La sicurezza digitale è stata per decenni un groviglio di cattive abitudini e autocensure: password impossibili da ricordare, poi riutilizzate fino allo sfinimento, diventano trampolini perfetti per hacker acchiappabugie. Adesso però qualcosa ha cominciato a scricchiolare davvero. Passkeys stanno sconvolgendo il gioco, e non si tratta di una moda. Tech-giants come Google, Microsoft, Apple, insieme al FIDO Alliance, hanno fatto della password-less authentication non una promessa fumosa, ma una direzione definita. Non è fantascienza: è già qui.
Passkeys sono vere e proprie chiavi crittografiche, generate dal dispositivo, con private key conservata localmente e public key registrata sul server del servizio: un sistema robusto, immune al phishing (niente password da intercettare), vulnerabile solo se perdi il dispositivo e non hai un piano di backup. Non è un’opinione da fanboy: lo conferma Wired in un articolo recente che descrive proprio questo meccanismo come “a safer, phishing-resistant, and more user-friendly alternative” .
Qui sta la bellezza e la magia: la passkey sostituisce completamente la password. Niente più 2FA affannoso con SMS, token, codici che scadono. Il tuo dispositivo fa tutto: biometria, PIN, impronta, face-ID. È autenticazione invisibile, ma potentissima, come scrive il sito della FIDO Alliance .
Google, Apple e Microsoft, cavalcando lo slancio, hanno integrato il supporto alle passkeys nelle loro piattaforme da tempo. Google ha fatto debuttare le passkey su Android e Chrome nell’ottobre 2022, estendendole agli account personali entro maggio 2023. Dashlane, NordPass, 1Password e Bitwarden hanno seguito l’esempio, aggiungendo la gestione delle passkeys nei loro ecosistemi. La sincronia tra dispositivi, grazie al cloud (iCloud Keychain, Google Password Manager, Microsoft), cancella la paura di perdere il dispositivo, anche se la sincronizzazione introduce nuovi attori fiduciari e qualche possibile rischio, come evidenziato da analisi accademiche (arXiv).
Microsoft ha deciso di fare sul serio. A partire da agosto 2025 l’app Authenticator abbandonerà del tutto i salvataggi password preferendo passkeys. Il passaggio è stato motivato da una statistica feroce: fino a 7.000 attacchi contro password al secondo. Passkeys non solo sono più sicure, ma anche più affidabili: Microsoft stima un successo di login del 98 % contro il 32 % delle password. Parliamo di una svolta epocale: miliardi di account (la FIDO Alliance cita 15 miliardi) e milioni di passkeys registrate quotidianamente.
Non è un mondo perfetto. Ci sono criticità: nel contesto aziendale spesso si preferiscono passkeys device-bound, custodite su hardware fisico, più sicure ma meno flessibili. Quelle sincronizzate sono comode, ma espongono il provider di sincronizzazione a rischi concentrati. E c’è chi avverte che l’adozione bancaria procede a rilento, perché il modello di fiducia deve ancora essere metabolizzato.
E mentre le passkeys stanno demolendo le barriere della tradizionale autenticazione, qualcosa di totalmente diverso sta succedendo nell’ambito della sicurezza nazionale statunitense: la CMMC 2.0 (Cybersecurity Maturity Model Certification) è in rampa definitiva. Serve ai contractor per restare nel gioco della difesa. Il DoD ha reso operativa la parte generale (32 CFR) a fine 2024, e presto—un passaggio pubblicato in Gazzetta Federale è imminente—il 48 CFR introdurrà clausole contrattuali (DFARS 252.204-7021) che renderanno la certificazione CMMC condizione obbligatoria di gara .
Il calendario è chiaro: entro l’autunno 2025 i requisiti compariranno in tutti i nuovi bandi (Q4 2025), e l’adozione sarà graduale ma inesorabile, con piena implementazione entro il 2028 . In pratica, se non sei certificato, niente contratto. Fine della storia. Il “Y2K della CMMC” non è metafora: è imminente.
In questo scenario, passkeys e CMMC 2.0 sembrano due mondi opposti ma in sintonia: una rivoluzione silenziosa delle credenziali utente e una spinta regolatoria senza compromessi nella sicurezza aziendale. Non è più tempo di esitare: password obsoleti, autenticazioni balbuzienti, sicurezza per approssimazione. O ci aggiorniamo — con passkeys, cifre crittografiche, audit e certificazioni — oppure restiamo nel passato.