey cambiano il modello di fiducia#

Le passkey funzionano diversamente perché sono legate all'origine. La credenziale può essere utilizzata solo sul sito legittimo associato alla passkey del relying party. La base tecnica di questo comportamento si trova nella specifica W3C WebAuthn e nella documentazione sulle passkey della FIDO Alliance, le quali descrivono entrambe il modello challenge-response legato al sito che impedisce a un dominio falso di riutilizzare una credenziale creata per quello reale.

Ciò significa che un dominio falso non può semplicemente chiedere all'utente di "digitare la passkey" nel modo in cui chiede una password o un OTP. Non c'è nulla di riutilizzabile da digitare e il browser / sistema operativo controlla il contesto del sito prima che l'autenticazione possa procedere.

Questo è il motivo per cui le passkey sono centrali nell'autenticazione resistente al phishing:

• non esiste un segreto condiviso da reinserire,
• non viene chiesto all'utente di trasmettere manualmente un codice riutilizzabile,
• la chiave privata non lascia mai il dispositivo dell'utente, e
• l'authenticator è vincolato all'origine legittima.

Questo è anche il motivo per cui la campagna del 16 aprile è importante. La FSA non dice solo "usa una MFA migliore". Sta indicando metodi di autenticazione in cui il sito di phishing fallisce a livello di protocollo invece di chiedere all'utente di rilevare manualmente la frode.

4.3 Anche la PKI è importante#

La campagna giapponese evidenzia anche la PKI e menziona esplicitamente che le credenziali della carta My Number possono essere utilizzate nei contesti di autenticazione.

Non è un caso. Il Giappone ha una storia istituzionale più profonda con i modelli di identità basati su certificati rispetto a molti mercati di consumo occidentali. Quindi il probabile stato finale giapponese non è "solo passkey". È più vicino a:

• passkey per accessi di consumatori mainstream e flussi di step-up,
• autenticazione PKI / basata su certificati per una maggiore garanzia o casi di identità di tipo settore pubblico,
• e una preferenza normativa più ampia per risultati resistenti al phishing.

Per i team di prodotto, ciò significa che il giusto confronto strategico non è "passkey vs password". È più simile a:

• passkey vs e-mail/SMS OTP per il login dei consumatori,
• passkey vs soft token in-app per la UX del settore bancario,
• passkey vs PKI per la sicurezza e i livelli di verifica dell'identità.

5. Perché il 16 aprile è ancora più importante nel contesto della precedente direzione normativa del Giappone#

Il 16 aprile è importante perché converte una tendenza di supervisione in una norma pubblica. Dopo che la FSA ha trascorso il 2025 avvertendo che l'autenticazione basata solo su password e basata su OTP era troppo debole, la campagna di aprile 2026 dice direttamente ai consumatori come dovrebbe apparire la sostituzione: MFA resistente al phishing tramite passkey, PKI o entrambe.

Entro il 2025 e all'inizio del 2026, il settore finanziario giapponese si stava già muovendo verso controlli più rigorosi dopo incidenti di compromissione degli account legati al phishing nel settore dei titoli e in altri servizi finanziari online. Il contesto è una serie di violazioni dei dati di alto profilo in Giappone che hanno mantenuto l'acquisizione di account e il furto di credenziali nell'agenda normativa. Nei relativi materiali della FSA e nei successivi commenti sulle modifiche alle linee guida, il regolatore ha operato una distinzione più netta tra:

• "una qualche MFA", e
• MFA resistente al phishing.

Questa differenza è tutto.

La MFA generica può ancora lasciare gli utenti vulnerabili a:

• furto di OTP,
• inoltro su siti falsi,
• affaticamento da push / abuso di approvazione,
• endpoint compromessi,
• flussi di recupero deboli.

Al contrario, la MFA resistente al phishing cerca esplicitamente di bloccare il percorso principale delle frodi piuttosto che aggiungere semplicemente un ulteriore ostacolo. La campagna del 16 aprile è quindi vista al meglio come una operazionalizzazione pubblica di una direzione più ampia che si sta già formando in Giappone:

• i servizi finanziari non dovrebbero limitarsi ad aggiungere altro attrito,
• dovrebbero passare a metodi di autenticazione che spezzano l'economia del phishing.

A colpo d'occhio, la progressione si snoda attraverso quattro traguardi in meno di un anno:

Con le fonti, la stessa progressione recita:

• Giugno 2025: il riepilogo dei problemi in inglese della FSA afferma che l'autenticazione basata solo su password è debole e che le e-mail / SMS OTP non sono abbastanza efficaci contro il phishing.
• 15 luglio 2025: la bozza di linea guida JSDA spinge per la MFA resistente al phishing per azioni sensibili sui titoli come login, prelievo e modifiche al conto bancario.
• Fine 2025: i report di mercato descrivono oltre 50 provider di passkey e 64 organizzazioni del FIDO Japan Working Group in Giappone (CNET Japan).
• 16 aprile 2026: la campagna pubblica della FSA porta lo stesso messaggio di resistenza al phishing direttamente ai consumatori.

In questo senso, la pagina è meno "marketing di consapevolezza" di quanto sembri. È il volto pubblico di un cambiamento normativo e dell'ecosistema più profondo.

6. Cosa significa questo per le banche, i broker e le fintech giapponesi#

Le istituzioni finanziarie giapponesi dovrebbero considerare la campagna del 16 aprile come un'aspettativa minima innalzata per il login, il recupero e le azioni sull'account ad alto rischio. Una volta che l'autorità di regolamentazione afferma pubblicamente che le e-mail e gli SMS OTP non sono sufficientemente efficaci, una MFA debole e basata su fallback diventa più difficile da difendere dal punto di vista delle frodi, dei prodotti e della supervisione.

6.1 "MFA disponibile" non è più sufficiente#

Offrire l'SMS OTP come opzione di fallback mentre si commercializza l'esperienza come "MFA sicura" sta diventando più difficile da difendere. Il messaggio pubblico dell'autorità di regolamentazione fa ora una distinzione più esigente: la MFA resistente al phishing dovrebbe essere la destinazione. Anche il più ampio lavoro del settore sull' obbligo della MFA con le passkey punta nella stessa direzione.

Ciò significa che le organizzazioni dovrebbero valutare:

• dove esistono ancora gli SMS/e-mail OTP,
• quali percorsi sono ad alto rischio,
• se le passkey sono opzionali o realmente incoraggiate,
• quanta dipendenza rimane dai metodi di fallback soggetti a phishing.

6.2 I percorsi ad alto rischio necessitano di un trattamento speciale#

I percorsi più sensibili non sono solo il login. In pratica, le istituzioni dovrebbero esaminare ogni superficie soggetta a phishing:

• login,
• pagamento / prelievo,
• cambio del conto di destinazione,
• recupero e riassociazione del dispositivo,
• modifiche al profilo e ai dettagli di contatto,
• accesso all'API o all'aggregazione.

Molte istituzioni proteggono ancora la pagina di accesso in modo più forte rispetto al percorso di recupero dell'account. Questo è controproducente. Gli aggressori utilizzeranno la via più debole disponibile.

6.3 Il recupero diventa un problema di prodotto strategico#

Una volta che l'autenticazione resistente al phishing diventa il punto di riferimento, il recupero diventa la parte più difficile della progettazione.

L'implementazione delle passkey può ancora fallire a livello operativo se il recupero ricade su deboli flussi di posta elettronica, ingegneria sociale o procedure di supporto che reintroducono passaggi soggetti a phishing. La campagna della FSA giapponese non risolve questa sfida progettuale, ma la rende impossibile da ignorare.

6.4 La UX per l'"accesso ufficiale" dovrebbe diventare parte della progettazione del prodotto#

Un dettaglio sottovalutato dei volantini è la spinta verso i segnalibri e le app ufficiali. Questo suggerisce una lezione di prodotto più ampia:

• il solo branding non è sufficiente,
• i punti di ingresso del login sono importanti,
• l'instradamento sicuro è importante,
• la UX anti-phishing fa parte dello stack di autenticazione.

Per le istituzioni finanziarie, ciò significa:

• rendere evidenti i percorsi di accesso basati su app,
• ridurre la dipendenza dai link e-mail,
• spiegare chiaramente dove inizia l'accesso ufficiale,
• trattare l'igiene dei link in entrata come parte della prevenzione delle frodi.

6.5 I soft token non sono uguali alle passkey#

Alcune istituzioni risponderanno rafforzando l'approvazione basata sull'app e considerando il problema risolto. Ciò può migliorare la sicurezza, ma non è equivalente alle passkey.

Perché?

• Molti flussi di soft token proprietari dipendono ancora dall'utente che distingue un sito reale da uno falso.
• Alcuni flussi possono ancora subire abusi tramite relay in tempo reale o manipolazione dell'approvazione.
• Il passaggio da un'app all'altra e la gestione del codice aggiungono attrito e confusione.

Le passkey sono importanti perché riducono sia l'esposizione al phishing sia lo sforzo dell'utente.

6.6 L'asticella per i concorrenti si è appena spostata#

Una volta che la FSA inizia a educare direttamente i consumatori, i ritardatari diventano più visibili. Un'azienda che fa ancora affidamento su password + OTP potrebbe presto sembrare obsoleta rispetto ai colleghi che offrono:

• passkey,
• un'autenticazione vincolata al dispositivo più forte,
• o esperienze di accesso chiaramente etichettate e resistenti al phishing.

Ciò cambia il panorama competitivo, non solo il panorama della conformità.

La maggior parte di questo non è un territorio nuovo. L' Enterprise Passkeys Guide guida passo passo attraverso la valutazione, l'allineamento degli stakeholder, l'integrazione e i test per le implementazioni per i consumatori su larga scala, e l'articolo 10 Passkey Deployment Mistakes Banks Make raccoglie le modalità di errore ricorrenti che le implementazioni bancarie affrettate continuano a ripetere. Ciò che aggiunge la campagna della FSA è l'urgenza e il sostegno pubblico, non un nuovo manuale operativo.

7. Cosa significa questo per le passkey nello specifico#

La campagna giapponese del 16 aprile aiuta le passkey in tre modi concreti: inquadra le passkey come controlli antifrode piuttosto che come funzionalità di comodità, amplia il caso degli stakeholder interni per l'implementazione e insegna ai consumatori che le passkey fanno parte del modello di accesso finanziario sicuro che l'autorità di regolamentazione ora preferisce.

7.1 Inquadra nuovamente le passkey come controllo delle frodi, non come comodità#

Molte implementazioni di passkey per i consumatori sono commercializzate come:

• accesso più semplice,
• nessuna password da ricordare,
• login più veloce.

L'inquadramento della FSA è molto più netto:

• le passkey sono una difesa contro l'impersonificazione,
• le passkey aiutano a bloccare il phishing,
• le passkey riducono la dipendenza da segreti riutilizzabili.

Questo è esattamente il quadro di cui le banche e i broker hanno bisogno internamente. I budget per la sicurezza sono più facilmente approvati per la riduzione delle frodi che per la sola comodità.

7.2 Amplia il pubblico delle passkey all'interno delle istituzioni finanziarie#

Un progetto di autenticazione di solito deve ottenere il supporto da:

• prodotto,
• frodi,
• sicurezza,
• conformità,
• legale,
• operazioni,
• e supporto.

La pagina della FSA offre a ciascuno di questi gruppi un motivo per cui interessarsi:

• il team frodi vede una riduzione del phishing,
• il team sicurezza vede una crittografia legata all'origine,
• il team conformità vede l'allineamento normativo,
• il team operazioni vede un minore attrito da OTP,
• il team prodotto vede una storia per i consumatori più forte.

7.3 Aiuta a normalizzare le passkey per gli utenti comuni#

Questo potrebbe essere l'effetto più duraturo.

Quando un regolatore nazionale, le associazioni finanziarie e la polizia presentano le passkey come una difesa raccomandata, la percezione degli utenti cambia. Il team di prodotto non deve più presentare le passkey come una strana nuova funzionalità. Può presentarle come il metodo di sicurezza verso cui l' ecosistema sta convergendo.

Questo è importante perché il successo dell'implementazione spesso dipende meno dalla crittografia che dal fatto che gli utenti si fidino del nuovo flusso abbastanza da adottarlo.

7.4 Estende il pubblico delle passkey oltre i segmenti più propensi alla tecnologia#

La campagna della FSA non arriva solo nelle app bancarie utilizzate dai consumatori più propensi alla tecnologia. Copre conti titoli, banche del lavoro, banche shinkin e cooperative di credito, le parti del sistema finanziario giapponese su cui i clienti più anziani e meno propensi alla tecnologia fanno affidamento giorno per giorno. Ciò è strategicamente importante per le passkey. Una volta che questi clienti incontrano le passkey tramite il loro broker, la banca del lavoro o la cooperativa locale, la familiarità con le passkey si diffonde ben oltre il segmento dei primi utilizzatori e inizia a normalizzarsi in tutta la base di clienti. Per l'adozione delle passkey da parte dei consumatori in Giappone, questo è il tipo di spinta che nessun budget di puro marketing può comprare.

Ma è un'arma a doppio taglio. Una base demografica più ampia significa anche una varietà molto più ampia di dispositivi, versioni di OS, browser in-app e comportamenti dei gestori di credenziali rispetto a quelli che un' implementazione focalizzata sulla tecnologia toccherebbe. È proprio qui che gli errori delle passkey nelle app native diventano una preoccupazione a livello di produzione, non un caso limite. Le banche e i broker che rispondono al segnale della FSA dovrebbero pianificare la diversità dei dispositivi e degli ambienti delle app fin dal primo giorno, non scoprirla durante i picchi di supporto post-obbligo.

8. Cosa insegna l'approccio del Giappone ad altri paesi#

Il Giappone sta diventando un utile caso di studio perché combina in sequenza supervisione, educazione pubblica e implementazione nell'ecosistema. Altri mercati spesso rivedono le linee guida senza spiegare il nuovo modello di sicurezza agli utenti, il che rallenta l'adozione e fa sembrare un'autenticazione più forte come un attrito isolato del prodotto invece di un aggiornamento a livello di sistema.

8.1 Le campagne pubbliche possono accelerare la migrazione tecnica#

Molti regolatori rivedono le linee guida ma si fermano prima dell'educazione pubblica. Il Giappone sta mostrando un modello diverso:

1. la pressione delle frodi aumenta,
2. la direzione della supervisione si indurisce,
3. il regolatore inizia a nominare pubblicamente i metodi resistenti al phishing,
4. gli attori dell'ecosistema ottengono la copertura per implementarli più rapidamente.

Questa sequenza può ridurre l'attrito del lancio in un modo in cui il puro testo politico spesso non riesce.

8.2 L'obiettivo dovrebbe essere la resistenza al phishing, non solo la sostituzione dell'OTP#

Alcuni paesi si concentrano in modo troppo restrittivo su "sostituire gli SMS OTP". Questo aiuta, ma è incompleto.

La campagna giapponese è inquadrata meglio perché pone una domanda più fondamentale:

Questo è il test giusto.

8.3 L'autenticazione dei consumatori potrebbe finire per essere ibrida#

La simultanea enfasi del Giappone sulle passkey e sulla PKI suggerisce una verità più ampia che molti mercati riscopriranno:

• le passkey sono eccellenti per l'adozione di massa da parte dei consumatori,
• la PKI rimane importante per l'identità ad alta sicurezza,
• gli ecosistemi più forti combineranno entrambe le cose invece di forzare una tecnologia a fare tutto.

Ciò è particolarmente rilevante nei settori regolamentati con programmi nazionali di identità digitale.

9. La roadmap pratica per i team che rispondono a questo segnale#

La risposta corretta al segnale del 16 aprile è una migrazione a fasi, non un programma di sostituzione affrettato. I team dovrebbero prima mappare i percorsi soggetti a phishing, poi decidere dove le passkey si adattano immediatamente, dove è ancora richiesta la PKI o un legame di identità più forte e come il recupero può essere riprogettato senza ricreare deboli eccezioni che favoriscono il phishing.

9.1 Fase 1: mappare tutte le superfici di autenticazione soggette a phishing#

Inizia con:

• login,
• recupero,
• modifiche all'account,
• conferma della transazione,
• modifiche agli account collegati,
• punti di ingresso tramite link e-mail,
• processi di override del call center.

9.2 Fase 2: identificare dove si adattano immediatamente le passkey#

Le passkey sono spesso la vittoria più chiara per:

• login retail,
• riautenticazione frequente,
• percorsi app/web di prima parte,
• sessioni browser dei consumatori.

9.3 Fase 3: decidere dove sono ancora necessarie PKI o un legame di identità più forte#

Alcuni flussi potrebbero richiedere:

• prova di identità supportata da certificato,
• collegamento all'ID nazionale,
• maggiore sicurezza in merito alle modifiche sensibili,
• controlli hardware o organizzativi oltre alle passkey per i consumatori.

9.4 Fase 4: riprogettare il recupero prima di forzarne l'adozione#

Non lanciare un'autenticazione forte senza progettare un recupero forte. Altrimenti l' organizzazione ricreerà semplicemente soluzioni alternative soggette a phishing attraverso il supporto e le eccezioni.

9.5 Fase 5: insegnare agli utenti come funziona l'accesso ufficiale#

Il messaggio "usa i segnalibri / usa le app ufficiali" della FSA dovrebbe diventare parte dell'onboarding e del supporto:

• mostra il percorso sicuro,
• spiega perché i link di accesso sono rischiosi,
• rendi facile da ricordare il percorso di accesso ufficiale,
• riduci la dipendenza da scorciatoie di comodità insicure.

10. Conclusione#

Il 16 aprile 2026 non è stato il giorno in cui il Giappone ha reso legalmente obbligatorie le passkey. È stato il giorno in cui la FSA ha reso l'autenticazione resistente al phishing un'aspettativa pubblica, ha declassato pubblicamente la sicurezza basata su OTP e ha dato a banche, broker e fintech un segnale molto più chiaro che la destinazione a lungo termine sono le passkey, la PKI e altri modelli di accesso non soggetti a phishing.

La pagina della FSA giapponese del 16 aprile 2026 non dovrebbe essere interpretata erroneamente come "Il Giappone oggi ha reso legalmente obbligatorie le passkey ". Non è quello che è successo.

Ma sarebbe altrettanto sbagliato liquidarla come una pagina di sensibilizzazione leggera.

Ciò che è successo è strategicamente più importante:

• il regolatore ha detto pubblicamente ai consumatori che i flussi basati solo su password e basati su OTP non sono più sufficienti,
• ha nominato le passkey e la PKI come esempi di autenticazione più forte,
• ha allineato tale messaggio tra associazioni finanziarie e polizia,
• e ha spinto la conversazione del mercato dalla MFA generica verso l'autenticazione resistente al phishing.

Questo è esattamente il tipo di segnale che cambia le priorità della roadmap nei servizi finanziari.

Per il Giappone, questo rafforza il caso di un'implementazione più ampia delle passkey tra banche, broker e fintech. Per il resto del mondo, è un chiaro esempio di come un regolatore può fare di più che stabilire regole: può rimodellare la narrazione stessa dell'autenticazione.

Se c'è un punto da ricordare, è questo:

Lo stato futuro non è "più MFA". Lo stato futuro è l'autenticazione resistente al phishing. La FSA giapponese lo sta ora dicendo ad alta voce.

Informazioni su Corbado#

La FSA giapponese ha declassato pubblicamente password-più-OTP, ma il fatto che le autorità di regolamentazione nominino le passkey è solo metà del lavoro. Banche e broker devono ancora ritirare i fallback soggetti a phishing su flotte di dispositivi frammentate senza bloccare l'accesso agli utenti.

Corbado è la piattaforma di analisi delle passkey per i team CIAM aziendali. Aggiunge analisi delle passkey e controlli di implementazione in cima all'IDP esistente, in modo che gli istituti che soddisfano lo standard MFA resistente al phishing della FSA possano eliminare gradualmente gli SMS ed e-mail OTP con visibilità a livello di audit e kill switch a livello di dispositivo, non con mandati ciechi.

Scopri come le istituzioni finanziarie giapponesi possono implementare una MFA resistente al phishing senza blocchi terminali. → Parla con un esperto di passkey

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

FAQ#

Il 16 aprile 2026 la FSA giapponese ha reso obbligatorie le passkey?#

No. La pagina del 16 aprile 2026 è una campagna di sensibilizzazione pubblica, non un testo normativo a sé stante. Ciò che la rende importante è che la Financial Services Agency ha promosso pubblicamente ed esplicitamente l'autenticazione a più fattori resistente al phishing, ha evidenziato passkey e PKI come esempi, e ha allineato questo messaggio con le banche, le società di intermediazione mobiliare e l'Agenzia Nazionale di Polizia.

Perché la FSA afferma che le e-mail e gli SMS OTP non sono più sufficienti?#

I materiali della campagna spiegano che gli OTP inviati via e-mail o SMS possono ancora essere aggirati tramite phishing in tempo reale, attacchi man-in-the-middle e malware. In altre parole, aggiungere un codice non è sufficiente se l'aggressore può indurre l'utente a inserirlo su un sito falso o rubarlo dall'endpoint.

Le passkey sono l'unica opzione resistente al phishing accettata nel settore finanziario giapponese?#

No. I materiali della campagna della FSA presentano le passkey e l'autenticazione basata su PKI come i due principali esempi di MFA resistente al phishing. Ciò significa che le passkey sono fortemente favorite, ma la direzione normativa più ampia riguarda i risultati dell'autenticazione resistente al phishing, non una singola tecnologia obbligatoria per i consumatori.

Perché il 16 aprile 2026 è importante se le linee guida di supervisione del Giappone si sono mosse prima?#

Perché segna un passaggio dalle comunicazioni tra il regolatore e il settore a quelle tra il regolatore e il pubblico. Una volta che la FSA inizia a dire direttamente ai consumatori che le passkey e la PKI li proteggono meglio della password con OTP, le banche e i broker giapponesi ottengono una copertura più forte per riprogettare l'autenticazione dei clienti attorno a metodi resistenti al phishing.