Passkey e PSD2: MFA resistente al phishing e conforme alla PSD2
Le passkey sono la migliore forma di MFA resistente al phishing e conforme ai requisiti PSD2 e SCA? Questo articolo risponde a tutte le domande.
Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.
1. Introduzione#
Nel digital banking, sicurezza e user experience non devono più essere in conflitto. Le passkey uniscono questi due fattori, introducendo un'autenticazione MFA resistente al phishing che si allinea ai requisiti della PSD2 e della SCA. Le passkey sono la forma di autenticazione più sicura e intuitiva che possa essere implementata nei servizi finanziari. Questo passo avanti arriva in un momento cruciale, mentre il settore bancario è alle prese con l'implementazione della Direttiva sui servizi di pagamento riveduta (PSD2), un quadro normativo progettato per migliorare la sicurezza e la competitività del settore bancario europeo.
In questo contesto, le passkey emergono non solo come una soluzione di conformità, ma anche come una grande forma di innovazione, promettendo di soddisfare i rigorosi requisiti della PSD2 senza compromettere la UX. In questo articolo, analizziamo le sfumature della PSD2 e il suo mandato per la Strong Customer Authentication (SCA): diventa chiaro che le passkey rappresentano il futuro dell'autenticazione MFA resistente al phishing nel settore bancario.
Report Passkeys per il banking. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.
Articoli recenti
♟️
Problemi del Day 2 delle passkey: 5 rischi dopo il lancio
🔑
Perché la gestione sicura dei documenti è essenziale per le aziende moderne?
♟️
Perché anche la tua password più complessa verrà violata presto
♟️
Riutilizzo delle password in Giappone: ancora all'84% [2026]
♟️
Il ruolo dell'IA nel rilevamento delle minacce informatiche
2. Cos'è la PSD2?#
La PSD2 è una normativa introdotta dall'Unione Europea per rivoluzionare i servizi di pagamento e il panorama bancario in Europa. I suoi obiettivi principali sono aumentare la concorrenza, migliorare la protezione dei consumatori e promuovere l'innovazione nello spazio dei pagamenti digitali. Imponendo l'accesso aperto alle informazioni finanziarie dei clienti a terze parti approvate (con il consenso del cliente), la PSD2 apre la strada a un ecosistema finanziario più integrato, efficiente e intuitivo. Tuttavia, da un grande potere derivano grandi responsabilità, e la PSD2 affronta questo aspetto attraverso la sua attenzione alla sicurezza, in particolare attraverso i protocolli di autenticazione.
La PSD2 è una regolamentazione che mira a trasformare i pagamenti nell'UE promuovendo la concorrenza, la sicurezza e l'innovazione.
3. Cos'è la SCA?#
Al centro delle misure di sicurezza della PSD2 c'è il requisito della Strong Customer Authentication (SCA), un protocollo progettato per ridurre drasticamente le frodi e migliorare la sicurezza dei pagamenti elettronici. La SCA si basa sul principio che i pagamenti elettronici non dovrebbero essere solo fluidi ma anche abbastanza sicuri da resistere a varie minacce. Questo quadro di autenticazione è obbligatorio per i fornitori di servizi di pagamento, le banche e i gateway di pagamento elettronico che operano nell'ambito della PSD2.
La SCA è lo standard di autenticazione nel settore bancario europeo.
3.1 Requisiti della SCA#
L'implementazione della SCA ai sensi della PSD2 è definita da diversi requisiti critici:
Multi-Factor Authentication (MFA)#
L'autenticazione deve coinvolgere almeno due elementi delle seguenti categorie:
- Conoscenza: Qualcosa che solo l'utente conosce, come una password o un PIN.
- Possesso: Qualcosa che solo l'utente possiede, come un dispositivo mobile, una smart card o un token hardware.
- Inerenza: Qualcosa di inerente all'utente, inclusi identificatori biometrici come impronte digitali, riconoscimento facciale o pattern vocali.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyCollegamento dinamico#
Per ogni transazione, deve essere generato un codice di autenticazione unico che collega dinamicamente i dettagli specifici della transazione, come l'importo e il numero di conto del destinatario.
Riautenticazione periodica#
Gli utenti sono tenuti a ri-autenticarsi a intervalli, tipicamente ogni 90 giorni, per mantenere l'accesso ai servizi di online banking. Tuttavia, questo requisito è stato rivisto per ottimizzare l'equilibrio tra sicurezza e praticità.
Autenticazione specifica per la transazione#
La SCA deve essere applicata a tutte le transazioni elettroniche, garantendo che l'autenticazione sia specifica per l'importo e il beneficiario, creando una firma unica per ogni transazione.
Analisi basata sul rischio#
I fornitori di servizi di pagamento dovrebbero utilizzare un approccio basato sul rischio per applicare la SCA, dove le transazioni a basso rischio possono essere esentate dalla SCA per snellire il processo di pagamento senza compromettere la sicurezza (notate già il collegamento con le passkey?).
Verificabilità#
L'intero processo di autenticazione deve essere tracciabile e verificabile, con registrazioni conservate per dimostrare l'aderenza ai requisiti della SCA.
Introducendo la SCA, la PSD2 ha innalzato significativamente lo standard per la sicurezza delle transazioni nel settore bancario. Di seguito, ci concentreremo sui diversi fattori coinvolti nella Multi-Factor Authentication (MFA). Questi fattori hanno anche un impatto sul requisito di autenticazione specifica per la transazione (maggiori dettagli di seguito).
3.2 Evoluzione dell'autenticazione bancaria#
Di seguito, presenteremo le diverse fasi evolutive dell'autenticazione nel settore bancario.
3.2.1 PIN e TAN (dagli anni '90)#
Il percorso dell'autenticazione nel settore bancario è iniziato con l'uso di Numeri di Identificazione Personale (PIN) e Numeri di Autenticazione della Transazione (TAN). I clienti ricevevano una lista di TAN, ognuno da utilizzare una sola volta per la verifica della transazione. Questo metodo, sebbene rivoluzionario all'epoca, aveva i suoi svantaggi, incluso il rischio che le liste di TAN venissero rubate o utilizzate in modo improprio.
3.2.2 TAN elettronici e mobili (dagli anni 2000)#
Con l'avanzare della tecnologia, le banche hanno introdotto i TAN elettronici (eTAN) e i TAN mobili (mTAN), in cui i TAN venivano generati e inviati al dispositivo mobile del cliente tramite SMS. Questo metodo ha migliorato la sicurezza collegando il TAN al dispositivo, ma ha anche introdotto nuove vulnerabilità, come il rischio di intercettazione degli SMS e la scomodità di dover attendere e gestire questi messaggi. Fino all'introduzione delle passkey, gli SMS OTP sono ancora considerati l'opzione di 2FA più comoda disponibile per il settore bancario dal punto di vista della UX.
3.2.3 Smart card e dispositivi token (dagli anni 2000)#
Per migliorare ulteriormente la sicurezza, le banche hanno adottato smart card e dispositivi token che generavano codici unici per l'autenticazione. Queste soluzioni basate su hardware offrivano un livello di sicurezza più elevato, ma aggiungevano anche complessità e scomodità per i clienti, che ora dovevano portare con sé un dispositivo aggiuntivo.
3.2.4 Biometria e app di mobile banking (dagli anni 2010)#
L'ultima evoluzione nell'autenticazione bancaria include la biometria (impronta digitale o riconoscimento facciale) e le app di mobile banking con funzionalità di sicurezza integrate. Questi metodi miravano a bilanciare sicurezza e praticità sfruttando i tratti biologici unici dell'utente e l'onnipresenza degli smartphone. Tuttavia, richiedono anche che i clienti eseguano il processo di download e configurazione di un'app per ogni singola banca che utilizzano.
| Metodo di autenticazione | Tipo | Descrizione |
|---|---|---|
| Password/PIN | Qualcosa che l'utente sa | Segreto tradizionale che può essere facilmente implementato e compreso da tutti. |
| SMS OTP (One-Time Password) | Qualcosa che l'utente ha | Una password temporanea inviata al telefono dell'utente, che rappresenta un fattore di possesso. |
| Token hardware | Qualcosa che l'utente ha | Dispositivi fisici che generano una password monouso per l'utente. Richiede un'app nativa iOS/Android da parte della banca. |
| OTP da app mobile | Qualcosa che l'utente ha | Una password generata all'interno di un'app bancaria o di autenticazione, spesso protetta con il binding del dispositivo. Richiede un'app nativa iOS/Android da parte della banca. |
| Biometria | Qualcosa che l'utente è | Uso di impronte digitali, riconoscimento facciale o scansione dell'iride, di solito come "scorciatoia" all'interno dell'app della banca per lo sblocco biometrico locale (es. Face ID). Richiede un'app nativa iOS/Android da parte della banca. |
| Notifiche push | Qualcosa che l'utente ha | Approvazione di transazioni o tentativi di login tramite una notifica su un'app mobile. Richiede un'app nativa iOS/Android da parte della banca. |
3.3 Sfide attuali dell'autenticazione e difficoltà per i clienti#
Nonostante questi progressi, i clienti affrontano ancora notevoli disagi e frustrazioni con gli attuali metodi di autenticazione bancaria e sono a rischio di essere presi di mira dai truffatori:
- Complessità e scomodità: La stratificazione di più passaggi di autenticazione, sebbene aumenti la sicurezza, si traduce spesso in un processo macchinoso per gli utenti. Questa complessità non è solo un piccolo inconveniente; può scoraggiare i clienti dall'utilizzare i servizi di digital banking, minando lo scopo stesso della trasformazione digitale.
- Dipendenza da dispositivi e piattaforme: Il passaggio all'autenticazione mobile e biometrica lega strettamente gli utenti ai loro dispositivi. Questa dipendenza crea un anello debole in caso di furto. Inoltre, i guasti tecnici possono rendere inaccessibili i servizi bancari, lasciando i clienti bloccati.
- Vulnerabilità al phishing: Nonostante i progressi, la suscettibilità dei fattori di autenticazione al phishing rimane una vulnerabilità non affrontata dalla SCA. Fattori tradizionali come PIN, password, SMS OTP ed email OTP possono essere compromessi attraverso sofisticati schemi di phishing, mettendo a rischio i dati e le finanze dei clienti.
Ancora oggi, le banche, specialmente quelle tradizionali, continuano ad avvertire i clienti del significativo rischio di phishing.
Il vettore di attacco più probabile non è il furto di credenziali o dispositivi, ma piuttosto il fatto che i clienti cedano volontariamente entrambi o il primo fattore di autenticazione ai truffatori.
Nella sezione seguente, spiegheremo come funziona questo meccanismo utilizzando un esempio reale.
4. Il phishing è il più grande problema di sicurezza del settore bancario#
Gli attacchi di phishing rappresentano da tempo una minaccia significativa per la sicurezza del settore bancario, sfruttando la psicologia umana (ingegneria sociale) e le vulnerabilità tecnologiche per ottenere accessi non autorizzati a informazioni finanziarie sensibili. Man mano che le banche hanno evoluto la loro autenticazione, i truffatori si sono adattati, ideando schemi sofisticati per aggirare le misure di sicurezza. Comprendere come funziona il phishing, specialmente nel contesto di questi metodi di autenticazione comunemente usati, è cruciale per riconoscere l'urgenza di soluzioni di autenticazione non suscettibili al phishing come le passkey.
4.1 La teoria dietro gli attacchi di phishing#
Fondamentalmente, il phishing consiste nell'ingannare le persone per indurle a rivelare informazioni sensibili, come credenziali di accesso o dati finanziari, sotto le spoglie di una comunicazione legittima della loro banca. Questo avviene tipicamente attraverso i seguenti passaggi:
- L'inizio: I truffatori inviano messaggi (spesso via email o SMS) che imitano le comunicazioni ufficiali della banca, completi di loghi e linguaggio che appaiono affidabili. Questi messaggi di solito creano un senso di urgenza, sostenendo che è necessaria un'azione immediata per risolvere un problema o prevenire la chiusura dell'account.
- L'inganno: Il messaggio contiene un link a un sito web fraudolento che assomiglia molto al portale di online banking ufficiale della banca. Ignara dell'inganno, la vittima è indotta a credere di stare accedendo al sito legittimo della propria banca.
- La cattura: Una volta sul sito di phishing, alla vittima viene richiesto di inserire i propri dati di autenticazione, come il PIN, o di confermare una transazione con un OTP inviato via SMS. Credendo di interagire con la propria banca, la vittima obbedisce, consegnando involontariamente le proprie credenziali agli aggressori.
- Lo sfruttamento: Armati di questi dettagli, i truffatori possono quindi accedere al conto bancario della vittima, eseguire transazioni non autorizzate o commettere furti di identità.
4.2 Esempio reale: Attacco di phishing a Deutsche Bank#
Consideriamo uno scenario in cui un cliente di Deutsche Bank riceve un SMS che lo avvisa che il suo account sarà disattivato. Il messaggio include un link a un sito web per verificare l'identità del cliente, con "deutschebank" come parte dell'URL e un certificato SSL corrispondente. Questo sito, una replica precisa della pagina di login di Deutsche Bank (come si può vedere negli screenshot qui sotto), richiede al cliente il suo PIN di online banking e successivamente un SMS OTP in tempo reale (non visibile negli screenshot per motivi di sicurezza). All'insaputa del cliente, inserire queste informazioni sul sito di phishing consente agli aggressori di ottenere pieno accesso al suo account Deutsche Bank e potenzialmente trasferire ingenti somme di denaro su altri conti.
Questo è l'SMS di phishing con la richiesta di riottenere l'accesso al conto bancario (disponibili solo screenshot in tedesco):
Questo è il sito web di phishing degli aggressori (https://deutschebank-hilfe.info):
Questo è il sito web originale per riferimento (https://meine.deutsche-bank.de) che gli aggressori hanno copiato quasi perfettamente (hanno solo omesso l'avviso di phishing in basso):
I clienti abituati ad accedere tramite questa UI identica e a utilizzare l'SMS OTP come fattore di autenticazione possono facilmente cadere vittime di tali attacchi. Esiste un sostanziale ecosistema di suite open-source progettate per concentrarsi su attacchi di phishing mirati a sistemi OAuth o bancari (ad es., https://github.com/gophish/gophish) a scopo di ricerca sulla sicurezza. Tuttavia, questi sistemi possono essere facilmente adattati per scopi malevoli.
Il phishing nel settore bancario diventa sempre più preciso con ogni fuga di dati sul dark web. Tipicamente, anche le informazioni di pagamento come gli IBAN fanno parte di queste fughe. Sebbene queste informazioni non possano essere utilizzate per rubare direttamente denaro, possono essere impiegate in approcci di spear-phishing in cui l'aggressore sa che il bersaglio è effettivamente un cliente della banca.
4.3 L'importanza dei fattori di autenticazione non suscettibili al phishing#
La falla critica nello scenario sopra descritto risiede nella suscettibilità al phishing dei fattori di autenticazione: sia il PIN che l'SMS OTP possono essere facilmente sollecitati al cliente con falsi pretesti. Questa vulnerabilità sottolinea la necessità di metodi di autenticazione che non possano essere compromessi tramite ingegneria sociale o attacchi di phishing.
I fattori di autenticazione non suscettibili al phishing, come quelli abilitati dalle passkey, offrono una difesa robusta contro tali schemi. Poiché le passkey non si basano su segreti condivisi che possono essere divulgati, estorti a un utente o intercettati, cambiano fondamentalmente il panorama della sicurezza. Con le passkey, il processo di autenticazione implica una prova crittografica di identità che non può essere replicata dai truffatori, eliminando il vettore di attacco più comune nel phishing.
L'uso delle passkey è limitato esattamente al dominio con cui sono state registrate (relying party ID). È tecnicamente impossibile utilizzarle su un dominio di phishing o inviare le passkey a un aggressore.
4.4 Come combattere il phishing?#
Per contrastare efficacemente le minacce di phishing, il settore bancario deve adottare un approccio multifattoriale che includa:
- Educare i clienti: Le banche dovrebbero informare continuamente i loro clienti sui rischi del phishing e su come riconoscere le comunicazioni fraudolente.
- Implementare un'autenticazione non suscettibile al phishing: Passare a metodi di autenticazione che non si basano su informazioni che possono essere sollecitate o intercettate, chiudendo così la porta a molti tentativi di phishing.
- Migliorare i sistemi di rilevamento delle frodi: Utilizzare analisi avanzate e machine learning per rilevare e prevenire transazioni non autorizzate, anche se i phisher ottengono una qualche forma di dati di autenticazione.
Sebbene il phishing rimanga una minaccia significativa per il settore bancario, l'adozione di metodi di autenticazione non suscettibili al phishing come le passkey rappresenta un passo avanti fondamentale per proteggere l'online banking dai truffatori. Rimuovendo l'anello più debole – la suscettibilità al phishing dei fattori di autenticazione – le banche possono migliorare significativamente la sicurezza dei beni e delle informazioni personali dei loro clienti.
Fino ad oggi, la Banca Centrale Europea e le autorità di vigilanza bancaria locali (ad es., la BaFin) non hanno preso una posizione sul fatto che le passkey, nel loro complesso, sarebbero classificate come 2FA o su come le banche dovrebbero utilizzarle.
Nella prossima sezione, cercheremo di spiegare perché crediamo che le passkey siano conformi alla PSD2.
5. Le passkey sono conformi alla PSD2?#
Nelle discussioni con gli stakeholder dei settori dei pagamenti, fintech e bancario, emerge una domanda ricorrente: le passkey sono conformi alla PSD2 e possono fungere da unica forma di autenticazione negli scenari bancari? La relazione tra le passkey e la Direttiva sui servizi di pagamento riveduta (PSD2) nell'Unione Europea è sfumata e richiede un'analisi dettagliata. Per chiarire, le passkey sono solitamente classificate in due tipi: Passkey sincronizzate (Multi-Device) e Passkey non sincronizzate (Single-Device), ognuna con caratteristiche distinte per quanto riguarda la conformità alla PSD2:
| Passkey sincronizzate | Passkey non sincronizzate | |
|---|---|---|
| Disponibilità del dispositivo | Multi-dispositivo | Singolo dispositivo |
| Gestite da | Sistema operativo | Software aggiuntivo necessario |
| Chiave privata | Caricata sull'account cloud del sistema operativo (es. Portachiavi iCloud, Google Password Manager) o gestore di password di terze parti (es. 1Password, Dashlane) | Resta sul dispositivo dell'utente |
| Device Binding | No | Sì |
| Backup | Sì | No |
| Opinione tradizionale sulla conformità PSD2 | No (?) | Sì |
L'aderenza alla conformità è molto importante per le entità regolamentate come banche e compagnie di assicurazione. Tuttavia, le politiche sulla conformità possono richiedere molto tempo per cambiare. Nel caso delle passkey, il principale vantaggio in termini di sicurezza è la loro non suscettibilità al phishing, poiché i clienti non possono divulgare involontariamente queste informazioni agli aggressori.
6. Perché le passkey sincronizzate non sono un rischio#
Sebbene le passkey migliorino notevolmente la sicurezza essendo non suscettibili al phishing, spostano parte del rischio sull'account cloud del cliente, come il Portachiavi iCloud di Apple. Questo rende l'account cloud un bersaglio più attraente per gli aggressori. Tuttavia, servizi come Apple iCloud dispongono di solide misure di sicurezza, in particolare per le funzionalità che supportano le passkey.
In primo luogo, le passkey di iCloud dipendono dall'autenticazione a due fattori (2FA) abilitata sull'account, aggiungendo un ulteriore livello di sicurezza. Ciò significa che anche se un aggressore conoscesse la password iCloud del cliente, avrebbe comunque bisogno dell'accesso a un dispositivo fidato o a un numero di telefono per ricevere il codice 2FA.
Apple, e analogamente Google per i loro account, investono risorse considerevoli per proteggere questi servizi cloud. I protocolli di sicurezza per gli account che supportano le passkey nel cloud sono rigorosi, rendendo quasi impossibile per gli utenti non autorizzati accedervi. Questo elevato standard di sicurezza è mantenuto attraverso aggiornamenti costanti e patch di sicurezza (e hanno anche introdotto le passkey per i loro account, vedi questo articolo del blog).
Inoltre, il furto di dispositivi o di account cloud, sebbene sia un rischio potenziale, non è il vettore di attacco più comune per le applicazioni bancarie. In caso di esigenze di sicurezza elevate, come per transazioni sospette, le banche potrebbero continuare a utilizzare gli SMS OTP come fattore aggiuntivo. Sostituendo il PIN/password con le passkey, il primo fattore di autenticazione diventa non suscettibile al phishing, riducendo significativamente il rischio di attacchi di phishing riusciti. Un terzo fattore potrebbe essere introdotto per le transazioni segnalate come sospette, garantendo una solida postura di sicurezza.
Sebbene la superficie di attacco possa spostarsi, la postura di sicurezza complessiva viene rafforzata, rendendo le passkey una scelta convincente per le entità regolamentate come banche e compagnie di assicurazione che cercano di migliorare la sicurezza dei clienti senza sacrificare l'usabilità.
7. Come le neo-banche forzano la mano dei regolatori#
Contrariamente alle visioni tradizionali (avverse al rischio) sulla conformità alla PSD2, Finom e Revolut hanno deciso che proteggere i dati dei clienti è più importante e stanno quindi utilizzando le passkey, nonostante la mancanza di una decisione pubblica europea su come la vigilanza bancaria dovrebbe trattare le passkey rispetto alla conformità PSD2. Le neo-banche e le fintech come Finom e Revolut stanno sfidando lo status quo e, così facendo, stanno influenzando il panorama normativo per quanto riguarda le misure di autenticazione prescritte dalla PSD2.
Dando priorità alla sicurezza e all'integrità dei dati dei clienti, questi pionieri del fintech stanno adottando le passkey anche in assenza di una guida normativa esplicita da parte delle autorità europee. Questa posizione proattiva pone l'onere sui regolatori di rivalutare i loro quadri di conformità alla luce dei progressi tecnologici che offrono soluzioni di sicurezza superiori.
La mossa audace di Finom e Revolut di implementare le passkey evidenzia un aspetto critico della conformità normativa: non dovrebbe trattarsi di aderire rigidamente agli standard, ma piuttosto di raggiungere gli obiettivi sottostanti di tali standard, che, in questo caso, è la massima sicurezza dei dati e delle transazioni dei clienti. Scegliendo di dare priorità alla protezione dei dati rispetto a una stretta aderenza ai modelli di conformità tradizionali, queste neo-banche stanno stabilendo nuovi punti di riferimento per il settore.
Forzando la mano dei regolatori, queste neo-banche stanno sostenendo un cambio di paradigma in cui la conformità deve evolversi di pari passo con le tecnologie emergenti che salvaguardano gli interessi dei consumatori in modo più efficace.
8. Quali cambiamenti normativi sono necessari?#
Dal punto di vista normativo, c'è un'urgente necessità di chiarezza e adattamento per accogliere progressi come le passkey nel quadro della conformità PSD2. Esortiamo l'UE a prendere una posizione definitiva sulle passkey, riconoscendole come una forma superiore di autenticazione a più fattori (MFA) che si allinea con gli obiettivi principali della PSD2 di rafforzare la sicurezza e ridurre le frodi nell'ecosistema dei pagamenti digitali.
Le passkey, per loro natura, offrono un fattore di autenticazione robusto e resistente al phishing che supera le capacità di sicurezza della maggior parte dei metodi MFA tradizionali. Questo non solo migliora la sicurezza, ma semplifica anche l'esperienza utente, affrontando due aspetti critici della conformità PSD2.
La posizione dell'UE dovrebbe evolversi per riflettere i progressi tecnologici che ridefiniscono ciò che costituisce un'autenticazione efficace e sicura. Abbracciando innovazioni come le passkey e incorporandole nel tessuto normativo, l'UE può dimostrare il suo impegno sia nella protezione dei consumatori sia nella promozione di un ambiente finanziario digitale lungimirante.
Mentre il settore finanziario continua a innovare, spetta ai regolatori fornire una guida chiara e progressista che non solo tenga il passo con il cambiamento tecnologico, ma anticipi anche gli sviluppi futuri. Le neo-banche stanno attualmente guidando la carica, ma è in definitiva responsabilità degli organismi di regolamentazione garantire che il settore finanziario nel suo complesso possa avanzare in modo sicuro e fiducioso verso il futuro del digital banking.
Iscriviti al nostro Substack sulle passkey per le ultime novità.
9. Raccomandazioni per banche e fintech#
L'adozione delle passkey nel settore bancario e fintech si distingue come un ottimo esempio di innovazione che migliora significativamente sia la sicurezza che l'esperienza utente. In tutto il nostro articolo, abbiamo stabilito il potenziale delle passkey come soluzione di autenticazione lungimirante che si allinea alle rigorose esigenze di sicurezza della PSD2, mitigando al contempo minacce prevalenti come il phishing. Neo-banche/fintech come Finom e Revolut hanno creato un precedente integrando le passkey nei loro quadri di sicurezza, dimostrando la loro efficacia e il loro approccio incentrato sul cliente.
Un piano d'azione in tre fasi per le banche tradizionali potrebbe essere il seguente:
- Dialogo con i regolatori locali: Le banche tradizionali dovrebbero impegnarsi proattivamente con i loro organismi di regolamentazione locali e le autorità di vigilanza bancaria per discutere l'implementazione delle passkey. Questo dialogo dovrebbe mirare a chiarire le posizioni normative e aprire la strada all'integrazione delle passkey nella struttura di conformità esistente. Prendendo l'iniziativa, le banche possono contribuire a plasmare un ambiente normativo che supporti metodi di autenticazione innovativi.
- Imparare dalle best practice delle neo-banche: È imperativo per le banche tradizionali osservare e imparare dalle neo-banche che hanno implementato con successo le passkey. Studiare queste best practice fornirà preziose informazioni sugli aspetti operativi, tecnici e di servizio al cliente dell'implementazione delle passkey. Questo trasferimento di conoscenze può aiutare le banche tradizionali a elaborare le proprie strategie per l'adozione delle passkey.
- Transizione strategica alle passkey: Con chiarezza normativa e una comprensione delle best practice, le banche tradizionali possono sviluppare un piano completo per la transizione dei clienti all'autenticazione basata su passkey. Questo piano dovrebbe includere campagne di educazione dei clienti per spiegare i vantaggi e l'uso delle passkey, implementazioni graduali per garantire una transizione fluida e una valutazione continua per affrontare tempestivamente eventuali sfide. I flussi di creazione delle passkey ottimizzati con suggerimenti post-login (nudge) e flussi intelligenti di login con passkey sono fondamentali per raggiungere la soglia del 50%+ di adozione, momento in cui le password possono essere gradualmente eliminate.
10. Come Corbado aiuta le banche a implementare passkey conformi alla PSD2#
Passando dalla teoria alla pratica, le banche hanno bisogno di strumenti che colmino il divario tra i requisiti normativi PSD2/SCA e l'implementazione nel mondo reale delle passkey. Corbado fornisce un livello di passkey intelligence che si integra con il tuo stack di identità esistente, senza richiedere la migrazione degli utenti.
Device Trust e copertura dei fattori SCA#
Una sfida chiave per le banche è dimostrare che la loro implementazione delle passkey soddisfi effettivamente il requisito dei due fattori della SCA in tutta la loro base di utenti. La dashboard Device Trust di Corbado fornisce visibilità in tempo reale su come ogni metodo di autenticazione si mappa sui fattori SCA, sui tassi di successo e sui tassi di prevenzione dello step-up.
Ad esempio, le passkey vincolate al dispositivo (device-bound) raggiungono tassi di successo del 99,1% con lo 0% di requisiti di step-up (l'approccio "passkey così come sono"), mentre le passkey sincronizzate combinate con il binding tramite cookie/sessione raggiungono il 98,4% con solo il 3,2% di tassi di step-up. Questo approccio basato sui dati consente alle banche di dimostrare ai regolatori la conformità SCA con metriche concrete anziché con argomentazioni teoriche.
Policy di trust per la conformità PSD2#
Le banche possono configurare policy di trust granulari che controllano quando le passkey possono essere create e quando è richiesta l'autenticazione step-up, affrontando direttamente il dibattito sul fattore di possesso della PSD2. Ad esempio, le passkey sincronizzate su dispositivi nuovi o non classificati attivano automaticamente l'autenticazione step-up, mentre le passkey vincolate al dispositivo su dispositivi noti sono considerate affidabili senza ulteriori attriti.
Questo approccio basato su policy significa che le banche non devono scegliere una singola interpretazione della SCA. Possono applicare controlli più severi (binding cookie/sessione o step-up) laddove il profilo di rischio lo richiede, mantenendo l'esperienza priva di attriti per gli scenari affidabili vincolati al dispositivo. Il risultato: una conformità PSD2 che si adatta alla propensione al rischio della tua istituzione, invece di un approccio unico per tutti.
Perché le passkey sono importanti?
Passkey per le aziende
Password e phishing mettono a rischio le aziende. Le passkey offrono l'unica soluzione MFA che bilancia sicurezza e UX. Il nostro whitepaper analizza l'implementazione e l'impatto sul business.
Scarica il whitepaper gratuito
La posizione di Corbado su PSD2/SCA e passkey: Le passkey (sia vincolate al dispositivo che sincronizzate) possono essere conformi alla SCA. Ogni istituzione deve essere responsabile della propria valutazione del rischio SCA, ma l'evidenza è chiara: le passkey forniscono intrinsecamente due fattori SCA: possesso (chiave privata in un modulo di sicurezza hardware o portachiavi cloud) + inerenza (dati biometrici) o conoscenza (PIN). Il dibattito sul "possesso" è sfumato ma risolvibile; il settore sta convergendo verso tre approcci: (1) Passkey così come sono (es. Revolut, Finom) - inerenza + possesso tramite dispositivo con chiave privata, (2) Passkey + binding cookie/sessione (es. PayPal, Comdirect) - segnale di possesso aggiuntivo per un'interpretazione più conservativa, (3) Binding crittografico (DBSC/DPoP) - prova di possesso legata all'hardware, la garanzia più forte. Non esiste ancora una singola interpretazione "corretta". È necessario un approccio alla SCA basato sui risultati, concentrandosi sulla resistenza al phishing dimostrabile piuttosto che su una rigida categorizzazione dei fattori. Il collegamento dinamico rimane un requisito separato per i pagamenti, anche con le passkey.
Chi siamo
Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →
Prossimo passo: vuoi implementare passkey nella tua banca? È disponibile il nostro report di oltre 90 pagine sulle passkey per il banking.
Ottieni il report
Condividi questo articolo
Articoli correlati
Indice