--- url: 'https://www.corbado.com/it/blog/pci-dss-4-0-autenticazione-passkeys' title: 'Autenticazione PCI DSS 4.0: Passkeys' description: 'Scopri come l''autenticazione con passkey soddisfa i requisiti MFA di PCI DSS 4.0, aumenta la sicurezza e semplifica la conformità per gli esercenti che gestiscono i dati dei titolari di carta.' lang: 'it' author: 'Vincent Delitz' date: '2025-07-15T13:25:36.830Z' lastModified: '2026-03-25T10:05:52.524Z' keywords: 'pci dss, pci, autenticazione pci, pci ssc' category: 'Passkeys Strategy' --- # Autenticazione PCI DSS 4.0: Passkeys ## 1. Introduzione Il panorama digitale è in costante evoluzione e, con esso, la sofisticazione e la frequenza delle minacce informatiche continuano ad aumentare. I dati delle [carte di pagamento](https://www.corbado.com/passkeys-for-payment) restano un obiettivo primario per gli attori malintenzionati, rendendo indispensabili standard di [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) solidi per qualsiasi organizzazione che li gestisca. Il [Payment](https://www.corbado.com/passkeys-for-payment) Card Industry Data Security Standard (PCI DSS) è da tempo il punto di riferimento per la protezione dei dati dei titolari di carta. La sua ultima versione, [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) 4.0, rappresenta un significativo [passo avanti](https://listings.pcisecuritystandards.org/documents/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r1.pdf), affrontando direttamente le minacce moderne attraverso, tra gli altri miglioramenti, requisiti di [autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) notevolmente rafforzati. Mentre le organizzazioni affrontano queste nuove esigenze, le tecnologie emergenti offrono soluzioni promettenti. Le passkey, basate sugli standard della FIDO (Fast Identity Online) Alliance e sul protocollo WebAuthn, sono in prima linea in questa nuova ondata di [autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless). Offrono un approccio senza password e resistente al [phishing](https://www.corbado.com/glossary/phishing), migliorando il modo in cui viene protetto l'accesso ai dati sensibili. **Questo articolo analizza i cambiamenti cruciali introdotti da PCI DSS 4.0, in particolare per quanto riguarda l'autenticazione sicura**, esplora le capacità dell'[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) con passkey e fornisce una roadmap per sfruttare questa tecnologia per raggiungere e mantenere la conformità. Questa esplorazione porta a due importanti domande per le organizzazioni che navigano in questa nuova frontiera: 1. **Autenticazione**: _Dato che PCI DSS 4.0 innalza gli standard di autenticazione, come possono le organizzazioni soddisfare efficacemente questi nuovi e stringenti requisiti senza sovraccaricare utenti o team di sicurezza?_ 2. **Passkey e conformità PCI**: _Le tecnologie emergenti come le passkey possono soddisfare i controlli di autenticazione di PCI DSS 4.0, migliorare la sicurezza e aumentare l'efficienza operativa?_ Questo articolo si propone di fornire risposte, guidando i professionisti tecnici verso un futuro più sicuro e conforme. ## 2. Comprendere PCI DSS e le modifiche della versione 4.0 Per apprezzare il ruolo delle passkey nell'attuale panorama della conformità, è fondamentale comprendere il framework [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) e la significativa evoluzione segnata dalla versione 4.0. ### 2.1 Cos'è il Payment Card Industry Data Security Standard (PCI DSS)? Il [PCI Data Security Standard](https://www.pcisecuritystandards.org/standards/) è uno standard globale di [sicurezza informatica](https://www.corbado.com/it/glossary/malware) progettato per proteggere i dati di [pagamento](https://www.corbado.com/passkeys-for-payment). Si applica a tutte le entità che archiviano, elaborano o trasmettono dati dei titolari di carta, includendo esercenti, elaboratori, [acquirer](https://www.corbado.com/glossary/acquirer), emittenti e fornitori di servizi. Lo standard è stato [sviluppato dai principali marchi di carte di pagamento](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) (American Express, Discover [Financial Services](https://www.corbado.com/passkeys-for-banking), JCB International, [MasterCard](https://www.corbado.com/blog/mastercard-passkeys) e [Visa](https://www.corbado.com/blog/visa-passkeys)) che hanno formato il [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) Security Standards Council (PCI SSC) il 7 settembre 2006, per gestirne la continua evoluzione. Il [PCI DSS](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) consiste in un insieme completo di [requisiti tecnici e operativi](https://www.pcisecuritystandards.org/standards/), che costituiscono una base per la protezione dei dati di pagamento durante tutto il loro ciclo di vita. ### 2.2 Il PCI Security Standards Council (PCI SSC) e la sua missione Il [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) opera come un [forum globale](https://www.pcisecuritystandards.org/), riunendo gli [stakeholder](https://www.corbado.com/blog/passkeys-stakeholder) del settore dei [pagamenti](https://www.corbado.com/it/blog/credenziali-digitali-pagamenti-apple-vs-google-wallet) per sviluppare e promuovere l'adozione di standard di [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) dei dati e risorse per [pagamenti](https://www.corbado.com/it/blog/credenziali-digitali-pagamenti-apple-vs-google-wallet) sicuri in tutto il mondo. Oltre al PCI DSS, il Council gestisce una [serie di standard](https://en.wikipedia.org/wiki/Payment_Card_Industry_Security_Standards_Council) che affrontano vari aspetti della [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) dei [pagamenti](https://www.corbado.com/it/blog/credenziali-digitali-pagamenti-apple-vs-google-wallet). La sua missione è migliorare la sicurezza dei dati dei conti di pagamento a livello globale, sviluppando standard e servizi di supporto che [promuovono l'istruzione, la consapevolezza e un'efficace implementazione](https://www.researchgate.net/publication/385008508_Achieving_PCI-DSS_Compliance_in_Payment_Gateways_A_Comprehensive_Approach) da parte degli [stakeholder](https://www.corbado.com/blog/passkeys-stakeholder). ### 2.3 Evoluzione a PCI DSS 4.0: fattori chiave e obiettivi Gli [standard PCI DSS 4.0](https://www.commerce.uwo.ca/pdf/PCI-DSS-v4_0.pdf), rilasciati ufficialmente a marzo 2022, [con una successiva revisione minore (v4.0.1) per rispondere al feedback degli stakeholder](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf), segnano l'aggiornamento più significativo dello standard da anni. Il motore principale di questa evoluzione è stata la necessità di affrontare il panorama sempre più sofisticato delle minacce informatiche e il mutevole ambiente tecnologico nel settore dei pagamenti. Gli obiettivi principali di PCI DSS 4.0 sono: - **Soddisfare le esigenze di sicurezza in evoluzione del settore dei pagamenti:** garantire che lo standard rimanga efficace contro le minacce attuali ed emergenti, come il [phishing](https://www.corbado.com/glossary/phishing) basato sull'IA. - **Promuovere la sicurezza come processo continuo:** spostare l'attenzione dalla conformità puntuale a una [disciplina di sicurezza continua](https://www.fortra.com/resources/guides/pci-dss-4-compliance). - **Migliorare i metodi e le procedure di convalida:** aumentare il rigore e la coerenza delle valutazioni di conformità. - **Aggiungere flessibilità e supportare metodologie aggiuntive:** consentire alle organizzazioni maggiore libertà nel modo in cui raggiungono gli obiettivi e i risultati di sicurezza. ### 2.4 Cambiamenti principali nella versione 4.0: focus sui risultati di sicurezza, sicurezza continua, implementazione personalizzata e tempistiche di transizione [PCI DSS 4.0 introduce](https://www.middlebury.edu/sites/default/files/2025-01/PCI-DSS-v4_0_1.pdf) diversi cambiamenti fondamentali che influenzano il modo in cui le organizzazioni approcciano la conformità: **Focus sui risultati di sicurezza anziché sui controlli prescrittivi** Un cambiamento fondamentale è il passaggio da controlli principalmente prescrittivi a un'enfasi sui risultati di sicurezza. Lo standard stesso elabora questa flessibilità: > _Sezione 8: Approcci per l'implementazione e la convalida di PCI DSS_ > > Per supportare la flessibilità nel raggiungimento degli obiettivi di sicurezza, esistono > due approcci per l'implementazione e la convalida di PCI DSS. > > L'approccio personalizzato si concentra sull'obiettivo di ciascun requisito PCI DSS, > consentendo alle entità di implementare controlli per soddisfare l'obiettivo dichiarato > del requisito in un modo che non segue strettamente il requisito definito. Questo cambiamento significa che, mentre PCI DSS 3.2.1 offriva istruzioni dettagliate su _cosa_ fare, la versione 4.0 consente alle organizzazioni maggiore flessibilità su _come_ soddisfano i requisiti. Le aziende possono implementare i controlli più adatti al loro ambiente, a condizione che possano dimostrare che tali controlli raggiungono gli obiettivi di sicurezza dichiarati. Ciò è particolarmente rilevante per l'adozione di tecnologie innovative come le passkey, che potrebbero non rientrare perfettamente nelle descrizioni dei controlli più vecchie e rigide. Questa flessibilità, tuttavia, comporta l'aspettativa che le organizzazioni conducano valutazioni approfondite del rischio e giustifichino chiaramente le metodologie di controllo scelte. **Sicurezza continua (Business-as-Usual)** Un altro principio chiave di PCI DSS 4.0 è la promozione della sicurezza come processo continuo, business-as-usual (BAU). Lo standard dettaglia questo nella Sezione 5: > _Sezione 5: Best practice per l'implementazione di PCI DSS nei processi > Business-as-Usual_ > > Un'entità che implementa processi business-as-usual... sta adottando misure per > garantire che i controlli di sicurezza... continuino a essere implementati correttamente > e a funzionare adeguatamente come parte delle normali attività aziendali. > > Alcuni [requisiti PCI DSS](https://www.corbado.com/it/blog/conformita-sicurezza-informatica) sono concepiti per > agire come processi BAU, monitorando i controlli di sicurezza per garantirne l'efficacia > su base continuativa. Questa enfasi sui processi "business-as-usual" (BAU) significa che le organizzazioni devono integrare la sicurezza nelle loro attività di routine. Si tratta di promuovere una cultura in cui la sicurezza non è un pensiero secondario o una corsa annuale, ma una parte integrante delle operazioni, garantendo un monitoraggio continuo, valutazioni regolari e posture di sicurezza adattive per assicurare una protezione sostenuta dei dati dei titolari di carta. Per le implementazioni di passkey, ciò si traduce in una vigilanza continua nel monitorare la loro efficacia, i modelli di adozione da parte degli utenti e qualsiasi minaccia emergente, rendendo la sicurezza uno sforzo sostenuto piuttosto che un esercizio di conformità puntuale. **Implementazione personalizzata e analisi mirata del rischio** Una nuova caratteristica significativa di PCI DSS 4.0 è l'opzione formalizzata per l'[implementazione personalizzata](https://blog.pcisecuritystandards.org/pci-dss-v4-0-compensating-controls-vs-customized-approach), che è intrinsecamente legata a una rigorosa valutazione del rischio. Lo standard impone questa connessione nel Requisito 12.3.2: > _Requisito 12.3.2: Supportare la sicurezza delle informazioni con policy e programmi > organizzativi_ > > Viene eseguita un'analisi mirata del rischio per ogni requisito PCI DSS che l'entità > soddisfa con l'approccio personalizzato, che deve includere ... prove documentate ... > l'approvazione da parte del senior management e l'esecuzione dell'analisi mirata del > rischio almeno una volta ogni 12 mesi. Questa opzione formalizzata consente alle organizzazioni di raggiungere gli obiettivi di sicurezza utilizzando nuove tecnologie e controlli innovativi su misura per i loro ambienti unici, anziché aderire strettamente a metodi prescrittivi. Tuttavia, come sottolinea la citazione, questa flessibilità si basa sull'esecuzione di un'analisi mirata del rischio per ogni controllo personalizzato. Questa analisi deve essere documentata, approvata dal senior management e rivista annualmente. Un valutatore di terze parti (Qualified Security Assessor o QSA) convalida quindi questi controlli personalizzati esaminando l'approccio documentato dell'organizzazione, inclusa l'analisi del rischio, e sviluppando procedure di test specifiche. Questo percorso è un fattore chiave per soluzioni come le passkey, consentendo alle organizzazioni di sfruttare efficacemente le loro funzionalità di sicurezza avanzate, a condizione che possano dimostrare attraverso la valutazione del rischio che il loro approccio soddisfa gli obiettivi di sicurezza. La capacità di personalizzare l'implementazione, supportata da una solida analisi del rischio, riflette la consapevolezza che la rapida evoluzione sia delle minacce che delle tecnologie difensive rende i controlli rigidi e prescrittivi meno adattabili nel tempo. **Tempistiche di transizione** PCI DSS 3.2.1 è rimasto attivo insieme alla v4.0 fino al 31 marzo 2024, data dopo la quale è stato ritirato. I nuovi requisiti introdotti in PCI DSS 4.0 sono stati considerati best practice fino al 31 marzo 2025. Dopo tale data, questi nuovi requisiti diventano obbligatori per tutte le valutazioni. Questo approccio graduale ha fornito alle organizzazioni una finestra di tempo per comprendere, pianificare e implementare le modifiche. Questi cambiamenti segnalano collettivamente un approccio più maturo, adattabile e incentrato sul rischio alla sicurezza delle carte di pagamento, preparando il terreno per l'adozione di meccanismi di autenticazione più forti e moderni. ## 3. La posta in gioco è alta: le implicazioni della non conformità a PCI DSS La mancata conformità ai [requisiti PCI DSS](https://www.corbado.com/it/blog/conformita-sicurezza-informatica) non è una semplice svista; comporta conseguenze significative e multiformi che possono avere un impatto grave sulla stabilità finanziaria, sulla posizione legale e sulla reputazione di un'organizzazione. ### 3.1 Sanzioni finanziarie La conseguenza più diretta della non conformità è l'imposizione di [sanzioni finanziarie](https://www.securitycompass.com/blog/pci-non-compliance-fees/). Queste multe sono generalmente imposte dalle banche [acquirer](https://www.corbado.com/glossary/acquirer) e dagli elaboratori di pagamento, non direttamente dal [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys). Le sanzioni possono essere sostanziose, variando da [5.000 a 100.000 dollari al mese](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance), a seconda del volume di transazioni elaborate (che determina il livello dell'esercente, ad esempio, Livello 1 per oltre 6 milioni di transazioni annuali rispetto al Livello 4 per meno di 20.000 transazioni di [e-commerce](https://www.corbado.com/passkeys-for-e-commerce)) e della durata e gravità della non conformità. Ad esempio, un esercente di Livello 1 non conforme per diversi mesi ha maggiori probabilità di affrontare sanzioni nella fascia alta di questo intervallo, mentre le aziende più piccole di Livello 4 potrebbero incorrere in multe più vicine a 5.000 dollari mensili. È fondamentale capire che queste multe possono rappresentare un [onere mensile ricorrente](https://www.ixopay.com/blog/5-consequences-of-pci-noncompliance). Questa persistente pressione finanziaria, potenzialmente aggravata da [commissioni di transazione più elevate](https://www.securitycompass.com/blog/pci-non-compliance-fees/) che gli elaboratori di pagamento possono addebitare alle aziende non conformi, significa che il costo cumulativo della _non conformità_ supera di gran lunga l'investimento necessario per _raggiungere e mantenere la conformità_. Ciò ridefinisce la conformità non come un semplice centro di costo, ma come un investimento critico per la mitigazione del rischio. Investire in misure di sicurezza solide, inclusa un'autenticazione forte come le passkey, diventa una decisione finanziariamente prudente per evitare questi costi maggiori, spesso imprevedibili e potenzialmente paralizzanti. ### 3.2 Ripercussioni legali e normative Oltre alle multe dirette, la non conformità può portare a serie sfide legali, specialmente se si traduce in una violazione dei dati. I clienti i cui dati sono compromessi possono avviare azioni legali, e anche i marchi delle carte possono intraprendere azioni legali. Uno stato di non conformità può rendere considerevolmente più facile per i querelanti dimostrare la negligenza da parte dell'organizzazione, portando potenzialmente a costosi accordi e sentenze. ### 3.3 Danno reputazionale e perdita di fiducia dei clienti Forse una delle conseguenze più dannose, sebbene meno quantificabile, è il danno alla reputazione di un'organizzazione. Una singola mancata conformità, in particolare una che porta a una violazione dei dati, può erodere gravemente la fiducia dei clienti. Una volta persa, questa fiducia è difficile da riconquistare, spesso con conseguente perdita di clienti, perdita di affari a favore della concorrenza e danni a lungo termine all'immagine del marchio. Violazioni ripetute o gravi possono persino portare alla [revoca dei privilegi di elaborazione dei pagamenti di un'organizzazione](https://www.securitycompass.com/blog/pci-non-compliance-fees/) da parte dei marchi delle carte o delle banche [acquirer](https://www.corbado.com/glossary/acquirer), tagliando di fatto la loro capacità di accettare pagamenti con carta. Ciò sottolinea l'importanza di considerare la conformità non solo come un requisito tecnico, ma come una componente fondamentale della fiducia nel marchio e della continuità aziendale. ### 3.4 Costi di risarcimento per violazione dei dati Se la non conformità contribuisce a una violazione dei dati, l'organizzazione sarà probabilmente responsabile di ingenti costi di risarcimento oltre a multe e spese legali. Questi costi possono includere la fornitura ai clienti interessati di servizi come il monitoraggio gratuito del credito, l'[assicurazione](https://www.corbado.com/passkeys-for-insurance) contro il furto di identità e il rimborso per addebiti fraudolenti o commissioni di servizio. Inoltre, il costo della riemissione delle carte di pagamento compromesse, stimato tra 3 e 5 dollari per carta, può rapidamente raggiungere milioni di dollari per violazioni che colpiscono un gran numero di titolari di carta. Al contrario, se un'organizzazione subisce una violazione pur essendo pienamente conforme a PCI DSS, le multe associate possono essere ridotte o addirittura eliminate, poiché la conformità dimostra la dovuta diligenza e un impegno per la sicurezza, anziché negligenza. L'insieme dei potenziali esiti negativi evidenzia che la conformità a PCI DSS è un aspetto indispensabile delle moderne operazioni aziendali per qualsiasi entità coinvolta nell'ecosistema delle carte di pagamento. ## 4. I controlli di autenticazione rafforzati di PCI DSS 4.0: uno sguardo approfondito al Requisito 8 Il Requisito 8 di PCI DSS è sempre stato una pietra miliare dello standard. Con la versione 4.0, le sue disposizioni sono state notevolmente rafforzate, riflettendo il ruolo critico di un'autenticazione robusta nel prevenire l'accesso non autorizzato ai dati sensibili dei titolari di carta e ai sistemi che li elaborano. ### 4.1 Panoramica del Requisito 8: identificare e autenticare l'accesso ai componenti di sistema L'obiettivo primario del Requisito 8 è garantire che ogni individuo che accede ai componenti di sistema all'interno del Cardholder Data Environment (CDE) o ad esso connessi possa essere identificato in modo univoco e autenticato in modo robusto. Questo è importante per mantenere l'integrità e la sicurezza dei dati dei titolari di carta, prevenendo l'accesso non autorizzato e garantendo che tutte le azioni possano essere ricondotte a un utente specifico e noto, stabilendo così la responsabilità individuale. ### 4.2 Mandati rafforzati per l'autenticazione a più fattori (MFA) Una grande evoluzione in PCI DSS 4.0 è l'espansione e il rafforzamento dei requisiti di autenticazione a più fattori (MFA): - **MFA universale per l'accesso al CDE:** A differenza di PCI DSS 3.2.1, che richiedeva principalmente l'[MFA](https://www.corbado.com/it/blog/psd2-passkey) per l'accesso amministrativo e tutti gli accessi remoti al CDE, la versione 4.0 richiede l'[MFA](https://www.corbado.com/it/blog/psd2-passkey) per _tutti_ gli accessi al CDE. Ciò include l'accesso da parte di amministratori, utenti generici e fornitori di terze parti, indipendentemente dal fatto che l'accesso provenga dall'interno o dall'esterno della rete. Questa significativa espansione sottolinea il riconoscimento da parte del [PCI SSC](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) dell'[MFA](https://www.corbado.com/it/blog/psd2-passkey) come controllo di sicurezza fondamentale.\ Lo standard specifica questi requisiti: > _Estratti dal Requisito 8_ > > "8.4.1 L'MFA è implementata per tutti gli accessi non da console al CDE per il > personale con accesso amministrativo."  > > "8.4.3 L'MFA è implementata per tutti gli accessi remoti provenienti dall'esterno > della rete dell'entità che potrebbero accedere o avere un impatto sul CDE."  - **Requisiti dei fattori:** Le implementazioni MFA devono utilizzare almeno due dei tre tipi di fattori di autenticazione riconosciuti: - Qualcosa che sai (es. password, PIN) - Qualcosa che hai (es. un token, una [smart card](https://www.corbado.com/glossary/smart-card) o un dispositivo che contiene una passkey) - Qualcosa che sei (es. dati biometrici come un'impronta digitale o il riconoscimento facciale). È fondamentale che questi fattori siano indipendenti, il che significa che la compromissione di un fattore non compromette gli altri. - **Integrità del sistema MFA:** I sistemi MFA devono essere progettati per resistere agli attacchi di replay (in cui un aggressore intercetta e riutilizza i dati di autenticazione) e devono concedere l'accesso solo dopo che tutti i fattori di autenticazione richiesti sono stati convalidati con successo. - **Nessun bypass non autorizzato:** L'MFA non deve essere aggirabile da nessun utente, inclusi gli amministratori, a meno che non venga concessa un'eccezione specifica e documentata dalla direzione per ogni singolo caso e per un periodo di tempo limitato. - **Autenticazione resistente al phishing come eccezione:** PCI DSS 4.0 introduce anche ulteriori indicazioni riguardanti i fattori di autenticazione resistenti al [phishing](https://www.corbado.com/glossary/phishing), che possono, in alcuni casi, soddisfare l'intento dell'MFA. > _Estratti dal Requisito 8_ > > "Questo requisito non si applica a... account utente che sono autenticati solo con > fattori di autenticazione resistenti al phishing." — Note di applicabilità al 8.4.2 >  > > "Autenticazione resistente al phishing... Esempi di autenticazione resistente al > phishing includono [FIDO2](https://www.corbado.com/glossary/fido2)." — Appendice G, definizione del > glossario di Autenticazione Resistente al Phishing  Le implicazioni dell'autenticazione resistente al phishing, come evidenziato da questi estratti, saranno esplorate ulteriormente nella prossima sezione (4.3). ### 4.3 Enfasi sull'autenticazione resistente al phishing PCI DSS 4.0 pone una notevole enfasi sull'uso di metodi di autenticazione resistenti al phishing. Questa è una risposta diretta alla prevalenza e al successo degli attacchi di phishing nel compromettere le credenziali tradizionali. - **Autenticazione resistente al phishing come alternativa/complemento all'MFA:** - Uno sviluppo cruciale nell'ambito del Requisito 8.4.2 è che i metodi di autenticazione resistenti al phishing possono essere utilizzati [_al posto della_ MFA tradizionale](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) per tutti gli accessi non amministrativi al CDE provenienti dall'interno della rete dell'entità. Questa è una disposizione significativa per tecnologie come le passkey, che sono intrinsecamente resistenti al phishing. Segnala che il PCI SSC considera questi metodi avanzati come fornitori di un livello di garanzia paragonabile o addirittura superiore ad alcune combinazioni MFA tradizionali per questo specifico caso d'uso. - \*\*Tuttavia, per l'accesso amministrativo al CDE (Requisito 8.4.1) e per tutti gli accessi remoti al CDE provenienti dall'esterno della rete dell'entità (Requisito 8.4.3), sebbene l'autenticazione resistente al phishing sia fortemente raccomandata, [_deve essere combinata con almeno un altro fattore di autenticazione_](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) per soddisfare il requisito MFA. Questa distinzione richiede un approccio sfumato all'implementazione delle passkey, potenzialmente una strategia a più livelli in cui le passkey da sole sono sufficienti per gli utenti interni generici, ma le passkey combinate con un altro fattore sono utilizzate per scenari di accesso a rischio più elevato. - **Riconoscimento di FIDO e approfondimenti degli esperti:** Lo standard menziona specificamente l'autenticazione basata su FIDO (che è alla base delle passkey) come metodo preferito per raggiungere l'MFA, in gran parte grazie alle sue robuste caratteristiche di resistenza al phishing. Ulteriori approfondimenti su questo argomento sono stati condivisi nell'episodio del podcast del PCI SSC "Coffee with the Council", "Passwords Versus Passkeys: A Discussion with the [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)" ([https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance)). Nel podcast, Andrew Jamieson, VP Distinguished Standards Architect presso PCI SSC, ha sottolineato il valore di queste tecnologie: > "Ribadirei che ritengo l'autenticazione resistente al phishing una grande > tecnologia. È qualcosa che può risolvere molti dei problemi che abbiamo con le > password. E suggerirei vivamente, quando le persone valutano quali tecnologie > implementare per l'autenticazione, di dare un'occhiata all'autenticazione resistente > al phishing e a ciò che può offrire, ma anche di capire che è un po' diversa da ciò > a cui le persone sono abituate e di esaminare come possono integrarla correttamente > e in modo sicuro nella loro architettura di autenticazione complessiva." Megan Shamas, Chief Marketing Officer della [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) (vedi [FIDO Leadership](https://fidoalliance.org/overview/leadership/)), ha evidenziato il cambiamento fondamentale che queste tecnologie rappresentano e la necessità che le policy si adattino: > "È fondamentalmente diverso da ciò a cui siamo abituati con password più fattore, > fattore, fattore, e abbiamo evoluto la tecnologia e ora anche le persone devono > evolvere i loro requisiti e le loro policy di conseguenza. E questo aiuterà davvero > le organizzazioni a intraprendere la strada giusta per sbarazzarsi > dell'autenticazione vulnerabile al phishing." Questa prospettiva congiunta sottolinea il movimento del settore verso metodi di autenticazione più sicuri e moderni. ### 4.4 Nuovi requisiti per password e passphrase (se utilizzate) Mentre PCI DSS 4.0 spinge fortemente verso l'MFA e i metodi resistenti al phishing, inasprisce anche i requisiti per password e passphrase se sono ancora in uso: - **Aumento di lunghezza e complessità:** La lunghezza minima della password è stata aumentata da sette caratteri nella v3.2.1 a 12 caratteri nella v4.0 (o almeno 8 caratteri se il sistema non supporta 12). Le password devono anche includere un mix di caratteri numerici e alfabetici. - **Frequenza di cambio password:** Le password devono essere cambiate almeno ogni 90 giorni se sono l'_unico_ fattore utilizzato per l'autenticazione (cioè, nessuna MFA è applicata a quell'account per quell'accesso). Questo requisito può essere derogato se l'MFA è implementata per l'accesso, o se l'organizzazione impiega un'autenticazione continua e basata sul rischio che valuta dinamicamente l'accesso in tempo reale. Il significativo rafforzamento delle regole sulle password, unito ai mandati MFA ampliati e al chiaro sostegno degli approcci resistenti al phishing, segnala una direzione strategica da parte del PCI SSC: ridurre sistematicamente la dipendenza dalle password come meccanismo di autenticazione primario o unico. Le password sono da tempo riconosciute come un anello debole nella sicurezza, e PCI DSS 4.0 cerca attivamente di mitigare i loro rischi intrinseci rendendo il loro uso autonomo più rigoroso e meno attraente, promuovendo al contempo alternative più forti e moderne. Per illustrare chiaramente questi cambiamenti, la seguente tabella confronta gli aspetti chiave dell'autenticazione tra PCI DSS 3.2.1 e 4.0: **Tabella 1: Differenze chiave nell'autenticazione: PCI DSS 3.2.1 vs. 4.0** | Caratteristica | PCI DSS 3.2.1 | PCI DSS 4.0 | | :-------------------------------------- | :---------------------------------------------------------------------------------------------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **MFA per l'accesso al CDE** | Obbligatoria per l'accesso amministrativo non da console e per tutti gli accessi remoti al CDE. | Obbligatoria per [**tutti** gli accessi al CDE](https://drata.com/blog/pci-dss-v4-0) (amministrativi, non amministrativi, interni, remoti). | | **Lunghezza password (minima)** | 7 caratteri (numerici e alfabetici). | 12 caratteri (numerici e alfabetici); 8 se il sistema non supporta 12. | | **Frequenza di cambio password** | Ogni 90 giorni. | Ogni 90 giorni [**se la password è l'unico fattore**](https://www.securitymetrics.com/blog/password-updates-and-requirements-in-pci-4); può essere più lunga se si utilizza l'MFA o l'autenticazione basata sul rischio. | | **Enfasi sulla resistenza al phishing** | Limitata, affrontata principalmente attraverso la consapevolezza generale della sicurezza. | Forte enfasi; l'autenticazione resistente al phishing può sostituire l'MFA per alcuni accessi interni al CDE (Req 8.4.2). FIDO menzionato esplicitamente. | | **Uso di Passkey/FIDO** | Non affrontato esplicitamente come metodo primario. | L'autenticazione basata su FIDO è citata come metodo MFA preferito. Ai metodi resistenti al phishing (come le passkey) vengono assegnati ruoli specifici nel soddisfare i requisiti MFA. | Questo maggiore focus sull'autenticazione in PCI DSS 4.0 stabilisce una chiara direzione per le organizzazioni affinché rivalutino le loro strategie attuali ed esplorino soluzioni più resilienti come le passkey. ## 5. Passkey: il futuro dell'autenticazione resistente al phishing Basate sugli standard della [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), le passkey offrono un'alternativa fondamentalmente più sicura e facile da usare rispetto alle password tradizionali e persino ad alcune forme di MFA legacy. ### 5.1 Cosa sono le passkey? (Standard FIDO, WebAuthn) Una passkey è una credenziale digitale che consente agli utenti di accedere a siti web e applicazioni senza dover inserire una password. Sono basate sugli standard [FIDO2](https://www.corbado.com/glossary/fido2), un insieme di specifiche aperte sviluppate dalla FIDO Alliance. WebAuthn è uno standard del World Wide Web Consortium (W3C) che consente a browser e applicazioni web di eseguire un'autenticazione forte e resistente al phishing utilizzando coppie di chiavi crittografiche. In sostanza, le passkey sono un'implementazione di questi standard [FIDO2](https://www.corbado.com/glossary/fido2), sfruttando WebAuthn per le interazioni in ambienti web. Sostituiscono le password tradizionali con chiavi crittografiche uniche archiviate in modo sicuro sul dispositivo di un utente, come uno smartphone, un computer o una [chiave di sicurezza](https://www.corbado.com/it/blog/migliori-chiavi-sicurezza-hardware-fido2-2025) hardware. ### 5.2 Come funzionano le passkey: crittografia, associazione al dispositivo, biometria/PIN La sicurezza delle passkey si basa sulla crittografia a chiave pubblica. Quando un utente registra una passkey con un servizio (la "[relying party](https://www.corbado.com/glossary/relying-party)" o RP), viene generata una coppia di chiavi crittografiche unica: - Una **chiave privata**, che viene archiviata in modo sicuro sul dispositivo dell'utente. Questa chiave può risiedere all'interno di un modulo di sicurezza hardware (ad esempio, un TPM o un [Secure Enclave](https://www.corbado.com/glossary/secure-enclave)). La chiave privata non lascia mai questo archivio sicuro (tranne nel caso delle passkey sincronizzate, come verrà dettagliato in seguito). - Una **chiave pubblica**, che viene inviata e archiviata dalla [relying party](https://www.corbado.com/glossary/relying-party) (il sito web o il servizio applicativo) e associata all'account dell'utente. Durante l'autenticazione, il processo è il seguente: 1. La [relying party](https://www.corbado.com/glossary/relying-party) invia una "challenge" unica (un dato casuale) al dispositivo dell'utente. 2. Per sbloccare e utilizzare la chiave privata, l'utente esegue una verifica locale sul proprio dispositivo. Ciò comporta tipicamente l'uso di un identificatore biometrico (come un'impronta digitale o una scansione facciale), l'inserimento di un PIN del dispositivo o il disegno di un pattern. È importante sottolineare che questi dati biometrici o il PIN non lasciano mai il dispositivo dell'utente e non vengono trasmessi alla relying party. 3. Una volta sbloccata, la chiave privata sul dispositivo firma la challenge ricevuta dalla relying party. 4. Questa challenge firmata (l'"[assertion](https://www.corbado.com/glossary/assertion)") viene inviata alla relying party. 5. La relying party utilizza la chiave pubblica memorizzata corrispondente a quell'utente per verificare la firma sull'[assertion](https://www.corbado.com/glossary/assertion). Se la firma è valida, l'autenticazione ha successo. Esistono principalmente due tipi di passkey: - **Passkey sincronizzate:** Queste passkey possono essere sincronizzate tra i dispositivi fidati di un utente utilizzando gestori di credenziali basati su cloud come [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) di Apple o [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). Ciò offre convenienza, consentendo a una passkey creata su un dispositivo di essere utilizzata su un altro dispositivo di proprietà dello stesso utente all'interno dello stesso ecosistema. - **Passkey associate al dispositivo:** Queste passkey sono legate a un [authenticator](https://www.corbado.com/glossary/authenticator) fisico specifico, come una [chiave di sicurezza](https://www.corbado.com/it/blog/migliori-chiavi-sicurezza-hardware-fido2-2025) hardware USB (ad esempio, [YubiKey](https://www.corbado.com/glossary/yubikey)) o un'applicazione su un telefono particolare. La passkey non lascia questo dispositivo specifico. Questa base crittografica e il processo di verifica utente locale forniscono vantaggi di sicurezza intrinseci che affrontano direttamente molti vettori di attacco comuni. ### 5.3 Vantaggi di sicurezza intrinseci: resistenza al phishing, nessun segreto condiviso, protezione contro credential stuffing e account takeover (ATO) Il design delle passkey offre diversi vantaggi di sicurezza rispetto ai metodi di autenticazione tradizionali: - **Resistenza al phishing:** Questo è un vantaggio fondamentale. Le passkey sono crittograficamente legate all'origine specifica del sito web (il Relying Party ID o RP ID) per cui sono state create. Se un utente viene ingannato a visitare un sito di phishing falso che imita uno legittimo, il browser o il sistema operativo riconoscerà che il dominio corrente non corrisponde all'RP ID associato alla passkey. Di conseguenza, la passkey semplicemente non funzionerà e l'autenticazione fallirà. Ciò sposta l'onere di identificare i tentativi di phishing dall'utente umano, spesso fallibile, ai robusti protocolli di sicurezza della tecnologia stessa. - **Nessun segreto condiviso:** Con le passkey, non c'è un "segreto condiviso" come una password che è nota sia all'utente che al server e che può essere rubata. La chiave privata, che è il componente critico per l'autenticazione, non lascia mai il dispositivo sicuro dell'utente. La chiave pubblica, memorizzata dal server, è matematicamente legata alla chiave privata ma non può essere utilizzata per derivare la chiave privata o per impersonare l'utente. Ciò significa che anche se il server di una relying party viene violato e le chiavi pubbliche vengono rubate, sono inutili per gli aggressori senza le corrispondenti chiavi private. - **Protezione contro Credential Stuffing e attacchi di replay:** Gli attacchi di [credential stuffing](https://www.corbado.com/glossary/credential-stuffing), in cui gli aggressori utilizzano elenchi di nomi utente e password rubati per tentare di accedere a vari account, sono resi inefficaci perché non ci sono password da rubare e riutilizzare. Inoltre, ogni autenticazione con passkey comporta un meccanismo di challenge-response unico. La firma generata dalla chiave privata è specifica per la challenge ricevuta per quella particolare sessione di login, rendendo impossibile per un aggressore intercettare un'[assertion](https://www.corbado.com/glossary/assertion) di autenticazione e riprodurla in seguito per ottenere un accesso non autorizzato. - **Riduzione significativa del rischio di Account Takeover (ATO):** Neutralizzando efficacemente il phishing, eliminando i segreti condivisi e prevenendo gli attacchi di [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) e di replay, le passkey riducono drasticamente i principali vettori di attacco utilizzati per l'account takeover. Poiché gli aggressori non possono ottenere o utilizzare impropriamente le credenziali di autenticazione dell'utente, la probabilità di un ATO riuscito crolla. Questo cambiamento fondamentale dall'autenticazione basata sulla conoscenza (ciò che un utente sa, come una password) a una combinazione di autenticazione basata sul possesso (ciò che un utente ha – il suo dispositivo con la chiave sicura) e basata sull'inerenza o sulla conoscenza locale (ciò che un utente è tramite la [biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking), o ciò che sa localmente tramite un PIN del dispositivo) rompe fondamentalmente le catene di attacco che si basano sulla compromissione di segreti condivisi utilizzabili da remoto. A differenza di molte misure di sicurezza che aggiungono attrito, le passkey spesso migliorano l'esperienza dell'utente offrendo accessi più veloci e semplici senza la necessità di ricordare password complesse, un duplice vantaggio che può guidare l'adozione e migliorare la postura di sicurezza complessiva. ## 6. Colmare il divario: come le passkey soddisfano i controlli di autenticazione di PCI DSS 4.0 Le forti caratteristiche di sicurezza intrinseche delle passkey si allineano notevolmente bene con i controlli di autenticazione rafforzati imposti da PCI DSS 4.0, in particolare quelli delineati nel Requisito 8. Le passkey non solo soddisfano questi requisiti, ma spesso superano la sicurezza fornita dai metodi tradizionali. ### 6.1 Rispondere direttamente ai criteri di MFA e resistenza al phishing del Requisito 8 Le passkey soddisfano intrinsecamente i principi fondamentali dell'autenticazione a più fattori come definita da PCI DSS 4.0: - **Natura multi-fattore:** Un evento di autenticazione con passkey combina tipicamente "qualcosa che hai" (il dispositivo fisico contenente la chiave privata, come uno smartphone o una [chiave di sicurezza](https://www.corbado.com/it/blog/migliori-chiavi-sicurezza-hardware-fido2-2025) hardware) con "qualcosa che sei" (un dato biometrico come un'impronta digitale o una scansione facciale utilizzata per sbloccare la passkey sul dispositivo) o "qualcosa che sai" (un PIN o un pattern del dispositivo). Questi fattori sono indipendenti; compromettere un PIN del dispositivo, ad esempio, non compromette intrinsecamente la chiave crittografica se il dispositivo stesso rimane sicuro. - **Resistenza al phishing:** Come ampiamente discusso, le passkey sono resistenti al phishing per design grazie alla loro natura crittografica e al legame con l'origine. La chiave privata non viene mai esposta alla relying party o trasmessa sulla rete, e la passkey funzionerà solo sul dominio legittimo per cui è stata registrata. Ciò si allinea direttamente con la forte enfasi di PCI DSS 4.0 sulla mitigazione delle minacce di phishing. - **Resistenza al replay:** Ogni autenticazione con passkey comporta una challenge crittografica unica dal server, che viene poi firmata dalla chiave privata. La firma risultante è valida solo per quella specifica challenge e sessione, rendendola resistente agli attacchi di replay. Ciò soddisfa il Requisito 8.5, che impone che i sistemi MFA debbano prevenire tali attacchi. ### 6.2 Superare la sicurezza basata su password tradizionali Rispetto alle password tradizionali, le passkey offrono un modello di sicurezza notevolmente superiore. Le password sono vulnerabili a una moltitudine di attacchi: phishing, ingegneria sociale, [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) a causa del riutilizzo delle password, attacchi di forza bruta e furto da database violati. Le passkey eliminano queste vulnerabilità rimuovendo completamente dall'equazione il segreto condiviso (la password). L'autenticazione si basa sulla prova crittografica del possesso di una chiave privata, che a sua volta è protetta dalla sicurezza del dispositivo locale, piuttosto che su un segreto che può essere facilmente rubato o indovinato. ### 6.3 La prospettiva del PCI SSC sulle passkey Il [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) Security Standards Council ha riconosciuto il potenziale della tecnologia delle passkey. Approfondimenti dal [podcast "Coffee with the Council" del PCI SSC](https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance) con una discussione con la FIDO Alliance forniscono chiarezza sulla loro posizione: - Per l'accesso non amministrativo al Cardholder Data Environment (CDE) dall'_interno_ della rete dell'entità (Requisito 8.4.2), il PCI SSC indica che i metodi di autenticazione resistenti al phishing come le passkey possono essere utilizzati _al posto della_ MFA tradizionale. Questo è un riconoscimento significativo della forza delle passkey. - Per l'accesso amministrativo al CDE (Requisito 8.4.1) e per qualsiasi accesso remoto alla rete (Requisito 8.4.3), mentre le passkey (come autenticazione resistente al phishing) sono raccomandate, _devono essere utilizzate in combinazione con un altro fattore di autenticazione_ per soddisfare il requisito MFA. Ciò suggerisce un approccio basato sul rischio in cui scenari di accesso con privilegi più elevati o a rischio più elevato richiedono un ulteriore livello. - Il PCI SSC sta sviluppando attivamente linee guida, come le FAQ, per aiutare le organizzazioni a capire come implementare le passkey in modo conforme e riconosce che le passkey rappresentano un cambiamento fondamentale rispetto al pensiero tradizionale basato sulle password. - Inoltre, la documentazione di PCI DSS 4.0 fa esplicito riferimento all'autenticazione basata su FIDO come metodo preferito, sebbene non obbligatorio, per l'implementazione dell'MFA, sottolineando la sua coerenza con gli obiettivi dello standard. Questa posizione consente alle organizzazioni di implementare strategicamente le passkey. Per la vasta base di utenti non amministrativi che accedono internamente al CDE, un [login con passkey](https://www.corbado.com/it/blog/migliori-pratiche-adozione-passkey-login) senza interruzioni può soddisfare i requisiti di conformità. Per amministratori e utenti remoti, le passkey forniscono una base solida e resistente al phishing per una soluzione MFA. ### 6.4 Tipi di passkey, indipendenza dei fattori e attestazione: orientarsi tra le aspettative dei QSA per il Requisito 8 Mentre le passkey offrono un significativo miglioramento della sicurezza, i Qualified Security Assessors (QSA) di PCI DSS esamineranno attentamente la loro implementazione, specialmente per scenari di accesso ad alto rischio come l'accesso amministrativo al CDE (Requisito 8.4.1), per garantire che i veri principi dell'autenticazione a più fattori siano rispettati. Le considerazioni chiave includono il tipo di passkey, l'indipendenza dei fattori di autenticazione e l'uso dell'[attestazione](https://www.corbado.com/it/glossary/attestation). #### 6.4.1 Passkey sincronizzate vs. associate al dispositivo: Come abbiamo già discusso, le passkey esistono in due forme principali: - _Passkey sincronizzate:_ Queste sono sincronizzate tra i dispositivi fidati di un utente tramite servizi cloud come [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) di Apple o [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). Offrono convenienza poiché una passkey creata su un dispositivo può essere utilizzata su un altro. - _Passkey associate al dispositivo:_ Queste sono legate a un [authenticator](https://www.corbado.com/glossary/authenticator) fisico specifico, come una chiave di sicurezza hardware USB (ad esempio, [YubiKey](https://www.corbado.com/glossary/yubikey)) o l'hardware sicuro di un telefono specifico. La chiave privata non lascia questo dispositivo specifico. #### 6.4.2 Indipendenza dei fattori e controllo dei QSA PCI DSS impone che i fattori MFA debbano essere indipendenti, il che significa che la compromissione di un fattore non compromette gli altri. Una passkey combina tipicamente "qualcosa che hai" (il dispositivo con la chiave privata) e "qualcosa che sai/sei" (il PIN del dispositivo locale o la [biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking) per sbloccare la chiave). Con le passkey sincronizzate, sebbene altamente sicure contro molti attacchi, alcuni QSA potrebbero sollevare dubbi riguardo all'assoluta indipendenza del fattore di "possesso" per l'accesso amministrativo (Requisito 8.4.1). La preoccupazione è che se l'account cloud dell'utente (ad esempio, l'ID Apple, l'account Google) che sincronizza le passkey viene compromesso, la chiave privata potrebbe potenzialmente essere clonata su un dispositivo controllato dall'aggressore. Ciò potrebbe portare alcuni valutatori a considerare una passkey sincronizzata, in contesti ad alto rischio, come potenzialmente non conforme alla rigida interpretazione di due fattori completamente indipendenti se il meccanismo di sincronizzazione stesso non è protetto in modo robusto con una propria MFA forte. Le linee guida del [NIST](https://www.corbado.com/blog/nist-passkeys), ad esempio, riconoscono le passkey sincronizzate come conformi ad [AAL2](https://www.corbado.com/blog/nist-passkeys), mentre le passkey associate al dispositivo possono soddisfare [AAL3](https://www.corbado.com/blog/nist-passkeys), che spesso implicano chiavi non esportabili. - **Comprendere i flag degli authenticator WebAuthn:** Durante una cerimonia WebAuthn (che è alla base delle passkey), gli [authenticator](https://www.corbado.com/glossary/authenticator) riportano alcuni flag. Due importanti sono: - **uv=1 (User Verified):** Questo flag indica che l'utente ha verificato con successo la propria presenza all'authenticator localmente, tipicamente usando un PIN del dispositivo o la [biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking). Questa verifica agisce come uno dei fattori di autenticazione – "qualcosa che sai" (PIN) o "qualcosa che sei" (biometria). - **up=1 (User Present):** Questo flag conferma che l'utente era presente e ha interagito con l'authenticator durante la cerimonia (ad esempio, toccando una chiave di sicurezza). Sebbene sia cruciale per provare l'intento dell'utente e prevenire alcuni attacchi remoti, la presenza dell'utente stessa non è generalmente considerata un fattore di autenticazione separato e indipendente per soddisfare il requisito multi-fattore dell'MFA. È una caratteristica di sicurezza importante ma di solito non conta come un secondo _fattore_ da solo. - **Il ruolo delle passkey associate al dispositivo e delle chiavi di sicurezza hardware:**\ Per l'accesso amministrativo (Requisito 8.4.1) e altri scenari ad alta garanzia, le passkey associate al dispositivo memorizzate su [chiavi di sicurezza hardware](https://www.corbado.com/it/blog/migliori-chiavi-sicurezza-hardware-fido2-2025) offrono un argomento più forte per l'indipendenza dei fattori. Poiché la chiave privata è progettata per non lasciare mai il token hardware, il fattore "qualcosa che hai" è protetto in modo più robusto contro la clonazione tramite attacchi basati su software o la compromissione dell'account cloud. Questo le rende un'opzione preferita per molte organizzazioni che cercano di soddisfare le rigide aspettative dei QSA per l'MFA amministrativa. #### 6.4.3 Attestazione per la verifica dell'authenticator L'[attestazione](https://www.corbado.com/it/glossary/attestation) è una funzionalità di WebAuthn in cui l'authenticator fornisce informazioni verificabili su se stesso (ad esempio, marca, modello, stato di certificazione, se è supportato da hardware) alla relying party (il tuo server FIDO) durante il processo di registrazione della passkey. - **Perché è importante per PCI DSS:** L'[attestazione](https://www.corbado.com/it/glossary/attestation) può fornire prove cruciali ai QSA che gli authenticator utilizzati soddisfano le policy di sicurezza dell'organizzazione e sono genuinamente ciò che dichiarano di essere (ad esempio, una chiave di sicurezza hardware certificata). Ciò può essere particolarmente importante quando si dimostra la forza e l'indipendenza dei fattori di autenticazione. - **Raccomandazione:** Per accessi ad alta sicurezza come l'accesso amministrativo al CDE, è altamente raccomandato l'uso di passkey su [chiavi di sicurezza hardware](https://www.corbado.com/it/blog/migliori-chiavi-sicurezza-hardware-fido2-2025) che supportano un'attestazione robusta. Ciò consente all'organizzazione di applicare policy sui tipi di authenticator accettabili e fornire prove più solide di conformità. In pratica, per evitare attriti durante l'audit per il Requisito 8.4.1, molte aziende scelgono di emettere passkey associate al dispositivo su [chiavi di sicurezza hardware](https://www.corbado.com/it/blog/migliori-chiavi-sicurezza-hardware-fido2-2025) che offrono forti garanzie di protezione della chiave e potenzialmente di attestazione. ### 6.5 Mappatura delle passkey alle sottoclausole del Requisito 8 Per illustrare chiaramente come le passkey colmano il divario e soddisfano i controlli dettagliati nel Requisito 8, la seguente tabella mappa specifiche caratteristiche delle passkey e caratteristiche alle sottoclausole pertinenti, indicando la loro idoneità per diversi scenari. | Sottoclausola Req. 8 | Caratteristica della passkey | Come la passkey soddisfa/supera il requisito | Sincronizzata OK? | Associata al dispositivo OK? | | :-------------------------------- | :------------------------------------------------------------------ | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :---------------- | :--------------------------- | | 8.2 (ID utente) | ID utente univoco tramite passkey | Ogni passkey è unica per la registrazione di un utente a un servizio. Le chiavi private non sono condivise. Consente la responsabilità individuale. | ✅ | ✅ | | 8.3.x (Password) | Sostituzione della password | Se le passkey sostituiscono completamente le password per un percorso di accesso, i controlli specifici per le password (lunghezza, complessità, rotazione, cronologia) diventano N/A per quel percorso, semplificando la conformità per tali controlli. | ✅ | ✅ | | 8.4.1 (MFA amministrativa) | Fattore resistente al phishing (Dispositivo + Locale) | La passkey funge da fattore forte e resistente al phishing. (Controllo del QSA sull'indipendenza dei fattori per le passkey sincronizzate). | ⚠️ | ✅ | | 8.4.2 (MFA non da console) | Autenticazione resistente al phishing (Dispositivo + Locale) | L'autenticazione resistente al phishing (come le passkey) può essere utilizzata _al posto della_ MFA tradizionale per questo scenario. | ✅ | ✅ | | 8.4.3 (MFA remota) | Fattore resistente al phishing (Dispositivo + Locale) | La passkey funge da fattore forte e resistente al phishing per l'accesso alla rete. (Controllo del QSA sull'indipendenza dei fattori per le passkey sincronizzate). | ⚠️ | ✅ | | 8.5.1 (Resistenza al replay) | Challenge/Response univoco | Ogni login genera una firma unica legata a una challenge del server, impedendo il riutilizzo dei dati di autenticazione intercettati. | ✅ | ✅ | | 8.5.x (Indipendenza dei fattori) | Fattori locali distinti (Dispositivo+Locale) | La chiave crittografica sul dispositivo e la biometria/PIN locale sono indipendenti. L'operazione crittografica procede solo dopo una verifica utente locale riuscita. (L'indipendenza dei fattori per le chiavi sincronizzate potrebbe essere messa in discussione dai QSA in scenari ad alto rischio). | ⚠️ | ✅ | | Resistenza al phishing (Generale) | Sicurezza di base (Origin-binding, Nessun segreto, Crittografia PK) | Progettata fondamentalmente per resistere agli attacchi di phishing, garantendo che la passkey funzioni solo sul sito legittimo e che nessun segreto trasmissibile possa essere rubato. | ✅ | ✅ | Questa mappatura dimostra che le passkey non sono solo una soluzione teorica, ma una soluzione pratica e robusta per soddisfare le avanzate esigenze di autenticazione di [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys) DSS 4.0. ## 7. Conclusione: adottare le passkey per un'autenticazione forte Il panorama della sicurezza dei pagamenti è complesso e in continua evoluzione. PCI DSS 4.0 riflette questa realtà, stabilendo uno standard più elevato per i controlli di sicurezza, in particolare nel campo dell'autenticazione. Mentre le organizzazioni si sforzano di soddisfare queste nuove e più stringenti richieste, le passkey — basate sugli standard FIDO/WebAuthn — emergono non solo come una soluzione conforme, ma come una tecnologia trasformativa pronta a ridefinire l'accesso sicuro. Lungo tutta questa analisi, due domande centrali hanno guidato la nostra esplorazione: 1. **Dato che PCI DSS 4.0 innalza gli standard di autenticazione, come possono le organizzazioni soddisfare efficacemente questi nuovi e stringenti requisiti senza sovraccaricare utenti o team di sicurezza?** L'evidenza suggerisce fortemente che le organizzazioni possono soddisfare efficacemente i requisiti di autenticazione di PCI DSS 4.0 adottando strategicamente soluzioni di autenticazione a più fattori (MFA) resistenti al phishing come le passkey. Queste tecnologie bilanciano intrinsecamente una sicurezza robusta e verificata crittograficamente con esperienze utente notevolmente migliorate e spesso più veloci. Inoltre, la possibilità prevista da PCI DSS 4.0 di "implementazioni personalizzate" consente alle organizzazioni di adattare tali soluzioni avanzate ai loro specifici ambienti e profili di rischio, superando un approccio unico per tutti. Le stesse linee guida del PCI SSC facilitano ulteriormente questo processo, consentendo una conformità semplificata per un'ampia fascia di utenti e riservando approcci più stratificati per gli accessi amministrativi e remoti a più alto rischio. 2. **Le tecnologie emergenti come le passkey possono non solo soddisfare i robusti controlli di autenticazione di PCI DSS 4.0, ma anche offrire vantaggi tangibili oltre la mera conformità, come una maggiore sicurezza e una migliore efficienza operativa?** La risposta è un chiaro sì. Le passkey sono dimostrabilmente in grado di soddisfare i controlli di autenticazione principali del Requisito 8 di PCI DSS 4.0, inclusi i criteri di MFA, resistenza al phishing e resistenza al replay. Tuttavia, il loro valore si estende oltre la mera conformità. Il design intrinseco delle passkey — eliminando i segreti condivisi e legando l'autenticazione a origini specifiche — riduce drasticamente il rischio di attacchi di phishing riusciti e di account takeover, portando a riduzioni tangibili delle perdite legate alle frodi. Operativamente, l'abbandono delle password si traduce in un minor numero di ticket di helpdesk legati alle password, con un risparmio di costi e una liberazione di risorse IT. Gli utenti beneficiano di un'esperienza di login più semplice, veloce e meno frustrante, che può migliorare la produttività e la soddisfazione del cliente. Inoltre, laddove le password vengono completamente sostituite dalle passkey per percorsi di accesso specifici, l'onere di audit per i controlli specifici delle password viene eliminato, snellendo potenzialmente gli sforzi di conformità in quelle aree. Il viaggio verso un ecosistema di pagamento veramente sicuro è continuo. PCI DSS 4.0 stabilisce nuove pietre miliari e l'autenticazione con passkey fornisce un potente veicolo per raggiungerle. Le organizzazioni che elaborano, archiviano o trasmettono dati dei titolari di carta sono fortemente incoraggiate a valutare e iniziare a pianificare l'adozione delle passkey. Non si tratta semplicemente di aderire all'ultima versione di uno standard; si tratta di abbracciare un approccio all'autenticazione più sicuro, efficiente e incentrato sull'utente, in linea con il futuro dell'identità digitale. Implementando strategicamente le passkey, le aziende possono rafforzare le loro difese contro le minacce in evoluzione, proteggere i preziosi dati di pagamento e costruire una maggiore fiducia con i loro clienti in un mondo sempre più digitale.