Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

autenticazione online

Troppe password, poca sicurezza: l’eccesso che penalizza gli utenti

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

L’eccesso di procedure di autenticazione digitale rischia di escludere anziani e utenti meno esperti dai servizi online essenziali, creando barriere all’inclusività digitale nonostante l’obiettivo sia proteggere la sicurezza

Pubblicato il 24 lug 2025
Eugenio Prosperetti

Avvocato esperto trasformazione digitale, docente informatica giuridica facoltà Giurisprudenza LUISS

autenticazione digitale

Il moltiplicarsi di password e metodi di autenticazione a servizi online, è una cosa positiva o sta diventando problema?

Password, stiamo sbagliando (quasi) tutto: ecco perché

L’autenticazione digitale e il rischio di esclusione

È un tema relativo alla riservatezza dei nostri dati personali del quale si parla poco ma che riguarda tutti noi e che, nel lungo termine, a mio avviso, pone rischi per la sostenibilità della società digitale e per la sua inclusività verso le fasce più deboli della popolazione, specie gli anziani e coloro che non hanno molta familiarità con l’uso delle tecnologie. Chi non è pratico di password, riconoscimenti facciali, PIN, OTP e similari, rischia di non poter accedere a servizi ormai pressoché essenziali o, peggio, che una gestione non accurata delle proprie credenziali, lo esponga a frodi e truffe.

Moltissimi si lamentano di non sopportare più così tante richieste di credenziali informatiche (e la soluzione è quasi sempre “metto la stessa password ovunque”). Raramente si analizza se il fastidio possa derivare da potenziali procedure illegittime o quasi.

Si tratta, infatti, di un tema che, a differenza dell’intelligenza artificiale o delle chiamate del telemarketing illegale, normalmente non costituisce oggetto di azioni e provvedimenti delle autorità di controllo della privacy.

Eppure, si tratta di situazioni altrettanto impattanti sulla vita di tutti. Chi non si è mai trovato nella situazione in cui serve con urgenza accedere a un servizio e bisogna cambiare la password, la password è dimenticata, occorre accettare la notifica su un dispositivo diverso e che non si possiede, ecc.

Prima di entrare nel merito del tema, è doveroso fare una premessa: questo contributo va inteso nel senso di aprire una discussione, è possibile che ci siano situazioni in cui questa analisi non sia calzante a causa di norme o linee guida di settore… questo non toglie che se il disagio derivasse da specifiche normative, le norme potrebbero dover essere modificate o aggiornate o adeguate al contesto attuale.

Quando la sicurezza digitale diventa un limite all’usabilità

Intendiamoci, chi scrive si occupa professionalmente anche di sicurezza informatica ed ha lavorato alla predisposizione del sistema SPID su più fronti. Sono ben consapevole dei rischi dell’abbassare il livello di sicurezza e non ho nulla contro il doppio fattore di autenticazione, il riconoscimento biometrico e le altre metodiche di autenticazione a patto che se ne faccia un uso ragionevole e che non provoca danno all’utente: se per utilizzare un servizio si richiedono 3 o 4 doppie autenticazioni con metodi diversi, la procedura diventa inutilizzabile e, per certi versi, molesta, oltre a non portare vantaggi per la sicurezza.

Esistono infatti implementazioni (ormai numerosissime) in cui, per scarsa attenzione alla user experience e scarso coordinamento tra sistemi diversi, per fare operazioni anche banali, bisogna sottostare a molteplici diverse autenticazioni, in genere con metodi diversi, che rendono difficile anche a un nativo digitale (categoria in cui “impropriamente” mi includo visto che ho un computer davanti da quando avevo 8 anni) utilizzare i servizi digitali quotidianamente necessari, figuriamoci a una persona avanti con gli anni o con scarsa frequentazione della tecnologia.

Esempi pratici di un’autenticazione digitale inefficace

Facciamo qualche esempio: diciamo che voglio vedere la posta elettronica della mia università, la quale è basata su una delle principali piattaforme cloud mondiali e che, essendo in mobilità, voglio leggerla dallo smartphone.

Anzitutto devo aprire lo smartphone con autenticazione biometrica facciale, apro poi l’app della posta elettronica fornita dal suddetto provider. All’apertura scopro che, per sicurezza, devo ripetere l’autenticazione dell’account di posta (circa una volta al mese), inserisco le credenziali dell’università… che mi chiede periodicamente di cambiare la password per sicurezza, cambiata la password, ritorno sull’app di posta, la quale – non convinta che io abbia titolo ad accedere nonostante abbia inserito credenziali corrette ed aggiornate, mi invita ad aprire l’app di posta (che ho già aperta) ed inserire un codice numerico… senza però darmi modo di inserirlo effettivamente, chiedo di avere un SMS allora (finalmente) mi arriva un OTP e, infine, inserendo il codice del SMS, entro nell’account e scopro che, per sicurezza, l’app deve riscaricare tutti i messaggi ogni volta. Questo eccesso di sicurezza rende l’app mobile praticamente inservibile. Se invece uso – per lo stesso account – l’app nativa dello smartphone o Thunderbird su postazione fissa, è sufficiente autenticarmi la prima volta per attivare l’account e devo solo preoccuparmi di tenere aggiornata la password.

Altro esempio: mi voglio registrare per usare un diffuso servizio di ricarica auto elettriche. L’app mi chiede la registrazione, scelgo le credenziali, mi arriva OTP di conferma via mail o SMS; per poter però effettivamente usare il servizio devo inserire un metodo di pagamento e l’app pretende di validarlo (non basterebbe validare le singole operazioni di pagamento, che peraltro saranno di importi piuttosto contenuti?) e mi rimanda alla app del gestore della carta di credito, che, per farmi accedere, richiede un ulteriore doppio fattore di autenticazione (sempre che non ci sia da modificare la password anche qui), do conferma sull’app della carta, ricevendo un OTP per confermare l’operazione (non sto pagando nulla, solo inserendo i dati della mia carta) e, a quel punto torno sull’app della ricarica auto elettriche; alcune app di questo tipo mandano anche una ulteriore mail di conferma con un link da cliccare.

Autenticazione nei pagamenti: serve più proporzionalità

Ancora: voglio pagare un bollettino PagoPA con l’app IO: entro con SPID, ovviamente passando la doppia autenticazione prevista dal mio IDprovider (questo è sacrosanto), scannerizzo il QR code del bollettino (a questo punto sto ordinando un pagamento da una app che mi ha identificato con valore di legge) e scelgo Paypal come metodo di pagamento. A questo punto passo la doppia autenticazione di Paypal, ma il provider della carta di credito associata a Paypal non si fida… meglio fare una ulteriore doppia autenticazione aprendo una notifica sulla sua app, che mi prende l’autenticazione biometrica, e manda un OTP per accedere via mail/SMS (alcune mandano anche un ulteriore OTP per confermare il pagamento).

Si potrebbero fare molti altri esempi. Sta di fatto che la complessità di queste procedure rende numerosi servizi inaccessibili alle fasce più digital divise della popolazione: per destreggiarsi velocemente con questi sistemi di molteplice autenticazione occorre avere device veloci e in buona efficienza, occorre avere un password manager installato e tenuto aggiornato, a volte, se si vuole fare una operazione da PC, occorre comunque avere lo smartphone (e guai se non prende…) unico secondo fattore ammesso.

Nuove linee guida per la sicurezza delle password: tutto ciò che enti e aziende devono sapere

Sicurezza o automatismo normativo? i limiti delle regole attuali

Mi pongo a questo punto due interrogativi: 1) tutto questo è obbligatorio? 2) anche se lo fosse, non ci sono sistemi migliori e che possono veramente semplificare la vita?

Mi si dirà: è tutto obbligatorio e necessario per assicurare la sicurezza dei dati personali e dei pagamenti.

Mi permetto di dissentire. È cosa nota che il cambio password ogni sei mesi non è una misura realmente obbligatoria e il NIST addirittura la sconsiglia… purtroppo le misure minime di sicurezza di Agid, mutuate in larga parte da quelle stabilita all’epoca dal Garante Privacy, continuano a prevedere questa prassi. Costringere l’utente a cambiare in continuazione le password in maniera tassativa – sicché se non cambio password non posso accedere – obbliga però numerosi utenti a inventarsi una password che poi scordano o usare la stessa password per tutti i servizi o lasciar inventare la password ad apposite applicazioni… con risultati che, in tutti questi casi, diminuiscono la sicurezza invece di aumentarla, perché l’utente perde il controllo delle sue password, le annota nei posti più improbabili o, appunto, usa password uniche che in caso di furto consentono di accedere a tutti i suoi account. Molto meglio raccomandare di cambiare la password con appositi reminder, senza che l’operazione diventi tassativa.

La doppia autenticazione non è sempre obbligatoria

Parliamo ora del doppio fattore di autenticazione. Si dirà che lo prevede la Direttiva PSD2 per autenticare i pagamenti elettronici e non è derogabile. A ben vedere non è del tutto vero e, comunque, si potrebbe implementare in maniera più amichevole per l’utente.

La Direttiva PSD2, che regola i pagamenti elettronici, prevede che in determinati casi e per determinati servizi di pagamento, sia necessaria una autenticazione forte. Essa è obbligatoria, in sintesi, per accesso ai conti online, servizi di pagamento elettronico e operazioni che comportano il rischio di frode. Costituisce autenticazione forte, secondo la PSD2, una operazione di autenticazione basata su almeno due dei seguenti fattori: conoscenza (qualcosa che solo l’utente sa), possesso (qualcosa che l’utente possiede) e inerenza (una caratteristica dell’utente, ad esempio il volto, la voce o l’impronta).

È però interessante notare che l’autenticazione a due fattori, nella maggior parte dei casi, non è obbligatoria, nemmeno per operazioni di pagamento: pensiamo per esempio a quando passiamo il casello con il Telepass… c’è forse una doppia autenticazione? Che succederebbe se in quel breve istante in cui passiamo con l’auto e il transponder, ci chiedessero di confermare una notifica sullo smartphone per confermare il pagamento del pedaggio?

Necessaria una revisione dell’autenticazione digitale

Questo avviene perché il pagamento con il transponder è utilizzabile solo in una gamma limitata di pagamenti e non è un servizio di pagamento in senso proprio. L’autenticazione a due fattori non è obbligatoria nemmeno per i pagamenti di importo basso (es. il contactless con la carta sotto i 50 euro non richiede PIN), e non è obbligatoria nemmeno per gli accessi con sola consultazione di dati che non siano dati personali e nemmeno per le transazioni ricorrenti. Tutto invece lascia pensare che, nel dubbio, si preferisca imporre il doppio fattore di autenticazione per qualsiasi operazione, senza invece pensare alla complessiva esperienza dell’utente.

Questo atteggiamento è imputabile, in qualche misura, a una eccessiva intransigenza delle autorità di controllo privacy e finanziarie che, se non trovano un doppio fattore di autenticazione – in molti casi –mettono in discussione la legittimità ed imputabilità delle registrazioni account e delle operazioni di pagamento.

Ora le suddette procedure rischiano di complicarsi ancora di più perché simili considerazioni si applicano alla registrazione del consenso privacy. Secondo la visione di alcune autorità di controllo non basta provare che l’utente si sia correttamente registrato ma occorre provare che ha rilasciato specifici consensi e dunque ci vuole doppio fattore di autenticazione – che si aggiunge alle molteplici doppie autenticazioni di cui dicevo sopra – anche per il rilascio dei consensi.

Effettuare una operazione di doppia autenticazione può non essere semplice per l’utente medio, specie se, invece di ricevere un OTP via SMS, il provider del servizio sceglie di usare la propria specifica “app” di autenticazione: occorre avere familiarità con le operazioni multitasking sullo smartphone, avere le app sempre aggiornate, aver configurato correttamente l’autenticazione biometrica… l’eccesso di complessità delle autenticazioni può portare a rinunce ad usare il servizio.

Il problema, in sostanza, è la poca attenzione all’interoperabilità tra autenticazioni: come dicevo prima, se il primo servizio a cui accedo richiede un’autenticazione forte, questa, in molti casi, potrebbe essere propagata agli altri servizi che vengono in gioco nell’operazione, primi fra tutti i servizi di pagamento.

Per tali motivi auspico che le autorità competenti, magari coordinandosi fra loro, inizino a valutare non solo la sicurezza dell’autenticazione, ma anche la sua semplicità d’uso e laddove si noti la mancanza di interoperabilità tra autenticazioni, forniscano indicazioni che consentano di superare l’eccesso di richieste di password, in maniera da migliorare l’esperienza complessiva per l’utente.

Verso un sistema di autenticazione digitale unificato

Ulteriore rimedio potrebbe essere la convergenza dei servizi verso forme di autenticazione unificate, quali ad esempio SPID/CIE, in maniera da evitare il profilare di differenti metodi di autenticazione. Su quest’ultima considerazione immagino che alcuni diranno che alcuni di questi sistemi sono soggetti a frodi: si tratta però di frodi – è bene ricordarlo – rese possibile dalla relativa facilità con cui è possibile procurarsi un documento d’identità falso, non dal sistema di autenticazione in sé e, per tale motivo, sarebbe necessario che a livello governativo fossero disponibili sistemi più evoluti di verifica dei documenti d’identità.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Eugenio Prosperetti
Avvocato esperto trasformazione digitale, docente informatica giuridica facoltà Giurisprudenza LUISS
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • cookie wall giornali garante privacy

  • la guida

    Cookie: cosa sono, come funzionano e come proteggerti

    22 Set 2025

    di Antonino Polimeni

    Condividi
  • identita_410057710

  • la guida

    Diritto all’oblio e privacy, cos'è e come esercitarlo: tutto quello che devi sapere

    22 Set 2025

    di Anna Cataleta

    Condividi
  • dati daTA digitale

  • l'analisi

    Web scraping: cos’è, perché si usa e come difendersi da "intrusioni" indesiderate

    14 Apr 2025

    di Andrea Fumagalli

    Condividi