---
url: 'https://www.corbado.com/it/blog/passkey-biometria-locale'
title: 'App native: passkey e biometria locale a confronto'
description: 'Scopri i vantaggi dell''utilizzo delle passkey insieme alla biometria locale per una sicurezza ottimale delle app e un accesso utente senza attriti.'
lang: 'it'
author: 'Vincent Delitz'
date: '2025-06-17T14:39:42.108Z'
lastModified: '2026-03-25T10:05:40.206Z'
keywords: 'biometria locale, biometria del dispositivo'
category: 'Passkeys Strategy'
---
# App native: passkey e biometria locale a confronto
## 1. Introduzione
Dopo che la [biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking) sui
telefoni cellulari è diventata di uso comune, molte app native hanno iniziato a utilizzare
funzionalità come [Face ID](https://www.corbado.com/faq/is-face-id-passkey) o Touch ID (o l'equivalente su
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)) per proteggere l'accesso all'app. Questa
protezione biometrica locale migliora significativamente la comodità dell'utente,
consentendo un accesso rapido e senza attriti. A prima vista, le passkey e la
[biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking) locale potrebbero
sembrare ridondanti perché entrambe prevedono la verifica dell'utente. Ma servono a scopi
fondamentalmente diversi. Questo articolo esplorerà:
- **Passkey vs. Biometria locale:** In che modo la
[biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking) locale e le
passkey differiscono nei loro ruoli e funzionalità?
- **Aggiungere le passkey alle app con biometria locale:** Ha senso aggiungere le passkey
alle app che utilizzano già la biometria? Quali sono i vantaggi?
Alla fine, avremo una migliore comprensione di quando e come sfruttare queste soluzioni
insieme per creare un'esperienza app più sicura, user-friendly e fluida. Delineeremo anche
scenari pratici in cui la combinazione di passkey e biometria locale può migliorare sia la
[sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) che la comodità, garantendo che
gli sviluppatori possano prendere decisioni informate per soddisfare efficacemente le
esigenze degli utenti.
## 2. In che modo la biometria locale protegge le app?
I metodi di
[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless)
biometrica locale, come [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID di Apple o le
funzionalità biometriche di [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), sfruttano
tratti fisici unici (ad esempio, caratteristiche facciali o impronte digitali) per
verificare l'identità di un utente. A differenza dei tradizionali PIN o password, che si
basano su qualcosa che l'utente conosce, la biometria si basa su qualcosa di intrinseco
all'utente. Questo cambiamento elimina la necessità di digitare ripetutamente un codice,
riducendo significativamente l'attrito e rendendo l'accesso quotidiano alle app rapido e
sicuro.
### 2.1 Storia della sicurezza delle app: dai PIN e password alla biometria
Prima che la biometria guadagnasse popolarità sui telefoni cellulari, le app che miravano
a salvaguardare contenuti sensibili spesso chiedevano agli utenti di inserire un PIN o una
password aggiuntivi ogni volta che venivano avviate. Sebbene questo approccio aumentasse
la [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android), introduceva anche un ulteriore
inconveniente, specialmente quando l'utente era già stato autenticato all'inizio della sua
sessione. L'arrivo delle tecnologie di riconoscimento facciale e di scansione delle
impronte digitali basate sul dispositivo ha semplificato questo processo. Invece di
digitare ripetutamente un codice, un utente poteva ora sbloccare l'app con una rapida
scansione del viso o un breve tocco. Se, per qualsiasi motivo, il controllo biometrico
fallisce o l'utente preferisce non abilitarlo, rimane disponibile un PIN, un passcode o
una password di riserva. Questo design garantisce sia la comodità che l'accessibilità
senza compromettere la [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android).
### 2.2 Verifica locale vs. Autenticazione remota
È fondamentale distinguere i controlli biometrici locali dagli eventi di
[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) remota
completa.
L'[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) remota
avviene all'inizio di una nuova sessione, verificando l'identità dell'utente rispetto ai
sistemi di backend del servizio utilizzando credenziali come password o passkey. Questo
passaggio stabilisce la fiducia tra l'utente e il servizio.
La biometria locale, al contrario, si concentra sulla riverifica dell'identità durante una
sessione autenticata in corso. Invece di chiedere all'utente di reinserire password o
altre credenziali quando lascia brevemente l'app o blocca il telefono, la biometria locale
conferma che lo stesso utente autorizzato ha ancora il controllo del dispositivo. Questa
verifica incentrata sul dispositivo non richiede una connessione a Internet o
un'interazione con server remoti, rendendola veloce, affidabile e fluida nell'uso
quotidiano.
### 2.3 Moduli di sicurezza hardware e non trasferibilità
I dati biometrici sono archiviati ed elaborati in modo sicuro all'interno di moduli di
sicurezza hardware dedicati, come il [Secure Enclave](https://www.corbado.com/glossary/secure-enclave) su
[iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) o il Trusted Execution Environment (TEE) su
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android). Questi moduli fidati sono progettati per
mantenere i dati biometrici sensibili al sicuro da manomissioni, estrazioni o
trasferimenti.
Grazie a questo ancoraggio a livello hardware, la verifica biometrica non può essere
facilmente condivisa tra dispositivi o servizi. I modelli biometrici di ciascun
dispositivo rimangono unici per quella particolare unità, garantendo che se un utente
passa a un nuovo telefono, deve registrare nuovamente la propria biometria da zero.
Sebbene ciò aggiunga un piccolo passaggio di onboarding quando si cambia dispositivo,
protegge da accessi non autorizzati e previene attacchi remoti che potrebbero sfruttare
dati biometrici archiviati centralmente. Inoltre, la biometria locale funziona senza
richiedere una connessione a Internet, rendendola affidabile anche quando il dispositivo è
offline.
### 2.4 Riepilogo: Biometria locale
La biometria locale semplifica la sicurezza verificando che la persona che sta attualmente
utilizzando il dispositivo sia effettivamente l'utente legittimo e già autenticato, senza
richiedere l'inserimento ripetuto di PIN o password personalizzati nel caso in cui l'app
abbia funzionalità importanti come servizi bancari, assicurativi o altri dettagli
personali.
Mantengono la comodità funzionando in modo fluido e istantaneo sul dispositivo, operano
offline e si affidano a enclave hardware sicure per proteggere i dati biometrici
sensibili. Sebbene non possano sostituire la necessità di un'autenticazione remota
iniziale (come una passkey o una password) per stabilire l'identità dell'utente in primo
luogo, sono molto efficaci nel gestire e proteggere le sessioni successive e in corso.
Le loro limitazioni, come la mancanza di portabilità e la necessità di una nuova
registrazione su nuovi dispositivi, sono compromessi fatti in nome di una maggiore
comodità e di una stretta sicurezza a livello di dispositivo. In definitiva, la biometria
locale funge da metodo potente e user-friendly per garantire la fiducia continua in una
sessione dell'app una volta che tale fiducia è stata inizialmente stabilita.
## 3. In che modo le passkey proteggono le app?
Le passkey cambiano la natura dell'autenticazione sostituendo i segreti condivisi come le
password con credenziali crittografiche asimmetriche. A differenza della biometria locale,
che verifica solo localmente un utente già autenticato, le passkey fungono da metodo
primario per identificare gli utenti presso un servizio remoto. Ciò garantisce
un'esperienza di login sicura e resistente al [phishing](https://www.corbado.com/glossary/phishing) anche in uno
scenario in cui l'utente e il dispositivo sono inizialmente sconosciuti al backend
dell'applicazione.
### 3.1 Dalle password alle passkey: un salto di qualità nella sicurezza
Prima delle passkey, l'approccio comune per stabilire la fiducia con un servizio remoto
prevedeva le password, segreti condivisi noti sia all'utente che al server. Sebbene le
password siano semplici da implementare, sono vulnerabili a minacce come
[phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) e
riutilizzo delle password.
Le passkey affrontano queste sfide utilizzando una coppia di chiavi crittografiche: una
chiave privata archiviata in modo sicuro sul dispositivo dell'utente e una corrispondente
chiave pubblica registrata presso il servizio. Quando si verifica un tentativo di login,
il servizio invia una challenge che può essere risolta solo dalla chiave privata
dell'utente. Ciò garantisce che anche se gli aggressori intercettano i dati o cercano di
ingannare gli utenti per rivelare le credenziali, non possono ottenere un accesso non
autorizzato.
### 3.2 Crittografia a chiave pubblica e resistenza al phishing
Le passkey utilizzano la
[crittografia asimmetrica](https://www.corbado.com/it/blog/webauthn-pubkeycredparams-credentialpublickey):
- **Chiave privata (lato client):** Archiviata in modo sicuro all'interno del secure
enclave del dispositivo, inaccessibile ad altre app o persino al sistema operativo
stesso.
- **Chiave pubblica (lato server):** Registrata con il backend dell'applicazione, ma
inutile da sola senza la chiave privata. Poiché l'utente non invia mai la chiave privata
attraverso la rete e non ha mai un "segreto condiviso" da digitare, i tentativi di
[phishing](https://www.corbado.com/glossary/phishing) sono in gran parte resi inefficaci. Gli aggressori non
possono ingannare gli utenti a digitare qualcosa che non conoscono e intercettare la
chiave pubblica non offre alcun vantaggio. Questa architettura, supportata da standard
come [FIDO2](https://www.corbado.com/glossary/fido2) e WebAuthn, garantisce che l'intero flusso di
autenticazione si basi su operazioni crittografiche dimostrabili piuttosto che su
credenziali inserite dall'utente.
Questo è particolarmente importante per i sistemi in cui, oltre alle app native, sono in
uso anche siti web dove il phishing è un grosso problema. Le passkey create su un
dispositivo mobile possono essere utilizzate tramite
l'[autenticazione cross-device](https://www.corbado.com/it/blog/webauthn-trasporti-interno-ibrido) anche su siti
web su un computer desktop.
### 3.3 Portabilità cross-device, sincronizzazione cloud ed esperienze fluide
Uno dei principali vantaggi delle passkey è la loro portabilità fluida tra i dispositivi
di un utente. I moderni sistemi operativi possono sincronizzare le passkey tramite un
archivio cloud sicuro (ad es.
[Portachiavi iCloud](https://www.corbado.com/it/faq/passkey-trasferimento-nuovo-iphone),
[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)), consentendo agli
utenti di accedere da più dispositivi senza doversi registrare nuovamente o ricordare le
password per la prima installazione dell'app. Inoltre, le passkey possono essere
utilizzate anche in scenari in cui sarebbe richiesto un secondo fattore per fornire una
protezione simile all'[autenticazione a due fattori](https://www.corbado.com/it/faq/cosa-sono-le-passkey) senza
introdurre attriti. Questa sinergia consente login rapidi e sicuri, indipendentemente dal
dispositivo scelto dall'utente, rafforzando un ecosistema in cui l'autenticazione sicura è
universalmente accessibile e facile da mantenere.
### 3.4 Riepilogo: Passkey
Le passkey rappresentano un metodo potente e resistente al phishing per autenticare utenti
sconosciuti presso servizi remoti. Sfruttando la
[crittografia asimmetrica](https://www.corbado.com/it/blog/webauthn-pubkeycredparams-credentialpublickey) e
abbandonando i segreti condivisi a favore di chiavi private residenti sul dispositivo,
eliminano molte delle debolezze che affliggevano i sistemi basati su password. Le passkey
combinano una sicurezza robusta, una portabilità globale e un'integrazione diretta con i
componenti di sicurezza hardware. Di conseguenza, fungono da solida base per stabilire
l'identità dell'utente, qualcosa che la biometria locale da sola non può fornire. Nel
contesto delle app native, le passkey sono il primo passo fondamentale per creare una
sessione sicura, dopodiché la biometria locale può essere impiegata per mantenere un
accesso utente rapido e comodo.
## 4. Analisi dettagliata: passkey e biometria locale
Quando si tratta di autenticazione nelle app native, le **passkey** e la **biometria
locale** svolgono ruoli importanti ma diversi. Sebbene entrambe migliorino l'esperienza
utente e la sicurezza, affrontano problemi fondamentalmente diversi:
- Le **passkey** autenticano utenti sconosciuti presso un servizio remoto, spesso durante
il primo login o quando si crea una nuova sessione.
- La **biometria locale**, come [Face ID](https://www.corbado.com/faq/is-face-id-passkey) o Touch ID, riverifica
localmente un utente già autenticato, garantendo continuità e comodità per le sessioni
in corso.
Comprendere queste differenze è vitale per gli sviluppatori che mirano a creare flussi di
autenticazione robusti che siano sia sicuri che user-friendly.
### 4.1 Passkey vs. Biometria locale: un confronto dettagliato
Per comprendere meglio le distinzioni e i ruoli complementari delle passkey e della
biometria locale, la tabella seguente confronta le loro caratteristiche chiave attraverso
varie dimensioni, tra cui scopo, casi d'uso, sicurezza e portabilità. Questo confronto
evidenzia come queste tecnologie affrontino problemi fondamentalmente diversi, lavorando
insieme per migliorare sia la sicurezza che la comodità dell'utente.
| Aspetto | Passkey | Biometria locale |
| ----------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Fase | Dopo l'installazione dell'app, nuovo login, timeout della sessione | L'app è installata e l'utente ha effettuato l'accesso |
| Scopo principale | Autenticare un utente sconosciuto (login iniziale) | Verificare che l'utente attualmente attivo (già autenticato) sia il legittimo proprietario del dispositivo/app |
| Protegge | Accesso all'account utente | Accesso all'app dopo il login |
| Caso d'uso | Ideale per il primo accesso o dopo una reinstallazione, per stabilire la fiducia con i servizi e per abilitare i login multipiattaforma e multi-dispositivo | Ideale per riverificare se chi utilizza il dispositivo ne è il proprietario, sbloccando rapidamente l'app senza reinserire password/passkey |
| Modello di autenticazione | Autenticazione remota: verifica l'identità rispetto a un sistema di backend | Verifica locale: controlla i dati biometrici archiviati in modo sicuro sul dispositivo, non contatta un server remoto |
| MFA | Sì + resistente al phishing | No |
| Biometria nativa | Sì (es. Face ID, Touch ID, Biometria Android) | Sì (es. Face ID, Touch ID, Biometria Android) |
| Ambito e portabilità | Utilizzo multi-dispositivo, multipiattaforma, multi-app (app native + web) grazie alla sincronizzazione sicura delle chiavi nel cloud | Specifica del dispositivo, non trasferibile: i modelli biometrici devono essere registrati nuovamente sui nuovi dispositivi
Non può essere facilmente spostata tra piattaforme |
| Archiviazione e sicurezza dei dati | Chiavi private archiviate in un secure enclave
Chiavi pubbliche archiviate lato server
Nessun segreto condiviso trasmesso
Resistente al phishing | Modelli biometrici archiviati in un'enclave hardware sicura sul dispositivo
Non lasciano mai il dispositivo
Protetti dall'hardware del dispositivo |
| Requisito di connessione a Internet | Richiede una connessione a Internet per autenticarsi con il servizio remoto e registrare le chiavi. | Nessuna connessione a Internet richiesta; la verifica è interamente locale, rendendola utile anche offline e se l'applicazione ha un caso d'uso offline |
| Backup e ripristino | Le chiavi possono essere sottoposte a backup e ripristinate tramite sincronizzazione cloud (es. Portachiavi iCloud, Google Password Manager), garantendo un facile recupero in caso di smarrimento o sostituzione di un dispositivo | Nessun meccanismo di backup integrato per la biometria; se il dispositivo si guasta, gli utenti devono registrare nuovamente i propri dati biometrici su un nuovo dispositivo |
| Integrazione con siti web e app | Può essere utilizzata sia per le app native che per i siti web. Le passkey semplificano i flussi di login autenticando gli utenti senza rivelare le credenziali, migliorando la sicurezza su tutta la linea | Limitata al dispositivo e all'app installata localmente. |
| Implementazione per sviluppatori | Integrazione tramite standard web (WebAuthn, FIDO2) e API di piattaforma native
Il backend deve gestire le chiavi pubbliche e le challenge. | Sfruttare gli SDK di piattaforma (iOS, Android) per le richieste biometriche
Nessuna gestione speciale del backend richiesta. |
| Esperienza utente | Dopo la configurazione iniziale, gli utenti possono accedere rapidamente senza ricordare email o password, anche su nuovi dispositivi
Onboarding semplificato con attrito ridotto | Fornisce un riaccesso istantaneo e senza password alle app una volta che l'utente si è già autenticato. |
### 4.2 Come le passkey e la biometria locale si completano a vicenda
Sebbene la tabella evidenzi le differenze principali, è importante riconoscere che le
passkey e la biometria locale non sono tecnologie in competizione, ma complementari.
Insieme, forniscono un'esperienza di autenticazione a più livelli:
1. **Passkey per l'autenticazione iniziale, il nuovo login e la MFA** Le passkey sono
importanti per stabilire la fiducia tra un utente e un servizio remoto. Forniscono
un'autenticazione resistente al phishing, multipiattaforma e multi-dispositivo
utilizzando la
[crittografia asimmetrica](https://www.corbado.com/it/blog/webauthn-pubkeycredparams-credentialpublickey). Ciò
garantisce che anche se gli aggressori intercettano i dati, non possono accedere agli
account utente. Con una sincronizzazione cloud fluida (ad es.
[Portachiavi iCloud](https://www.corbado.com/it/faq/passkey-trasferimento-nuovo-iphone) o
[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)), le passkey
consentono agli utenti di accedere senza sforzo su più dispositivi, rendendole ideali
per i primi accessi, le reinstallazioni o gli scenari di autenticazione a più fattori
(MFA). Fungono anche da ponte tra app mobili e siti web, offrendo un'esperienza
coerente e sicura in tutto l'ecosistema. Per le app che richiedono una sicurezza
elevata, le passkey possono sostituire i metodi tradizionali del secondo fattore con
una soluzione [MFA](https://www.corbado.com/it/blog/psd2-passkey) autonoma.
2. **Biometria locale per la verifica continua:** Una volta autenticata, la biometria
locale offre un accesso rapido, sicuro e senza attriti alle app, verificando che lo
stesso utente autorizzato stia utilizzando il dispositivo. A differenza delle passkey,
i controlli biometrici locali sono incentrati sul dispositivo e offline, basandosi su
enclave hardware sicure per archiviare ed elaborare i dati. Ciò garantisce che le
informazioni sensibili non lascino mai il dispositivo, aggiungendo un livello di
sicurezza senza richiedere un input costante da parte dell'utente. Riducendo la
necessità di reinserire le credenziali, la biometria locale migliora l'esperienza
dell'utente, in particolare per le app che gestiscono informazioni sensibili come
quelle bancarie o sanitarie. Proteggono le sessioni in corso verificando chi detiene il
dispositivo, garantendo la comodità senza compromettere la sicurezza.
Combinando passkey e biometria locale, gli sviluppatori possono offrire un flusso di
autenticazione sicuro, fluido e user-friendly.
### 4.3 Perché combinare entrambe è una mossa intelligente
Combinando passkey e biometria locale, gli sviluppatori possono creare un flusso di
autenticazione robusto che:
- **Migliora la sicurezza:** Le passkey proteggono da phishing,
[credential stuffing](https://www.corbado.com/glossary/credential-stuffing) e furto di password, mentre la
biometria locale previene l'accesso non autorizzato alle sessioni autenticate.
- **Migliora l'esperienza utente:** La biometria locale elimina la necessità di inserire
ripetutamente password o passkey, creando un'esperienza senza attriti dopo
l'autenticazione iniziale. In caso sia necessaria una nuova autenticazione a causa di
timeout o disconnessioni, la riautenticazione è facile come sbloccare l'app.
- **Semplifica l'accesso multi-dispositivo:** Le passkey consentono l'autenticazione
multipiattaforma, mentre la biometria locale fornisce una comoda sicurezza a livello di
dispositivo. Se le passkey sono utilizzate sul web, aggiungerle
all'[app nativa](https://www.corbado.com/it/blog/app-native-passkey) è un passo aggiuntivo importante per
colmare il divario e offrire un'esperienza passkey completa per l'utente.
Questa sinergia garantisce che le app possano fornire sia un'**autenticazione forte** che
una **comodità fluida**, una combinazione vincente per le aspettative degli utenti
moderni.
## 5. Casi di studio ed esempi reali
Per comprendere meglio come funzionano gli esempi e le combinazioni reali, esamineremo due
diverse implementazioni: una che sfrutta solo le passkey e un'altra che utilizza un
approccio combinato.
### 5.1 Integrazione delle passkey per l'autenticazione: Kayak
L'app di [Kayak](https://www.corbado.com/blog/kayak-passkeys) dimostra un'implementazione delle passkey per
l'autenticazione dell'utente. Le passkey sono integrate in modo fluido nel processo di
login, offrendo agli utenti la possibilità di autenticarsi senza dover ricordare il
proprio indirizzo email o la password. Come mostrato nella schermata di autenticazione,
gli utenti possono selezionare direttamente una passkey per accedere. Questo approccio
semplifica notevolmente l'esperienza utente riducendo il carico cognitivo ed eliminando
l'attrito legato alle password.
Una volta autenticato tramite una passkey, l'utente ottiene un accesso illimitato all'app
senza richiedere una nuova autenticazione. Questo design è particolarmente adatto per
[Kayak](https://www.corbado.com/blog/kayak-passkeys), un'app di viaggi che gestisce principalmente la cronologia
delle prenotazioni e gli itinerari, che non sono considerati dati altamente sensibili o
critici.
**Punti salienti dell'approccio di Kayak:**
- **Login con passkey nella schermata di autenticazione:** L'app offre immediatamente il
[login con passkey](https://www.corbado.com/it/blog/migliori-pratiche-adozione-passkey-login), riducendo i
passaggi e migliorando la comodità dell'utente.
- **Nessuna protezione biometrica locale post-login:** Dato che l'app non gestisce dati
personali sensibili, [Kayak](https://www.corbado.com/blog/kayak-passkeys) ha scelto di non implementare
protezioni biometriche locali, come Face ID o blocco con impronta digitale, per lo stato
di login. Questa decisione è in linea con le esigenze di sicurezza dei dati dell'app,
mantenendo al contempo un'esperienza senza attriti per gli utenti.
Questa implementazione dimostra come le passkey possano semplificare il processo di
autenticazione eliminando la necessità di password, fornendo un'esperienza senza attriti
per gli utenti. Tuttavia, in scenari in cui vengono eseguite azioni più sensibili o
critiche all'interno dell'app, potrebbero essere necessari ulteriori livelli di sicurezza,
come la biometria locale. Esploriamo come GitHub sfrutta sia le passkey che la biometria
per garantire la sicurezza senza compromettere l'usabilità.
### 5.2 Utilizzo della biometria per proteggere il contenuto dell'app: GitHub
GitHub bilancia l'integrazione delle passkey per un login sicuro con la biometria locale
per proteggere il contenuto dell'app nello stato di login. Le passkey sono offerte come
opzione di login veloce e resistente al phishing, il che è particolarmente importante dati
i requisiti di autenticazione a più fattori (MFA) di GitHub. Ciò elimina la necessità per
gli utenti di gestire password o codici monouso, fornendo un'esperienza di login fluida e
sicura. Ma ai fini di questo articolo non esamineremo la loro implementazione delle
passkey.
**Livello di sicurezza aggiuntivo di GitHub con la biometria locale:** Poiché GitHub offre
anche operazioni sensibili come il merge di pull request, GitHub consente agli utenti di
abilitare la protezione biometrica locale se lo ritengono necessario. In questo esempio,
Face ID viene utilizzato per bloccare l'app su [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios),
garantendo che solo il proprietario del dispositivo possa accedere o eseguire l'app
GitHub. L'app richiede esplicitamente i privilegi necessari dal sistema operativo per
attivare la biometria e offre intervalli configurabili (ad esempio, immediato o dopo un
timeout definito).
**Punti salienti dell'approccio di GitHub:**
- **Login con passkey per la conformità MFA:** GitHub sfrutta le passkey per semplificare
i login sicuri senza compromettere gli standard di autenticazione a più fattori.
- **Blocco biometrico per la protezione dell'app:** Utilizzando la biometria locale come
Face ID, GitHub garantisce che le sessioni con login effettuato non possano essere
abusate o accessibili da persone non autorizzate. Questo ulteriore livello di sicurezza
è cruciale per le app che gestiscono dati o azioni utente sensibili.
Insieme, questi esempi illustrano come le passkey e la biometria locale possano essere
adattate alle esigenze di diverse app, bilanciando la comodità dell'utente con misure di
sicurezza appropriate.
## 6. Raccomandazioni
Di seguito sono riportate quattro raccomandazioni su misura per scenari comuni in cui
potrebbero essere implementate la biometria locale e le passkey. Le raccomandazioni sono
strutturate in modo che sviluppatori, product manager e decisori possano identificare
rapidamente quale approccio si adatta meglio alla loro situazione. Segue una tabella
riassuntiva, che facilita la mappatura di ogni raccomandazione a un dato scenario:
1. **Per app con dati regolamentati, sensibili o di alto valore: Passkey + Biometria
locale** Se la tua app gestisce dati critici, personali, regolamentati o ad alta
sensibilità (ad es. finanziari, sanitari, governativi, informazioni di identificazione
personale), **implementa la biometria locale** per una ri-autenticazione sicura e senza
attriti. Ciò garantisce che, una volta che gli utenti hanno effettuato l'accesso,
l'accesso continuo a funzionalità sensibili sia protetto da fattori sul dispositivo
(Face ID, Touch ID, scansione delle impronte digitali) senza reinserire le credenziali.
Allo stesso tempo, questa è anche una forte indicazione per implementare le passkey e
applicare il requisito [MFA](https://www.corbado.com/it/blog/psd2-passkey) su tutti i tipi di dispositivi. È
qui che la Enterprise Passkey Suite di Corbado può aiutarti, specialmente se ti trovi
in un'implementazione su larga scala e vuoi assicurarti di poter raggiungere
un'adozione delle passkey del 100%.
2. **App consumer su larga scala: integrazione delle passkey su tutti i dispositivi**
Anche al di fuori delle aree sensibili, un'implementazione delle passkey ha senso per
evitare il phishing e rimuovere il problema delle password. Quando pianifichi un
rollout delle passkey, assicurati che faccia parte di una **strategia di autenticazione
olistica che copra tutti i tipi di dispositivi**, incluse app native, interfacce web e
altri endpoint connessi. Non trattare le passkey come una funzionalità una tantum;
invece, integrale in modo coerente su mobile, desktop e web per fornire un'esperienza
di login unificata e user-friendly. Quando le passkey fanno già parte della tua
autenticazione web, è **imperativo estendere questa funzionalità alle tue app native**.
Ciò garantisce un'esperienza di login coerente, sicura e user-friendly su tutte le
piattaforme, sfruttando la forte sicurezza e la comodità delle passkey ovunque il tuo
servizio sia offerto.
3. **App greenfield o standalone:** Per nuove applicazioni (greenfield) o app standalone
senza il fardello di un'autenticazione legacy dal web, considera di **partire con le
passkey fin dall'inizio**. In questo modo, crei uno schema di autenticazione a prova di
futuro che elimina i problemi delle password e pone le basi per percorsi utente fluidi
e sicuri su tutte le piattaforme. Dai un'occhiata alla nostra soluzione Corbado
Complete.
4. **Evita implementazioni parziali per ecosistemi multi-dispositivo:** Se il tuo servizio
si estende su più tipi di dispositivi (ad es. mobile, web e desktop), non introdurre le
passkey in un solo ambiente. **Le implementazioni parziali riducono la coerenza e
possono confondere gli utenti.** Invece, adotta le passkey in modo uniforme per
garantire un'esperienza di login fluida e unificata ovunque. Un rollout graduale o
prima sui tipi di dispositivi più diffusi e poi
sull'[app nativa](https://www.corbado.com/it/blog/app-native-passkey) è ragionevole, ma dovrebbe essere fatto
in un breve lasso di tempo.
Sebbene le raccomandazioni di cui sopra coprano una serie di scenari comuni, ci sono
innumerevoli altre situazioni in cui la scelta di implementare la biometria locale, le
passkey o entrambe può variare. Ogni applicazione ha esigenze uniche di sicurezza,
usabilità e conformità, ed è essenziale che sviluppatori, product manager e leader
aziendali valutino attentamente questi fattori prima di decidere un approccio. Pesando
attentamente i tuoi specifici casi d'uso, i requisiti normativi e le aspettative degli
utenti, puoi creare una strategia di autenticazione che non solo protegga i tuoi utenti e
i loro dati, ma offra anche l'esperienza fluida e user-friendly che i clienti di oggi si
aspettano.
## 7. Conclusione
Come abbiamo visto, la biometria locale e le passkey svolgono ruoli fondamentalmente
diversi ma complementari nelle moderne strategie di autenticazione. La biometria locale
semplifica la verifica continua della sessione sfruttando i tratti intrinseci dell'utente
per controlli rapidi sul dispositivo, mentre le passkey stabiliscono una relazione di
fiducia sicura e resistente al phishing con i servizi remoti. Combinando attentamente
questi metodi, gli sviluppatori possono creare un'esperienza utente che è sia senza
attriti che altamente sicura, soddisfacendo efficacemente le esigenze di un panorama
digitale diversificato ed esigente. Tornando alle domande dell'Introduzione:
- **Passkey vs. Biometria locale: In che modo la biometria locale e le passkey
differiscono nei loro ruoli e funzionalità?** La biometria locale fornisce una comoda
riverifica incentrata sul dispositivo per gli utenti già autenticati, garantendo che il
legittimo proprietario stia continuamente controllando il dispositivo. Al contrario, le
passkey sostituiscono i segreti condivisi come le password, consentendo
un'autenticazione remota iniziale sicura e una facile portabilità cross-device,
eliminando così i rischi di phishing e offrendo un'esperienza di login unificata su
piattaforme e fattori di forma.
- **Aggiungere le passkey alle app con biometria locale: Ha senso aggiungere le passkey
alle app che utilizzano già la biometria?** Sì, spesso ha senso. La biometria da sola
non stabilisce l'identità iniziale dell'utente con i servizi remoti, mentre le passkey
sì. Incorporare le passkey insieme alla biometria locale esistente può rafforzare la
sicurezza generale mantenendo la comodità dell'utente. Le passkey gestiscono il primo
passo critico dell'autenticazione e della portabilità cross-device, mentre la biometria
semplifica l'accesso successivo e la verifica continua della sessione.
Grazie al riconoscimento dei ruoli distinti ma reciprocamente vantaggiosi delle passkey e
della biometria locale, gli sviluppatori e i decisori possono implementare un approccio di
autenticazione completo che bilancia sicurezza, convenienza e soddisfazione dell'utente.
In questo modo, le applicazioni diventano più resilienti contro le minacce, più facili da
navigare e più adattabili all'evoluzione dei requisiti degli utenti e normativi, offrendo
in definitiva un ambiente digitale fluido e affidabile.