Furto di identità, come non restare chiusi fuori dalla propria vita digitale

Passkey

Negli ultimi due anni Apple, Google e Microsoft hanno spinto con forza le passkey, credenziali basate sullo standard Fido che sostituiscono la password tradizionale con un meccanismo crittografico legato al dispositivo e sbloccato con volto, impronta digitale o Pin.

Per l’utente finale significa due cose. Da un lato, una sicurezza maggiore: non c’è più una password che si possa rubare via internet. Dall’altro, un accesso più semplice.

Se si lavora molto da desktop Windows, vale la pena attivare subito la gestione di passkey nel password manager integrato di Edge e abilitare l’uso di passkey sugli account critici (Google Workspace, servizi Microsoft 365, piattaforme bancarie e gestionali che lo consentono). Per chi è dentro l’ecosistema Apple, la strada passa da iCloud Keychain e dall’app Impostazioni; per gli utenti Android/Chrome dalla sezione Sicurezza dell’account Google.

Attenzione: le passkey collegate a un singolo dispositivo, se non sono sincronizzate o replicate su un secondo device, possono diventare un punto di blocco. È bene avere almeno due dispositivi fidati con le stesse passkey, oppure usare la sincronizzazione cloud. Infine, se il passkey è un pin attenti a non farcelo spiare in un luogo pubblico. Se poi ci rubano il dispositivo, è finita.

Quasi tutti i sistemi di recupero partono da un messaggio inviato a un indirizzo email o a un numero di telefono “fidato”. Il problema è che di solito registriamo proprio l’indirizzo o il numero che rischia di non essere più disponibile in caso di furto del telefono o di attacco informatico.

La prima tecnica, banale ma spesso ignorata, è configurare per tempo un secondo indirizzo email di recupero, su un servizio diverso da quello principale. Chi usa Gmail può creare una casella Outlook o Yahoo da tenere solo per questo; chi vive nell’ecosistema Microsoft può usare un indirizzo Gmail come email di emergenza. Lo stesso vale per i numeri di telefono: se possibile conviene registrare, oltre al proprio, il numero fisso dell’ufficio, il cellulare di un coniuge o socio, o una linea aziendale separata.

La seconda riguarda i “contatti fidati”. Google ha introdotto nel 2025 la possibilità di indicare fino a 10 persone di fiducia, con account Google, che possono aiutarci a rientrare quando gli altri metodi non funzionano. Il meccanismo è semplice: l’utente bloccato condivide un codice con il contatto, il contatto riceve una notifica o email e deve selezionare il codice corretto tra varie opzioni. È un modo per portare nel mondo digitale la logica delle “dichiarazioni di testimoni”, senza rinunciare alla verifica tecnica. Apple offre un sistema analogo.

App mobili di Apple, Microsoft e Google: l’identità in tasca

Un altro canale spesso trascurato è l’app ufficiale dei grandi fornitori. Gmail o YouTube sul telefono Android, l’app Outlook su iPhone, l’app Supporto Apple valgono come prova di identità aggiuntiva.

Ad esempio quando si tenta di accedere a un account Google da un nuovo browser, il sistema chiede spesso di confermare dallo smartphone già collegato.

Apple consente di reimpostare la password dell’account se si è già collegati con quell’ID su un iPhone, iPad o Mac fidato. In pratica, il dispositivo diventa un “documento d’identità” digitale.

Il passo successivo sono le chiavi fisiche Fido2, come YubiKey, Feitian e altri dispositivi simili. Si collegano via usb, nfc o bluetooth a pc e smartphone e confermano la presenza dell’utente con la pressione di un tasto, un Pin o un sensore biometrico. Molti servizi di alto profilo, dagli account Google e Apple agli accessi Microsoft aziendali, supportano oggi l’uso di chiavi fisiche come secondo fattore o addirittura in modalità passwordless.

Il rischio, ovvio, è perderle. Meglio registrarne almeno due per ogni account importante: una chiave “da portare in giro” e una chiave di backup da tenere in cassaforte o in azienda. E, ancora una volta, assicurarsi che esistano vie alternative di recupero nel caso in cui entrambe vadano perse.

Password manager, passkey, contatti fidati, app di autenticazione e chiavi fisiche: almeno alcuni di questi sono ingredienti fondamentali della nostra sicurezza digitale, che sempre più spesso coincide con la nostra serenità mentale ed economica.