---
url: 'https://www.corbado.com/it/blog/japan-fsa-passkeys-phishing-resistant-mfa'
title: 'Passkey FSA Giappone: spinta verso la MFA resistente al phishing (2026)'
description: 'Scopri cosa significa realmente la campagna della FSA giapponese del 16 aprile 2026 per le passkey, la MFA resistente al phishing, la sostituzione degli SMS OTP e la strategia di autenticazione nei servizi finanziari.'
lang: 'it'
author: 'Vincent Delitz'
date: '2026-05-20T09:58:23.604Z'
lastModified: '2026-05-20T09:58:23.604Z'
keywords: 'FSA Giappone passkey, MFA resistente al phishing Giappone, autenticazione resistente al phishing FSA Giappone, passkey regolatore finanziario Giappone, sostituzione SMS OTP Giappone, passkey settore bancario Giappone 2026'
category: 'Passkeys Strategy'
---

# Passkey FSA Giappone: spinta verso la MFA resistente al phishing (2026)

## Key Facts

- Il **16 aprile 2026**, la **Financial Services Agency (FSA)** del Giappone ha lanciato una
  **campagna di sensibilizzazione pubblica** con banche, associazioni di titoli e l'**Agenzia
  Nazionale di Polizia** sulla **MFA resistente al phishing**, citando esplicitamente le **passkey** e
  la **PKI** come opzioni più forti rispetto ai flussi legacy con password.
- La campagna offre **5 volantini ufficiali in PDF** sulla MFA resistente al phishing e
  sulla consapevolezza delle e-mail di phishing, oltre a **4 video promozionali** prodotti in formato
  drammatico e manga, dimostrando che il messaggio è destinato a un ampio riutilizzo pubblico nell'
  ecosistema finanziario, non solo a un pubblico politico limitato.
- I materiali della campagna affermano che **le e-mail e gli SMS OTP non sono abbastanza efficaci** contro
  **il phishing in tempo reale**, **gli attacchi man-in-the-middle** e i **malware**, il che rappresenta una
  dichiarazione pubblica molto più forte rispetto al generico consiglio "usa la MFA".
- La pagina **non è una nuova legge o scadenza a sé stante**, ma è comunque un segnale importante:
  mostra che l'autorità di regolamentazione giapponese inquadra ora pubblicamente lo stato di destinazione come **autenticazione
  resistente al phishing**, non solo "più MFA".
- Entro la fine del 2025, i report di settore descrivevano il **FIDO Japan Working Group** con **64
  organizzazioni** e **oltre 50 provider di passkey** attivi o pianificati, dimostrando che la FSA stava
  amplificando un mercato già in accelerazione piuttosto che introdurre un concetto puramente teorico.
- È probabile che il Giappone stia convergendo verso un **modello a due corsie** per l'autenticazione
  finanziaria ad alto rischio: le **passkey, facili da usare per i consumatori,** da un lato e l'**autenticazione PKI /
  basata su certificati** dall'altro, compreso il potenziale utilizzo delle credenziali
  della **carta My Number**.

## 1. Introduzione: perché la pagina FSA del 16 aprile 2026 è importante

La pagina FSA giapponese del 16 aprile 2026 è importante perché sposta pubblicamente l'obiettivo dalla generica
MFA all'autenticazione resistente al [phishing](https://www.corbado.com/glossary/phishing). La pagina cita passkey
e PKI come esempi preferiti, rifiuta e-mail e SMS OTP come protezione sufficiente contro
il [phishing](https://www.corbado.com/glossary/phishing) moderno e trasforma una discussione sulla conformità riservata al settore
in un segnale di mercato rivolto ai consumatori.

L'[annuncio della FSA](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html)
giapponese del 16 aprile 2026 sembra modesto a prima vista. Non è una nuova legge. Non è un'azione
esecutiva diretta. Non pubblica una nuova scadenza per la conformità. Introduce invece
una campagna pubblica con volantini e poster scaricabili.

Quello che la **Financial Services Agency (FSA)** ha fatto qui è **spostare la conversazione da un
canale industriale/normativo al dominio pubblico**. Il regolatore non sta più solo
dicendo a banche, broker e associazioni di categoria di rafforzare l'autenticazione. Ora sta
dicendo agli utenti comuni che:

- l'autenticazione basata solo su password è debole,
- le e-mail e gli SMS OTP non sono più sufficienti,
- gli utenti dovrebbero preferire la **MFA resistente al phishing**, e
- le **passkey** e l'**autenticazione PKI** sono la direzione giusta.

Questo è un importante cambiamento di tono. E in settori altamente regolamentati come il
[settore bancario](https://www.corbado.com/passkeys-for-banking), il tono spesso si trasforma in pressione per l'implementazione molto prima che
compaia il successivo testo normativo formale.

Anche questa campagna pubblica non è nata dal nulla. Nel suo stesso
[briefing in PDF in inglese di giugno 2025](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf),
la FSA aveva già avvertito che **l'autenticazione solo ID/password** è vulnerabile e che
**le password monouso inviate via e-mail o SMS non sono abbastanza efficaci contro il phishing**.
Nel frattempo, la copertura del settore alla fine del 2025 descriveva il mercato giapponese con **64 organizzazioni
del FIDO Japan Working Group** e **oltre 50 provider di passkey** attivi o pianificati, indicando
che lo slancio dell'implementazione era già reale prima della campagna pubblica di aprile 2026
([copertura di CNET Japan](https://japan.cnet.com/article/35241293/)). Per una visione più ampia di
come le banche, le piattaforme e le autorità di regolamentazione giapponesi si sono mosse verso il passwordless, consulta la nostra
[panoramica sulle passkey in Giappone](https://www.corbado.com/blog/passkeys-japan-overview).

## 2. Cosa ha effettivamente pubblicato la FSA il 16 aprile 2026

La pagina del 16 aprile è un pacchetto di campagne pubbliche coordinato, non una singola nota stampa.
Raccoglie 9 risorse riutilizzabili (5 volantini in PDF e 4 video promozionali), allinea banche,
gruppi di titoli e polizia attorno allo stesso messaggio e dice ai consumatori che
la MFA resistente al phishing dovrebbe sostituire la dipendenza da password più OTP per i percorsi
finanziari ad alto rischio.

La pagina ufficiale collega a **5 volantini in PDF**, organizzati come panoramica più versioni
dettagliate di due temi (MFA resistente al phishing e consapevolezza delle e-mail di phishing):

- [Panoramica (概要版)](https://www.fsa.go.jp/news/r7/sonota/20260416-2/01.pdf)
- [MFA resistente al phishing, panoramica](https://www.fsa.go.jp/news/r7/sonota/20260416-2/02.pdf)
- [MFA resistente al phishing, dettagliata](https://www.fsa.go.jp/news/r7/sonota/20260416-2/03.pdf)
- [Consapevolezza delle e-mail di phishing, panoramica](https://www.fsa.go.jp/news/r7/sonota/20260416-2/04.pdf)
- [Consapevolezza delle e-mail di phishing, dettagliata](https://www.fsa.go.jp/news/r7/sonota/20260416-2/05.pdf)

Insieme ai PDF, la pagina promuove **4 video promozionali** sugli stessi due temi,
prodotti sia in formato drammatico che manga, in modo che la campagna possa raggiungere diverse fasce d'età
e contesti di lettura, non solo lettori di policy.

La campagna è posizionata come uno sforzo congiunto della FSA con:

- associazioni [bancarie](https://www.corbado.com/passkeys-for-banking) a livello nazionale,
- banche shinkin,
- cooperative di credito,
- banche del lavoro,
- gruppi dell'industria dei titoli, e
- l'**Agenzia Nazionale di Polizia**.

Questa ampiezza è importante. Non si tratta di un avviso di nicchia solo per i titoli. È un messaggio
coordinato in tutto l'ecosistema finanziario [retail](https://www.corbado.com/passkeys-for-e-commerce) del Giappone.

### 2.1 Il messaggio politico centrale

Il termine chiave utilizzato nella campagna è **`フィッシングに耐性のある多要素認証`**, che significa
**autenticazione a più fattori resistente al phishing**.

I volantini spiegano che
l'[autenticazione legacy](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys) è rimasta indietro rispetto all'
attuale modello di minaccia:

- le **password** possono essere oggetto di phishing o riutilizzate,
- le **e-mail / SMS OTP** possono essere rubate in tempo reale,
- i **malware** possono [osservare](https://www.corbado.com/blog/how-to-use-passkeys-apple-watch) o manipolare la sessione
  dell'utente, e
- i siti falsi possono imitare il marchio reale in modo così preciso che l'ispezione visiva non è una
  difesa affidabile.

La campagna presenta poi **due esempi principali** di autenticazione più forte:

1. **Passkey**
2. **Autenticazione basata su PKI**

Questa seconda parte è importante. Il Giappone non sta inquadrando questo puramente come "tutti devono usare
le [passkey](https://www.corbado.com/blog/passkeys-vs-passwords)". Il regolatore inquadra il risultato desiderato come
**autenticazione resistente al phishing** e le passkey sono uno dei modi più chiari per i consumatori
per arrivarci.

Per rendere concreta questa distinzione, l'inquadramento della FSA separa implicitamente i metodi di autenticazione
in questo modo:

| Metodo | Resistente al phishing? | L'utente deve trasmettere manualmente un segreto? | Adattamento strategico in Giappone |
| --- | --- | --- | --- |
| Solo password | No | Sì | Non più difendibile per i flussi ad alto rischio |
| E-mail OTP / SMS OTP | No | Sì | Solo di transizione, debole contro gli attacchi relay |
| Soft token proprietario in-app | Parziale | Spesso sì o basato su approvazione | Migliore degli OTP, ma non ancora equivalente alle passkey |
| Passkey | Sì | No | Miglior percorso per il mercato di massa |
| PKI / auth tramite certificato | Sì | No | Opzione forte per casi d'uso ad alta sicurezza o legati all'identità |

### 2.2 La campagna è anche comportamentale

I materiali non si concentrano solo sulla tecnologia di autenticazione. Dicono anche agli utenti di:

- evitare di accedere tramite i link all'interno di e-mail o SMS,
- utilizzare i **segnalibri** o le **app** ufficiali,
- diffidare di schermate sconosciute e prompt insoliti,
- preferire gli app store ufficiali, e
- fare attenzione alle istruzioni insolite del browser, come le scorciatoie da tastiera impreviste.

In altre parole, la FSA non finge che la sola tecnologia di autenticazione risolva
l'intero problema. Sta associando le **contromisure tecniche** all'**igiene comportamentale**.

## 3. Cosa c'è di nuovo in questo caso e cosa no

La pagina del 16 aprile è una novità perché cambia l'inquadramento pubblico, non perché crea una
nuova legge a sé stante. Il vero sviluppo è che il regolatore giapponese spiega ora pubblicamente
perché le passkey e la PKI sono migliori rispetto ai flussi password più OTP, offrendo alle
istituzioni finanziarie una copertura più forte per riprogettare l'autenticazione attorno alla resistenza al phishing.

### 3.1 Cosa c'è di effettivamente nuovo

La pagina del 16 aprile è nuova in almeno quattro modi:

#### 3.1.1 Le passkey fanno ora parte del vocabolario pubblico del regolatore

Molti regolatori parlano di MFA in termini astratti. La FSA giapponese sta facendo qualcosa di più
concreto: sta dicendo al pubblico che le **passkey** sono una difesa più forte contro il
[phishing](https://www.corbado.com/glossary/phishing) e il furto di identità rispetto ai vecchi modelli di accesso.

Questo è importante perché la denominazione pubblica cambia le decisioni sui prodotti. Una volta che il regolatore nomina
pubblicamente le passkey, le istituzioni finanziarie possono giustificare più facilmente gli investimenti al loro interno:

- i team di compliance possono citare il regolatore,
- i team di rischio possono collegare direttamente le passkey alla riduzione delle perdite da phishing,
- i team di prodotto possono posizionare le passkey come allineate alle linee guida ufficiali piuttosto che come un
  progetto di innovazione opzionale.

#### 3.1.2 La FSA sta declassando pubblicamente gli OTP

Non si tratta di un'implicazione sottile. I materiali affermano che gli OTP inviati via e-mail o SMS
possono ancora essere elusi da:

- phishing in tempo reale,
- intercettazione man-in-the-middle, e
- furto assistito da [malware](https://www.corbado.com/glossary/malware).

Si tratta di un'affermazione più forte rispetto a una generica nota di best practice in cui si afferma che l'OTP è "meno sicuro". È il
regolatore che dice al pubblico che la MFA basata su OTP **non** fornisce una significativa resistenza al phishing.

#### 3.1.3 Il messaggio è intersettoriale

Il Giappone non limita questo a un solo settore verticale. Banche, broker e altri attori finanziari fanno
tutti parte dello stesso segnale pubblico. Ciò aumenta le probabilità di una più ampia
normalizzazione dell'ecosistema:

- le banche possono addestrare gli utenti ad aspettarsi un accesso più sicuro,
- i broker possono rendere l'autenticazione più forte un'impostazione predefinita per le azioni ad alto rischio,
- gli utenti incontreranno un linguaggio simile in tutte le istituzioni invece di
  spiegazioni contraddittorie.

#### 3.1.4 La FSA sta educando direttamente il consumatore

Questo è il punto più importante.

C'è un'enorme differenza tra:

- un'autorità di regolamentazione che dice agli istituti finanziari cosa dovrebbero implementare, e
- un'autorità di regolamentazione che dice ai clienti come si presenta ora un'autenticazione sicura.

La seconda mossa riduce il rischio politico e di UX dell'implementazione. Una banca o un broker può ora
dire: "Questa non è solo una nostra idea; questa è la direzione che il regolatore stesso sta promuovendo".

### 3.2 Cosa non è nuovo

La pagina **non** crea di per sé:

- un nuovo mandato a sé stante,
- una nuova scadenza per l'implementazione,
- una specifica tecnica dettagliata per le passkey,
- una dichiarazione secondo cui le passkey sono l'unica tecnologia accettabile, o
- un elenco di sanzioni legate direttamente a questa campagna.

Questa distinzione è importante perché molti lettori esagereranno l'annuncio dicendo "Il Giappone
ha appena reso obbligatorie le passkey". Questo non è abbastanza preciso.

La lettura migliore è:

> L'autorità di regolamentazione del Giappone si è ora allineata pubblicamente con un modello di autenticazione resistente
> al phishing e le passkey sono uno degli esempi rivolti ai consumatori approvati dall'autorità di regolamentazione.

Ciò è strategicamente importante anche se non si tratta di una nuova regola in sé.

## 4. Perché la FSA fa bene a concentrarsi sulla MFA resistente al phishing invece che sulla MFA generica

La FSA ha ragione perché la MFA generica lascia intatto il percorso principale delle frodi. Password
più OTP aggiunge un altro segreto riutilizzabile, mentre la MFA resistente al phishing cambia il protocollo
in modo che il sito falso non possa completare l'autenticazione nemmeno quando l'utente viene indotto a provarci.

### 4.1 L'OTP risolve il problema di ieri

Gli SMS e le e-mail OTP sono stati progettati per rendere più difficile il replay delle credenziali. Funzionano contro alcuni
modelli di attacco più vecchi, ma gli aggressori moderni non hanno bisogno di riutilizzare un codice ore dopo. Lo
rubano in tempo reale. Questo è ancora più importante in un mercato in cui il
[riutilizzo delle password in Giappone](https://www.corbado.com/blog/password-reuse-japan) è ancora estremamente elevato, il che significa che il
primo fattore è spesso compromesso prima ancora che inizi la fase OTP.

Questo è il problema centrale del **phishing in tempo reale**:

1. Una vittima atterra su un sito falso.
2. La vittima inserisce nome utente e password.
3. L'aggressore inoltra tali credenziali al sito reale.
4. Il sito reale richiede un OTP.
5. Il sito falso chiede alla vittima l'OTP.
6. L'aggressore lo utilizza immediatamente per completare l'accesso reale.

In questo flusso di lavoro, l'OTP non ferma l'aggressore. Diventa semplicemente un altro segreto che la
vittima può essere indotta a rivelare.

### 4.2 Le passkey cambiano il modello di fiducia

Le [passkey](https://www.corbado.com/blog/passkeys-phishing-resistant) funzionano diversamente perché sono
**legate all'origine**. La credenziale può essere utilizzata solo sul sito legittimo associato alla
passkey del [relying party](https://www.corbado.com/glossary/relying-party). La base tecnica di questo
comportamento si trova nella [specifica W3C WebAuthn](https://www.w3.org/TR/webauthn-3/) e nella
[documentazione sulle passkey della FIDO Alliance](https://fidoalliance.org/passkeys/), le quali
descrivono entrambe il modello challenge-response legato al sito che impedisce a un dominio falso di
riutilizzare una credenziale creata per quello reale.

Ciò significa che un dominio falso non può semplicemente chiedere all'utente di "digitare la passkey" nel modo in cui chiede
una password o un OTP. Non c'è nulla di riutilizzabile da digitare e il browser / sistema operativo
controlla il contesto del sito prima che l'autenticazione possa procedere.

Questo è il motivo per cui le passkey sono centrali nell'autenticazione resistente al phishing:

- **non esiste un segreto condiviso** da reinserire,
- non viene chiesto all'utente di trasmettere manualmente un codice riutilizzabile,
- la chiave privata non lascia mai il dispositivo dell'utente, e
- l'[authenticator](https://www.corbado.com/glossary/authenticator) è vincolato all'origine legittima.

Questo è anche il motivo per cui la campagna del 16 aprile è importante. La FSA non dice solo "usa una MFA
migliore". Sta indicando metodi di autenticazione in cui il sito di phishing fallisce a livello di
protocollo invece di chiedere all'utente di rilevare manualmente la frode.

### 4.3 Anche la PKI è importante

La campagna giapponese evidenzia anche la **PKI** e menziona esplicitamente che le credenziali della
**carta My Number** possono essere utilizzate nei contesti di autenticazione.

Non è un caso. Il Giappone ha una storia istituzionale più profonda con i modelli di identità basati
su certificati rispetto a molti mercati di consumo occidentali. Quindi il probabile stato finale giapponese
non è "solo passkey". È più vicino a:

- **passkey** per accessi di consumatori mainstream e flussi di step-up,
- **autenticazione PKI / basata su certificati** per una maggiore garanzia o
  casi di identità di tipo [settore pubblico](https://www.corbado.com/passkeys-for-public-sector),
- e una preferenza normativa più ampia per **risultati resistenti al phishing**.

Per i team di prodotto, ciò significa che il giusto confronto strategico non è "passkey vs
password". È più simile a:

- passkey vs e-mail/SMS OTP per il login dei consumatori,
- passkey vs soft token in-app per la UX del [settore bancario](https://www.corbado.com/passkeys-for-banking),
- passkey vs PKI per la sicurezza e i livelli di [verifica dell'identità](https://www.corbado.com/blog/digital-identity-guide).

## 5. Perché il 16 aprile è ancora più importante nel contesto della precedente direzione normativa del Giappone

Il 16 aprile è importante perché converte una tendenza di supervisione in una norma pubblica. Dopo che la FSA
ha trascorso il 2025 avvertendo che l'autenticazione basata solo su password e basata su OTP era troppo debole, la
campagna di aprile 2026 dice direttamente ai consumatori come dovrebbe apparire la sostituzione:
MFA resistente al phishing tramite passkey, PKI o entrambe.

Entro il 2025 e all'inizio del 2026, il settore finanziario giapponese si stava già muovendo verso controlli più rigorosi
dopo incidenti di compromissione degli account legati al phishing nel settore dei titoli e in altri
[servizi finanziari](https://www.corbado.com/passkeys-for-banking) online. Il contesto è una serie di
[violazioni dei dati di alto profilo in Giappone](https://www.corbado.com/blog/data-breaches-japan) che hanno mantenuto l'acquisizione di account
e il furto di credenziali nell'agenda normativa. Nei relativi materiali della FSA e nei successivi
commenti sulle modifiche alle linee guida, il regolatore ha operato una distinzione più netta tra:

- **"una qualche MFA"**, e
- **MFA resistente al phishing**.

Questa differenza è tutto.

La MFA generica può ancora lasciare gli utenti vulnerabili a:

- furto di OTP,
- inoltro su siti falsi,
- affaticamento da push / abuso di approvazione,
- endpoint compromessi,
- flussi di recupero deboli.

Al contrario, la MFA resistente al phishing cerca esplicitamente di bloccare il percorso principale delle frodi piuttosto
che aggiungere semplicemente un ulteriore ostacolo. La campagna del 16 aprile è quindi vista al meglio come una
**operazionalizzazione pubblica** di una direzione più ampia che si sta già formando in Giappone:

- i [servizi finanziari](https://www.corbado.com/passkeys-for-banking) non dovrebbero limitarsi ad aggiungere altro attrito,
- dovrebbero passare a metodi di autenticazione che spezzano l'economia del phishing.

A colpo d'occhio, la progressione si snoda attraverso quattro traguardi in meno di un anno:

Con le fonti, la stessa progressione recita:

- **Giugno 2025:** il
  [riepilogo dei problemi in inglese della FSA](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf)
  afferma che l'autenticazione basata solo su password è debole e che le e-mail / SMS OTP non sono
  abbastanza efficaci contro il phishing.
- **15 luglio 2025:** la
  [bozza di linea guida JSDA](https://www.jsda.or.jp/about/public/bosyu/files/20250715_guideline_public.pdf)
  spinge per la MFA resistente al phishing per azioni sensibili sui titoli come login, prelievo
  e modifiche al conto bancario.
- **Fine 2025:** i report di mercato descrivono **oltre 50 provider di passkey** e **64 organizzazioni del
  FIDO Japan Working Group** in Giappone
  ([CNET Japan](https://japan.cnet.com/article/35241293/)).
- **16 aprile 2026:** la
  [campagna pubblica della FSA](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html)
  porta lo stesso messaggio di resistenza al phishing direttamente ai consumatori.

In questo senso, la pagina è meno "marketing di consapevolezza" di quanto sembri. È il volto pubblico
di un cambiamento normativo e dell'ecosistema più profondo.

## 6. Cosa significa questo per le banche, i broker e le fintech giapponesi

Le istituzioni finanziarie giapponesi dovrebbero considerare la campagna del 16 aprile come un'aspettativa minima innalzata
per il login, il recupero e le azioni sull'account ad alto rischio. Una volta che l'autorità di regolamentazione afferma pubblicamente
che le e-mail e gli SMS OTP non sono sufficientemente efficaci, una MFA debole e basata su fallback diventa più difficile da
difendere dal punto di vista delle frodi, dei prodotti e della supervisione.

### 6.1 "MFA disponibile" non è più sufficiente

Offrire l'SMS OTP come opzione di fallback mentre si commercializza l'esperienza come "MFA sicura" sta diventando
più difficile da difendere. Il messaggio pubblico dell'autorità di regolamentazione fa ora una distinzione più esigente:
la **MFA resistente al phishing** dovrebbe essere la destinazione. Anche il più ampio lavoro del settore sull'
[obbligo della MFA con le passkey](https://www.corbado.com/blog/mandating-mfa) punta nella stessa direzione.

Ciò significa che le organizzazioni dovrebbero valutare:

- dove esistono ancora gli SMS/e-mail OTP,
- quali percorsi sono ad alto rischio,
- se le passkey sono opzionali o realmente incoraggiate,
- quanta dipendenza rimane dai metodi di fallback soggetti a phishing.

### 6.2 I percorsi ad alto rischio necessitano di un trattamento speciale

I percorsi più sensibili non sono solo il login. In pratica, le istituzioni dovrebbero
[esaminare ogni superficie soggetta a phishing](https://www.corbado.com/blog/passkeys-enterprise-guide-initial-assessment):

- login,
- pagamento / prelievo,
- cambio del conto di destinazione,
- recupero e riassociazione del dispositivo,
- modifiche al profilo e ai dettagli di contatto,
- accesso all'API o all'aggregazione.

Molte istituzioni proteggono ancora la pagina di accesso in modo più forte rispetto al percorso di
[recupero dell'account](https://www.corbado.com/blog/passkey-fallback-recovery). Questo è controproducente. Gli aggressori
utilizzeranno la via più debole disponibile.

### 6.3 Il recupero diventa un problema di prodotto strategico

Una volta che l'autenticazione resistente al phishing diventa il punto di riferimento, il recupero diventa la parte
più difficile della progettazione.

L'implementazione delle passkey può ancora fallire a livello operativo se il recupero ricade su deboli flussi di posta elettronica,
ingegneria sociale o procedure di supporto che reintroducono passaggi soggetti a phishing. La campagna della FSA giapponese
non risolve questa sfida progettuale, ma la rende impossibile da ignorare.

### 6.4 La UX per l'"accesso ufficiale" dovrebbe diventare parte della progettazione del prodotto

Un dettaglio sottovalutato dei volantini è la spinta verso i **segnalibri** e le
**app ufficiali**. Questo suggerisce una lezione di prodotto più ampia:

- il solo branding non è sufficiente,
- i punti di ingresso del login sono importanti,
- l'instradamento sicuro è importante,
- la UX anti-phishing fa parte dello stack di autenticazione.

Per le istituzioni finanziarie, ciò significa:

- [rendere evidenti i percorsi di accesso basati su app](https://www.corbado.com/blog/passkey-login-best-practices),
- ridurre la dipendenza dai link e-mail,
- spiegare chiaramente dove inizia l'accesso ufficiale,
- trattare l'igiene dei link in entrata come parte della prevenzione delle frodi.

### 6.5 I soft token non sono uguali alle passkey

Alcune istituzioni risponderanno rafforzando l'approvazione basata sull'app e considerando il problema
risolto. Ciò può migliorare la sicurezza, ma non è equivalente alle
[passkey](https://www.corbado.com/blog/passkeys-vs-2fa-security).

Perché?

- Molti flussi di soft token proprietari dipendono ancora dall'utente che distingue un sito reale
  da uno falso.
- Alcuni flussi possono ancora subire abusi tramite relay in tempo reale o manipolazione dell'approvazione.
- Il passaggio da un'app all'altra e la gestione del codice aggiungono attrito e confusione.

Le passkey sono importanti perché riducono sia l'**esposizione al phishing** sia lo **sforzo dell'utente**.

### 6.6 L'asticella per i concorrenti si è appena spostata

Una volta che la FSA inizia a educare direttamente i consumatori, i ritardatari diventano più visibili. Un'azienda
che fa ancora affidamento su password + OTP potrebbe presto sembrare obsoleta rispetto ai colleghi che offrono:

- passkey,
- un'autenticazione vincolata al dispositivo più forte,
- o esperienze di accesso chiaramente etichettate e resistenti al phishing.

Ciò cambia il [panorama competitivo](https://www.corbado.com/blog/passkey-adoption-business-case), non solo
il panorama della conformità.

**La maggior parte di questo non è un territorio nuovo.** L'
[Enterprise Passkeys Guide](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview) guida passo passo
attraverso la valutazione, l'allineamento degli [stakeholder](https://www.corbado.com/blog/passkeys-stakeholder), l'integrazione
e i test per le implementazioni per i consumatori [su larga scala](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview), e l'articolo
[10 Passkey Deployment Mistakes Banks Make](https://www.corbado.com/blog/passkey-deployment-mistakes-banks)
raccoglie le modalità di errore ricorrenti che le implementazioni bancarie affrettate continuano a ripetere. Ciò che
aggiunge la campagna della FSA è l'urgenza e il sostegno pubblico, non un nuovo manuale operativo.

## 7. Cosa significa questo per le passkey nello specifico

La campagna giapponese del 16 aprile aiuta le passkey in tre modi concreti: inquadra le passkey come controlli
antifrode piuttosto che come funzionalità di comodità, amplia il caso degli
[stakeholder](https://www.corbado.com/blog/passkeys-stakeholder) interni per l'implementazione e insegna ai consumatori
che le passkey fanno parte del modello di accesso finanziario sicuro che l'autorità di regolamentazione ora preferisce.

### 7.1 Inquadra nuovamente le passkey come controllo delle frodi, non come comodità

Molte implementazioni di passkey per i consumatori sono commercializzate come:

- accesso più semplice,
- nessuna password da ricordare,
- login più veloce.

L'inquadramento della FSA è molto più netto:

- le passkey sono una difesa contro l'**impersonificazione**,
- le passkey aiutano a bloccare il **phishing**,
- le passkey riducono la dipendenza da **segreti riutilizzabili**.

Questo è esattamente il quadro di cui le banche e i broker hanno bisogno internamente. I budget per la sicurezza sono più
facilmente approvati per la riduzione delle frodi che per la sola comodità.

### 7.2 Amplia il pubblico delle passkey all'interno delle istituzioni finanziarie

Un progetto di autenticazione di solito deve ottenere il supporto da:

- prodotto,
- frodi,
- sicurezza,
- conformità,
- legale,
- operazioni,
- e supporto.

La pagina della FSA offre a ciascuno di questi gruppi un motivo per cui interessarsi:

- il team **frodi** vede una riduzione del phishing,
- il team **sicurezza** vede una crittografia legata all'origine,
- il team **conformità** vede l'allineamento normativo,
- il team **operazioni** vede un minore attrito da OTP,
- il team **prodotto** vede una storia per i consumatori più forte.

### 7.3 Aiuta a normalizzare le passkey per gli utenti comuni

Questo potrebbe essere l'effetto più duraturo.

Quando un regolatore nazionale, le associazioni finanziarie e la polizia presentano le passkey come una
difesa raccomandata, la percezione degli utenti cambia. Il team di prodotto non deve più presentare
le passkey come una strana nuova funzionalità. Può presentarle come il metodo di sicurezza verso cui l'
ecosistema sta convergendo.

Questo è importante perché il successo dell'implementazione spesso dipende meno dalla crittografia che dal fatto che
gli utenti si fidino del nuovo flusso abbastanza da adottarlo.

### 7.4 Estende il pubblico delle passkey oltre i segmenti più propensi alla tecnologia

La campagna della FSA non arriva solo nelle app bancarie utilizzate dai consumatori più propensi alla tecnologia. Copre
**conti titoli**, banche del lavoro, banche shinkin e cooperative di credito, le
parti del sistema finanziario giapponese su cui i clienti più anziani e meno propensi alla tecnologia fanno affidamento giorno per
giorno. Ciò è strategicamente importante per le passkey. Una volta che questi clienti incontrano
le passkey tramite il loro broker, la banca del lavoro o la cooperativa locale, la familiarità con le passkey
si diffonde ben oltre il segmento dei primi utilizzatori e inizia a normalizzarsi in tutta la
base di clienti. Per l'[adozione delle passkey](https://www.corbado.com/blog/passkey-adoption-business-case) da parte dei consumatori in
Giappone, questo è il tipo di spinta che nessun budget di puro marketing può comprare.

Ma è un'arma a doppio taglio. Una base demografica più ampia significa anche una varietà molto più ampia di
dispositivi, versioni di OS, browser in-app e comportamenti dei gestori di credenziali rispetto a quelli che un'
implementazione focalizzata sulla tecnologia toccherebbe. È proprio qui che gli
[errori delle passkey nelle app native](https://www.corbado.com/blog/native-app-passkey-errors) diventano una preoccupazione a livello di
produzione, non un caso limite. Le banche e i broker che rispondono al segnale della FSA dovrebbero pianificare la diversità dei
dispositivi e degli ambienti delle app fin dal primo giorno, non scoprirla durante i picchi di
supporto post-obbligo.

## 8. Cosa insegna l'approccio del Giappone ad altri paesi

Il Giappone sta diventando un utile caso di studio perché combina in sequenza supervisione, educazione pubblica
e implementazione nell'ecosistema. Altri mercati spesso rivedono le linee guida senza
spiegare il nuovo modello di sicurezza agli utenti, il che rallenta l'adozione e fa sembrare un'autenticazione più forte
come un attrito isolato del prodotto invece di un aggiornamento a livello di sistema.

### 8.1 Le campagne pubbliche possono accelerare la migrazione tecnica

Molti regolatori rivedono le linee guida ma si fermano prima dell'educazione pubblica. Il Giappone sta mostrando un
modello diverso:

1. la pressione delle frodi aumenta,
2. la direzione della supervisione si indurisce,
3. il regolatore inizia a nominare pubblicamente i metodi resistenti al phishing,
4. gli attori dell'ecosistema ottengono la copertura per implementarli più rapidamente.

Questa sequenza può ridurre l'attrito del lancio in un modo in cui il puro testo politico spesso non riesce.

### 8.2 L'obiettivo dovrebbe essere la resistenza al phishing, non solo la sostituzione dell'OTP

Alcuni paesi si concentrano in modo troppo restrittivo su "sostituire gli SMS OTP". Questo aiuta, ma è incompleto.

La campagna giapponese è inquadrata meglio perché pone una domanda più fondamentale:

> Questo metodo può ancora essere oggetto di abuso quando l'utente guarda un sito falso o una
> sessione compromessa?

Questo è il test giusto.

### 8.3 L'autenticazione dei consumatori potrebbe finire per essere ibrida

La simultanea enfasi del Giappone sulle passkey e sulla PKI suggerisce una verità più ampia che molti mercati
riscopriranno:

- le passkey sono eccellenti per l'adozione di massa da parte dei consumatori,
- la PKI rimane importante per l'identità ad alta sicurezza,
- gli ecosistemi più forti combineranno entrambe le cose invece di forzare una tecnologia a fare
  tutto.

Ciò è particolarmente rilevante nei settori regolamentati con programmi nazionali di
[identità digitale](https://www.corbado.com/blog/digital-identity-guide).

## 9. La roadmap pratica per i team che rispondono a questo segnale

La risposta corretta al segnale del 16 aprile è una migrazione a fasi, non un programma di sostituzione
affrettato. I team dovrebbero prima mappare i percorsi soggetti a phishing, poi decidere dove le passkey si adattano
immediatamente, dove è ancora richiesta la PKI o un legame di identità più forte e come il recupero può
essere riprogettato senza ricreare deboli eccezioni che favoriscono il phishing.

### 9.1 Fase 1: mappare tutte le superfici di autenticazione soggette a phishing

Inizia con:

- login,
- recupero,
- modifiche all'account,
- conferma della transazione,
- modifiche agli account collegati,
- punti di ingresso tramite link e-mail,
- processi di override del call center.

### 9.2 Fase 2: identificare dove si adattano immediatamente le passkey

Le passkey sono spesso la vittoria più chiara per:

- login [retail](https://www.corbado.com/passkeys-for-e-commerce),
- riautenticazione frequente,
- percorsi app/web di prima parte,
- sessioni browser dei consumatori.

### 9.3 Fase 3: decidere dove sono ancora necessarie PKI o un legame di identità più forte

Alcuni flussi potrebbero richiedere:

- prova di identità supportata da certificato,
- collegamento all'ID nazionale,
- maggiore sicurezza in merito alle modifiche sensibili,
- controlli hardware o organizzativi oltre alle passkey per i consumatori.

### 9.4 Fase 4: riprogettare il recupero prima di forzarne l'adozione

Non lanciare un'autenticazione forte senza progettare un recupero forte. Altrimenti l'
organizzazione ricreerà semplicemente soluzioni alternative soggette a phishing attraverso il supporto e le eccezioni.

### 9.5 Fase 5: insegnare agli utenti come funziona l'accesso ufficiale

Il messaggio "usa i segnalibri / usa le app ufficiali" della FSA dovrebbe diventare parte dell'onboarding e
del supporto:

- mostra il percorso sicuro,
- spiega perché i link di accesso sono rischiosi,
- rendi facile da ricordare il percorso di accesso ufficiale,
- riduci la dipendenza da scorciatoie di comodità insicure.

## 10. Conclusione

Il 16 aprile 2026 non è stato il giorno in cui il Giappone ha reso legalmente obbligatorie le passkey. È stato il giorno in cui la FSA
ha reso l'autenticazione resistente al phishing un'aspettativa pubblica, ha declassato pubblicamente la sicurezza
basata su OTP e ha dato a banche, broker e fintech un segnale molto più chiaro che la destinazione
a lungo termine sono le passkey, la PKI e altri modelli di accesso non soggetti a phishing.

La pagina della FSA giapponese del 16 aprile 2026 non dovrebbe essere interpretata erroneamente come "Il Giappone oggi ha reso legalmente obbligatorie le passkey
". Non è quello che è successo.

Ma sarebbe altrettanto sbagliato liquidarla come una pagina di sensibilizzazione leggera.

Ciò che è successo è strategicamente più importante:

- il regolatore ha detto pubblicamente ai consumatori che i flussi basati solo su password e basati su OTP non
  sono più sufficienti,
- ha nominato le **passkey** e la **PKI** come esempi di autenticazione più forte,
- ha allineato tale messaggio tra associazioni finanziarie e polizia,
- e ha spinto la conversazione del mercato dalla MFA generica verso l'**autenticazione
  resistente al phishing**.

Questo è esattamente il tipo di segnale che cambia le priorità della roadmap nei
[servizi finanziari](https://www.corbado.com/passkeys-for-banking).

Per il Giappone, questo rafforza il caso di un'implementazione più ampia delle passkey tra
[banche](https://www.corbado.com/passkeys-for-banking), broker e fintech. Per il resto del mondo, è un
chiaro esempio di come un regolatore può fare di più che stabilire regole: può rimodellare la
narrazione stessa dell'autenticazione.

Se c'è un punto da ricordare, è questo:

**Lo stato futuro non è "più MFA". Lo stato futuro è l'autenticazione resistente
al phishing. La FSA giapponese lo sta ora dicendo ad alta voce.**

## Informazioni su Corbado

La FSA giapponese ha declassato pubblicamente password-più-OTP, ma il fatto che le autorità di regolamentazione nominino le passkey è
solo metà del lavoro. Banche e broker devono ancora ritirare i fallback soggetti a phishing su
flotte di dispositivi frammentate senza bloccare l'accesso agli utenti.

Corbado è la **piattaforma di analisi delle passkey** per i team CIAM aziendali. Aggiunge **analisi
delle passkey e controlli di implementazione** in cima all'IDP esistente, in modo che gli istituti che soddisfano
lo standard MFA resistente al phishing della FSA possano eliminare gradualmente gli SMS ed e-mail OTP con visibilità
a livello di audit e kill switch a livello di dispositivo, non con mandati ciechi.

Scopri come le istituzioni finanziarie giapponesi possono implementare una MFA resistente al phishing senza
blocchi terminali. → [Parla con un esperto di passkey](https://www.corbado.com/contact)

## FAQ

### Il 16 aprile 2026 la FSA giapponese ha reso obbligatorie le passkey?

No. La pagina del 16 aprile 2026 è una campagna di sensibilizzazione pubblica, non un testo normativo a sé stante.
Ciò che la rende importante è che la Financial Services Agency ha promosso pubblicamente ed esplicitamente
l'autenticazione a più fattori resistente al phishing, ha evidenziato passkey e PKI come
esempi, e ha allineato questo messaggio con le banche, le società di intermediazione mobiliare e l'Agenzia Nazionale di Polizia.

### Perché la FSA afferma che le e-mail e gli SMS OTP non sono più sufficienti?

I materiali della campagna spiegano che gli OTP inviati via e-mail o SMS possono ancora essere aggirati
tramite phishing in tempo reale, attacchi man-in-the-middle e [malware](https://www.corbado.com/glossary/malware). In
altre parole, aggiungere un codice non è sufficiente se l'aggressore può indurre l'utente a inserirlo
su un sito falso o rubarlo dall'endpoint.

### Le passkey sono l'unica opzione resistente al phishing accettata nel settore finanziario giapponese?

No. I materiali della campagna della FSA presentano le passkey e l'autenticazione basata su PKI come i due
principali esempi di MFA resistente al phishing. Ciò significa che le passkey sono fortemente favorite, ma
la direzione normativa più ampia riguarda i risultati dell'autenticazione resistente al phishing, non una
singola tecnologia obbligatoria per i consumatori.

### Perché il 16 aprile 2026 è importante se le linee guida di supervisione del Giappone si sono mosse prima?

Perché segna un passaggio dalle comunicazioni tra il regolatore e il settore a quelle tra il regolatore e il pubblico.
Una volta che la FSA inizia a dire direttamente ai consumatori che le passkey e la PKI li proteggono
meglio della password con OTP, le banche e i broker giapponesi ottengono una copertura più forte per
riprogettare l'autenticazione dei clienti attorno a metodi resistenti al phishing.