La sicurezza delle identità digitali sta attraversando una trasformazione radicale: password che non bastano più, tecniche di attacco sempre più sofisticate, utenti esposti a frodi vocali e digitali, normative che ridefiniscono i criteri per l’accesso ai servizi pubblici e privati. Tre prospettive – Cisco, Spitch e ManageEngine – raccontano la stessa storia da angolazioni diverse: la sicurezza non si gioca più sulla complessità di una password, ma sulla forza dei sistemi di autenticazione che usiamo per dimostrare chi siamo.
Il tramonto della password tradizionale
La fotografia scattata da Cisco è inequivocabile: la password non rappresenta più una barriera affidabile. La metà degli utenti Internet nel mondo è stata esposta ad attacchi basati sul riutilizzo delle credenziali, e in un solo forum criminale sono state trovate 244 milioni di password trapelate. Il problema non è solo tecnico ma comportamentale: password riutilizzate, troppo semplici, salvate in modo insicuro. Una violazione basta per comprometterne molte. Da qui l’accelerazione verso sistemi passwordless, basati su impronta digitale, riconoscimento facciale, PIN locale o chiavi fisiche. Cisco smonta i falsi miti ancora diffusi:
“L’autenticazione senza password non è meno sicura dell’MFA: ne è un’estensione naturale. Verifica dispositivo e identità biometrica senza mai inviare informazioni sensibili online”, spiega Cisco che sulla diffidenza verso i PIN, ricorda che “un PIN non viaggia mai in rete, non viene archiviato esternamente e serve solo a sbloccare il dispositivo”.
Sulla biometria: sistemi come Face ID o Windows Hello usano “mappatura 3D, IR e rilevamento della vivacità”, rendendo estremamente complesso ingannarli. E soprattutto: “Il passwordless protegge intrinsecamente dal phishing, perché la chiave digitale resta sul dispositivo e il browser verifica automaticamente l’autenticità del sito.”
La conclusione è un cambio di paradigma: semplicità per l’utente, difficoltà per l’attaccante.
La biometria vocale come risposta a deepfake e frodi informatiche
Mentre il passwordless guadagna terreno, un’altra tecnologia vive una crescita rapidissima: la biometria vocale, oggi tornata protagonista grazie ai progressi dell’AI e all’aumento degli attacchi basati su audio sintetico. Secondo il Verified Market Reports, citato da Spitch, il mercato passerà da 3,45 miliardi di dollari nel 2024 a 11,26 miliardi nel 2033, con un CAGR del 14,2%. Una spinta dettata da frodi vocali, phishing evoluto e necessità di proteggere l’identità nei servizi bancari, sanitari e pubblici. La biometria vocale moderna è passiva, continua, invisibile. Come dichiara Alessandra Peterlin, Director Sales & Consultancy di Spitch Italy: “Il risultato è un’esperienza senza interruzioni, in cui la verifica dell’identità avviene quasi senza che l’utente se ne accorga. Questo riduce i tempi delle chiamate fino al 15% e consente di dimezzare i costi di autenticazione, accelerando le procedure fino all’80%.”
Ma la sfida più delicata resta lo spoofing: distinguere una voce reale da un deepfake. Anche qui la tecnologia compie un salto di qualità. “In un’epoca in cui i deepfake vocali sono sempre più diffusi, la capacità di riconoscere audio sintetici è essenziale per proteggere dati e identità digitali. In caso di frode, possiamo creare un’impronta vocale del truffatore e bloccarne i tentativi successivi”, aggiunge Peterlin.
L’AI Act europeo introduce inoltre criteri rigorosi per i sistemi biometrici: trasparenza, controllo umano, minimizzazione del rischio. Spitch sottolinea che la biometria vocale deve essere implementata in modo etico e conforme, senza sacrificare performance. Il risultato è una sintesi potente: massima sicurezza senza sacrificare la naturalezza d’uso.
Quando l’autenticazione diventa governance
La terza prospettiva arriva da ManageEngine e guarda a un livello superiore: la gestione delle identità come infrastruttura di governance nazionale. Il passaggio dell’Italia al cloud sovrano e l’introduzione del Polo Strategico Nazionale (PSN) cambiano il paradigma della sicurezza pubblica. Secondo Jay Reddy, Senior Technology Evangelist di ManageEngine: “Il controllo operativo non dipende più dalla posizione fisica dei sistemi, ma da come viene regolamentato l’accesso. L’IAM diventa il meccanismo centrale che mantiene coerenti accesso, responsabilità e tracciabilità.”
Il regolamento dell’Agenzia per la Cybersicurezza Nazionale impone:
- autenticazione multifattore obbligatoria;
- identità federata tra i vari enti pubblici;
- gestione rigorosa del ciclo di vita delle identità;
- logging dettagliato e integrabile con SIEM e SOAR;
- revisione periodica dei privilegi secondo il principio del privilegio minimo.
L’IAM, in questa visione, non è un componente tecnico ma l’infrastruttura che rende possibile la sovranità digitale:
- assicura conformità dinamica alle classificazioni dei dati;
- garantisce continuità operativa grazie alla tracciabilità;
- contiene i rischi quando una credenziale viene compromessa.
Come sintetizza Reddy, “l’Italia dimostra che la vera autonomia digitale non si ottiene costruendo infrastrutture locali, ma sapendo tracciare ogni identità, ogni azione e ogni privilegio all’interno della supervisione nazionale.”
Verso un ecosistema di identità senza frizioni e senza debolezze
Passwordless, biometria vocale e IAM regolatorio raccontano una stessa direzione: spostare l’autenticazione dal ricordo di un segreto fragile (la password) alla verifica sicura dell’identità attraverso dispositivi, biometria e policy rigorose.
È un cambiamento inevitabile:
- perché gli attacchi basati su credenziali compromesse sono in aumento;
- perché i deepfake vocali rendono obsoleto il vecchio KYC telefonico;
- perché la trasformazione digitale della PA richiede standard uniformi e verificabili.
La sicurezza del futuro non dipenderà dal “quanto” l’utente ricorda, ma dal come la sua identità viene verificata, protetta e tracciata. Un’evoluzione che, per la prima volta, mette insieme tecnologia, esperienza utente e governance in un modello coerente e maturo.
COMMENTI