/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/03/face-id-touch-id-protezione-attacchi.jpg "Face ID e Touch ID hanno un vantaggio nascosto che pochi considerano")
I meccanismi di autenticazione digitale stanno attraversando una fase di transizione concreta, spinta da due fattori convergenti: la crescente inefficacia delle password tradizionali e l’esplosione di campagne phishing sempre più evolute che possono trarre in inganno gli utenti. Le tecnologie biometriche integrate nei dispositivi consumer assumono quindi un ruolo più ampio rispetto al semplice sblocco del telefono. Le dichiarazioni del CEO di Reddit, Steve Huffman, offrono uno spunto interessante: sistemi come Face ID e Touch ID non servono solo a rafforzare la sicurezza per accedere allo smartphone, ma introducono un meccanismo implicito di verifica della presenza fisica dell’utente.
La diffusione di queste tecnologie risale a oltre un decennio fa. Apple introdusse il riconoscimento delle impronte con iPhone 5s nel 2013, integrando i dati biometrici in un’area isolata del chip, la Secure Enclave. Quattro anni più tardi, con iPhone X, fu introdotto il riconoscimento facciale che utilizza una proiezione di luce infrarossa – non visibile all’occhio umano – per mappare il volto in tre dimensioni e analizzarne con precisione la forma e i tratti distintivi.
Dal modello password alle passkey: un cambio tecnico sostanziale
Il superamento delle password non nasce da una semplice esigenza di comodità, ma da limiti strutturali. Le credenziali tradizionali devono essere conservate sul server, di solito sotto forma di hash, ma rimangono esposte a rischi come phishing, credential stuffing (uso automatico di credenziali rubate su più servizi) e violazioni di dati su larga scala.
Il modello passkey, basato su crittografia asimmetrica, elimina questo problema: il server conserva solo una chiave pubblica, mentre quella privata è generata e resta sul dispositivo dell’utente.
Quando un servizio richiede l’autenticazione, il dispositivo genera una firma crittografica dopo aver verificato localmente l’identità tramite biometria. Né il volto né l’impronta vengono trasmessi: il sistema restituisce solo una prova matematica dell’identità. Questa architettura riduce drasticamente la superficie d’attacco e rende inutili molti vettori tradizionali.
Il valore nascosto: la prova di presenza umana
L’osservazione più rilevante emersa dalle dichiarazioni di Huffman riguarda un aspetto spesso trascurato: la biometria non certifica solo chi sei, ma anche che sei fisicamente presente. L’interazione richiesta – guardare lo schermo o appoggiare il dito – implica una risposta umana in tempo reale.
Un sistema di autenticazione basato su biometria locale introduce quindi una forma di “proof of presence”: anche se un attaccante possedesse le credenziali crittografiche, non potrebbe completare l’operazione senza accesso fisico al dispositivo e alla caratteristica biometrica associata.
Nel caso di Touch ID, il sensore capacitivo acquisisce una mappa dell’impronta e la conserva nella Secure Enclave, un coprocessore isolato dal resto del sistema operativo. Anche Face ID conserva il template biometrico del volto a livello hardware.
Biometria oltre Apple: un modello già diffuso anche su Android
Il riferimento a Face ID e Touch ID che Huffman ha speso nel corso di un’intervista (TBPN podcast) non implica un’esclusività tecnologica, ma risponde soprattutto a esigenze comunicative.
L’autenticazione biometrica integrata nei flussi di accesso moderni, in particolare quelli basati su passkey (uso e potenzialità delle passkey che deve essere comunicato in maniera più efficace anche a livello di sistema operativo…!), è già ampiamente supportata anche su Android attraverso sensori di impronte digitali, riconoscimento facciale e moduli hardware dedicati come il Trusted Execution Environment (TEE).
La differenza non riguarda tanto la disponibilità della tecnologia quanto il grado di uniformità e certificazione: su iOS l’implementazione risulta omogenea e vincolata a un enclave sicuro, mentre su Android varia in funzione del dispositivo e del livello di sicurezza biometrica, definito dalle classi introdotte da Google.
Nei dispositivi certificati di livello più alto, la logica resta identica: verifica locale dell’identità, firma crittografica e interazione fisica dell’utente. Ciò che emerge, quindi, non è un vantaggio esclusivo di un produttore, ma l’affermazione di un approccio tecnico condiviso, dove la biometria diventa uno strumento per dimostrare la presenza reale dell’utente, indipendentemente dalla piattaforma utilizzata.
Phishing avanzato e limiti della proof of presence: il caso (sempre più frequente) che Huffman non ha considerato
La presenza di un meccanismo di verifica locale basato sulla biometria non elimina completamente il rischio di compromissione, soprattutto nei casi di phishing in tempo reale.
Tecniche come il reverse proxy phishing permettono all’attaccante di frapporsi tra utente e servizio legittimo, intercettando e inoltrando le richieste in modo trasparente. In questi scenari, la vittima interagisce con una pagina apparentemente autentica e completa regolarmente l’autenticazione, inclusa la verifica biometrica sul proprio dispositivo. Il sistema genera quindi una sessione valida che, anziché restare confinata al browser dell’utente, è catturata e riutilizzata dall’attaccante.
Il problema principale non riguarda la compromissione dei dati biometrici (come impronte digitali o riconoscimento facciale) né della chiave privata, che rimangono al sicuro all’interno dell’hardware del dispositivo, ma il modo in cui viene gestita la sessione dopo l’autenticazione. Se il sistema utilizza token di sessione (cioè codici temporanei che identificano un utente già autenticato) che possono essere riutilizzati, oppure non collega in modo rigoroso la sessione al dispositivo, alla posizione o ad altri parametri specifici, un attaccante può sfruttare quel token per agire come se fosse l’utente legittimo, senza dover superare nuovamente il controllo biometrico.
L’adozione delle passkey riduce drasticamente il rischio di phishing tradizionale, ma non lo annulla del tutto in presenza di implementazioni non rigorose o di flussi di autenticazione che prevedono fallback meno sicuri.
Alcuni meccanismi introdotti negli standard WebAuthn e FIDO2, come il binding tra origine Web e credenziale crittografica, limitano fortemente questi attacchi. Tuttavia, la protezione dipende dall’implementazione concreta lato servizio e dal comportamento dell’utente. In presenza di pagine fraudolente ben costruite, la richiesta di autenticazione può apparire legittima e indurre comunque all’interazione. La biometria continua a garantire che l’utente sia fisicamente presente, ma non può impedire che quella presenza sia sfruttata all’interno di un flusso controllato da un attaccante.
/https://www.ilsoftware.it/app/uploads/2026/03/swiftkey-microsoft-account.jpg "SwiftKey richiederà account Microsoft: cosa cambia")
/https://www.ilsoftware.it/app/uploads/2026/03/lobby-sistemi-verifica-eta-online.jpg "Meta e verifica età online: accuse di lobbying miliardario dietro la tecnologia")
/https://www.ilsoftware.it/app/uploads/2026/03/Ubuntu-26_04-LTS-autenticazione-cloud.jpg "Ubuntu 26.04 LTS apre all’autenticazione cloud: novità importante")
/https://www.ilsoftware.it/app/uploads/2026/03/attacchi-signal-whatsapp-aumento.jpg "Attacchi contro Signal e WhatsApp: attenzione ai Dispositivi collegati")