Per decenni la password è stata l’unico vero standard per accedere a un account online, nonostante sia anche uno dei suoi anelli più deboli: riutilizzata, scritta su un foglietto, rubata con un’email di phishing ben fatta. Nel 2026 questo equilibrio sta finalmente cambiando. Le passkey sono passate da funzionalità sperimentale a opzione predefinita su gran parte dei servizi più usati, e per la prima volta milioni di persone stanno effettivamente accedendo ai propri account senza digitare nulla.
Cos’è davvero una passkey
Una passkey non è una password più complicata: è una coppia di chiavi crittografiche generata dal tuo dispositivo. Una chiave resta privata e non lascia mai il telefono, il computer o la chiave di sicurezza fisica; l’altra viene condivisa con il servizio a cui ti stai registrando. Per accedere non devi ricordare nulla: sblocchi il dispositivo con l’impronta, il volto o il PIN, e quello sblocco autorizza l’uso della chiave privata per dimostrare che sei tu, senza che nessuna password venga mai digitata o trasmessa.
Perché sono più sicure di una password
- Niente da rubare con il phishing. Una passkey è legata al dominio esatto del sito per cui è stata creata: un sito-clone creato per il furto di credenziali semplicemente non può richiederla con successo.
- Niente database di password da violare. Il servizio conserva solo la chiave pubblica, che è inutile per un attaccante senza la controparte privata rimasta sul tuo dispositivo.
- Nessun riutilizzo pericoloso. Ogni passkey è generata per un singolo servizio: non esiste il problema della stessa password usata su dieci account diversi.
Dove le trovi già oggi
Le passkey sono già attive, spesso come opzione consigliata in fase di login, su gran parte dei principali servizi di posta, e-commerce, banking e social. I gestori di password più diffusi le sincronizzano automaticamente tra i dispositivi, e i principali sistemi operativi mobile e desktop le integrano nativamente nei propri meccanismi di sblocco biometrico, rendendo l’esperienza pressoché identica a quella a cui gli utenti sono già abituati per sbloccare il telefono.
I problemi di transizione
- Recupero dell’accesso più delicato. Se perdi tutti i dispositivi collegati alla tua passkey senza un backup adeguato, recuperare l’accesso può essere più complesso che reimpostare una password dimenticata.
- Frammentazione tra ecosistemi. Spostare le passkey tra un ecosistema e l’altro (ad esempio cambiando produttore di smartphone) non è ancora fluido quanto dovrebbe.
- Servizi ancora indietro. Molti siti più piccoli non supportano ancora le passkey, costringendo gli utenti a destreggiarsi tra due sistemi di accesso paralleli per anni a venire.
- Comprensione limitata da parte degli utenti. Una tecnologia che “semplicemente funziona” senza spiegazioni rischia di generare diffidenza in chi non capisce perché non gli viene più chiesta una password.
Suggerimento: se un servizio importante che usi offre le passkey, attivale ma non eliminare subito tutti i metodi di recupero alternativi: tieni almeno un secondo dispositivo o un codice di backup salvato in un posto sicuro, finché il sistema non sarà maturo quanto le password che sta sostituendo.
Cosa aspettarsi da qui in avanti
Le password non spariranno del tutto nel 2026, ma stanno smettendo di essere la prima scelta. La direzione è chiara: meno cose da ricordare, meno superfici di attacco per chi ruba credenziali su larga scala, e un’esperienza di accesso che assomiglia sempre di più a sbloccare semplicemente il proprio dispositivo. La vera sfida ora non è tecnica, ma di adozione: portare il resto del web, comprese le piattaforme più piccole, allo stesso livello dei grandi servizi che hanno già fatto il passaggio.