Passkey legate all'hardware: la vera sfida è l'adozione

1. Introduzione: chi vince la corsa dei consumatori?#

Le passkey legate all'hardware sono il modo più sicuro per accedere, ma quasi nessuno le usa nelle app consumer. I produttori di security key e smart card spingono su questo formato da anni. Nonostante ciò, il FIDO Alliance Authentication Barometer 2024 mostra che l'attivazione delle passkey legate all'hardware nel settore bancario consumer è ancora inferiore al 5% nel 2025.

Il motivo è semplice. Apple e Google controllano oltre il 99% del mercato mobile secondo StatCounter e decidono quale tipo di passkey mostrare per prima all'utente. Quindi, la corsa dei consumatori non sarà vinta dall'azienda con la chiave più forte. Sarà vinta dall'azienda che combina hardware, software, dati e distribuzione.

1.1 Terminologia: passkey legate all'hardware contro passkey sincronizzate#

Le passkey legate all'hardware sono credenziali FIDO2 la cui chiave privata rimane bloccata all'interno di un secure element fisico. La chiave non lascia mai il dispositivo. Le passkey sincronizzate usano la stessa crittografia FIDO2 ma copiano la chiave sui dispositivi tramite iCloud Keychain, Google Password Manager o un gestore di terze parti. Le specifiche W3C WebAuthn Level 3 considerano entrambe come lo stesso tipo di credenziale con una diversa politica di archiviazione. Il settore chiama le passkey legate all'hardware anche "passkey legate al dispositivo" o "credenziali WebAuthn legate all'hardware". Questo articolo usa questi tre termini come sinonimi.

Un malinteso comune è che qualsiasi passkey supportata da un secure element su un telefono o laptop sia legata all'hardware. In pratica, Apple Secure Enclave e Android StrongBox ospitano passkey che si sincronizzano tramite iCloud Keychain o Google Password Manager per impostazione predefinita, quindi la chiave privata è recuperabile dal cloud. L'unico secure element consumer che oggi mantiene la chiave strettamente locale è il TPM di Windows Hello, e persino Microsoft si sta muovendo verso la sincronizzazione all'interno di Edge. Poiché Windows Hello non richiede l'acquisto di hardware aggiuntivo ed è integrato nel laptop, questo articolo lo esclude dalla corsa al mercato consumer e si concentra su security key dedicate, smart card FIDO2 e crypto wallet.

Questa singola differenza - il fatto che la chiave non possa lasciare l'hardware - guida quasi ogni proprietà a valle, dal livello di garanzia NIST al flusso di recupero. Le linee guida NIST SP 800-63B posizionano le passkey legate all'hardware al livello AAL3, il più alto, mentre le passkey sincronizzate si fermano all'AAL2. Questa differenza di un gradino è importante per le autorità di regolamentazione che richiedono il vincolo del fattore di possesso, incluse la PSD2, la PSD3, la normativa NYDFS Part 500, la RBI 2024 e l'APRA CPS 234.

1.2 Perché le passkey sincronizzate hanno ottenuto il posto di default#

Le passkey sincronizzate hanno preso il posto predefinito perché Apple e Google le hanno distribuite per prime e controllano il prompt. Apple ha aggiunto il supporto alle passkey in iCloud Keychain nel 2021, Google Password Manager l'ha seguita nel 2022, ed entrambe hanno utilizzato la Conditional UI di WebAuthn per mostrare le credenziali sincronizzate direttamente nella barra di autocompletamento. Un autenticatore hardware si trova da uno a tre clic più in basso in ogni flusso predefinito.

Il FIDO Alliance Online Authentication Barometer 2024 riporta che il 64% dei consumatori a livello globale ha notato le passkey e il 53% ha abilitato le passkey su almeno un account. Quasi tutte queste registrazioni sono sincronizzate.

1.3 Dove si gioca davvero la corsa dei consumatori#

In questo articolo, "consumer" si riferisce al CIAM. Parliamo di clienti esterni che accedono a una banca, a un exchange di criptovalute, a un wallet governativo o a una piattaforma per creatori. Non parliamo di accessi aziendali, dove le passkey legate all'hardware già dominano. La domanda interessante è quali percorsi consumer si apriranno prossimamente e quale operatore ci arriverà per primo.

La gara copre due formati che i consumatori devono effettivamente acquisire e tre percorsi di distribuzione.

• Formati: security key USB o NFC e smart card FIDO2 integrate nelle carte di pagamento. I wallet hardware per crypto si affiancano a entrambi come terza categoria di nicchia.
• Percorsi di distribuzione: vendite dirette ai consumatori, dispositivi spediti da banche o governi ai propri utenti e crypto wallet acquistati dagli utenti di autocustodia.

1.4 Tesi di questo articolo#

Un buon hardware è necessario, ma non basta più. Il fornitore con il chip più potente non conquisterà automaticamente l'adozione da parte dei consumatori. I veri ostacoli si trovano oltre il silicio: i prompt del browser, gli stack NFC su diversi telefoni Android, la progettazione del recupero e la distribuzione ai consumatori. Il vincitore sarà l'azienda che abbinerà l'hardware all'ingegneria dell'adozione e all'osservabilità delle passkey.

Il resto dell'articolo ripercorre la storia, i protagonisti, gli ostacoli, i casi d'uso reali e offre una guida pratica per qualsiasi azienda che voglia espandersi dal mondo enterprise a quello consumer.

2. Come ci sono arrivati gli autenticatori hardware?#

Le credenziali legate all'hardware non sono una novità. Hanno circa 30 anni in più di FIDO. Le smart card PKI sono arrivate nella pubblica amministrazione negli anni '90, codificate dallo standard NIST FIPS 201 PIV. I token RSA SecurID sono seguiti nelle VPN aziendali. Le carte chip-and-PIN EMV hanno raggiunto i pagamenti nel 2002. EMVCo segnala oggi oltre 12 miliardi di carte EMV in circolazione, il che rende il chip di una carta di pagamento la più grande piattaforma di crittografia hardware mai distribuita.

La stessa catena di fornitura di secure element, gestita da IDEMIA, Thales e Infineon con oltre 3 miliardi di chip all'anno, oggi produce il silicio all'interno delle smart card FIDO2. I tre grandi cambiamenti del settore che hanno portato gli autenticatori hardware in FIDO2 si sono verificati in soli quattro anni, tra il 2014 e il 2018.

2.1 Da U2F a FIDO2 (dal 2014 al 2018)#

La FIDO Alliance ha lanciato FIDO U2F nel 2014, con i primi token hardware spediti da vari fornitori di security key. Google ha distribuito le chiavi U2F a oltre 89.000 dipendenti entro il 2017 e ha segnalato zero violazioni di account legate al phishing nell'anno successivo, secondo Krebs on Security. Tuttavia, l'U2F era solo un secondo fattore. Gli utenti avevano ancora una password e il tocco sull'hardware era solo un passaggio in più. Il formato è rimasto orientato alle aziende: una piccola chiavetta USB per il personale di Google, le agenzie governative e una manciata di exchange crypto.

FIDO2 e WebAuthn hanno cambiato le cose nel 2018 trasformando U2F in un framework completamente passwordless. Lo stesso secure element che un tempo supportava un secondo fattore, ora poteva supportare la credenziale di accesso principale.

2.2 Il cambio di brand delle passkey (2022)#

Nel maggio 2022, Apple, Google, Microsoft e la FIDO Alliance hanno lanciato congiuntamente il brand "passkey" alla conferenza FIDO Alliance Authenticate. L'idea era una parola unica e semplice che i consumatori potessero capire per indicare sia le credenziali FIDO2 sincronizzate sia quelle legate al dispositivo.

Apple ha implementato la sincronizzazione delle passkey in iCloud Keychain su iOS 16 a settembre 2022, secondo le note di rilascio per gli sviluppatori di Apple. Google l'ha seguita nell'ottobre 2022 su Android 9 e versioni successive, come riportato nel suo Identity blog.

Microsoft è stata l'ultima delle tre. Windows Hello distribuiva credenziali legate al dispositivo basate su TPM dal 2015, in base alla documentazione di Windows Hello, ma gli account consumer non potevano sincronizzare le passkey tra i dispositivi per anni. Microsoft ha aggiunto il supporto per le passkey per gli account consumer solo a maggio 2024, e le passkey sincronizzate nel Microsoft Edge Password Manager sono arrivate ancora più tardi, nel 2025. Pertanto, mentre Apple e Google avevano un vantaggio di due o tre anni sulle passkey consumer sincronizzate, Microsoft sta ancora recuperando terreno sulla sincronizzazione tra dispositivi all'interno del proprio browser.

I fornitori di hardware si aspettavano che questo grande rebranding da parte di quattro grandi player aumentasse la domanda di security key e smart card. Non è andata così. Le passkey sincronizzate hanno assorbito quasi tutte le nuove registrazioni consumer, secondo il FIDO Alliance Barometer.

2.3 La divisione in due percorsi#

Nel giro di 18 mesi, l'ecosistema si è diviso in due chiari percorsi. Il percorso consumer è stato dominato dalle passkey sincronizzate, dove Apple e Google hanno costruito il flusso predefinito attorno ai propri gestori. Il percorso enterprise è stato dominato dalle passkey legate all'hardware, dove i dipartimenti IT acquistano security key o smart card FIDO2 per l'identità della forza lavoro. La FIDO Alliance valuta quel mercato aziendale oltre 1 miliardo di dollari in spesa annuale per autenticatori hardware.

I fornitori di hardware non hanno mai rinunciato al mercato consumer. La vera domanda è se abbiano ancora un percorso credibile o se il livello del sistema operativo li abbia chiusi fuori per sempre.

3. Chi compete nella corsa dei consumatori?#

Due formati si contendono lo spazio. Le security key dominano le vendite dirette agli appassionati e alle aziende. Le smart card hanno il più ampio canale di distribuzione attraverso le banche: oltre 1,5 miliardi di carte EMV vengono emesse ogni anno secondo le statistiche di EMVCo.

I fornitori concorrenti si dividono in due campi. I produttori di security key vendono chiavi USB o NFC direttamente agli utenti finali e alle aziende. I produttori di smart card e secure element costruiscono i chip e le carte emesse dalle banche. Ogni campo affronta un problema di costo unitario diverso, e nessuno ha risolto da solo il divario nella distribuzione ai consumatori.

3.1 Chi guida il formato delle security key?#

Diversi produttori di security key competono in questo segmento. Le moderne security key in genere supportano FIDO2, FIDO U2F, smart card PIV, OpenPGP e OTP tramite USB-A, USB-C, NFC e Lightning, e alcune aggiungono anche un sensore di impronte digitali sul dispositivo. La tabella sottostante offre una panoramica dei fornitori più rilevanti nei mercati consumer ed enterprise.

Un singolo dispositivo costa da 40 a 80 USD secondo i prezzi dei produttori, il che è gestibile in ambito aziendale ma frena l'adozione su scala consumer. I problemi relativi a NFC, recupero e distribuzione legati a questo prezzo sono trattati in dettaglio nella sezione 4.

3.2 Chi guida il formato delle smart card?#

I produttori di smart card competono nel segmento FIDO2 emesso dalle banche. Il panorama dei fornitori si divide tra produttori di carte e fornitori di chip. Produttori di carte come CompoSecure (che spedisce il suo prodotto FIDO2 Arculus), IDEMIA, NagraID, Feitian e TrustSEC producono direttamente le carte FIDO2. I fornitori di chip, i tre giganti dei secure element IDEMIA, Thales e Infineon, producono i secure element all'interno della maggior parte delle carte. IDEX Biometrics fornisce il sensore di impronte digitali integrato nella carta che trasforma una smart card in una smart card biometrica.

La distribuzione agli emittenti di carte è già risolta attraverso la catena di fornitura esistente delle carte di pagamento. La sfida sta nel convincere gli emittenti ad assorbire il costo unitario aggiuntivo e nel garantire che il tocco NFC funzioni in modo affidabile su tutti i dispositivi.

Una smart card FIDO2 aggiunge da 2 a 5 USD al costo di base di 5-15 USD per il corpo in metallo o biometrico della carta. Secondo Juniper Research 2024, le carte di pagamento biometriche supereranno i 140 milioni di unità spedite a livello globale entro il 2027.

3.3 E per quanto riguarda le soluzioni ibride e affini?#

Pochi altri prodotti competono per lo stesso caso d'uso senza rientrare nettamente in nessuno dei due formati. Ledger ha spedito oltre 7 milioni di wallet Nano, e Trezor oltre 2 milioni. Entrambi offrono FIDO2 come funzionalità secondaria oltre all'archiviazione di crypto. I secure element dei telefoni come l'Apple Secure Enclave e Android StrongBox proteggono tecnicamente la chiave privata con l'hardware, ma Apple e Google sincronizzano le passkey tramite iCloud Keychain e Google Password Manager per impostazione predefinita, quindi il comportamento visibile all'utente è quello di una passkey sincronizzata, non legata all'hardware. Gli autenticatori indossabili come Token Ring e gli anelli Mojo Vision sono rimasti sotto le 100.000 unità spedite, in base alle dichiarazioni pubbliche.

In altre parole, la corsa dei consumatori è in realtà una sfida a due tra security key e smart card, con i wallet di criptovalute come terza verticale e i dispositivi indossabili come un dettaglio marginale al di sotto dell'1%.

4. Cosa frena l'adozione da parte dei consumatori?#

Quattro ostacoli strutturali bloccano l'adozione delle passkey legate all'hardware nei mercati consumer: la gerarchia dei prompt del sistema operativo e del browser, la frammentazione NFC su Android, la difficoltà di recupero in caso di smarrimento del dispositivo e il costo diretto per il consumatore. Nessuno di questi può essere risolto da un singolo fornitore di hardware.

4.1 Gerarchia del sistema operativo e del browser#

L'AuthenticationServices di Apple imposta iCloud Keychain come impostazione predefinita. Anche quando un relying party imposta authenticatorAttachment su cross-platform, l'utente deve comunque prima ignorare il pop-up della piattaforma. Il Credential Manager di Google fa lo stesso su Android con Google Password Manager. Safari e Chrome insieme detengono circa l'84% delle quote di mercato dei browser mobili secondo StatCounter, quindi due fornitori stabiliscono effettivamente l'esperienza utente per l'intero web consumer.

I browser sottoinvestono anche nell'esperienza utente delle chiavi hardware perché oltre il 99% dei consumatori non possiede una security key dedicata, sulla base dei dati aggregati sulle spedizioni di security key confrontati con la quota di mercato mobile globale su StatCounter. Questo crea un circolo vizioso: un'esperienza utente scarsa porta a una bassa adozione, una bassa adozione significa nessun investimento e nessun investimento porta a un'esperienza utente scadente.

4.2 Frammentazione NFC su Android#

Il comportamento del modulo NFC su Android varia molto da un produttore all'altro. Samsung, Xiaomi, Oppo e Google Pixel distribuiscono stack NFC diversi basati su Android Open Source. Alcune versioni di Android 14 hanno persino interrotto il supporto ai passkey provider di terze parti per diversi mesi nel 2024, secondo l'Android Issue Tracker. Una smart card FIDO2 che funziona perfettamente su un Pixel 8 potrebbe fallire su un Galaxy S23 Ultra e comportarsi in modo ancora diverso su uno Xiaomi 14. E nessun programma di test centralizzato del Google Android Compatibility Program rileva questi problemi prima che raggiungano i consumatori.

4.3 Recupero e smarrimento#

Le passkey sincronizzate si recuperano automaticamente quando un utente accede su un nuovo dispositivo. Le credenziali hardware no. Un utente che perde una security key o rompe una smart card deve passare attraverso il recupero dell'account o spesso a metodi meno sicuri. Il Verizon 2024 Data Breach Investigations Report rileva che il 68% delle violazioni coinvolge un elemento umano non intenzionale, incluso l'abuso del recupero delle credenziali. Il NIST SP 800-63B avverte anche esplicitamente che il recupero dell'account è una via comune per compromettere l'autenticazione. Quindi il vincolo hardware è forte solo quanto il canale di recupero, il che significa che il relying party sopporta gran parte del carico di sicurezza quanto il fornitore del silicio.

4.4 Distribuzione e costi#

Una security key per consumatori viene venduta tra i 40 e gli 80 USD secondo i prezzi dei produttori. Un consumatore che non ritiene che il proprio account sia a rischio semplicemente non pagherà. Banche ed exchange di criptovalute che assorbono il costo possono regalare i dispositivi, ma poi si assumono l'onere del supporto. Le smart card in bundle con una carta di credito aggiungono dai 2 ai 5 USD ai 5-15 USD di costo di base per carta, secondo le dichiarazioni pubbliche dei fornitori di smart card, inclusi i materiali per gli investitori di CompoSecure.

Questi quattro ostacoli spiegano perché le passkey sincronizzate rappresentano oltre il 95% delle registrazioni dei consumatori nei servizi finanziari secondo il FIDO Alliance Barometer, anche quando l'hardware viene offerto come opzione.

5. Dove vincono davvero le passkey legate all'hardware?#

Tre categorie di consumatori danno alle persone un motivo reale per portare con sé un hardware dedicato: il settore bancario e dei pagamenti, l'autocustodia di crypto e gli account di alto valore. Ognuno combina un forte incentivo, un canale di distribuzione credibile e conseguenze abbastanza gravi da giustificare lo sforzo. Al di fuori di questi tre segmenti, le passkey sincronizzate vincono di solito per convenienza.

5.1 Settore bancario e pagamenti#

Le banche sono il canale di distribuzione più naturale. Inviano già le carte fisiche ai clienti. Operano anche sotto la PSD2, PSD3, l' EBA Opinion on SCA, la 2FA della RBI, la NYDFS Part 500 e l'APRA CPS 234. Molte di queste normative richiedono un fattore di possesso crittografico che le passkey sincronizzate non soddisfano chiaramente.

La tesi della "smart card come carta di credito" funziona perché la carta esiste già. Una banca che emette una carta in metallo paga dai 5 ai 15 USD per carta, secondo il modulo 10-K di CompoSecure. L'aggiunta di FIDO2 porta il costo tra i 7 e i 20 USD, in base all'analisi dei costi delle carte biometriche di Juniper Research. Quella singola carta gestisce poi il chip-and-PIN, il pagamento NFC tap-to-pay, i prelievi bancomat, l'accesso all'online banking e la conferma delle transazioni 3DS di alto valore. Al consumatore non viene mai chiesto: "Vuoi un autenticatore hardware?". La carta arriva semplicemente per posta.

5.2 Crypto e autocustodia#

Gli utenti di crypto accettano già l'idea di avere un hardware. Ledger ha spedito oltre 7 milioni di dispositivi Nano e ha riportato oltre 4 miliardi di dollari in entrate cumulative dall'hardware, secondo la sua pagina aziendale. Trezor ha spedito oltre 2 milioni di unità. Le security key hanno anche una posizione di lunga data nella MFA degli exchange di crypto, con Coinbase, Kraken e Binance che supportano tutte le chiavi FIDO2.

Aggiungere FIDO2 a un wallet hardware è un lavoro di ingegneria incrementale. Vale ovviamente la pena portare con sé un dispositivo da 100 USD che protegge un portafoglio da 50.000 USD. Le crypto rimangono l'unica categoria consumer in cui gli utenti acquistano hardware di propria iniziativa.

5.3 Account consumer di alto valore#

Un gruppo più ristretto di consumatori protegge account in cui la compromissione è irreversibile. Gli esempi tipici sono le e-mail principali, i wallet di identità governativi, gli account di creatori su YouTube o Twitch e le credenziali dei giornalisti. Il Advanced Protection Program di Google descrive questo gruppo come "utenti ad alto rischio come giornalisti, operatori per i diritti umani e personale delle campagne politiche".

OpenAI ha seguito lo stesso schema nell'aprile 2026 con il suo programma Advanced Account Security per ChatGPT, collaborando con Yubico su un pacchetto in co-branding di YubiKey C NFC e YubiKey C Nano a circa 68 USD. Il programma disabilita completamente la password e l'accesso via e-mail o SMS e richiede passkey o security key fisiche, puntando a giornalisti, funzionari eletti, dissidenti e altri utenti ChatGPT ad alto rischio. È troppo presto per dire quanti utenti pagheranno 68 USD per quel livello extra, ma è il test più chiaro finora per capire se gli account consumer di alto valore possano guidare l'adozione volontaria dell'hardware al di fuori del mondo crypto e bancario.

Il 2024 Cybersecurity Readiness Index di Cisco rileva inoltre che solo il 3% delle organizzazioni ha un livello di sicurezza maturo. Il rapporto sulla sicurezza informatica del GAO 2024 segnala il furto di account come uno dei primi cinque rischi per la sicurezza informatica a livello federale, espandendo così il bacino di consumatori che necessitano di questa protezione ben oltre la nicchia originale del giornalismo.

6. Perché l'hardware da solo non vincerà#

Possedere il miglior hardware non garantisce quote di mercato tra i consumatori. Ci sono cinque lacune tra un fornitore di hardware e un prodotto consumer end-to-end: distribuzione, onboarding, recupero, percorsi cross-device e misurazione. Ognuna richiede competenze che vanno oltre la progettazione del silicio.

1. Distribuzione: le aziende hardware non hanno alcun vero rapporto diretto con i consumatori. In teoria chiunque può ordinare una YubiKey su yubico.com, ma in pratica gli acquirenti sono professionisti della sicurezza, amministratori IT e un piccolo gruppo di appassionati. Questo canale non scala ai consumatori generici, che non hanno mai sentito parlare del brand e non cercheranno da soli un autenticatore da 50 USD. Le banche, le aziende di telecomunicazioni, i rivenditori e i fornitori di sistemi operativi sono i soggetti che detengono il rapporto con i consumatori, quindi un fornitore di hardware su scala consumer ha bisogno di un partner o di un accordo white-label.
2. Onboarding: ogni passaggio che il consumatore deve fare per impostare una passkey ci fa perdere utenti. Le implementazioni bancarie nel mondo reale riportano tassi di abbandono dal 30 al 60 percento lungo il percorso di registrazione, in linea con i benchmark di abbandono del carrello del Baymard Institute.
3. Recupero: un prodotto consumer senza un piano di recupero non funziona. Il recupero richiede segnali a livello di account, verifica dell'identità e punteggio di rischio, tutti elementi gestiti dal relying party.
4. Percorsi cross-device: un utente accede su un telefono, un laptop, una smart TV e un'auto. La credenziale legata all'hardware risiede solo su un dispositivo. Quindi è necessario un instradamento intelligente tra hardware e credenziali sincronizzate per evitare vicoli ciechi.
5. Misurazione: i fornitori di hardware di solito spediscono e dimenticano. Contano le unità vendute e le licenze attivate. Non vedono la cerimonia WebAuthn fallire o l'utente abbandonare il tentativo. Senza misurazione, nessuna delle altre quattro lacune può essere colmata.

I fornitori che colmano queste cinque lacune all'interno del proprio prodotto diventano piattaforme di autenticazione end-to-end. I fornitori che non lo fanno rimangono nel business dei componenti e vendono per la piattaforma di qualcun altro.

7. Qual è la vera leva? L'ingegneria dell'adozione#

L'ingegneria dell'adozione (adoption engineering) significa abbinare le passkey legate all'hardware a un software che guida le registrazioni, misura ogni cerimonia e aggira i percorsi interrotti. Nessuna di queste attività riguarda l'hardware. Tutte e quattro sono necessarie per vincere nei mercati consumer, e funzionano solo come un ciclo chiuso. Il diagramma seguente mostra come le quattro attività si alimentino a vicenda.

Il FIDO Alliance Authentication Barometer 2024 riporta che il 53% dei consumatori ha abilitato le passkey su almeno un account, ma l'attivazione legata all'hardware in percorsi regolamentati rimane al di sotto del 5%. È un divario di 10 volte, ed è l'ingegneria dell'adozione a colmarlo. Il W3C WebAuthn working group tratta questo divario come un problema di distribuzione, non di specifica.

7.1 Telemetria a livello di funnel#

A livello di funnel, l'osservabilità delle passkey misura ogni singolo passaggio, da "l'utente clicca su accedi" a "emissione del token di sessione". Senza questa strumentazione, un team non può distinguere tra "l'utente non ha visto l'opzione hardware", "l'utente l'ha vista, ha avvicinato il dispositivo e l'NFC ha fallito" e "l'utente ha completato la cerimonia ma il relying party ha rifiutato il risultato".

La telemetria del funnel offre le metriche che contano davvero: tasso di attivazione delle passkey hardware, tasso di successo per dispositivo, tempo di completamento e abbandono per passaggio. Le specifiche W3C WebAuthn Level 3 definiscono 14 distinti codici di errore che una cerimonia può restituire, ma la maggior parte delle implementazioni in produzione ne traccia meno di cinque, secondo i talk della FIDO Alliance Authenticate 2024.

7.2 Diagnostica a livello di sessione#

Quando una singola autenticazione fallisce, i team di supporto devono vedere esattamente cosa è successo. La diagnostica a livello di sessione acquisisce il trasporto (NFC, USB o BLE), il codice di errore CTAP, il browser, la versione del sistema operativo, il produttore del dispositivo e la tempistica di ogni passaggio della cerimonia. La specifica FIDO CTAP 2.1 definisce oltre 20 codici di errore che gli autenticatori possono restituire, e questi sono mappati su specifiche azioni di recupero dell'utente nelle specifiche W3C WebAuthn Level 3.

Senza questa telemetria, l'agente di supporto vede solo "accesso fallito" e potrebbe avviare il recupero dell'account.

7.3 Instradamento intelligente per dispositivo#

Alcune combinazioni di dispositivi e sistemi operativi si rompono sistematicamente. I dati reali provenienti da grandi distribuzioni mostrano tassi di interruzione dal 40 al 90% su singole coppie difettose, con i modelli comuni documentati nell'Android Issue Tracker e nei talk della FIDO Alliance Authenticate 2024.

La logica di instradamento che nasconde l'opzione hardware su combinazioni note per essere problematiche e che ripiega sul percorso migliore successivo, evita agli utenti i casi di fallimento. Ma si possono prendere queste decisioni di routing solo dopo che i dati di osservabilità hanno identificato le coppie difettose tra i circa 24.000 diversi modelli di dispositivi Android monitorati dal database dei dispositivi OpenSignal.

7.4 Iterazione continua con gli emittenti#

Le banche e le fintech in genere gestiscono progetti pilota e distribuzioni complete su cicli di 6-12 mesi, secondo la ricerca Gartner sui programmi di identità. La piattaforma vincente trasforma i dati di osservabilità in note di rilascio settimanali, correzioni di bug e tassi di successo in costante miglioramento. L'implementazione statica con revisioni trimestrali perde contro l'iterazione continua.

8. Quindi, chi vince davvero la corsa dei consumatori?#

Nessun fornitore che fa solo hardware vince la corsa dei consumatori. Tre modelli competono per il ruolo di piattaforma di autenticazione consumer: le banche e gli emittenti, i fornitori di hardware che sviluppano livelli software e le piattaforme di sistemi operativi. Le banche sono attualmente in vantaggio perché controllano la distribuzione fisica e godono della copertura normativa di PSD2 e NYDFS Part 500. Le piattaforme OS hanno il silicio già integrato in ogni telefono e computer, ma finché Apple e Google sincronizzeranno le passkey di default, saranno concorrenti nelle passkey sincronizzate, non in quelle legate all'hardware.

8.1 Perché le banche sono in vantaggio oggi#

Le banche guidano oggi il mercato consumer delle passkey legate all'hardware. Quattro vantaggi a loro favore. Emettono già carte fisiche. Hanno la copertura normativa di PSD2, PSD3, NYDFS Part 500, RBI e APRA CPS 234. Godono della fiducia dei consumatori. E possono assorbire il costo unitario aggiuntivo di 2-5 USD su tutto il loro portafoglio, secondo le dichiarazioni pubbliche dei venditori di smart card.

Le banche che uniscono questi quattro vantaggi all'ingegneria dell'adozione si assicurano una retention pluriennale da parte dei clienti con passkey attive. Le banche che comprano un prodotto hardware e pensano che il lavoro finisca lì, ottengono invece gli stessi tassi di attivazione a una cifra segnalati dall'industria negli ultimi due anni.

8.2 E per quanto riguarda i fornitori di hardware che sviluppano software?#

Il secondo modello è il fornitore di hardware che costruisce anche un livello software. Diversi produttori di security key e smart card hanno iniziato questa transizione, ma vale la pena precisare che tipo di software offrono. La maggior parte di questi prodotti sono piattaforme IAM, di gestione delle flotte o di autenticazione adattiva, non un'osservabilità delle passkey a livello di funnel del tipo necessario per colmare il gap di adozione consumer.

• Yubico ha costruito la piattaforma più completa tra i fornitori di security key. Il suo abbonamento YubiKey as a Service combina licenze per utente, un portale clienti per la gestione di flotte e spedizioni, FIDO Pre-reg, un'app Enroll e un SDK, con distribuzione globale e integrazioni con Okta, Microsoft Entra ID e Ping Identity. Il prodotto è principalmente un livello di distribuzione aziendale e gestione del ciclo di vita, non di analisi dell'adozione consumer.
• Thales abbina il suo hardware SafeNet eToken e smart card a SafeNet Trusted Access, una piattaforma Identity-as-a-Service in cloud con SSO e autenticazione adattiva.
• OneSpan raggruppa il suo hardware DIGIPASS con la piattaforma OneSpan Cloud Authentication e l'autenticazione adattiva intelligente, focalizzandosi su banche e fintech.
• HID Global fornisce le sue smart card Crescendo insieme a HID Authentication Service e all'autenticatore mobile HID Approve.
• CompoSecure estende la sua smart card FIDO2 Arculus con un'app wallet di accompagnamento e un SDK per sviluppatori per gli emittenti.

Finora, la maggior parte di questi fornitori ottiene ancora la maggior parte dei ricavi dall'hardware. I fornitori che estendono il proprio stack software dalla consegna dei dispositivi e dall'IAM fino alla vera osservabilità delle passkey a livello di cerimonia, possono guidare l'adozione end-to-end. Chi non lo fa, resta bloccato nel mondo enterprise come fornitore di componenti.

8.3 E per le piattaforme di sistemi operativi?#

Le piattaforme OS sono un caso speciale. L'hardware esiste – l' Apple Secure Enclave, Android StrongBox e il chip Pluton in Windows 11 si trovano all'interno di ogni dispositivo venduto – ma la policy sulle passkey predefinita su Apple e Google prevede la sincronizzazione, in modo che i consumatori non ottengano mai una credenziale veramente legata all'hardware in modo predefinito. iCloud Keychain e Google Password Manager copiano la chiave su più dispositivi, rendendo il comportamento visibile all'utente identico a una passkey sincronizzata. Windows Hello di Microsoft, basato su TPM, è l'unico secure element consumer che continua a mantenere le chiavi in locale, ma anche Edge si sta muovendo verso la sincronizzazione, ed escludiamo Windows Hello dalla gara hardware consumer perché non richiede l'acquisto di un hardware separato.

In teoria, Apple, Google o Microsoft potrebbero ridefinire la categoria esponendo passkey legate alla piattaforma e non sincronizzate, con la stessa UX rifinita di quelle sincronizzate. Non ci sono segni pubblici che indichino che intendano farlo. Finché la sincronizzazione rimane l'impostazione predefinita, le piattaforme OS sono concorrenti sulle passkey sincronizzate, non su quelle hardware, e le security key dedicate insieme alle smart card FIDO2 rimangono l'unica vera strada per l'hardware consumer.

8.4 Come si presenta la vera corsa?#

La vera sfida non è "security key contro smart card". La vera domanda è chi costruirà la piattaforma di autenticazione consumer capace di combinare l'hardware, dove conta, con software, dati e ingegneria dell'adozione ovunque altro. In base al keynote della FIDO Alliance Authenticate 2024, i probabili vincitori nei prossimi tre-cinque anni saranno:

• Tre-cinque grandi banche e circuiti di pagamento che trasformeranno le smart card FIDO2 nell'esperienza consumer predefinita.
• Uno o due fornitori di hardware che riusciranno a trasformarsi in piattaforme di autenticazione con vere analitiche a livello di cerimonia, non solo IAM e gestione di flotte.
• Programmi per account di alto valore come Google Advanced Protection e OpenAI Advanced Account Security, se dimostreranno che il 5-10% degli utenti è effettivamente disposto a pagare per avere un hardware in cambio di una protezione maggiore dell'account.

Le aziende puramente hardware che scelgono di restare tali difficilmente vinceranno la corsa consumer. Finiranno per diventare fornitrici di silicio all'interno della piattaforma di qualcun altro. È un business sano e rappresenta un vero vantaggio nel settore enterprise, ma non è la leadership del mercato consumer.

9. Cosa dovrebbero fare ora banche, emittenti e team di prodotto?#

Tre azioni contano per qualsiasi team di prodotto che valuti le passkey legate all'hardware nei prossimi 12 mesi, basandosi sulle linee guida della FIDO Alliance e sulle indicazioni di Gartner sull'identità. Scegliere il caso d'uso in cui l'hardware fa davvero la differenza. Abbinare ogni implementazione hardware all'ingegneria dell'adozione. E costruire il ciclo di feedback dei dati fin dal primo giorno.

1. Scegliere il caso d'uso giusto: conferma delle transazioni di alto valore, step-up authentication su percorsi regolamentati e recupero dell'account per i segmenti ad alto rischio. Non forzare l'hardware negli accessi consumer generici.
2. Abbinare l'hardware all'ingegneria dell'adozione: strumentazione, gestione degli errori nelle app native, instradamento intelligente per dispositivo e misurazione esplicita rispetto a una linea di base di passkey sincronizzate.
3. Costruire subito il ciclo dei dati: includere la telemetria del funnel già dal primo progetto pilota, non dopo il lancio. I team che individuano quale produttore Android, quale versione iOS e quale combinazione di browser blocca il successo del tap, possono iterare in poche settimane. I team che non lo fanno si riducono ad affidarsi ad aneddoti e devono aspettare i ticket di assistenza.

Per i fornitori di hardware, il messaggio è ancora più netto. Devono decidere se restare fornitori di componenti o costruire una piattaforma. Entrambe le strade sono valide. Cercare di fare entrambe le cose senza impegnarsi fino in fondo lascia l'investimento sulla piattaforma sottofinanziato e la roadmap del silicio distratta.

10. Conclusione#

Le passkey legate all'hardware restano l'unico tipo di credenziale consumer che raggiunge il NIST AAL3, resiste alla compromissione degli account cloud e soddisfa chiaramente la lettura più rigorosa della PSD2, della PSD3 e normative simili. La tecnologia è solida. Il silicio è affidabile. Gli standard sono maturi.

Ciò che la tecnologia non può fare da sola è conquistare l'adozione da parte dei consumatori. Apple e Google controllano il livello del sistema operativo e del browser. Banche ed emittenti controllano la distribuzione consumer. I fornitori di hardware controllano il silicio. La corsa consumer verrà vinta da chi combinerà tutti e tre questi elementi tramite una piattaforma software che guidi l'adozione, misuri ogni cerimonia e aggiri le lacune.

La ricetta vincente è hardware più osservabilità delle passkey più ingegneria dell'adozione continua. Il fornitore o emittente che offrirà tutte e tre detterà le regole del gioco per il mercato consumer nel prossimo decennio. Tutti gli altri si limiteranno a vendere componenti per la piattaforma di qualcun altro.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Qual è la differenza tra passkey legate all'hardware e passkey sincronizzate per i consumatori?#

Le passkey legate all'hardware mantengono la chiave privata all'interno di un secure element fisico, come una security key, una smart card FIDO2 o un chip TPM integrato. La chiave non lascia mai quell'hardware. Le passkey sincronizzate risiedono in iCloud Keychain, Google Password Manager o in un gestore di terze parti e si copiano sui tuoi dispositivi tramite il cloud. Le passkey legate all'hardware raggiungono il livello NIST AAL3 perché la chiave privata non può essere esportata. Le passkey sincronizzate si fermano ad AAL2 perché il percorso di sincronizzazione sul cloud rende la chiave recuperabile. Questo divario di un gradino nella garanzia conta molto per le autorità di regolamentazione nel settore bancario, governativo e sanitario.

Perché le security key hardware non sono diventate mainstream tra i consumatori nonostante l'adozione delle passkey?#

Apple e Google controllano il sistema operativo e i browser usati da oltre il 99% dei consumatori, secondo StatCounter. Entrambi privilegiano i propri gestori di credenziali sincronizzate nei prompt di WebAuthn. Gli autenticatori hardware si trovano da uno a tre clic più in profondità in ogni flusso predefinito, come mostrano le documentazioni di Apple AuthenticationServices e Android Credential Manager. Il comportamento NFC su Android è frammentato tra i produttori di telefoni e la Conditional UI imposta per impostazione predefinita le credenziali sincronizzate. Oltre a ciò, la maggior parte dei consumatori non pagherà dai 40 agli 80 USD per un autenticatore separato a meno che un servizio non li obblighi.

Quali casi d'uso giustificano una passkey legata all'hardware per i consumatori?#

Tre categorie offrono ai consumatori una motivazione sufficiente. La prima è il settore bancario e dei pagamenti, dove PSD2, PSD3, RBI in India e APRA CPS 234 in Australia richiedono una strong customer authentication. La seconda è l'autocustodia e le criptovalute, dove perdere una chiave significa perdere i fondi e dove Ledger e Trezor hanno già venduto oltre 9 milioni di dispositivi. La terza riguarda gli account di alto valore, tra cui e-mail principali, wallet di identità governativi e account creator, dove la compromissione è irreversibile. Il Google Advanced Protection Program e l'Advanced Account Security di OpenAI per ChatGPT (lanciato ad aprile 2026 con un pacchetto YubiKey co-branded a circa 68 USD) puntano entrambi a questo gruppo. Al di fuori di queste tre categorie, le passkey sincronizzate di solito vincono.

Come si inseriscono le smart card FIDO2 nella corsa alle passkey hardware consumer?#

Produttori di smart card come CompoSecure (che spedisce oltre 100 milioni di carte di pagamento in metallo all'anno, in base al suo report 10-K, e offre Arculus come prodotto FIDO2) e IDEMIA costruiscono smart card NFC con secure element in grado di ospitare credenziali FIDO2. I consumatori hanno già in tasca una carta di credito, quindi aggiungere una passkey legata all'hardware a quella carta elimina la necessità di un dispositivo separato. Banche, neobanche e custodi di criptovalute possono così raggruppare l'autenticazione, il pagamento e lo step-up in un unico formato. Le parti difficili sono rendere il tap NFC affidabile sui browser iOS e Android e convincere gli emittenti ad assorbire il costo aggiuntivo di 2-5 USD per carta.

Cosa serve per vincere davvero il mercato consumer delle passkey legate all'hardware?#

Un buon hardware è necessario, ma non basta. Il vincitore unisce un formato hardware credibile con una piattaforma intelligente che misura ogni fase della registrazione e dell'autenticazione, aggira le combinazioni di dispositivi e sistemi operativi difettosi e dimostra agli emittenti che le frodi e i costi di supporto stanno calando. Senza l'osservabilità delle passkey a livello di funnel, i fornitori e le banche non possono sapere che il 60% degli utenti abbandona il tocco NFC (un pattern documentato nei talk della FIDO Alliance Authenticate 2024), o che la Conditional UI ha nascosto silenziosamente il prompt, come evidenziato nelle specifiche W3C WebAuthn Level 3. La corsa sarà decisa dai dati e dal software, non da chi ha la chiave col guscio in titanio più resistente.