Calcolatore di Sicurezza MFA per Banche
Perché le banche stanno abbandonando le password e i codici SMS
Le banche hanno sempre fatto affidamento su password e codici inviati via SMS per proteggere gli account. Ma oggi, questi metodi sono diventati obsoleti e pericolosi. Gli attaccanti usano phishing, smishing e attacchi di tipo man-in-the-middle per rubare credenziali in pochi secondi. Nel 2023, il 68% degli attacchi alle banche ha sfruttato proprio questi metodi deboli. La soluzione? Passkeys e chiavi di sicurezza hardware. Queste tecnologie non solo bloccano gli attacchi, ma rendono l’accesso più veloce e semplice per i clienti.
Immagina di accedere alla tua app bancaria senza digitare nulla. Basta un tocco sullo schermo, un riconoscimento facciale o un semplice tocco su una chiavetta. Niente password da ricordare, niente codici da inserire. E soprattutto: niente rischio di essere truffato da un sito falso. Questo è ciò che offrono passkeys e chiavi hardware. E non sono più una novità di laboratorio: sono già in uso da banche come Chase, Bank of America e Citibank.
Cosa sono i passkeys e come funzionano davvero
I passkeys sono credenziali digitali basate su standard aperti chiamati FIDO2 e WebAuthn. Non sono password. Non sono codici. Sono coppie di chiavi crittografiche uniche: una pubblica, memorizzata sul server della banca; una privata, rimane saldamente sul tuo dispositivo - smartphone, tablet o computer.
Quando accedi alla tua banca, il tuo dispositivo genera una firma crittografica che prova che sei tu, senza mai inviare la chiave privata da nessuna parte. Ecco il punto chiave: il server della banca verifica che l’accesso venga richiesto sul sito vero. Se sei su un sito fasullo, il passkey non funziona. I criminali non possono rubarlo, nemmeno se ti fanno cliccare su un link truffa.
I passkeys possono essere archiviati in due modi: software-bound o hardware-bound. Quelli software-bound sono salvati nel tuo iCloud Keychain, Google Password Manager o Microsoft Authenticator. Funzionano bene, ma se qualcuno ruba la tua password principale del gestore, potrebbe accedere a tutti i tuoi passkeys. Quelli hardware-bound sono salvati su chiavi fisiche - e sono molto più sicuri.
Le chiavi di sicurezza hardware: la massima protezione per i soldi
Le chiavi di sicurezza hardware, come le YubiKey di Yubico, sono piccoli dispositivi fisici che contengono la chiave privata dentro un chip sicuro. Non si connettono al cloud. Non si sincronizzano. Non si copiano. La chiave rimane lì, dentro il metallo, e non esce mai. Per accedere, devi toccare la chiave o inserirla nell’USB o nel NFC del tuo telefono.
Queste chiavi sono progettate per durare: oltre 100.000 tocchi, resistenti all’acqua, all’urto, al calore. Pesano solo 7 grammi. Costano tra i 25 e i 70 dollari. E per le banche, sono la scelta migliore per operazioni ad alto rischio: transazioni sopra i 500.000 dollari, accesso ai sistemi interni, conti aziendali.
Un test condotto da CISA ha mostrato che le chiavi hardware bloccano il 98,7% degli attacchi di phishing. I passkeys software-bound arrivano al 92,3%. La differenza sembra piccola, ma in banca, anche un 6% in più di sicurezza significa milioni di dollari risparmiati.
Perché le banche scelgono un metodo e non l’altro
Non tutte le banche usano lo stesso sistema. La scelta dipende da chi usa il servizio.
Nel retail banking - cioè per i clienti normali - i passkeys sono l’ideale. Chase ha visto un aumento del 38% nel numero di accessi completati dopo aver introdotto i passkeys. Gli utenti non abbandonano più l’app perché si dimenticano la password. Bank of America ha ridotto gli accessi non autorizzati del 57% in sei mesi.
Nel corporate banking, invece, le chiavi hardware sono obbligatorie. JPMorgan Chase richiede una YubiKey a tutti i clienti che effettuano transazioni sopra i 500.000 dollari. HSBC e Citibank lo fanno per i conti aziendali. Perché? Perché un dipendente che perde il telefono ha ancora la chiave fisica. E se un hacker entra nel sistema aziendale, non può accedere senza toccare la chiave.
Ma c’è un problema: la compatibilità. Solo il 68% delle app bancarie oggi permette di trasferire un passkey da un dispositivo iOS a uno Android. E molti clienti anziani, oltre i 65 anni, faticano a capire come usarli. Solo il 49% li impara in una sola sessione, contro l’82% dei giovani.
Costi, tempi e sfide per le banche
Implementare questi sistemi non è gratis. L’integrazione di un sistema di passkeys richiede 6-9 mesi. Per le chiavi hardware, servono 9-12 mesi, perché bisogna spedire fisicamente migliaia di dispositivi ai clienti.
Wells Fargo ha speso 1,2 milioni di dollari per formare il suo team di assistenza clienti su come spiegare le chiavi. E non è un caso isolato: il 63% delle banche usa sistemi centrali vecchi di oltre 15 anni, che non parlano WebAuthn. Devono essere aggiornati, o sostituiti.
Ma il ritorno sull’investimento è chiaro. Le banche che hanno adottato questi metodi hanno visto una riduzione del 47% delle chiamate al call center per problemi di accesso. E il costo di una frode bancaria media è di 4.500 dollari. Una chiave da 25 dollari che la impedisce? È un affare.
La regolamentazione sta spingendo il cambiamento
Non è solo una scelta tecnica: è un obbligo legale. Negli Stati Uniti, la CISA ha imposto a tutte le agenzie federali di usare MFA resistente al phishing entro maggio 2024. L’FDIC ha pubblicato linee guida che dicono chiaramente: "Le istituzioni dovrebbero prioritizzare metodi di autenticazione resistente al phishing".
In Europa, l’Autorità Bancaria Europea ha proposto una norma che obbligherà tutte le banche a implementare questi sistemi entro dicembre 2025. L’Australian Cyber Security Centre li ha inseriti tra le misure essenziali per la sicurezza. Questo non è un trend: è un cambiamento strutturale.
Il mercato globale di questi sistemi vale 2,84 miliardi di dollari nel 2024 e crescerà del 28,7% all’anno fino al 2029. Mentre il mercato tradizionale dei codici SMS cresce solo del 14,2%.
Cosa succede se perdi la chiave o il tuo telefono?
È una domanda legittima. Se perdi la tua YubiKey, puoi contattare la banca per bloccarla e richiedere una nuova chiave. Le banche ti danno un metodo di recupero - spesso un codice di emergenza stampato o un secondo dispositivo già registrato.
Se perdi il tuo telefono con i passkeys software-bound, devi accedere da un altro dispositivo e rimuovere l’account compromesso. È più complicato, ma possibile. Le banche devono offrire un percorso chiaro per il recupero, altrimenti i clienti si sentono bloccati.
Per questo, il FIDO Alliance sta lavorando a linee guida per il revoking dei passkey compromessi, previste per la fine del 2024. Sarà un passo fondamentale per la fiducia dei clienti.
Il futuro: ibrido, sicuro e senza password
Il futuro della sicurezza bancaria non è né passkeys né chiavi hardware. È entrambi.
Il 78% delle banche sta pianificando un modello ibrido: passkeys per gli accessi quotidiani (come controllare il saldo o pagare una bolletta), e chiavi hardware per operazioni ad alto rischio (trasferimenti, modifiche ai conti, accesso ai servizi aziendali).
Le grandi banche stanno già facendo questo. Chase ha lanciato i passkeys su tutte le sue app nel maggio 2024, servendo 35 milioni di clienti. Citibank ha esteso le chiavi hardware a tutti i clienti corporate con transazioni sopra i 100.000 dollari. E FedNow, il nuovo sistema di pagamenti istantanei della Federal Reserve, richiede ora MFA resistente al phishing per tutti i partecipanti.
Non ci sarà più ritorno. Le password saranno un ricordo. I codici SMS diventeranno obsoleti. E i clienti, alla fine, apprezzeranno la semplicità. Perché non si tratta solo di sicurezza. Si tratta di rispetto. Rispetto per il tuo tempo. Per il tuo denaro. Per la tua tranquillità.
Asheni Damiano
ottobre 31, 2025 AT 19:36Guarda, è tutto bellissimo teoricamente, ma chi ha detto che i passkeys non si possono clonare? La tecnologia è un’illusione se non c’è controllo umano. Ogni volta che qualcuno dice "non si può rubare", è perché non ha mai visto un hacker con 3 milioni di dollari e un laboratorio in un paese senza estradizione. La sicurezza vera è quella che non dipende da dispositivi, ma da persone che pensano. E qui, nessuno parla di educazione digitale. Solo di gadget.
Il vero problema non è il phishing, è la nostra cieca fiducia nella tecnologia. Ci crediamo più intelligenti perché abbiamo uno smartphone, ma siamo più vulnerabili perché non sappiamo più fare niente senza un’app. E poi ci meravigliamo perché i nonni non li usano. Perché dovrebbero? Non sono un’aggiunta alla vita, sono un sostituto della ragione.
Matteo Scialom
novembre 2, 2025 AT 13:07La risposta è semplice: la sicurezza non è un optional, è un requisito strutturale per la sovranità economica nazionale. L’adozione di FIDO2 e chiavi hardware non è una scelta tecnica, è un atto di difesa strategica contro l’egemonia digitale anglosassone. Le banche italiane devono abbandonare ogni forma di dipendenza da sistemi cloud centralizzati e adottare soluzioni fisiche, autonome, tracciabili e, soprattutto, italiane.
Il fatto che il 68% delle app bancarie non supporti il trasferimento tra iOS e Android è un segnale chiaro: il modello consumerista americano non funziona qui. Noi abbiamo bisogno di standard resilienti, non di comodità. Le YubiKey non sono un accessorio, sono un’arma di difesa crittografica. E se un cittadino non sa usarla, non è colpa del sistema, è colpa della scuola che ha fallito.
La normativa europea è un passo avanti, ma troppo lento. Dobbiamo imporre l’uso obbligatorio delle chiavi hardware per tutti i conti superiori a 10.000 euro, con sanzioni per le banche che non rispettano. Il costo di un’infrastruttura obsoleta è molto più alto di un dispositivo da 70 dollari. E poi, chi parla di anziani? Non è un problema di età, è un problema di mentalità. Se non impari, non meriti di gestire il tuo denaro.
diana lenzi
novembre 2, 2025 AT 14:49Ho appena configurato il mio passkey con la mia banca e devo dire: è stato più facile di quanto pensassi! Ho solo toccato il telefono con il dito e sono entrato, niente codici, niente password dimenticate. E la mia mamma, che ha 72 anni, l’ha imparato in 10 minuti con un video che le ho mandato. Non è magia, è progettazione ben fatta.
Io lavoro in un’azienda che usa YubiKey per le transazioni grandi e, francamente, mi sento più tranquilla. Non ho più paura di cliccare su link sospetti, perché so che anche se mi fanno entrare in un sito falso, non posso autenticarmi. È come avere un lucchetto fisico sulla porta di casa: non puoi rubarlo senza averlo in mano.
Se qualcuno dice che è complicato per gli anziani, forse non ha provato a spiegarlo con pazienza. Non è la tecnologia il problema, è il modo in cui la presentiamo. Le banche dovrebbero fare più tutorial semplici, in italiano, con esempi concreti. E non solo mandare email tecniche da 10 pagine. La sicurezza non deve essere un ostacolo, deve essere un regalo.