Il governo britannico abbandona le password: le passkey diventano lo standard ufficiale

Per la prima volta nella storia, un'agenzia di cybersicurezza di un governo del G7 dichiara ufficialmente che le password sono superate. Il National Cyber Security Centre del Regno Unito ha aggiornato le proprie linee guida invitando consumatori e aziende ad adottare le passkey come metodo di autenticazione predefinito, sorpassando la combinazione tradizionale di password e verifica in due passaggi che ha dominato per oltre trent'anni.

Questa non è una raccomandazione soft. L'NCSC (National Cyber Security Centre), che fa capo al GCHQ, l'agenzia di intelligence britannica, ha pubblicato un rapporto tecnico che conclude: le passkey sono "almeno altrettanto sicure, e generalmente più sicure" della combinazione password + 2SV. È un ribaltamento di una prassi consolidata, e il timing non è casuale.

Chi

Il National Cyber Security Centre è l'autorità tecnica del governo britannico sulla cybersicurezza. Non è una startup, non è una società privata che vuole vendere un prodotto: è l'istituzione pubblica responsabile della resilienza digitale del Regno Unito. Questo rende l'endorsement particolarmente significativo nel dibattito internazionale sulla sicurezza dell'autenticazione.

Cosa è successo

L'NCSC ha annunciato il cambio di posizione durante la conferenza annuale CYBERUK, accompagnandolo con la pubblicazione di un rapporto tecnico. L'agenzia aveva già valutato le passkey nel 2024, ma aveva rimandato una raccomandazione ufficiale in attesa che il settore risolvesse alcuni problemi concreti: nomenclatura incoerente tra le piattaforme, supporto variabile tra dispositivi e compatibilità limitata con i gestori di credenziali.

Queste lacune si sono ora ridotte abbastanza da giustificare l'indicazione definitiva. Jonathan Ellison, direttore della Resilienza Nazionale all'NCSC, ha dichiarato: "I mal di testa che le password ci hanno causato per decenni non devono più fare parte del processo di login dove gli utenti migrano alle passkey".

I numeri supportano il cambio: circa il 50% degli utenti Google nel Regno Unito ha già registrato almeno un passkey. Piattaforme come Google, eBay e PayPal hanno facilitato concretamente il percorso di migrazione. Microsoft aveva già reso le passkey lo standard predefinito quasi un anno prima di questo annuncio.

Sul fronte pratico, il governo britannico ha annunciato che implementerà le passkey nei propri servizi digitali come alternativa alla verifica via SMS, stimando un risparmio di milioni di sterline all'anno. Dal punto di vista dell'esperienza utente, i login con passkey sono fino a 8 volte più veloci rispetto alla combinazione username + password + codice 2SV.

Perché è importante

Le password sono il punto di attacco privilegiato del crimine informatico da decenni. Furti di dati, campagne di phishing, violazioni di massa: al centro c'è sempre la gestione delle credenziali. Le passkey funzionano diversamente: invece di digitare una password, ti autentichi con quello che usi già per sbloccare il tuo dispositivo—impronta digitale, riconoscimento facciale o PIN. La chiave privata rimane sul tuo dispositivo e non viene mai condivisa con il servizio.

Questo elimina il vettore di attacco più comune: il phishing. Una passkey non può essere intercettata, riutilizzata su più siti o rubata come una password. Le password, per quanto forti, rimangono vulnerabili a tecniche di social engineering e attacchi su larga scala.

L'endorsement dell'NCSC è il segnale istituzionale più forte finora. Non è un'azienda tech che promuove il proprio prodotto per ragioni commerciali: è un'agenzia governativa che dice, sulla base di analisi tecnica, che il paradigma è cambiato. Questo influenzerà le decisioni di altre amministrazioni pubbliche, le politiche di conformità normativa e la priorità che le aziende assegnano alla migrazione.

Precedenti rilevanti: Microsoft aveva già spinto verso le passkey come default; Apple, Google e altri big tech le supportano da anni. Ma una raccomandazione istituzionale da parte di un'agenzia di cybersicurezza governativa è un catalizzatore diverso.

Cosa aspettarsi

Nel breve termine, guarda questi indicatori:

  • Adozione nei servizi pubblici: il governo britannico implementerà le passkey nei suoi servizi digitali. Questo creerà un precedente che altri governi probabilmente seguiranno.
  • Copertura dei siti: molti servizi web e piattaforme non supportano ancora le passkey. Ci si aspetta un'accelerazione nei prossimi 12-18 mesi, specialmente per i servizi finanziari e pubblici.
  • Standardizzazione: uno dei problemi che ha ritardato l'endorsement era la nomenclatura incoerente. Osserva se emergono standard più uniformi tra i gestori di credenziali (password manager) e le piattaforme.
  • Reazioni normative: altri governi e autorità di regolamentazione (GDPR, NIST, ecc.) probabilmente aggiorneranno le loro linee guida sulla base di questo precedente.

Una domanda tecnica aperta rimane: come gestire la migrazione per utenti che non hanno dispositivi moderni o che usano servizi legacy? Le passkey non sono una soluzione universale, almeno non ancora. Ma il segnale è chiaro: il settore sta voltando pagina.

L'NCSC non ha detto che le password scompariranno domani. Ha detto che, dove disponibili, le passkey dovrebbero essere la scelta predefinita. È un cambio di paradigma, non una rivoluzione immediata.

📰 Fonti

  1. Punto InformaticoL’Agenzia per la cybersicurezza UK raccomanda le passkey
  2. data4biz.comPasskey: le password sono ormai obsolete - data4biz.com
  3. ncsc.gov.ukPasskeys: what you need to know - National Cyber Security Centre
  4. reddit.comL'agenzia di sicurezza del Regno Unito dichiara ufficialmente che le ...
  5. punto-informatico.itL'Agenzia per la cybersicurezza UK raccomanda le passkey
  6. reddit.comL'agenzia di sicurezza del Regno Unito dichiara ufficialmente che le ...