Il Centro nazionale per la sicurezza informatica del Regno Unito (NCSC, National Cyber Security Centre) ha ufficialmente dichiarato i passkey come standard predefinito per l'autenticazione digitale, segnando la prima volta nella storia dell'agenzia in cui si invita esplicitamente i consumatori ad abbandonare del tutto le password tradizionali. L'annuncio è avvenuto durante la conferenza annuale CYBERUK, accompagnato dalla pubblicazione di un rapporto tecnico.
La portata della svolta è tutt'altro che simbolica. Per decenni, la gestione delle credenziali digitali ha rappresentato il punto di attacco privilegiato per il crimine informatico, con le password al centro di furti di dati, campagne di phishing e violazioni di massa. Il rapporto tecnico dell'NCSC conclude che i passkey risultano "almeno altrettanto sicuri, e generalmente più sicuri" della combinazione tra password e verifica in due passaggi (2SV, two-step verification), ribaltando una prassi consolidata da oltre trent'anni.
L'agenzia aveva valutato questa transizione già nel 2024, ma aveva rimandato la raccomandazione ufficiale in attesa che il settore risolvesse alcune criticità: la nomenclatura inconsistente dei passkey tra le diverse piattaforme, il supporto variabile tra dispositivi e la limitata compatibilità con i gestori di credenziali. Queste lacune si sono ora ridotte abbastanza da giustificare un'indicazione definitiva al pubblico.
Sul fronte dell'adozione, circa il 50% degli utenti Google nel Regno Unito ha già registrato almeno un passkey, secondo i dati citati dall'NCSC. Google, eBay e PayPal sono stati indicati come tre grandi piattaforme che hanno facilitato concretamente il percorso di migrazione. Microsoft, dal canto suo, aveva già reso i passkey lo standard predefinito quasi un anno prima di questo annuncio.
Da un punto di vista tecnico, i passkey funzionano generando una coppia di chiavi crittografiche tra il dispositivo dell'utente e l'account protetto: non possono essere indovinati né sottratti tramite phishing, sono fino a otto volte più rapidi rispetto all'inserimento di una password e azzerano il problema della gestione delle credenziali. Nei casi in cui i passkey non siano ancora disponibili, l'NCSC raccomanda di mantenere la combinazione password più 2SV, ma affiancandola obbligatoriamente a un gestore di password, così da garantire unicità e complessità delle credenziali per ogni servizio.
Il contesto che fa da sfondo a questa raccomandazione è tutt'altro che rassicurante. Richard Horne, amministratore delegato dell'NCSC, ha dichiarato che il numero di attacchi informatici di rilevanza nazionale ai danni del Regno Unito si mantiene su livelli analoghi a quelli dell'ottobre 2024, quando l'agenzia ne registrava circa quattro a settimana. Horne ha esplicitamente invitato le organizzazioni a dare priorità all'igiene della sicurezza in quello che ha definito un periodo di "incertezza tumultuosa", alimentata dalle tensioni geopolitiche e dall'evoluzione dei modelli di intelligenza artificiale impiegati dagli attaccanti.
Jonathon Ellison, direttore per la resilienza nazionale dell'NCSC, ha sottolineato come la migrazione ai passkey non risponda soltanto a un obiettivo di sicurezza individuale, ma si inserisca in una strategia più ampia di accelerazione delle difese informatiche del paese su scala. La raccomandazione istituzionale rappresenta dunque un cambio di paradigma che va ben oltre la semplice preferenza tecnica.
Resta da chiedersi quanto velocemente il tessuto produttivo europeo — e italiano in particolare — saprà adeguarsi a questo nuovo standard, considerando che la migrazione su larga scala richiede investimenti in infrastrutture, aggiornamento dei sistemi di autenticazione aziendali e formazione degli utenti. Il rischio è che, mentre i paesi anglosassoni accelerano, le organizzazioni europee restino ancorate a modelli di sicurezza che il mercato e le istituzioni stanno già dichiarando obsoleti.