Passkey PayPal: Implementare le passkey come PayPal

• Disponibili per la prima volta nel Q4/2022 negli Stati Uniti e poi implementate gradualmente in diversi paesi e piattaforme
• Le passkey di PayPal migliorano la sicurezza dell'accesso a PayPal contro il phishing e il credential stuffing, offrendo al contempo un'esperienza più comoda.
• Attualmente, le passkey sono utilizzate principalmente per l'accesso a conti esistenti, non per la registrazione iniziale di conti completamente senza password.
• La configurazione della passkey di PayPal viene eseguita manualmente tramite la sezione 'Accesso e sicurezza' nelle impostazioni dell'account.
• PayPal è stata pioniera nella sincronizzazione delle passkey tra il suo sito web e le app native, supportando sia le passkey sincronizzate che quelle legate al dispositivo (sebbene quelle sincronizzate siano più comuni).
• Pur offrendo un'esperienza semplificata a livello globale, l'implementazione in Europa è conforme alla PSD2/SCA, richiedendo talvolta passaggi di verifica aggiuntivi nonostante l'uso di una passkey (nel contesto 2FA della passkey PayPal). PayPal sfrutta la Conditional UI per un accesso con compilazione automatica fluida e fornisce una chiara formazione agli utenti. I primi successi includono tassi di accesso migliorati e una riduzione delle frodi, posizionando PayPal come un leader da seguire per altre istituzioni finanziarie.

Sempre più aziende di svariati settori stanno entrando in un mondo senza password e implementando le passkey. Attraverso questa serie di articoli, miriamo a fornire una panoramica completa dell'esperienza utente con le passkey di tali aziende. Questo dovrebbe consentirvi di integrare queste scoperte e migliorare di conseguenza l'accesso al vostro prodotto. In ogni articolo, ci concentriamo su una singola azienda. Oggi, approfondiamo il caso di PayPal.

Dall'ottobre 2022, gli utenti PayPal negli Stati Uniti possono creare passkey per i loro account, segnando un passo significativo verso l'autenticazione senza password nel settore dei pagamenti. Dopo questo lancio iniziale, le passkey di PayPal sono state progressivamente implementate in altri paesi dall'inizio del 2023. Essendo una delle principali piattaforme di pagamento digitale al mondo con oltre 400 milioni di utenti, l'adozione delle passkey da parte di PayPal dimostra un forte impegno nel rendere i pagamenti e i trasferimenti online più sicuri e intuitivi. PayPal si distingue come uno dei primi pionieri nel settore dei pagamenti, dando un esempio positivo per altre banche e istituzioni finanziarie.

Disclaimer:

1. Lo stato iniziale dell'analisi era agosto 2023. Questo post del blog è stato aggiornato alla fine di aprile 2025 per riflettere le ultime modifiche nell'implementazione delle passkey di PayPal, evidenziando cosa è cambiato dall'analisi iniziale.
2. Si prega di fare riferimento ai casi d'uso per trovare i dispositivi utilizzati per l'analisi.
3. In questo ultimo aggiornamento (aprile 2025), ci siamo concentrati sulle principali combinazioni di sistema operativo e piattaforma e non abbiamo testato ogni singola variante in dettaglio.

La decisione di PayPal di adottare le passkey è radicata in un chiaro imperativo strategico, guidato dalle sfide intrinseche dell'autenticazione tradizionale basata su password nel panorama dei pagamenti digitali.

• Lotta alle minacce informatiche: L'ambiente dei pagamenti digitali è costantemente sotto attacco da parte di attacchi di phishing, credential stuffing (l'uso di elenchi di password rubate per tentare l'accesso su altri siti) e frodi di account takeover (ATO). Le password sono l'anello più debole, vulnerabili a queste minacce pervasive. Adottando le passkey, che sono legate crittograficamente al sito web e al dispositivo specifici, PayPal riduce drasticamente la superficie di attacco per queste forme comuni di frode.
• Riduzione dell'attrito e dell'abbandono da parte dell'utente: I flussi di accesso tradizionali, che spesso coinvolgono password complesse seguite da codici monouso (OTP) o domande di sicurezza, creano un notevole attrito per gli utenti. Le password dimenticate portano a frustranti processi di recupero e l'autenticazione a più passaggi può indurre gli utenti ad abbandonare le transazioni, in particolare sui dispositivi mobili. Questo attrito danneggia direttamente i tassi di conversione al checkout. Le passkey offrono un'esperienza di accesso semplificata, one-touch, utilizzando l'autenticazione biometrica familiare o il PIN del dispositivo, riducendo drasticamente questi punti critici.
• Miglioramento della sicurezza e dell'esperienza utente: Fondamentalmente, PayPal cerca di risolvere la storica tensione tra sicurezza e convenienza. Le passkey forniscono un modo per offrire una sicurezza significativamente più forte delle password, offrendo allo stesso tempo un'esperienza utente più semplice e veloce. Questo duplice vantaggio è fondamentale per una piattaforma che gestisce transazioni finanziarie sensibili.
• Leadership di settore: In qualità di membro fondatore della FIDO Alliance, la forza trainante dietro lo standard delle passkey, PayPal si impegna a guidare il settore verso un'autenticazione più sicura e intuitiva. Essere una delle prime grandi piattaforme di pagamento a implementare le passkey rafforza questa posizione di leadership e stabilisce un punto di riferimento per concorrenti e partner.

Affrontando queste sfide chiave e sfruttando la loro posizione di leader FIDO, PayPal ha posizionato le passkey come una tecnologia fondamentale per la sua futura strategia di autenticazione.

L'implementazione delle passkey da parte di PayPal include diverse caratteristiche e scelte di design notevoli che influenzano l'esperienza utente e la sicurezza.

PayPal ha iniziato il suo percorso con le passkey con un'implementazione graduale. La disponibilità è stata introdotta per la prima volta negli Stati Uniti nel Q4 2022, inizialmente per un sottogruppo di utenti tramite test A/B, concentrandosi principalmente sui dispositivi Apple (iOS, iPadOS, macOS) che accedevano al sito web. Questa fase iniziale ha permesso a PayPal di raccogliere feedback e identificare potenziali problemi in un ambiente controllato.

Le implementazioni successive sono iniziate all'inizio del 2023, espandendosi ai dispositivi Android (Android 9+) negli Stati Uniti e successivamente ai principali mercati europei come Germania e Regno Unito a metà del 2023. Questa strategia di espansione graduale ha permesso a PayPal di adattarsi a diverse piattaforme e requisiti normativi regionali, minimizzando i rischi. L'implementazione è continuata da allora, con PayPal che lavora attivamente per accelerare la disponibilità globale per tutto il 2025, citando i risultati positivi della prima adozione.

Un punto di forza significativo dell'implementazione di PayPal è la capacità di creare e utilizzare le passkey all'interno delle loro app mobili native sia per dispositivi Apple che Android. Inoltre, PayPal è stata tra le prime a consentire la sincronizzazione fluida delle passkey tra il sito web accessibile tramite browser e la corrispondente app mobile nativa sullo stesso o su dispositivi diversi (tramite portachiavi cloud come iCloud Keychain o Google Password Manager).

Questa sincronizzazione significa che un utente che crea una passkey sul proprio iPhone all'interno dell'app PayPal può quindi utilizzare la stessa passkey per accedere tramite Safari sul proprio MacBook o persino Chrome su un PC Windows (se sincronizzata tramite Google Password Manager), a condizione di avere il proprio iPhone nelle vicinanze per approvare l'accesso PayPal cross-device. Ciò migliora notevolmente la comodità e la flessibilità dell'utente. Gli utenti possono anche scegliere di utilizzare passkey legate al dispositivo, potenzialmente memorizzate su una chiave di sicurezza hardware, sebbene le passkey sincronizzate siano l'approccio più comune per la maggior parte degli utenti grazie alla facilità d'uso e alla disponibilità tramite i portachiavi dei dispositivi.

PayPal ha integrato rapidamente la Conditional UI, che migliora significativamente l'esperienza di accesso a PayPal. Quando un utente visita la pagina di accesso di PayPal e fa clic sul campo di immissione del nome utente, il prompt nativo della passkey del browser o del sistema operativo appare automaticamente, suggerendo la passkey memorizzata per quel sito.

Questo elimina la necessità per l'utente di ricordare o digitare manualmente il proprio nome utente, per non parlare della password. Fornisce un'esperienza di accesso semplificata, quasi one-tap, sfruttando le capacità di compilazione automatica intrinseche dello standard delle passkey. Questa attenzione alla comodità dell'utente fin dall'inizio è stata un fattore chiave nel promuovere l'adozione delle passkey sulla piattaforma PayPal.

Nelle impostazioni dell'account, in particolare nella sezione 'Accesso e sicurezza', PayPal fornisce agli utenti una panoramica chiara delle loro passkey registrate. Per ogni passkey, vengono visualizzati dettagli come il dispositivo su cui è stata creata, il suo stato di sincronizzazione (ad es. sincronizzata tramite iCloud Keychain) e la data e l'ora di creazione. Questa trasparenza aiuta gli utenti a gestire le proprie passkey e a capire dove e quando hanno abilitato questo metodo di accesso.

PayPal fornisce anche una guida chiara sulla cancellazione delle passkey, spiegando che spesso devono essere rimosse sia localmente dal dispositivo/portachiavi che dal server di PayPal per essere completamente deregistrate.

Riconoscendo che le passkey sono un concetto nuovo per molti utenti, PayPal ha investito nella formazione degli utenti. Utilizzano costantemente il termine "passkey" e forniscono spiegazioni dettagliate all'interno del flusso di configurazione e nella loro sezione FAQ dedicata. Ciò include informazioni su cosa sono le passkey, come funzionano, il processo di configurazione, la sincronizzazione e la cancellazione. Affrontando proattivamente le potenziali domande e preoccupazioni degli utenti, PayPal mira a creare fiducia e incoraggiare l'adozione di questo nuovo metodo di autenticazione.

Guarda lo screenshot seguente che fornisce maggiori dettagli sul corretto processo di cancellazione delle passkey in due fasi.

• Limitazioni occasionali di piattaforma/browser (storicamente): Come notato nell'analisi iniziale (agosto 2023), le passkey non erano universalmente disponibili su tutte le combinazioni di dispositivi e browser. Ad esempio, il supporto per Windows era inizialmente carente. Aggiornamento aprile 2025: Questa limitazione è stata in gran parte risolta. Le passkey di PayPal sono ora supportate sulla maggior parte dei principali sistemi operativi (iOS, macOS, Android, Windows 10+) e browser (Chrome, Safari, Edge, Firefox), migliorando significativamente la disponibilità e la coerenza.
• La cancellazione locale non sempre viene riconosciuta: Un piccolo svantaggio tecnico osservato è che se un utente elimina una passkey solo dal proprio dispositivo locale senza rimuoverla anche dalle impostazioni del proprio account PayPal, il pulsante di accesso one-tap potrebbe comunque apparire, potenzialmente confondendo l'utente. La visualizzazione dovrebbe idealmente aggiornarsi immediatamente al primo rilevamento della cancellazione locale.
• Nessun vero flusso Identifier-First su Android (principalmente Conditional UI / One-Tap): Su Android, sebbene l'uso della Conditional UI sia eccellente per l'esperienza utente, il flusso di accesso principale di PayPal sembra fortemente orientato a questo o a un pulsante passkey dedicato, piuttosto che offrire un flusso identifier-first tradizionale che degrada elegantemente se non viene trovata alcuna passkey. Sebbene ciò protegga dall'account enumeration, un'implementazione più robusta potrebbe offrire percorsi più chiari per gli utenti senza una passkey registrata su quel dispositivo specifico. Inoltre, non è chiaro perché su iOS sia implementato correttamente mentre su Android no.

L'adozione e l'implementazione anticipate delle passkey da parte di PayPal hanno prodotto risultati positivi, dimostrando i benefici tangibili di questa tecnologia sia per la sicurezza che per l'esperienza utente.

• Aumento dei tassi di successo degli accessi: I primi rapporti indicavano un aumento significativo dei tassi di successo degli accessi (+10%) per gli utenti che optavano per le passkey rispetto ai metodi tradizionali con password. Ciò evidenzia la riduzione dell'attrito e il minor numero di errori associati all'inserimento e al recupero della password.
• Riduzione delle frodi di Account Takeover (ATO): Le passkey sono altamente resistenti al phishing e al credential stuffing, che sono i principali vettori per le frodi ATO. PayPal ha riportato una sostanziale riduzione dei tentativi e dei successi di frode ATO (-70% riportato nel 2023) per gli utenti che avevano abilitato le passkey, mostrando i forti benefici in termini di sicurezza.
• Tempi di checkout più rapidi: Per gli utenti che sfruttano le passkey per l'accesso durante il processo di checkout, il flusso di autenticazione semplificato riduce significativamente il tempo necessario per completare la transazione, con rapporti che suggeriscono che i tempi di checkout potrebbero scendere a circa 5 secondi in scenari ideali.

Questi primi KPI sottolineano il convincente business case per le passkey, dimostrando che non solo migliorano la sicurezza, ma migliorano anche metriche aziendali critiche come la conversione e la riduzione delle frodi.

L'implementazione delle passkey in Europa come banca, fornitore di pagamenti o organizzazione di servizi finanziari presenta sfide uniche rispetto a regioni come gli Stati Uniti, principalmente a causa dei severi requisiti della Seconda Direttiva sui Servizi di Pagamento dell'Unione Europea (PSD2) e del suo mandato per l'Autenticazione Forte del Cliente (SCA).

La PSD2 mira a migliorare la sicurezza dei pagamenti elettronici all'interno dello Spazio Economico Europeo (SEE) e del Regno Unito (che ha incorporato regole simili). La sua pietra angolare è la SCA, che richiede che la maggior parte delle iniziazioni di pagamento elettronico e alcune azioni di accesso all'account siano autenticate utilizzando almeno due fattori indipendenti da tre categorie:

• Conoscenza: Qualcosa che solo l'utente sa (es. password, PIN - sebbene le password statiche da sole siano spesso insufficienti).
• Possesso: Qualcosa che solo l'utente possiede (es. un dispositivo fidato, un token, un telefono che riceve un OTP).
• Inerenza: Qualcosa che l'utente è (es. dati biometrici come impronta digitale o riconoscimento facciale).

Inoltre, per le transazioni a distanza, la SCA richiede spesso il Collegamento Dinamico, il che significa che l'autenticazione deve essere specificamente collegata all'importo e al beneficiario della transazione.

Le passkey sincronizzate sono tecnicamente ben attrezzate per soddisfare i requisiti della SCA. Una singola azione di autenticazione con passkey combina intrinsecamente due fattori:

• Possesso: L'utente possiede il dispositivo che memorizza la chiave privata.
• Inerenza (o Conoscenza): L'utente sblocca quel dispositivo utilizzando la biometria (Inerenza) o un PIN/password del dispositivo (Conoscenza) per autorizzare l'uso della passkey.

Tuttavia, non esistono linee guida ufficiali da parte dei regolatori su come la natura sincronizzata delle passkey sincronizzate si concili con il fattore di possesso. Pertanto, molte organizzazioni di servizi finanziari europee si astengono (per ora) dall'implementare le passkey a causa di questa incertezza.

Si prega di consultare anche i nostri altri post del blog su PSD2 e passkey per una lettura dettagliata:

• Device-Bound vs. Synced Passkeys
• Analysis of PSD2 & SCA Requirements
• What SCA Requirements Mean for Passkeys
• PSD3 / PSR Implications for Passkeys

L'implementazione di PayPal in Europa sembra essere adattata per rientrare nella loro infrastruttura di conformità SCA esistente. A differenza del potenziale accesso con passkey in un unico passaggio negli Stati Uniti, gli utenti europei possono talvolta sperimentare un processo a più passaggi per l'accesso o azioni sensibili:

1. Autenticazione con Passkey: Questo sostituisce l'inserimento della password e soddisfa due fattori (Possesso + Inerenza / Conoscenza).
2. Verifica aggiuntiva (se attivata): A seconda della valutazione del rischio o di nuovi dispositivi, dell'importo della transazione o di altri trigger SCA, PayPal potrebbe comunque richiedere un passaggio di verifica aggiuntivo, come:

• Inserire un OTP inviato via SMS.
• Approvare una notifica push tramite l'app mobile di PayPal.

Ciò significa che in alcuni scenari europei, la passkey funge da parte del processo di autenticazione, ma potrebbe non eliminare sempre la necessità di un fattore distinto successivo per conformarsi pienamente a come la SCA viene interpretata e applicata per casi d'uso specifici. Ciò contrasta con l'esperienza ideale senza attriti in cui la passkey è l'intera autenticazione.

PayPal utilizza l'archiviazione locale o i cookie per ricordare i dispositivi fidati su cui è stata utilizzata una passkey sincronizzata, il che riduce la frequenza di questi controlli SCA aggiuntivi nelle interazioni successive, ma gli accessi iniziali o ad alto rischio richiedono spesso la prova di possesso extra.

PayPal riconosce il potenziale attrito che questo approccio a più livelli introduce in Europa rispetto ad altre regioni. Di conseguenza, sta sostenendo attivamente un'evoluzione delle regole SCA. All'inizio del 2025, PayPal ha raccomandato pubblicamente che le normative SCA dovrebbero incoraggiare metodi di autenticazione che possono essere eseguiti interamente su un singolo dispositivo (come le passkey sfruttate tramite l'autenticatore integrato di un dispositivo), senza imporre l'interazione con un dispositivo separato (come la ricezione di un OTP via SMS). PayPal chiama questo outcome-based strong customer authentication.

Questo sostegno segnala l'obiettivo strategico di PayPal di armonizzare l'esperienza utente a livello globale e raggiungere il pieno potenziale di riduzione dell'attrito delle passkey all'interno del quadro normativo europeo.

È importante distinguere le passkey di PayPal dall'autenticazione biometrica puramente locale all'interno dell'app nativa di PayPal per iOS / Android. Sebbene le passkey spesso si basino sull'autenticazione biometrica (come Face ID o Touch ID sui dispositivi Apple, o scansione dell'impronta digitale / del volto su Android) per autorizzare l'uso della chiave privata memorizzata in modo sicuro sul dispositivo, la passkey stessa è più di una semplice scansione biometrica.

• Autenticazione biometrica locale: Questo metodo autentica l'utente sul dispositivo o sull'app locale utilizzando la biometria. Tuttavia, questo da solo non verifica crittograficamente l'identità dell'utente a un servizio online come PayPal in modo resistente al phishing. Prova solo che la persona che usa il dispositivo è il proprietario legittimo.
• Passkey PayPal: Le passkey utilizzano la crittografia a chiave pubblica. La scansione biometrica (o il PIN del dispositivo) sblocca la secure enclave sul dispositivo per accedere alla chiave privata. Questa chiave privata viene quindi utilizzata per firmare una sfida dal server di PayPal, dimostrando il possesso della coppia di chiavi. Questo processo crittografico è resistente al phishing e verifica l'identità dell'utente verso PayPal.

Pertanto, sebbene la biometria sia spesso il trigger intuitivo per un accesso con passkey, la tecnologia sottostante della passkey fornisce l'autenticazione online forte e resistente al phishing, a differenza della sola autenticazione biometrica locale.

Consulta anche il nostro post del blog su passkey vs. biometria locale per maggiori dettagli.

L'autenticazione con passkey di PayPal non si limita agli accessi diretti all'account PayPal. Può essere utilizzata anche tramite l'SDK del fornitore di pagamenti di PayPal nei flussi di checkout di terze parti su siti web e app di esercenti. Ciò consente agli esercenti che sfruttano PayPal per l'elaborazione dei pagamenti di offrire ai propri clienti un'esperienza di autenticazione fluida, sicura e senza password direttamente all'interno dei loro flussi di checkout. L'utilizzo delle passkey tramite l'SDK di PayPal semplifica notevolmente il processo di pagamento, riduce l'attrito e migliora la sicurezza mitigando i rischi di phishing e gli attacchi di credential stuffing. Per una guida completa e dettagli tecnici sull'implementazione delle passkey in contesti di terze parti, si prega di fare riferimento al nostro articolo dedicato all'integrazione di SDK di terze parti con le passkey.

L'implementazione tecnica di PayPal si concentra fortemente sullo sfruttamento delle moderne funzionalità delle passkey per semplificare l'esperienza utente, principalmente attraverso la Conditional UI e pulsanti passkey dedicati.

• Conditional UI / Accesso One-Tap: Come discusso, PayPal abilita la Conditional UI sulla sua pagina di accesso. Quando un utente si concentra sul campo di immissione del nome utente, il browser/sistema operativo offre automaticamente la passkey come opzione di compilazione automatica, presentando l'email dell'utente collegata alla passkey. PayPal utilizza anche un pulsante dedicato "Accedi con passkey", particolarmente visibile quando nessun nome utente è precompilato o negli accessi successivi. Ciò consente un accesso a PayPal senza digitare prima alcun identificatore.
• Nessun flusso Identifier-First tradizionale su Android: Su Android, il flusso di PayPal sembra progettato attorno alla passkey come metodo principale se ne esiste una. Non c'è un flusso identifier-first prominente ed esplicito in cui un utente digita la propria email e poi il sistema controlla la presenza di una passkey e potenzialmente torna a una password se non ne viene trovata nessuna. Sebbene questo design aiuti a prevenire l'account enumeration (attaccanti che indovinano indirizzi email validi), potrebbe essere meno intuitivo per gli utenti che forniscono il loro identificatore e poi devono scegliere un metodo di accesso (o nel caso di PayPal non possono usare le passkey ma solo una password). Per iOS, il flusso identifier-first con avvio automatico dell'accesso con passkey è stato implementato correttamente.
• Implementazione nell'app nativa: Nelle app native di PayPal, l'esperienza con le passkey è ancora più integrata. La Conditional UI viene spesso attivata automaticamente quando l'app si apre o naviga alla schermata di accesso, presentando immediatamente l'email dell'utente associata alla passkey e richiedendo l'autenticazione biometrica o il PIN.
• Memorizzazione del dispositivo e SCA successiva: PayPal implementa una logica per "ricordare" un dispositivo fidato dopo un accesso con passkey riuscito, in particolare in Europa per gestire la conformità SCA. Ciò si basa sull'archiviazione locale (cookie o archiviazione dell'app). Se l'utente cancella l'archiviazione o rinuncia esplicitamente alla funzione "ricorda questo dispositivo", gli accessi successivi con passkey su quel dispositivo potrebbero attivare passaggi SCA aggiuntivi.

PayPal ha pubblicato una FAQ completa che fornisce una spiegazione dettagliata delle passkey e guida gli utenti attraverso il processo di configurazione. Ciò riflette il loro riconoscimento della necessità di educare gli utenti sulla tecnologia e la funzionalità dietro le passkey, poiché non tutti potrebbero ancora averne familiarità.

Per registrare nuove passkey per il tuo account PayPal, segui questi passaggi:

1. Fai clic sull'icona delle impostazioni (browser web) o sull'icona del profilo (app) nell'angolo in alto a destra
2. Fai clic su Sicurezza (browser web) o Accesso e sicurezza (app)

3. Fai clic su Passkey

4. Fai clic sul pulsante Crea una passkey

Spiegazione della creazione della passkey di agosto 2023

Nel tempo, PayPal ha migliorato i suoi messaggi e il testo per l'utente durante la creazione di una passkey come segue

Spiegazione della creazione della passkey di aprile 2025

Nota che abbiamo eseguito i casi d'uso solo con dispositivi pronti per le passkey (ad es. nessun iPhone precedente a iOS 16.0, nessun MacBook precedente a macOS Ventura, nessun dispositivo Windows precedente a Windows 10). Utilizziamo lo stesso account PayPal per ogni caso d'uso.

Per configurare inizialmente la prima passkey per il nostro account PayPal, facciamo clic su 'Crea una passkey' come mostrato in precedenza nella sezione 3.

È da notare che a questo punto l'utente viene nuovamente informato su cosa siano le passkey. Ciò dimostra che PayPal vuole educare gli utenti che non conoscono ancora le passkey.

Dopo aver fatto clic su 'Crea una passkey', PayPal richiede la conferma della nostra identità tramite l'autenticazione a due fattori.

Agosto 2023

Aprile 2025

Una volta verificato con successo, è possibile creare una passkey e appare il pop-up predefinito di Apple per le passkey che ci chiede di usare Face ID.

Una volta registrata con successo, riceviamo una notifica che conferma la generazione riuscita della passkey.

Nelle impostazioni 'Accesso e sicurezza', possiamo ora visualizzare i dettagli sulla passkey o persino rimuoverla di nuovo. Le proprietà includono informazioni sul dispositivo su cui è stata creata la passkey e se è stata sincronizzata, insieme a una data e ora di creazione.

Se si desidera eliminare una passkey, PayPal offre un'ottima guida agli utenti spiegando che le passkey devono essere eliminate localmente e lato server.

Quando si utilizza la stessa combinazione browser-sistema operativo per cui è già stata memorizzata una passkey, PayPal lo rileva e non visualizza l'opzione 'Crea una passkey'. Solo dopo che la passkey è stata nuovamente rimossa dal dispositivo, è possibile installarne una nuova.

Se vogliamo accedere all'app PayPal per iOS, utilizziamo la passkey precedentemente creata su questo dispositivo. Non appena apriamo l'app, appare il pop-up predefinito di Apple per le passkey che ci chiede di usare Face ID per accedere. Se il campo del nome utente è vuoto, la finestra della passkey non apparirà immediatamente, ma grazie alla Conditional UI abilitata, la passkey memorizzata verrà automaticamente suggerita e precompilata non appena facciamo clic sul campo.

Dopo aver verificato la nostra identità con Face ID, la passkey viene recuperata con successo, garantendoci l'accesso al nostro account.

Ad agosto 2023, non era ancora possibile creare una passkey su un MacBook (questo è stato risolto ad aprile 2025). Tuttavia, potevamo accedere con una sincronizzata su Apple Keychain. In questo caso d'uso, abbiamo recuperato la passkey che abbiamo registrato sul nostro iPhone nel caso d'uso 1.

Non appena entriamo nella pagina di PayPal nel browser, ci viene presentato il familiare pop-up di Safari per le passkey. Qui, abbiamo selezionato 'Dispositivo iPhone, iPad o Android', che include l'iPhone nel portachiavi che contiene la passkey del caso d'uso 1.

Scansioniamo il codice QR con il dispositivo su cui è memorizzata la nostra passkey (in questo caso dal caso d'uso 1).

Dopo aver effettuato l'accesso con la passkey sull'iPhone, dobbiamo ancora confermare la nostra identità con 2FA quando la usiamo per la prima volta anche per il nostro MacBook, prima di poter accedere al nostro account PayPal.

In questo caso d'uso, generiamo una passkey su un dispositivo Android utilizzando l'app PayPal e la memorizziamo in Google Password Manager. Il processo per generare la passkey per l'app PayPal di Android è lo stesso di quello per l'app PayPal di iOS per iPhone, con l'unica differenza che creiamo la passkey su Android utilizzando le capacità biometriche touch di Android invece di Face ID e che in questo passaggio è possibile specificare l'account Google in cui verrà memorizzata la chiave master creata. Una volta che la nostra impronta digitale è stata registrata con successo, riceviamo una notifica che conferma la generazione riuscita della passkey. La passkey viene ora visualizzata nella sezione Passkey nelle impostazioni di accesso e sicurezza.

A differenza dell'iPhone, il telefono Android non riconosce che esiste già una passkey sul dispositivo e continua a visualizzare l'opzione 'Crea una passkey'. Se gli utenti vogliono quindi impostare una passkey, PayPal lo rileva e impedisce la creazione di una nuova e la sovrascrittura di una passkey esistente.

Inoltre, ad agosto 2023, il telefono non riconosceva se esisteva già una passkey per un altro telefono Android memorizzata in Google Password Manager e permetteva la creazione di una seconda passkey. Questo è stato risolto entro aprile 2025.

Se vogliamo accedere all'app PayPal per Android, utilizziamo la passkey precedentemente creata su questo dispositivo. Non appena apriamo l'app, appare il pop-up predefinito di Android per le passkey che ci chiede di usare il Touch ID per accedere. Se il campo del nome utente è vuoto, la finestra della passkey non apparirà immediatamente, ma grazie alla Conditional UI abilitata, la passkey memorizzata verrà automaticamente suggerita e precompilata non appena facciamo clic sul campo.

Android e Chrome

App nativa iOS

iOS e Safari quando si inizia a digitare il nome utente

iOS e Safari al caricamento della pagina

Dopo aver verificato la nostra identità con Face ID, la passkey viene recuperata con successo, garantendoci l'accesso al nostro account.

PayPal si è affermata come un chiaro pioniere nell'adozione delle passkey nei settori dei servizi finanziari e dei pagamenti. Il loro lancio anticipato, l'implementazione globale graduale e l'impegno verso le funzionalità principali delle passkey come la Conditional UI e l'offerta di un'esperienza di accesso con passkey one-tap dimostrano un approccio lungimirante per migliorare sia la sicurezza che l'esperienza utente.

Posizionando strategicamente le passkey come sostituto delle password, PayPal affronta direttamente minacce prevalenti come il phishing e il credential stuffing, portando a benefici tangibili come la riduzione delle frodi e l'aumento dei tassi di successo degli accessi. Il processo di accesso a PayPal semplificato, che spesso comporta solo una rapida scansione biometrica, offre un significativo miglioramento dell'usabilità rispetto ai tradizionali flussi con password e OTP.

Mentre l'integrazione delle passkey in Europa richiede di affrontare le complessità della PSD2 e della SCA, risultando talvolta in flussi di autenticazione a più passaggi che differiscono dall'esperienza ideale con le passkey, il sostegno attivo di PayPal per l'evoluzione normativa evidenzia il loro impegno a raggiungere un'esperienza globale più armonizzata e senza attriti. La loro implementazione tecnica, incentrata sulla Conditional UI e sull'integrazione con le app native, mostra le migliori pratiche per l'implementazione delle passkey.

Il percorso di PayPal con le passkey fornisce un modello convincente per altre banche, fornitori di servizi di pagamento e istituzioni finanziarie. Dimostra che l'adozione di questo moderno standard di autenticazione non solo è fattibile in un ambiente altamente regolamentato, ma offre anche significativi vantaggi in termini di sicurezza, business ed esperienza utente. Mentre PayPal continua ad accelerare la sua implementazione globale delle passkey nel 2025 e oltre, apre la strada a un futuro più sicuro e senza password per i pagamenti online. Speriamo che molti altri seguano il loro esempio. Non esitate a contattarci per domande sulle passkey relative ai pagamenti.

Cosa sono le Passkey PayPal?

Le passkey di PayPal sono un modo moderno e sicuro per accedere al tuo account PayPal senza bisogno di una password. Utilizzano la crittografia e sono memorizzate in modo sicuro sul tuo dispositivo (come smartphone o computer) o in un gestore di passkey sincronizzate nel cloud (come iCloud Keychain o Google Password Manager).

Come migliorano la sicurezza le Passkey PayPal?

Le passkey di PayPal sono resistenti al phishing perché sono legate al sito web specifico di PayPal e non possono essere ingannate per funzionare su siti falsi. Proteggono anche dal credential stuffing e dalle violazioni dei dati, poiché la tua chiave privata non lascia mai il tuo dispositivo. Ciò fornisce una sicurezza più forte rispetto alle password tradizionali e può sostituire metodi meno sicuri come gli OTP via SMS, agendo come una forma robusta di 2FA.

Come si imposta una Passkey PayPal?

Puoi impostare una passkey dalla sezione "Accesso e sicurezza" nelle impostazioni del tuo account PayPal sul sito web di PayPal o nell'app mobile nativa. Il processo prevede la verifica della tua identità e quindi l'utilizzo del metodo di sblocco dello schermo del tuo dispositivo (come impronta digitale o scansione del volto, o PIN del dispositivo) per creare e salvare la passkey.

Posso usare le Passkey PayPal su più dispositivi?

Sì, se utilizzi un gestore di passkey che si sincronizza tra i dispositivi (come iCloud Keychain per i dispositivi Apple o Google Password Manager per Android e Chrome), la tua passkey PayPal può essere utilizzata per un accesso PayPal fluido su tutti i tuoi dispositivi sincronizzati. In alcuni casi, potresti dover approvare l'accesso su un altro dispositivo vicino.

Le Passkey PayPal sostituiscono completamente le password?

Per gli utenti che hanno impostato una passkey, questa fornisce un accesso a PayPal senza password. Attualmente, le passkey sono principalmente per l'accesso a conti esistenti e non è possibile registrarsi per un nuovo account PayPal senza impostare inizialmente una password. Tuttavia, l'obiettivo strategico è muoversi verso un futuro senza password in cui le passkey siano il metodo di autenticazione principale.

Le Passkey PayPal sono un tipo di 2FA?

Le passkey forniscono intrinsecamente un'autenticazione a più fattori (qualcosa che hai - il dispositivo con la chiave, e qualcosa che sei - la biometria, o qualcosa che sai - il PIN del dispositivo). Quando utilizzate per l'accesso a PayPal, sostituiscono la password e fungono da metodo di autenticazione molto forte che può soddisfare i requisiti 2FA. In Europa, a causa delle regole SCA, potrebbe talvolta essere richiesto un passaggio aggiuntivo anche dopo aver utilizzato una passkey.

Posso usare una chiave di sicurezza fisica come Passkey PayPal?

Sì, lo standard delle passkey supporta l'uso di chiavi di sicurezza FIDO2 (come le YubiKey) per memorizzare le passkey. Sebbene meno comune per l'utente medio rispetto alle passkey sincronizzate nel cloud, questo è un metodo supportato per coloro che preferiscono una passkey basata su hardware.

Le Passkey PayPal sono disponibili nel mio paese?

PayPal ha iniziato a implementare le passkey negli Stati Uniti alla fine del 2022 e da allora le ha gradualmente estese ad altri paesi, inclusi i principali mercati europei come Germania e Regno Unito dalla metà del 2023. PayPal sta accelerando l'implementazione globale nel 2025. Controlla le impostazioni del tuo account o il centro assistenza di PayPal per la disponibilità più recente nella tua regione.

Cosa devo fare se la mia passkey PayPal non funziona?

Se la tua passkey PayPal non funziona, verifica prima la compatibilità del tuo dispositivo e del browser (Chrome, Safari, Edge, Firefox con gli ultimi aggiornamenti). Prova a rimuovere e aggiungere nuovamente la tua passkey tramite le impostazioni del tuo account. Anche svuotare la cache o riavviare il browser/dispositivo può risolvere problemi comuni.

Le passkey di PayPal sono disponibili in Australia?

Sì, PayPal ha gradualmente esteso la disponibilità delle passkey all'Australia dall'inizio del 2024. Gli utenti australiani possono abilitare le passkey tramite la sezione "Accesso e sicurezza" nelle impostazioni del loro account PayPal. Assicurati che il tuo dispositivo supporti le passkey (iOS 16+, Android 9+, macOS Ventura, Windows 10+) per la migliore esperienza.

Quali browser supportano le passkey di PayPal?

Le passkey di PayPal sono ampiamente supportate sui browser moderni, inclusi Chrome, Safari, Edge e Firefox. Assicurati che il tuo browser sia aggiornato all'ultima versione per una compatibilità e sicurezza ottimali.

Come abilito l'accesso con passkey per PayPal?

Per abilitare le passkey di PayPal, accedi al tuo account, vai su "Accesso e sicurezza", seleziona "Passkey" e segui le istruzioni per creare e registrare la tua passkey utilizzando l'autenticazione biometrica integrata o il PIN del tuo dispositivo.

Posso usare le passkey di PayPal con Firefox?

Sì, le passkey di PayPal sono supportate in Firefox. Assicurati che il tuo browser Firefox sia aggiornato all'ultima versione. Puoi creare e gestire le passkey tramite le impostazioni del tuo account PayPal, utilizzando il supporto nativo per le passkey di Firefox.

Come funziona l'accesso con codice QR della passkey di PayPal?

Quando accedi a PayPal da un dispositivo senza una passkey memorizzata, puoi scansionare un codice QR visualizzato sullo schermo utilizzando un dispositivo che ha la tua passkey. Il codice QR attiva l'autenticazione sul tuo dispositivo principale, accedendo in modo sicuro senza inserire password.

La passkey di PayPal è disponibile nel Regno Unito?

Sì, le passkey di PayPal sono disponibili nel Regno Unito dalla metà del 2023. Gli utenti del Regno Unito possono impostare le passkey tramite le impostazioni del loro account PayPal e godere di accessi sicuri e senza password su tutti i dispositivi supportati.

Posso usare YubiKey per le passkey in PayPal?

Sì, PayPal supporta le chiavi di sicurezza hardware come YubiKey per l'autenticazione con passkey. Puoi registrare la tua YubiKey tramite la configurazione delle passkey di PayPal in "Accesso e sicurezza", fornendo una sicurezza robusta e basata su hardware per il tuo account.

Perché devo fornire un codice 2FA dopo aver usato le passkey?

In alcune regioni come l'Europa, i requisiti normativi della PSD2/SCA possono richiedere un passaggio di verifica aggiuntivo anche dopo un'autenticazione con passkey riuscita. Questo passaggio 2FA aggiuntivo garantisce la conformità e migliora la sicurezza dell'account, specialmente per accessi da dispositivi nuovi o ad alto rischio.