Governo britannico indica le passkey come standard prioritario per sostituire definitivamente le tradizionali password

Governo britannico indica le passkey come standard prioritario per sostituire definitivamente le tradizionali password

30 Aprile 2026

Passkey al posto delle password: la svolta ufficiale del Regno Unito

Il National Cyber Security Centre (NCSC) del Regno Unito, organismo tecnico del GCHQ, ha ufficialmente raccomandato l’uso delle passkey come metodo di login standard per i servizi digitali pubblici e privati. La decisione, arrivata nell’aprile 2026, segna il superamento delle tradizionali password, considerate troppo vulnerabili a phishing, furti di credenziali e riutilizzi incauti. L’indicazione riguarda in particolare i servizi online del governo britannico, ma punta a diventare un riferimento di sicurezza anche per aziende e cittadini. A spingere verso questo cambio di paradigma sono stati i progressi tecnologici degli ultimi mesi e la crescente maturità dell’ecosistema che supporta le passkey, ritenute ora sufficientemente affidabili, interoperabili e scalabili per un’adozione su larga scala.

In sintesi:

  • NCSC e GCHQ raccomandano ufficialmente le passkey al posto delle password tradizionali.
  • Accesso tramite impronta, volto o PIN locale, con crittografia a chiave pubblica.
  • Il governo del Regno Unito userà le passkey anche per i propri servizi digitali.
  • Transizione graduale: dove mancano le passkey restano password, gestori e 2FA.

Come funzionano le passkey e perché cambiano la sicurezza online

Le passkey si basano su un sistema di crittografia a chiave pubblica: al momento della registrazione viene generata una coppia di chiavi, una privata salvata in modo sicuro sul dispositivo dell’utente, una pubblica inviata al servizio online. In fase di login, il sito invia una sfida crittografica che viene firmata dalla chiave privata locale, sbloccata solo tramite impronta digitale, riconoscimento facciale o PIN del dispositivo. La chiave privata non lascia mai il device e non può essere intercettata.

Questo approccio elimina le principali debolezze delle password: niente più stringhe da ricordare o riutilizzare, niente database di password da violare, rischio di phishing drasticamente ridotto perché l’autenticazione avviene tramite protocollo crittografico e non tramite inserimento di credenziali testuali su pagine potenzialmente false.

BOTTONE COMPRA BRANDED CONTENT SU ASSODIGITALE SMALL

Il sostegno del NCSC è quindi un segnale istituzionale forte: una struttura di cybersicurezza di un Paese del G7 certifica che le passkey sono mature per l’uso di massa. Jonathan Ellison, direttore della Resilienza Nazionale al NCSC, ha evidenziato che i problemi causati dalle password per decenni “non devono più far parte del processo di login” per chi passerà alle passkey.

Implementazione governativa, risparmi economici e tempi della transizione

Il governo britannico non si limita a raccomandare la tecnologia: pianifica l’adozione delle passkey nei propri portali, con l’obiettivo di sostituire la verifica via SMS, costosa e vulnerabile a SIM swap e intercettazioni. Le stime parlano di un risparmio di milioni di sterline l’anno, grazie al taglio dei costi di gestione degli SMS e del supporto alle password dimenticate.

La realtà, però, resta ibrida: non tutti i siti e i servizi supportano già le passkey. Il NCSC raccomanda quindi di continuare, dove necessario, a utilizzare un gestore di password per generare credenziali complesse e uniche, affiancato sempre dall’autenticazione a due fattori (2FA) per ridurre i rischi residui.

La transizione sarà inevitabilmente lunga: le password non scompariranno da un giorno all’altro. Tuttavia, ogni nuovo servizio che integra passkey riduce la superficie d’attacco globale, perché elimina proprio l’elemento più sfruttato dai criminali: la password debole, riciclata, prevedibile, che nessun aggiornamento software può rendere sicura al posto dell’utente.

Passkey come catalizzatore di nuove strategie di cybersicurezza

L’adozione delle passkey da parte del Regno Unito può innescare un effetto domino normativo e tecnologico in Europa e nei Paesi del G7, accelerando lo sviluppo di linee guida comuni e standard interoperabili. Per aziende e pubbliche amministrazioni, il passaggio a sistemi passwordless significa ripensare processi di onboarding, gestione delle identità e risposta agli incidenti.

La spinta del NCSC potrebbe inoltre favorire investimenti in hardware sicuro, chip dedicati ai secure enclave e integrazioni più profonde a livello di sistema operativo e browser. Per gli utenti finali, la combinazione tra maggiore semplicità d’uso e sicurezza elevata può diventare il vero motore dell’adozione di massa, riducendo nel tempo la dipendenza da password e codici temporanei.

FAQ

Cosa sono le passkey in termini pratici per l’utente comune?

Le passkey permettono di accedere ai servizi usando impronta, volto o PIN del dispositivo, senza digitare password, sfruttando crittografia a chiave pubblica integrata.

Le passkey rendono davvero impossibili gli attacchi di phishing?

Le passkey riducono drasticamente il phishing perché non inviano password o codici; l’autenticazione avviene tramite sfida crittografica tra dispositivo e servizio legittimo.

Posso usare le passkey su più dispositivi diversi?

Sì, molti ecosistemi consentono la sincronizzazione sicura delle passkey tra dispositivi tramite cloud cifrato, oppure l’uso del telefono come chiave fisica.

Cosa devo fare se un servizio non supporta ancora le passkey?

È consigliabile usare un gestore di password per credenziali uniche e attivare sempre l’autenticazione a due fattori, preferendo app o token rispetto agli SMS.

Quali sono le fonti alla base di queste informazioni sulle passkey?

Le informazioni derivano da una elaborazione congiunta delle fonti ufficiali Ansa.it, Adnkronos.it, Asca.it e Agi.it, rielaborate dalla nostra Redazione.

Michele Ficara Manganelli ✿∴♛🌿🇨🇭 Avatar

Michele Ficara Manganelli ✿∴♛🌿🇨🇭

Direttore Editoriale Assodigitale.it Phd, MBA, CPA

Storico esperto di Digital Journalism e creatore di Immediapress la prima Digital Forwarding Agency italiana poi ceduta al Gruppo ADNkronos, evangelista di Internet dai tempi di Mozilla e poi antesignano (ora pentito) dei social media in italia, Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.
michele.ficara@assodigitale.it
LinkedIn Instagram YouTube Telegram
Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

  1. Expert Review: All articles are reviewed by subject matter experts.
  2. Source Validation: Information is backed by credible, up-to-date sources.
  3. Transparency: We clearly cite references and disclose potential conflicts.
Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

  • Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
  • Up-to-date Insights: We incorporate the latest research, trends, and standards.
  • Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.