Autenticazione PCI DSS 4.0: Passkeys

Il panorama digitale è in costante evoluzione e, con esso, la sofisticazione e la frequenza delle minacce informatiche continuano ad aumentare. I dati delle carte di pagamento restano un obiettivo primario per gli attori malintenzionati, rendendo indispensabili standard di sicurezza solidi per qualsiasi organizzazione che li gestisca. Il Payment Card Industry Data Security Standard (PCI DSS) è da tempo il punto di riferimento per la protezione dei dati dei titolari di carta. La sua ultima versione, PCI DSS 4.0, rappresenta un significativo passo avanti, affrontando direttamente le minacce moderne attraverso, tra gli altri miglioramenti, requisiti di autenticazione notevolmente rafforzati.

Mentre le organizzazioni affrontano queste nuove esigenze, le tecnologie emergenti offrono soluzioni promettenti. Le passkey, basate sugli standard della FIDO (Fast Identity Online) Alliance e sul protocollo WebAuthn, sono in prima linea in questa nuova ondata di autenticazione. Offrono un approccio senza password e resistente al phishing, migliorando il modo in cui viene protetto l'accesso ai dati sensibili. Questo articolo analizza i cambiamenti cruciali introdotti da PCI DSS 4.0, in particolare per quanto riguarda l'autenticazione sicura, esplora le capacità dell'autenticazione con passkey e fornisce una roadmap per sfruttare questa tecnologia per raggiungere e mantenere la conformità.

Questa esplorazione porta a due importanti domande per le organizzazioni che navigano in questa nuova frontiera:

1. Autenticazione: Dato che PCI DSS 4.0 innalza gli standard di autenticazione, come possono le organizzazioni soddisfare efficacemente questi nuovi e stringenti requisiti senza sovraccaricare utenti o team di sicurezza?
2. Passkey e conformità PCI: Le tecnologie emergenti come le passkey possono soddisfare i controlli di autenticazione di PCI DSS 4.0, migliorare la sicurezza e aumentare l'efficienza operativa?

Questo articolo si propone di fornire risposte, guidando i professionisti tecnici verso un futuro più sicuro e conforme.

Per apprezzare il ruolo delle passkey nell'attuale panorama della conformità, è fondamentale comprendere il framework PCI DSS e la significativa evoluzione segnata dalla versione 4.0.

Il PCI Data Security Standard è uno standard globale di sicurezza informatica progettato per proteggere i dati di pagamento. Si applica a tutte le entità che archiviano, elaborano o trasmettono dati dei titolari di carta, includendo esercenti, elaboratori, acquirer, emittenti e fornitori di servizi. Lo standard è stato sviluppato dai principali marchi di carte di pagamento (American Express, Discover Financial Services, JCB International, MasterCard e Visa) che hanno formato il PCI Security Standards Council (PCI SSC) il 7 settembre 2006, per gestirne la continua evoluzione. Il PCI DSS consiste in un insieme completo di requisiti tecnici e operativi, che costituiscono una base per la protezione dei dati di pagamento durante tutto il loro ciclo di vita.

Il PCI SSC opera come un forum globale, riunendo gli stakeholder del settore dei pagamenti per sviluppare e promuovere l'adozione di standard di sicurezza dei dati e risorse per pagamenti sicuri in tutto il mondo. Oltre al PCI DSS, il Council gestisce una serie di standard che affrontano vari aspetti della sicurezza dei pagamenti. La sua missione è migliorare la sicurezza dei dati dei conti di pagamento a livello globale, sviluppando standard e servizi di supporto che promuovono l'istruzione, la consapevolezza e un'efficace implementazione da parte degli stakeholder.

Gli standard PCI DSS 4.0, rilasciati ufficialmente a marzo 2022, con una successiva revisione minore (v4.0.1) per rispondere al feedback degli stakeholder, segnano l'aggiornamento più significativo dello standard da anni. Il motore principale di questa evoluzione è stata la necessità di affrontare il panorama sempre più sofisticato delle minacce informatiche e il mutevole ambiente tecnologico nel settore dei pagamenti.

Gli obiettivi principali di PCI DSS 4.0 sono:

• Soddisfare le esigenze di sicurezza in evoluzione del settore dei pagamenti: garantire che lo standard rimanga efficace contro le minacce attuali ed emergenti, come il phishing basato sull'IA.
• Promuovere la sicurezza come processo continuo: spostare l'attenzione dalla conformità puntuale a una disciplina di sicurezza continua.
• Migliorare i metodi e le procedure di convalida: aumentare il rigore e la coerenza delle valutazioni di conformità.
• Aggiungere flessibilità e supportare metodologie aggiuntive: consentire alle organizzazioni maggiore libertà nel modo in cui raggiungono gli obiettivi e i risultati di sicurezza.

PCI DSS 4.0 introduce diversi cambiamenti fondamentali che influenzano il modo in cui le organizzazioni approcciano la conformità:

Focus sui risultati di sicurezza anziché sui controlli prescrittivi

Un cambiamento fondamentale è il passaggio da controlli principalmente prescrittivi a un'enfasi sui risultati di sicurezza. Lo standard stesso elabora questa flessibilità:

Questo cambiamento significa che, mentre PCI DSS 3.2.1 offriva istruzioni dettagliate su cosa fare, la versione 4.0 consente alle organizzazioni maggiore flessibilità su come soddisfano i requisiti. Le aziende possono implementare i controlli più adatti al loro ambiente, a condizione che possano dimostrare che tali controlli raggiungono gli obiettivi di sicurezza dichiarati. Ciò è particolarmente rilevante per l'adozione di tecnologie innovative come le passkey, che potrebbero non rientrare perfettamente nelle descrizioni dei controlli più vecchie e rigide. Questa flessibilità, tuttavia, comporta l'aspettativa che le organizzazioni conducano valutazioni approfondite del rischio e giustifichino chiaramente le metodologie di controllo scelte.

Sicurezza continua (Business-as-Usual)

Un altro principio chiave di PCI DSS 4.0 è la promozione della sicurezza come processo continuo, business-as-usual (BAU). Lo standard dettaglia questo nella Sezione 5:

Questa enfasi sui processi "business-as-usual" (BAU) significa che le organizzazioni devono integrare la sicurezza nelle loro attività di routine. Si tratta di promuovere una cultura in cui la sicurezza non è un pensiero secondario o una corsa annuale, ma una parte integrante delle operazioni, garantendo un monitoraggio continuo, valutazioni regolari e posture di sicurezza adattive per assicurare una protezione sostenuta dei dati dei titolari di carta. Per le implementazioni di passkey, ciò si traduce in una vigilanza continua nel monitorare la loro efficacia, i modelli di adozione da parte degli utenti e qualsiasi minaccia emergente, rendendo la sicurezza uno sforzo sostenuto piuttosto che un esercizio di conformità puntuale.

Implementazione personalizzata e analisi mirata del rischio

Una nuova caratteristica significativa di PCI DSS 4.0 è l'opzione formalizzata per l'implementazione personalizzata, che è intrinsecamente legata a una rigorosa valutazione del rischio. Lo standard impone questa connessione nel Requisito 12.3.2:

Questa opzione formalizzata consente alle organizzazioni di raggiungere gli obiettivi di sicurezza utilizzando nuove tecnologie e controlli innovativi su misura per i loro ambienti unici, anziché aderire strettamente a metodi prescrittivi. Tuttavia, come sottolinea la citazione, questa flessibilità si basa sull'esecuzione di un'analisi mirata del rischio per ogni controllo personalizzato. Questa analisi deve essere documentata, approvata dal senior management e rivista annualmente. Un valutatore di terze parti (Qualified Security Assessor o QSA) convalida quindi questi controlli personalizzati esaminando l'approccio documentato dell'organizzazione, inclusa l'analisi del rischio, e sviluppando procedure di test specifiche. Questo percorso è un fattore chiave per soluzioni come le passkey, consentendo alle organizzazioni di sfruttare efficacemente le loro funzionalità di sicurezza avanzate, a condizione che possano dimostrare attraverso la valutazione del rischio che il loro approccio soddisfa gli obiettivi di sicurezza. La capacità di personalizzare l'implementazione, supportata da una solida analisi del rischio, riflette la consapevolezza che la rapida evoluzione sia delle minacce che delle tecnologie difensive rende i controlli rigidi e prescrittivi meno adattabili nel tempo.

Tempistiche di transizione

PCI DSS 3.2.1 è rimasto attivo insieme alla v4.0 fino al 31 marzo 2024, data dopo la quale è stato ritirato. I nuovi requisiti introdotti in PCI DSS 4.0 sono stati considerati best practice fino al 31 marzo 2025. Dopo tale data, questi nuovi requisiti diventano obbligatori per tutte le valutazioni. Questo approccio graduale ha fornito alle organizzazioni una finestra di tempo per comprendere, pianificare e implementare le modifiche.

Questi cambiamenti segnalano collettivamente un approccio più maturo, adattabile e incentrato sul rischio alla sicurezza delle carte di pagamento, preparando il terreno per l'adozione di meccanismi di autenticazione più forti e moderni.

La mancata conformità ai requisiti PCI DSS non è una semplice svista; comporta conseguenze significative e multiformi che possono avere un impatto grave sulla stabilità finanziaria, sulla posizione legale e sulla reputazione di un'organizzazione.

La conseguenza più diretta della non conformità è l'imposizione di sanzioni finanziarie. Queste multe sono generalmente imposte dalle banche acquirer e dagli elaboratori di pagamento, non direttamente dal PCI SSC. Le sanzioni possono essere sostanziose, variando da 5.000 a 100.000 dollari al mese, a seconda del volume di transazioni elaborate (che determina il livello dell'esercente, ad esempio, Livello 1 per oltre 6 milioni di transazioni annuali rispetto al Livello 4 per meno di 20.000 transazioni di e-commerce) e della durata e gravità della non conformità. Ad esempio, un esercente di Livello 1 non conforme per diversi mesi ha maggiori probabilità di affrontare sanzioni nella fascia alta di questo intervallo, mentre le aziende più piccole di Livello 4 potrebbero incorrere in multe più vicine a 5.000 dollari mensili.

È fondamentale capire che queste multe possono rappresentare un onere mensile ricorrente. Questa persistente pressione finanziaria, potenzialmente aggravata da commissioni di transazione più elevate che gli elaboratori di pagamento possono addebitare alle aziende non conformi, significa che il costo cumulativo della non conformità supera di gran lunga l'investimento necessario per raggiungere e mantenere la conformità. Ciò ridefinisce la conformità non come un semplice centro di costo, ma come un investimento critico per la mitigazione del rischio. Investire in misure di sicurezza solide, inclusa un'autenticazione forte come le passkey, diventa una decisione finanziariamente prudente per evitare questi costi maggiori, spesso imprevedibili e potenzialmente paralizzanti.

Oltre alle multe dirette, la non conformità può portare a serie sfide legali, specialmente se si traduce in una violazione dei dati. I clienti i cui dati sono compromessi possono avviare azioni legali, e anche i marchi delle carte possono intraprendere azioni legali. Uno stato di non conformità può rendere considerevolmente più facile per i querelanti dimostrare la negligenza da parte dell'organizzazione, portando potenzialmente a costosi accordi e sentenze.

Forse una delle conseguenze più dannose, sebbene meno quantificabile, è il danno alla reputazione di un'organizzazione. Una singola mancata conformità, in particolare una che porta a una violazione dei dati, può erodere gravemente la fiducia dei clienti. Una volta persa, questa fiducia è difficile da riconquistare, spesso con conseguente perdita di clienti, perdita di affari a favore della concorrenza e danni a lungo termine all'immagine del marchio. Violazioni ripetute o gravi possono persino portare alla revoca dei privilegi di elaborazione dei pagamenti di un'organizzazione da parte dei marchi delle carte o delle banche acquirer, tagliando di fatto la loro capacità di accettare pagamenti con carta. Ciò sottolinea l'importanza di considerare la conformità non solo come un requisito tecnico, ma come una componente fondamentale della fiducia nel marchio e della continuità aziendale.

Se la non conformità contribuisce a una violazione dei dati, l'organizzazione sarà probabilmente responsabile di ingenti costi di risarcimento oltre a multe e spese legali. Questi costi possono includere la fornitura ai clienti interessati di servizi come il monitoraggio gratuito del credito, l'assicurazione contro il furto di identità e il rimborso per addebiti fraudolenti o commissioni di servizio. Inoltre, il costo della riemissione delle carte di pagamento compromesse, stimato tra 3 e 5 dollari per carta, può rapidamente raggiungere milioni di dollari per violazioni che colpiscono un gran numero di titolari di carta. Al contrario, se un'organizzazione subisce una violazione pur essendo pienamente conforme a PCI DSS, le multe associate possono essere ridotte o addirittura eliminate, poiché la conformità dimostra la dovuta diligenza e un impegno per la sicurezza, anziché negligenza.

L'insieme dei potenziali esiti negativi evidenzia che la conformità a PCI DSS è un aspetto indispensabile delle moderne operazioni aziendali per qualsiasi entità coinvolta nell'ecosistema delle carte di pagamento.

Il Requisito 8 di PCI DSS è sempre stato una pietra miliare dello standard. Con la versione 4.0, le sue disposizioni sono state notevolmente rafforzate, riflettendo il ruolo critico di un'autenticazione robusta nel prevenire l'accesso non autorizzato ai dati sensibili dei titolari di carta e ai sistemi che li elaborano.

L'obiettivo primario del Requisito 8 è garantire che ogni individuo che accede ai componenti di sistema all'interno del Cardholder Data Environment (CDE) o ad esso connessi possa essere identificato in modo univoco e autenticato in modo robusto. Questo è importante per mantenere l'integrità e la sicurezza dei dati dei titolari di carta, prevenendo l'accesso non autorizzato e garantendo che tutte le azioni possano essere ricondotte a un utente specifico e noto, stabilendo così la responsabilità individuale.

Una grande evoluzione in PCI DSS 4.0 è l'espansione e il rafforzamento dei requisiti di autenticazione a più fattori (MFA):

• MFA universale per l'accesso al CDE: A differenza di PCI DSS 3.2.1, che richiedeva principalmente l'MFA per l'accesso amministrativo e tutti gli accessi remoti al CDE, la versione 4.0 richiede l'MFA per tutti gli accessi al CDE. Ciò include l'accesso da parte di amministratori, utenti generici e fornitori di terze parti, indipendentemente dal fatto che l'accesso provenga dall'interno o dall'esterno della rete. Questa significativa espansione sottolinea il riconoscimento da parte del PCI SSC dell'MFA come controllo di sicurezza fondamentale.
  Lo standard specifica questi requisiti:

  Estratti dal Requisito 8

  "8.4.1 L'MFA è implementata per tutti gli accessi non da console al CDE per il personale con accesso amministrativo." 

  "8.4.3 L'MFA è implementata per tutti gli accessi remoti provenienti dall'esterno della rete dell'entità che potrebbero accedere o avere un impatto sul CDE." 

• Requisiti dei fattori: Le implementazioni MFA devono utilizzare almeno due dei tre tipi di fattori di autenticazione riconosciuti:

  • Qualcosa che sai (es. password, PIN)
  • Qualcosa che hai (es. un token, una smart card o un dispositivo che contiene una passkey)
  • Qualcosa che sei (es. dati biometrici come un'impronta digitale o il riconoscimento facciale). È fondamentale che questi fattori siano indipendenti, il che significa che la compromissione di un fattore non compromette gli altri.

• Integrità del sistema MFA: I sistemi MFA devono essere progettati per resistere agli attacchi di replay (in cui un aggressore intercetta e riutilizza i dati di autenticazione) e devono concedere l'accesso solo dopo che tutti i fattori di autenticazione richiesti sono stati convalidati con successo.

• Nessun bypass non autorizzato: L'MFA non deve essere aggirabile da nessun utente, inclusi gli amministratori, a meno che non venga concessa un'eccezione specifica e documentata dalla direzione per ogni singolo caso e per un periodo di tempo limitato.

• Autenticazione resistente al phishing come eccezione: PCI DSS 4.0 introduce anche ulteriori indicazioni riguardanti i fattori di autenticazione resistenti al phishing, che possono, in alcuni casi, soddisfare l'intento dell'MFA.

  Estratti dal Requisito 8

  "Questo requisito non si applica a... account utente che sono autenticati solo con fattori di autenticazione resistenti al phishing." — Note di applicabilità al 8.4.2 

  "Autenticazione resistente al phishing... Esempi di autenticazione resistente al phishing includono FIDO2." — Appendice G, definizione del glossario di Autenticazione Resistente al Phishing 

  Le implicazioni dell'autenticazione resistente al phishing, come evidenziato da questi estratti, saranno esplorate ulteriormente nella prossima sezione (4.3).

PCI DSS 4.0 pone una notevole enfasi sull'uso di metodi di autenticazione resistenti al phishing. Questa è una risposta diretta alla prevalenza e al successo degli attacchi di phishing nel compromettere le credenziali tradizionali.

• Autenticazione resistente al phishing come alternativa/complemento all'MFA:

  • Uno sviluppo cruciale nell'ambito del Requisito 8.4.2 è che i metodi di autenticazione resistenti al phishing possono essere utilizzati al posto della MFA tradizionale per tutti gli accessi non amministrativi al CDE provenienti dall'interno della rete dell'entità. Questa è una disposizione significativa per tecnologie come le passkey, che sono intrinsecamente resistenti al phishing. Segnala che il PCI SSC considera questi metodi avanzati come fornitori di un livello di garanzia paragonabile o addirittura superiore ad alcune combinazioni MFA tradizionali per questo specifico caso d'uso.

• **Tuttavia, per l'accesso amministrativo al CDE (Requisito 8.4.1) e per tutti gli accessi remoti al CDE provenienti dall'esterno della rete dell'entità (Requisito 8.4.3), sebbene l'autenticazione resistente al phishing sia fortemente raccomandata, deve essere combinata con almeno un altro fattore di autenticazione per soddisfare il requisito MFA. Questa distinzione richiede un approccio sfumato all'implementazione delle passkey, potenzialmente una strategia a più livelli in cui le passkey da sole sono sufficienti per gli utenti interni generici, ma le passkey combinate con un altro fattore sono utilizzate per scenari di accesso a rischio più elevato.

• Riconoscimento di FIDO e approfondimenti degli esperti: Lo standard menziona specificamente l'autenticazione basata su FIDO (che è alla base delle passkey) come metodo preferito per raggiungere l'MFA, in gran parte grazie alle sue robuste caratteristiche di resistenza al phishing. Ulteriori approfondimenti su questo argomento sono stati condivisi nell'episodio del podcast del PCI SSC "Coffee with the Council", "Passwords Versus Passkeys: A Discussion with the FIDO Alliance" (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

  Nel podcast, Andrew Jamieson, VP Distinguished Standards Architect presso PCI SSC, ha sottolineato il valore di queste tecnologie:

  "Ribadirei che ritengo l'autenticazione resistente al phishing una grande tecnologia. È qualcosa che può risolvere molti dei problemi che abbiamo con le password. E suggerirei vivamente, quando le persone valutano quali tecnologie implementare per l'autenticazione, di dare un'occhiata all'autenticazione resistente al phishing e a ciò che può offrire, ma anche di capire che è un po' diversa da ciò a cui le persone sono abituate e di esaminare come possono integrarla correttamente e in modo sicuro nella loro architettura di autenticazione complessiva."

  Megan Shamas, Chief Marketing Officer della FIDO Alliance (vedi FIDO Leadership), ha evidenziato il cambiamento fondamentale che queste tecnologie rappresentano e la necessità che le policy si adattino:

  "È fondamentalmente diverso da ciò a cui siamo abituati con password più fattore, fattore, fattore, e abbiamo evoluto la tecnologia e ora anche le persone devono evolvere i loro requisiti e le loro policy di conseguenza. E questo aiuterà davvero le organizzazioni a intraprendere la strada giusta per sbarazzarsi dell'autenticazione vulnerabile al phishing."

  Questa prospettiva congiunta sottolinea il movimento del settore verso metodi di autenticazione più sicuri e moderni.

Mentre PCI DSS 4.0 spinge fortemente verso l'MFA e i metodi resistenti al phishing, inasprisce anche i requisiti per password e passphrase se sono ancora in uso:

• Aumento di lunghezza e complessità: La lunghezza minima della password è stata aumentata da sette caratteri nella v3.2.1 a 12 caratteri nella v4.0 (o almeno 8 caratteri se il sistema non supporta 12). Le password devono anche includere un mix di caratteri numerici e alfabetici.
• Frequenza di cambio password: Le password devono essere cambiate almeno ogni 90 giorni se sono l'unico fattore utilizzato per l'autenticazione (cioè, nessuna MFA è applicata a quell'account per quell'accesso). Questo requisito può essere derogato se l'MFA è implementata per l'accesso, o se l'organizzazione impiega un'autenticazione continua e basata sul rischio che valuta dinamicamente l'accesso in tempo reale.

Il significativo rafforzamento delle regole sulle password, unito ai mandati MFA ampliati e al chiaro sostegno degli approcci resistenti al phishing, segnala una direzione strategica da parte del PCI SSC: ridurre sistematicamente la dipendenza dalle password come meccanismo di autenticazione primario o unico. Le password sono da tempo riconosciute come un anello debole nella sicurezza, e PCI DSS 4.0 cerca attivamente di mitigare i loro rischi intrinseci rendendo il loro uso autonomo più rigoroso e meno attraente, promuovendo al contempo alternative più forti e moderne.

Per illustrare chiaramente questi cambiamenti, la seguente tabella confronta gli aspetti chiave dell'autenticazione tra PCI DSS 3.2.1 e 4.0:

Tabella 1: Differenze chiave nell'autenticazione: PCI DSS 3.2.1 vs. 4.0

Questo maggiore focus sull'autenticazione in PCI DSS 4.0 stabilisce una chiara direzione per le organizzazioni affinché rivalutino le loro strategie attuali ed esplorino soluzioni più resilienti come le passkey.

Basate sugli standard della FIDO Alliance, le passkey offrono un'alternativa fondamentalmente più sicura e facile da usare rispetto alle password tradizionali e persino ad alcune forme di MFA legacy.

Una passkey è una credenziale digitale che consente agli utenti di accedere a siti web e applicazioni senza dover inserire una password. Sono basate sugli standard FIDO2, un insieme di specifiche aperte sviluppate dalla FIDO Alliance. WebAuthn è uno standard del World Wide Web Consortium (W3C) che consente a browser e applicazioni web di eseguire un'autenticazione forte e resistente al phishing utilizzando coppie di chiavi crittografiche. In sostanza, le passkey sono un'implementazione di questi standard FIDO2, sfruttando WebAuthn per le interazioni in ambienti web. Sostituiscono le password tradizionali con chiavi crittografiche uniche archiviate in modo sicuro sul dispositivo di un utente, come uno smartphone, un computer o una chiave di sicurezza hardware.

La sicurezza delle passkey si basa sulla crittografia a chiave pubblica. Quando un utente registra una passkey con un servizio (la "relying party" o RP), viene generata una coppia di chiavi crittografiche unica:

• Una chiave privata, che viene archiviata in modo sicuro sul dispositivo dell'utente. Questa chiave può risiedere all'interno di un modulo di sicurezza hardware (ad esempio, un TPM o un Secure Enclave). La chiave privata non lascia mai questo archivio sicuro (tranne nel caso delle passkey sincronizzate, come verrà dettagliato in seguito).
• Una chiave pubblica, che viene inviata e archiviata dalla relying party (il sito web o il servizio applicativo) e associata all'account dell'utente.

Durante l'autenticazione, il processo è il seguente:

1. La relying party invia una "challenge" unica (un dato casuale) al dispositivo dell'utente.
2. Per sbloccare e utilizzare la chiave privata, l'utente esegue una verifica locale sul proprio dispositivo. Ciò comporta tipicamente l'uso di un identificatore biometrico (come un'impronta digitale o una scansione facciale), l'inserimento di un PIN del dispositivo o il disegno di un pattern. È importante sottolineare che questi dati biometrici o il PIN non lasciano mai il dispositivo dell'utente e non vengono trasmessi alla relying party.
3. Una volta sbloccata, la chiave privata sul dispositivo firma la challenge ricevuta dalla relying party.
4. Questa challenge firmata (l'"assertion") viene inviata alla relying party.
5. La relying party utilizza la chiave pubblica memorizzata corrispondente a quell'utente per verificare la firma sull'assertion. Se la firma è valida, l'autenticazione ha successo.

Esistono principalmente due tipi di passkey:

• Passkey sincronizzate: Queste passkey possono essere sincronizzate tra i dispositivi fidati di un utente utilizzando gestori di credenziali basati su cloud come iCloud Keychain di Apple o Google Password Manager. Ciò offre convenienza, consentendo a una passkey creata su un dispositivo di essere utilizzata su un altro dispositivo di proprietà dello stesso utente all'interno dello stesso ecosistema.
• Passkey associate al dispositivo: Queste passkey sono legate a un authenticator fisico specifico, come una chiave di sicurezza hardware USB (ad esempio, YubiKey) o un'applicazione su un telefono particolare. La passkey non lascia questo dispositivo specifico.

Questa base crittografica e il processo di verifica utente locale forniscono vantaggi di sicurezza intrinseci che affrontano direttamente molti vettori di attacco comuni.

Il design delle passkey offre diversi vantaggi di sicurezza rispetto ai metodi di autenticazione tradizionali:

• Resistenza al phishing: Questo è un vantaggio fondamentale. Le passkey sono crittograficamente legate all'origine specifica del sito web (il Relying Party ID o RP ID) per cui sono state create. Se un utente viene ingannato a visitare un sito di phishing falso che imita uno legittimo, il browser o il sistema operativo riconoscerà che il dominio corrente non corrisponde all'RP ID associato alla passkey. Di conseguenza, la passkey semplicemente non funzionerà e l'autenticazione fallirà. Ciò sposta l'onere di identificare i tentativi di phishing dall'utente umano, spesso fallibile, ai robusti protocolli di sicurezza della tecnologia stessa.
• Nessun segreto condiviso: Con le passkey, non c'è un "segreto condiviso" come una password che è nota sia all'utente che al server e che può essere rubata. La chiave privata, che è il componente critico per l'autenticazione, non lascia mai il dispositivo sicuro dell'utente. La chiave pubblica, memorizzata dal server, è matematicamente legata alla chiave privata ma non può essere utilizzata per derivare la chiave privata o per impersonare l'utente. Ciò significa che anche se il server di una relying party viene violato e le chiavi pubbliche vengono rubate, sono inutili per gli aggressori senza le corrispondenti chiavi private.
• Protezione contro Credential Stuffing e attacchi di replay: Gli attacchi di credential stuffing, in cui gli aggressori utilizzano elenchi di nomi utente e password rubati per tentare di accedere a vari account, sono resi inefficaci perché non ci sono password da rubare e riutilizzare. Inoltre, ogni autenticazione con passkey comporta un meccanismo di challenge-response unico. La firma generata dalla chiave privata è specifica per la challenge ricevuta per quella particolare sessione di login, rendendo impossibile per un aggressore intercettare un'assertion di autenticazione e riprodurla in seguito per ottenere un accesso non autorizzato.
• Riduzione significativa del rischio di Account Takeover (ATO): Neutralizzando efficacemente il phishing, eliminando i segreti condivisi e prevenendo gli attacchi di credential stuffing e di replay, le passkey riducono drasticamente i principali vettori di attacco utilizzati per l'account takeover. Poiché gli aggressori non possono ottenere o utilizzare impropriamente le credenziali di autenticazione dell'utente, la probabilità di un ATO riuscito crolla.

Questo cambiamento fondamentale dall'autenticazione basata sulla conoscenza (ciò che un utente sa, come una password) a una combinazione di autenticazione basata sul possesso (ciò che un utente ha – il suo dispositivo con la chiave sicura) e basata sull'inerenza o sulla conoscenza locale (ciò che un utente è tramite la biometria, o ciò che sa localmente tramite un PIN del dispositivo) rompe fondamentalmente le catene di attacco che si basano sulla compromissione di segreti condivisi utilizzabili da remoto. A differenza di molte misure di sicurezza che aggiungono attrito, le passkey spesso migliorano l'esperienza dell'utente offrendo accessi più veloci e semplici senza la necessità di ricordare password complesse, un duplice vantaggio che può guidare l'adozione e migliorare la postura di sicurezza complessiva.

Le forti caratteristiche di sicurezza intrinseche delle passkey si allineano notevolmente bene con i controlli di autenticazione rafforzati imposti da PCI DSS 4.0, in particolare quelli delineati nel Requisito 8. Le passkey non solo soddisfano questi requisiti, ma spesso superano la sicurezza fornita dai metodi tradizionali.

Le passkey soddisfano intrinsecamente i principi fondamentali dell'autenticazione a più fattori come definita da PCI DSS 4.0:

• Natura multi-fattore: Un evento di autenticazione con passkey combina tipicamente "qualcosa che hai" (il dispositivo fisico contenente la chiave privata, come uno smartphone o una chiave di sicurezza hardware) con "qualcosa che sei" (un dato biometrico come un'impronta digitale o una scansione facciale utilizzata per sbloccare la passkey sul dispositivo) o "qualcosa che sai" (un PIN o un pattern del dispositivo). Questi fattori sono indipendenti; compromettere un PIN del dispositivo, ad esempio, non compromette intrinsecamente la chiave crittografica se il dispositivo stesso rimane sicuro.
• Resistenza al phishing: Come ampiamente discusso, le passkey sono resistenti al phishing per design grazie alla loro natura crittografica e al legame con l'origine. La chiave privata non viene mai esposta alla relying party o trasmessa sulla rete, e la passkey funzionerà solo sul dominio legittimo per cui è stata registrata. Ciò si allinea direttamente con la forte enfasi di PCI DSS 4.0 sulla mitigazione delle minacce di phishing.
• Resistenza al replay: Ogni autenticazione con passkey comporta una challenge crittografica unica dal server, che viene poi firmata dalla chiave privata. La firma risultante è valida solo per quella specifica challenge e sessione, rendendola resistente agli attacchi di replay. Ciò soddisfa il Requisito 8.5, che impone che i sistemi MFA debbano prevenire tali attacchi.

Rispetto alle password tradizionali, le passkey offrono un modello di sicurezza notevolmente superiore. Le password sono vulnerabili a una moltitudine di attacchi: phishing, ingegneria sociale, credential stuffing a causa del riutilizzo delle password, attacchi di forza bruta e furto da database violati. Le passkey eliminano queste vulnerabilità rimuovendo completamente dall'equazione il segreto condiviso (la password). L'autenticazione si basa sulla prova crittografica del possesso di una chiave privata, che a sua volta è protetta dalla sicurezza del dispositivo locale, piuttosto che su un segreto che può essere facilmente rubato o indovinato.

Il PCI Security Standards Council ha riconosciuto il potenziale della tecnologia delle passkey. Approfondimenti dal podcast "Coffee with the Council" del PCI SSC con una discussione con la FIDO Alliance forniscono chiarezza sulla loro posizione:

• Per l'accesso non amministrativo al Cardholder Data Environment (CDE) dall'interno della rete dell'entità (Requisito 8.4.2), il PCI SSC indica che i metodi di autenticazione resistenti al phishing come le passkey possono essere utilizzati al posto della MFA tradizionale. Questo è un riconoscimento significativo della forza delle passkey.
• Per l'accesso amministrativo al CDE (Requisito 8.4.1) e per qualsiasi accesso remoto alla rete (Requisito 8.4.3), mentre le passkey (come autenticazione resistente al phishing) sono raccomandate, devono essere utilizzate in combinazione con un altro fattore di autenticazione per soddisfare il requisito MFA. Ciò suggerisce un approccio basato sul rischio in cui scenari di accesso con privilegi più elevati o a rischio più elevato richiedono un ulteriore livello.
• Il PCI SSC sta sviluppando attivamente linee guida, come le FAQ, per aiutare le organizzazioni a capire come implementare le passkey in modo conforme e riconosce che le passkey rappresentano un cambiamento fondamentale rispetto al pensiero tradizionale basato sulle password.
• Inoltre, la documentazione di PCI DSS 4.0 fa esplicito riferimento all'autenticazione basata su FIDO come metodo preferito, sebbene non obbligatorio, per l'implementazione dell'MFA, sottolineando la sua coerenza con gli obiettivi dello standard.

Questa posizione consente alle organizzazioni di implementare strategicamente le passkey. Per la vasta base di utenti non amministrativi che accedono internamente al CDE, un login con passkey senza interruzioni può soddisfare i requisiti di conformità. Per amministratori e utenti remoti, le passkey forniscono una base solida e resistente al phishing per una soluzione MFA.

Mentre le passkey offrono un significativo miglioramento della sicurezza, i Qualified Security Assessors (QSA) di PCI DSS esamineranno attentamente la loro implementazione, specialmente per scenari di accesso ad alto rischio come l'accesso amministrativo al CDE (Requisito 8.4.1), per garantire che i veri principi dell'autenticazione a più fattori siano rispettati. Le considerazioni chiave includono il tipo di passkey, l'indipendenza dei fattori di autenticazione e l'uso dell'attestazione.

Come abbiamo già discusso, le passkey esistono in due forme principali:

• Passkey sincronizzate: Queste sono sincronizzate tra i dispositivi fidati di un utente tramite servizi cloud come iCloud Keychain di Apple o Google Password Manager. Offrono convenienza poiché una passkey creata su un dispositivo può essere utilizzata su un altro.
• Passkey associate al dispositivo: Queste sono legate a un authenticator fisico specifico, come una chiave di sicurezza hardware USB (ad esempio, YubiKey) o l'hardware sicuro di un telefono specifico. La chiave privata non lascia questo dispositivo specifico.

PCI DSS impone che i fattori MFA debbano essere indipendenti, il che significa che la compromissione di un fattore non compromette gli altri. Una passkey combina tipicamente "qualcosa che hai" (il dispositivo con la chiave privata) e "qualcosa che sai/sei" (il PIN del dispositivo locale o la biometria per sbloccare la chiave).

Con le passkey sincronizzate, sebbene altamente sicure contro molti attacchi, alcuni QSA potrebbero sollevare dubbi riguardo all'assoluta indipendenza del fattore di "possesso" per l'accesso amministrativo (Requisito 8.4.1). La preoccupazione è che se l'account cloud dell'utente (ad esempio, l'ID Apple, l'account Google) che sincronizza le passkey viene compromesso, la chiave privata potrebbe potenzialmente essere clonata su un dispositivo controllato dall'aggressore. Ciò potrebbe portare alcuni valutatori a considerare una passkey sincronizzata, in contesti ad alto rischio, come potenzialmente non conforme alla rigida interpretazione di due fattori completamente indipendenti se il meccanismo di sincronizzazione stesso non è protetto in modo robusto con una propria MFA forte. Le linee guida del NIST, ad esempio, riconoscono le passkey sincronizzate come conformi ad AAL2, mentre le passkey associate al dispositivo possono soddisfare AAL3, che spesso implicano chiavi non esportabili.

• Comprendere i flag degli authenticator WebAuthn: Durante una cerimonia WebAuthn (che è alla base delle passkey), gli authenticator riportano alcuni flag. Due importanti sono:
  • uv=1 (User Verified): Questo flag indica che l'utente ha verificato con successo la propria presenza all'authenticator localmente, tipicamente usando un PIN del dispositivo o la biometria. Questa verifica agisce come uno dei fattori di autenticazione – "qualcosa che sai" (PIN) o "qualcosa che sei" (biometria).
  • up=1 (User Present): Questo flag conferma che l'utente era presente e ha interagito con l'authenticator durante la cerimonia (ad esempio, toccando una chiave di sicurezza). Sebbene sia cruciale per provare l'intento dell'utente e prevenire alcuni attacchi remoti, la presenza dell'utente stessa non è generalmente considerata un fattore di autenticazione separato e indipendente per soddisfare il requisito multi-fattore dell'MFA. È una caratteristica di sicurezza importante ma di solito non conta come un secondo fattore da solo.
• Il ruolo delle passkey associate al dispositivo e delle chiavi di sicurezza hardware:
  Per l'accesso amministrativo (Requisito 8.4.1) e altri scenari ad alta garanzia, le passkey associate al dispositivo memorizzate su chiavi di sicurezza hardware offrono un argomento più forte per l'indipendenza dei fattori. Poiché la chiave privata è progettata per non lasciare mai il token hardware, il fattore "qualcosa che hai" è protetto in modo più robusto contro la clonazione tramite attacchi basati su software o la compromissione dell'account cloud. Questo le rende un'opzione preferita per molte organizzazioni che cercano di soddisfare le rigide aspettative dei QSA per l'MFA amministrativa.

L'attestazione è una funzionalità di WebAuthn in cui l'authenticator fornisce informazioni verificabili su se stesso (ad esempio, marca, modello, stato di certificazione, se è supportato da hardware) alla relying party (il tuo server FIDO) durante il processo di registrazione della passkey.

• Perché è importante per PCI DSS: L'attestazione può fornire prove cruciali ai QSA che gli authenticator utilizzati soddisfano le policy di sicurezza dell'organizzazione e sono genuinamente ciò che dichiarano di essere (ad esempio, una chiave di sicurezza hardware certificata). Ciò può essere particolarmente importante quando si dimostra la forza e l'indipendenza dei fattori di autenticazione.
• Raccomandazione: Per accessi ad alta sicurezza come l'accesso amministrativo al CDE, è altamente raccomandato l'uso di passkey su chiavi di sicurezza hardware che supportano un'attestazione robusta. Ciò consente all'organizzazione di applicare policy sui tipi di authenticator accettabili e fornire prove più solide di conformità.

In pratica, per evitare attriti durante l'audit per il Requisito 8.4.1, molte aziende scelgono di emettere passkey associate al dispositivo su chiavi di sicurezza hardware che offrono forti garanzie di protezione della chiave e potenzialmente di attestazione.

Per illustrare chiaramente come le passkey colmano il divario e soddisfano i controlli dettagliati nel Requisito 8, la seguente tabella mappa specifiche caratteristiche delle passkey e caratteristiche alle sottoclausole pertinenti, indicando la loro idoneità per diversi scenari.

Questa mappatura dimostra che le passkey non sono solo una soluzione teorica, ma una soluzione pratica e robusta per soddisfare le avanzate esigenze di autenticazione di PCI DSS 4.0.

Il panorama della sicurezza dei pagamenti è complesso e in continua evoluzione. PCI DSS 4.0 riflette questa realtà, stabilendo uno standard più elevato per i controlli di sicurezza, in particolare nel campo dell'autenticazione. Mentre le organizzazioni si sforzano di soddisfare queste nuove e più stringenti richieste, le passkey — basate sugli standard FIDO/WebAuthn — emergono non solo come una soluzione conforme, ma come una tecnologia trasformativa pronta a ridefinire l'accesso sicuro.

Lungo tutta questa analisi, due domande centrali hanno guidato la nostra esplorazione:

1. Dato che PCI DSS 4.0 innalza gli standard di autenticazione, come possono le organizzazioni soddisfare efficacemente questi nuovi e stringenti requisiti senza sovraccaricare utenti o team di sicurezza? L'evidenza suggerisce fortemente che le organizzazioni possono soddisfare efficacemente i requisiti di autenticazione di PCI DSS 4.0 adottando strategicamente soluzioni di autenticazione a più fattori (MFA) resistenti al phishing come le passkey. Queste tecnologie bilanciano intrinsecamente una sicurezza robusta e verificata crittograficamente con esperienze utente notevolmente migliorate e spesso più veloci. Inoltre, la possibilità prevista da PCI DSS 4.0 di "implementazioni personalizzate" consente alle organizzazioni di adattare tali soluzioni avanzate ai loro specifici ambienti e profili di rischio, superando un approccio unico per tutti. Le stesse linee guida del PCI SSC facilitano ulteriormente questo processo, consentendo una conformità semplificata per un'ampia fascia di utenti e riservando approcci più stratificati per gli accessi amministrativi e remoti a più alto rischio.
2. Le tecnologie emergenti come le passkey possono non solo soddisfare i robusti controlli di autenticazione di PCI DSS 4.0, ma anche offrire vantaggi tangibili oltre la mera conformità, come una maggiore sicurezza e una migliore efficienza operativa? La risposta è un chiaro sì. Le passkey sono dimostrabilmente in grado di soddisfare i controlli di autenticazione principali del Requisito 8 di PCI DSS 4.0, inclusi i criteri di MFA, resistenza al phishing e resistenza al replay. Tuttavia, il loro valore si estende oltre la mera conformità. Il design intrinseco delle passkey — eliminando i segreti condivisi e legando l'autenticazione a origini specifiche — riduce drasticamente il rischio di attacchi di phishing riusciti e di account takeover, portando a riduzioni tangibili delle perdite legate alle frodi. Operativamente, l'abbandono delle password si traduce in un minor numero di ticket di helpdesk legati alle password, con un risparmio di costi e una liberazione di risorse IT. Gli utenti beneficiano di un'esperienza di login più semplice, veloce e meno frustrante, che può migliorare la produttività e la soddisfazione del cliente. Inoltre, laddove le password vengono completamente sostituite dalle passkey per percorsi di accesso specifici, l'onere di audit per i controlli specifici delle password viene eliminato, snellendo potenzialmente gli sforzi di conformità in quelle aree.

Il viaggio verso un ecosistema di pagamento veramente sicuro è continuo. PCI DSS 4.0 stabilisce nuove pietre miliari e l'autenticazione con passkey fornisce un potente veicolo per raggiungerle. Le organizzazioni che elaborano, archiviano o trasmettono dati dei titolari di carta sono fortemente incoraggiate a valutare e iniziare a pianificare l'adozione delle passkey. Non si tratta semplicemente di aderire all'ultima versione di uno standard; si tratta di abbracciare un approccio all'autenticazione più sicuro, efficiente e incentrato sull'utente, in linea con il futuro dell'identità digitale. Implementando strategicamente le passkey, le aziende possono rafforzare le loro difese contro le minacce in evoluzione, proteggere i preziosi dati di pagamento e costruire una maggiore fiducia con i loro clienti in un mondo sempre più digitale.