Vai al contenuto

Secondo il rapporto, le credenziali rubate rimangono uno dei due principali vettori di accesso iniziale in tutti i settori, secondo il Rapporto 2026 di Verizon sulle indagini relative alle violazioni dei dati—e per quanto riguarda le banche, dove i conti digitali garantiscono un accesso diretto ai servizi finanziari, continuano a essere alla base di frodi legate all’appropriazione indebita di conti, attacchi di “credential stuffing” e campagne di phishing in tempo reale su larga scala.

La risposta normativa è stata inequivocabile: la PSD3 e la PSR1 sono in fase di attuazione negli Stati membri dell’UE, il DORA è in vigore e le autorità di regolamentazione dell’UE, degli Stati Uniti e dell’Asia-Pacifico stanno convergendo verso un unico requisito: l’autenticazione resistente al phishing.

Le passkey FIDO2 rappresentano ora la via più chiara per raggiungere tale obiettivo. Ma il discorso non si esaurisce con le passkey. L’avvento dell’informatica quantistica significa che le basi crittografiche dell’attuale architettura di autenticazione devono affrontare una minaccia a lungo termine per la quale le istituzioni lungimiranti devono prepararsi fin da ora. Questo articolo illustra come funziona l’autenticazione senza password FIDO2 nel settore bancario, quali sono i requisiti della PSD3 e della PSR1 e perché la crittografia post-quantistica deve far parte della vostra roadmap, oltre a proporre otto domande per valutare la situazione attuale del vostro istituto.

Perché le password non sono più sufficienti nel settore bancario?

Le frodi bancarie moderne raramente prendono di mira le password in modo isolato. Gli aggressori sfruttano i sistemi costruiti attorno ad esse: i proxy di phishing in tempo reale intercettano i codici monouso inviati via SMS prima che gli utenti finiscano di inserirli; gli attacchi di SIM swap reindirizzano i messaggi di verifica verso dispositivi controllati dagli aggressori; l’ingegneria sociale ai punti di accesso dell’help desk aggira completamente l’autenticazione primaria. L’autenticazione basata su segreti condivisi crea superfici di attacco che i controlli basati sulle politiche da soli non sono in grado di chiudere.

Cosa rende il settore bancario un obiettivo particolarmente appetibile per gli attacchi mirati alle credenziali?

Le frodi tramite appropriazione di account rimangono il vettore principale nel settore del digital banking. Gli strumenti di “credential stuffing” verificano miliardi di combinazioni di nome utente e password già trapelate sui portali bancari nell’ambito di campagne automatizzate. L’autenticazione a più fattori (MFA) ha innalzato il livello di sicurezza, ma non tutte le soluzioni MFA sono uguali. I codici OTP via SMS e le notifiche push rimangono vulnerabili al phishing: un malintenzionato che induce un utente ad approvare una notifica push in tempo reale ottiene l’accesso indipendentemente dal secondo fattore previsto nella procedura.

Le passkey FIDO2 risolvono questo problema a livello di architettura, non a livello di policy. Eliminando i segreti condivisi e associando le credenziali a domini specifici delle parti affidanti (RP), eliminano il meccanismo che rende il phishing economicamente redditizio: non c’è nulla da intercettare, inoltrare o riprodurre.

Come funziona l'autenticazione senza password FIDO2 nel settore bancario?

FIDO2 è uno standard di autenticazione aperto sviluppato dal Alleanza FIDO in collaborazione con il W3C. La sua specifica WebAuthn consente ai browser e alle applicazioni di autenticare gli utenti utilizzando credenziali crittografiche — le passkey — al posto delle password.

Quando un utente registra una passkey, il dispositivo genera una coppia di chiavi pubblica-privata. La chiave privata non lascia mai il dispositivo; la banca memorizza solo la chiave pubblica. Durante l’autenticazione, la banca invia una richiesta di verifica; il dispositivo la firma con la chiave privata; la banca verifica la firma. Non viene trasmesso alcun segreto. Ogni credenziale è inoltre vincolata crittograficamente a un dominio specifico, pertanto non può essere utilizzata su un sito di phishing, nemmeno se si tratta di una replica visiva perfetta, pixel per pixel, del portale bancario legittimo.

Passkey o chiavi di sicurezza hardware: qual è la soluzione più adatta alla tua banca?

Le passkey si presentano in due forme principali. Le passkey sincronizzate vengono replicate su tutti i dispositivi di un utente tramite ecosistemi di piattaforma quali Apple iCloud Keychain o Google Password Manager. Semplificano il recupero e sono particolarmente adatte ai clienti al dettaglio. Le passkey legate al dispositivo sono associate a un singolo dispositivo e non vengono mai esportate, garantendo una maggiore sicurezza per gli accessi privilegiati, gli utenti di servizi bancari aziendali o i flussi di transazioni di alto valore.

Per le istituzioni che richiedono il massimo livello di sicurezza — servizi bancari aziendali, amministratori con privilegi o contesti che impongono la separazione dal dispositivo principale dell’utente — le chiavi di sicurezza hardware offrono un dispositivo di autenticazione dedicato, senza esposizione a Internet e con verifica obbligatoria della presenza dell’utente ad ogni utilizzo. La RSA Serie iShield Key 2 offre un sistema di autenticazione hardware certificato FIDO2 che si integra con RSA ID Plus in ambienti cloud, ibridi e on-premises, consentendo alle banche di implementare l’autenticatore più adatto a ciascuna fascia di utenti da un’unica piattaforma.

RSA ha implementato l'autenticazione senza password FIDO2 per tutta la propria forza lavoro globale, raggiungendo un'adozione quasi totale sugli endpoint gestiti nel giro di dodici mesi. Il resoconto completo — che include le modalità di gestione delle dipendenze legacy e della gestione del cambiamento su scala aziendale — è documentato nel All'interno di RSA: Implementazione di soluzioni FIDO e senza password su larga scala caso di studio, sviluppato in collaborazione con l'Alleanza FIDO.

FIDO2 è conforme alla PSD3 e alla PSR1?

Se implementato correttamente, FIDO2 è in grado di soddisfare i requisiti di autenticazione forte del cliente (SCA) previsti dalla PSD2. Il dispositivo di autenticazione fornisce il fattore di possesso; un dato biometrico o un PIN forniscono il fattore di inerenza o di conoscenza. Il collegamento dinamico — che associa l’autenticazione a un importo specifico della transazione e a un beneficiario specifico — può essere integrato nei flussi FIDO2, rendendolo una soluzione SCA completa sia per l’autenticazione dell’identità che per l’approvazione del pagamento.

Quali cambiamenti comporta la direttiva PSD3/PSR1 per l'autenticazione bancaria?

La PSD3 e il regolamento di accompagnamento PSR1 hanno raggiunto un accordo politico nel 2025 e sono attualmente in fase di attuazione, con scadenze di transizione che si estendono fino al 2027 e al 2028. Tre sono i cambiamenti più significativi per i team addetti all’autenticazione. In primo luogo, la PSD3/PSR1 introduce requisiti più rigorosi per l’autenticazione forte (SCA) resistente al phishing, andando oltre il modello di base a due fattori della PSD2 verso metodi che non possano essere intercettati o inoltrati. In secondo luogo, le banche si trovano ad affrontare una maggiore responsabilità in casi di frode in cui l’autenticazione resistente al phishing era disponibile ma non implementata. In terzo luogo, gli istituti devono fornire metodi di autenticazione alternativi obbligatori per gli utenti che non possono utilizzare il metodo principale, il che richiede un’architettura multi-autenticatore anziché l’implementazione di un unico metodo.

Il modello FIDO2, con passkey associate al dispositivo o chiavi di sicurezza hardware, è perfettamente in linea con le indicazioni della PSD3/PSR1. Gli istituti che hanno già implementato il modello FIDO2 saranno in una posizione migliore per dimostrare la propria conformità e per produrre i registri di controllo degli accessi e la documentazione di audit richiesti dalle autorità di regolamentazione. Governance e ciclo di vita RSA automatizza la gestione dei registri delle revisioni degli accessi e dei rapporti di conformità, riducendo i tempi di preparazione per gli audit da settimane a poche ore.

Perché la crittografia post-quantistica è così importante oggi per l'autenticazione nel settore bancario?

L’informatica quantistica in grado di violare l’attuale crittografia asimmetrica non è ancora disponibile sul mercato. Il problema di pianificazione, tuttavia, è già presente. La strategia di attacco nota come “harvest now, decrypt later” — ovvero la raccolta odierna del traffico di rete crittografato con l’intenzione di decrittografarlo una volta che le capacità quantistiche saranno mature — viene già messa in atto da sofisticati attori malintenzionati che prendono di mira istituzioni di alto valore. Per le banche, dove il traffico di autenticazione e i dati dei clienti a lungo termine rappresentano obiettivi di interesse costante, ciò costituisce un vero e proprio orizzonte di rischio che richiede un intervento prima che la minaccia quantistica si concretizzi.

In cosa consiste la minaccia del tipo “raccogli ora, decripta dopo”?

L’attuale crittografia a chiave pubblica standard — alla base del protocollo TLS, delle firme digitali e delle operazioni relative alle credenziali FIDO2 — si basa su problemi matematici che i computer classici non sono in grado di risolvere su larga scala. Un computer quantistico sufficientemente potente, che esegua l’algoritmo di Shor, potrebbe risolvere questi problemi in modo efficiente, rendendo retroattivamente accessibili tutti i dati crittografati secondo gli standard attuali. Le istituzioni che archiviano o trasmettono dati relativi all’autenticazione dovrebbero partire dal presupposto che avversari sofisticati potrebbero già averli archiviati per una futura decrittografia.

Gli standard post-quantistici del NIST e il percorso da seguire per le banche

Nell'agosto del 2024, Il NIST ha finalizzato i suoi primi tre standard di crittografia post-quantistica: ML-KEM (incapsulamento delle chiavi basato su reticoli), ML-DSA (firme digitali basate su reticoli) e SLH-DSA (firme basate su hash) — tutte progettate per garantire la sicurezza sia contro gli attacchi classici che contro quelli quantistici. L’Alleanza FIDO sta lavorando attivamente per integrare gli algoritmi PQC nello standard FIDO2, il che consentirà alle passkey e alle chiavi di sicurezza hardware di mantenere le loro proprietà di resistenza al phishing man mano che l’informatica quantistica avanza.

Il supporto di RSA ID Plus per le implementazioni ibride e on-premises offre agli istituti finanziari flessibilità architettonica man mano che gli standard PQC vengono integrati nell’infrastruttura di identità. Anziché dover affrontare un’unica migrazione su larga scala, le banche possono rafforzare fin da subito i metodi di autenticazione e integrare gradualmente algoritmi resistenti alla crittografia quantistica man mano che le specifiche PQC dell’Alleanza FIDO raggiungono la maturità. Scopri di più Le funzionalità complete di autenticazione senza password di RSA.

8 domande per valutare la tua strategia bancaria senza password

Queste domande traggono spunto dall’esperienza di RSA nell’implementazione in ambito aziendale e dalle attuali linee guida normative per gli istituti finanziari. Utilizzatele per individuare eventuali lacune prima che diventino oggetto di rilievi di audit.

  1. Avete mappato tutte le dipendenze relative alle password nei vostri flussi di registrazione, ripristino e applicazione delle politiche, e non solo nel percorso di accesso principale?

I flussi relativi alla registrazione e al recupero dell'account sono le dipendenze dalle password più comunemente trascurate. Eliminarle prima di implementare le passkey è fondamentale per realizzare un'architettura realmente priva di password.

  1. I vostri attuali metodi di autenticazione soddisfano i requisiti SCA previsti dalla PSD3/PSR1 in termini di resistenza al phishing, compreso il collegamento dinamico per l'autorizzazione dei pagamenti?

FIDO2 è in grado di soddisfare i requisiti SCA, ma sono i dettagli di implementazione a determinare la conformità. Verificate che la vostra configurazione copra sia l'autenticazione dell'identità al momento dell'accesso sia la firma della transazione al momento dell'approvazione del pagamento.

  1. La vostra architettura di autenticazione è in grado di supportare diversi tipi di autenticatori per diverse categorie di utenti — clienti al dettaglio, aziende, personale delle filiali e amministratori con privilegi?

Un unico tipo di autenticatore raramente soddisfa le esigenze di ogni gruppo di utenti. L'architettura multi-autenticatore è un requisito di progettazione, non un aggiornamento futuro.

  1. I tuoi processi di recupero dell'account sono efficaci quanto il tuo metodo di autenticazione principale?

I flussi di ripristino rappresentano spesso l’anello più debole in architetture altrimenti resistenti al phishing. L’ingegneria sociale nel percorso di ripristino tramite help desk è un vettore di attacco ben documentato.

  1. I vostri contratti con terzi nel settore ICT relativi ai servizi di autenticazione sono conformi ai requisiti dell’articolo 30 del regolamento DORA, comprese le garanzie di disponibilità, i tempi di notifica degli incidenti e i diritti di audit?

I servizi di autenticazione sono considerati servizi ICT di terze parti critici ai sensi del DORA. I contratti stipulati prima del gennaio 2025 potrebbero richiedere una modifica prima della vostra prossima verifica di vigilanza.

  1. Avete valutato la vulnerabilità post-quantistica del vostro attuale stack di autenticazione — in particolare, quali algoritmi crittografici sono in uso e quali dovranno essere sostituiti?

Si tratta di un esercizio di pianificazione che dovrebbe iniziare fin da ora, finché i tempi a disposizione sono sufficienti per agire in modo metodico anziché reattivo.

  1. La vostra piattaforma di gestione delle identità supporta l'implementazione ibrida o on-premises per garantire la resilienza operativa e la conformità ai requisiti di residenza dei dati?

L'autenticazione esclusivamente su cloud senza failover ibrido potrebbe non soddisfare i requisiti di continuità operativa previsti dal DORA. L'implementazione ibrida è sempre più spesso un requisito normativo.

  1. La vostra piattaforma è in grado di generare automaticamente i registri delle revisioni degli accessi, i registri degli incidenti e i rapporti di conformità richiesti ai fini delle verifiche DORA, PSD3/PSR1 e delle ispezioni normative nazionali?

La rendicontazione manuale della conformità su larga scala non è sostenibile. L’automazione dovrebbe costituire un criterio di selezione esplicito nella valutazione delle piattaforme di autenticazione.

RSA ID Plus è progettato per rispondere “sì” a tutte e otto le domande. Scopri le soluzioni di autenticazione senza password di RSA o richiedi una consulenza insieme al team di sicurezza delle identità di RSA.

Verso un sistema bancario senza password

Il banking senza password non è una semplice scelta di prodotto, ma un cambiamento architetturale che riguarda i metodi di autenticazione, i flussi di recupero degli account, la documentazione normativa, i contratti con terze parti e la pianificazione crittografica a lungo termine. Le passkey FIDO2 ne costituiscono la base: resistenza al phishing, crittografia avanzata legata al dominio e allineamento normativo diretto con PSD3/PSR1 e DORA. Una implementazione di successo richiede una pianificazione coordinata su tutti questi fronti.

RSA ha implementato l'autenticazione senza password FIDO2 per tutto il proprio personale a livello globale, documentando ogni difficoltà di integrazione, dipendenza dai sistemi legacy e ostacolo nella gestione del cambiamento incontrati lungo il percorso. Scopri le funzionalità senza password di RSA, leggi il Caso di studio sull'implementazione di RSA in ambito aziendale, o richiedi una consulenza per valutare il grado di preparazione del vostro istituto.

Domande frequenti sui servizi bancari senza password
Che cos’è l’autenticazione senza password nel settore bancario?

L'autenticazione senza password nel settore bancario sostituisce le password e i segreti condivisi con credenziali crittografiche che autenticano gli utenti senza trasmettere dati sensibili. Le passkey FIDO2 utilizzano la crittografia a chiave pubblica-privata: la chiave privata non lascia mai il dispositivo dell'utente; la banca verifica una firma crittografica. Le credenziali sono legate al dominio, eliminando così il phishing e il replay delle credenziali come vettori di attacco.

Come funzionano le chiavi di accesso FIDO2 nel settore bancario?

Quando un utente registra una passkey, il dispositivo genera una coppia di chiavi pubblica-privata. La chiave privata viene archiviata in modo sicuro sul dispositivo e non viene mai esportata. Durante l’autenticazione, la banca invia una richiesta di verifica; il dispositivo la firma con la chiave privata; la banca verifica la firma confrontandola con la chiave pubblica memorizzata. Ogni credenziale è legata crittograficamente al dominio della banca, pertanto non può essere utilizzata su siti di phishing.

FIDO2 è conforme alla PSD3 e alla PSR1?

Se correttamente implementato, FIDO2 è in grado di soddisfare i requisiti di autenticazione forte del cliente previsti dalla PSD3/PSR1. Le passkey associate al dispositivo o le chiavi di sicurezza hardware soddisfano il fattore di possesso; un dato biometrico o un PIN soddisfano il fattore di inerenza o di conoscenza. Il collegamento dinamico per l’autorizzazione dei pagamenti può essere integrato nei flussi FIDO2. Le banche dovrebbero verificare che la loro specifica implementazione copra sia l’autenticazione dell’identità sia la firma della transazione.

Qual è la differenza tra le passkey sincronizzate e quelle associate al dispositivo nel caso delle banche?

Le passkey sincronizzate vengono replicate su tutti i dispositivi tramite ecosistemi di piattaforma quali iCloud Keychain o Google Password Manager, migliorando l’usabilità e consentendo il recupero autonomo. Le passkey legate al dispositivo sono associate a un unico dispositivo di autenticazione e non vengono mai esportate, garantendo una maggiore sicurezza per gli accessi privilegiati, i servizi bancari aziendali o le transazioni di alto valore.

Che cos’è l’autenticazione post-quantistica e perché è importante per le banche?

L’autenticazione post-quantistica utilizza algoritmi crittografici resistenti agli attacchi dei computer quantistici. L’attuale FIDO2 si basa sulla crittografia a curve ellittiche, che un computer quantistico sufficientemente potente potrebbe violare. La minaccia del tipo ”raccogli ora, decifra dopo» implica che gli aggressori potrebbero già archiviare il traffico di autenticazione crittografato per decifrarlo in futuro. Nell’agosto 2024 il NIST ha finalizzato tre standard di crittografia post-quantistica. Le banche dovrebbero includere fin da ora la pianificazione della migrazione alla PQC nelle loro roadmap di autenticazione.

In che modo la DORA influisce sui requisiti di autenticazione nel settore bancario?

Il regolamento DORA impone agli istituti finanziari dell’UE di garantire la continuità operativa dei sistemi ICT — compresi i servizi di autenticazione — durante gli incidenti informatici. Le piattaforme di autenticazione devono soddisfare i requisiti di cui all’articolo 30 del regolamento DORA relativi ai fornitori terzi di servizi ICT, che riguardano le garanzie di disponibilità, i tempi di notifica degli incidenti e i diritti di audit. Il regolamento DORA richiede inoltre registri di audit completi e piani di continuità operativa collaudati che garantiscano la disponibilità dei sistemi di autenticazione.

Cosa cambia con la PSD3/PSR1 in materia di autenticazione forte del cliente?

Le direttive PSD3 e PSR1 rafforzano i requisiti SCA previsti dalla PSD2, introducendo aspettative esplicite in materia di autenticazione resistente al phishing, una maggiore responsabilità delle banche nei casi di frode in cui fossero disponibili metodi resistenti al phishing ma non implementati, nonché metodi di autenticazione alternativi obbligatori. I termini per la transizione si estendono fino al 2027 e al 2028.

Le soluzioni di autenticazione basate sul cloud sono in grado di soddisfare i requisiti di continuità operativa previsti dal DORA?

L’autenticazione basata sul cloud può soddisfare i requisiti del regolamento DORA se la piattaforma e i contratti sono conformi all’articolo 30. Le istituzioni che si affidano esclusivamente all’autenticazione nel cloud senza un sistema di failover ibrido potrebbero avere difficoltà a dimostrare la continuità operativa richiesta dal regolamento DORA. RSA ID Plus supporta l’autenticazione su cloud, ibrida e on-premise da un’unica piattaforma, con un failover ibrido che garantisce la disponibilità dei servizi di autenticazione in caso di interruzione della connettività cloud.

Richiedi una demo

Richiedi una demo