Come proteggere i propri dati online nel 2026: cosa usare davvero tra password, passkey e 2FA

Nel 2026 non basta più avere una password “forte”. Il punto è evitare che il tuo account resti esposto: perché riusi la stessa credenziale su più siti, perché finisci su una pagina falsa, oppure perché il recupero account è più fragile del login stesso. La priorità, in pratica, è questa: metti al sicuro prima l’email principale, usa password uniche con un password manager, attiva le passkey dove sono disponibili e, dove ancora non ci sono, aggiungi una buona 2FA. Solo dopo viene il resto: codici di recupero salvati bene, dispositivi fidati controllati, metodi di accesso d’emergenza verificati.

Nel 2026 il rischio vero non è la password debole: è l’account esposto Molti furti di account non nascono da attacchi sofisticati. Più spesso partono da un’email che sembra arrivare dalla banca, da un SMS che imita un corriere, da una finta pagina di accesso a un servizio pubblico o da una vecchia password riutilizzata troppe volte. Una password piena di simboli serve a poco se la inserisci sul sito sbagliato o se la usi anche per email, social e acquisti online. I problemi più comuni sono tre. Il primo è il

phishing: qualcuno ti porta su un sito che sembra vero e ti convince a inserire le credenziali. Il secondo è lo smishing, cioè la stessa trappola via SMS o messaggio. Il terzo è il credential stuffing: una password rubata da un servizio viene provata in automatico su altri account, proprio perché molte persone la riusano.

In Italia tutto questo è molto concreto. Il 20 gennaio 2026 CERT-AGID ha segnalato una campagna di phishing che sfruttava il logo dell’Agenzia delle Entrate per rubare credenziali SPID. Il punto non è solo quanto fosse credibile la truffa: è che basta atterrare sulla schermata sbagliata, nel momento sbagliato, per compromettere servizi molto sensibili.

Le parole da capire davvero, senza gergo

• Password: la chiave tradizionale di accesso. Sui servizi importanti, da sola, oggi spesso non basta.
• Password manager: l’app o il servizio che crea, salva e compila password lunghe e diverse per ogni account.
• 2FA, 2SV, MFA: un controllo aggiuntivo oltre alla sola password. Può essere un codice via SMS, un’app di autenticazione o una chiave fisica. In alcuni servizi la passkey può anche sostituire il vecchio schema password + secondo passaggio.
• Passkey: un accesso basato sul tuo dispositivo e sul suo sblocco locale, per esempio impronta, volto o PIN, senza digitare una password tradizionale.
• Security key: una chiave fisica dedicata, spesso USB o NFC, utile per account molto sensibili o per utenti più esposti.
• Backup code: codice monouso da usare se non hai il telefono o non riesci a completare la verifica.

Recovery key:

codice di recupero molto potente, come quello previsto da Apple. Utile, sì, ma da gestire con estrema attenzione perché, se lo perdi, aumenta il rischio di lockout.

La regola pratica da seguire: passkey dove ci sono, altrove password unica lunga + 2FA

Regola breve: se un servizio offre le passkey, attivale. Dove non ci sono, usa una password lunga e unica salvata in un password manager e aggiungi la 2FA. Se devi scegliere tra app di autenticazione e SMS, in genere l’app è preferibile. L’SMS, però, resta quasi sempre meglio di nessuna protezione aggiuntiva.

Nel 2026 non è più una scelta da appassionati. Il National Cyber Security Centre britannico raccomanda di usare le passkey al posto delle password dove disponibili. E NIST ricorda un punto essenziale: le password, da sole, non sono resistenti al phishing. Se hai poco tempo, segui quest’ordine: email principale, poi account Google, Apple o Microsoft che usi ogni giorno, poi home banking e acquisti online, infine social e messaggistica. Mettere in sicurezza questi snodi riduce già una larga parte del rischio reale.

Password nel 2026: lunghe, uniche e gestite bene La buona notizia è che molte vecchie regole possono andare in pensione. Non serve inseguire password innaturali solo per infilare una maiuscola, un numero e un simbolo in punti casuali. Oggi contano soprattutto due cose:

lunghezza e unicità.

NIST richiede almeno 15 caratteri quando la password è usata come singolo fattore e invita i servizi a consentire credenziali anche molto lunghe. Allo stesso tempo sconsiglia i cambi periodici imposti senza motivo: la password va cambiata se c’è evidenza di compromissione, non per abitudine o calendario. L’errore che pesa davvero è il riuso. Se la stessa password compare su un vecchio forum, su un e-commerce e sulla tua casella email, basta una sola violazione per aprire più porte insieme. È esattamente lo scenario del credential stuffing. Per quasi tutti la soluzione più sostenibile è semplice: lascia al password manager il compito di generare password casuali e lunghe per la maggior parte dei servizi, e tieni a mente solo poche credenziali davvero cruciali, purché siano uniche e ben protette.

Password manager: il pezzo spesso ignorato che rende tutto sostenibile La sicurezza quotidiana non può dipendere dalla memoria. Un password manager serve proprio a questo: creare credenziali diverse per ogni servizio senza costringerti a ricordarle tutte. NIST, infatti, raccomanda di non ostacolare password manager, autofill e persino la funzione incolla, perché aiutano gli utenti a usare password più forti e distinte. Quando ne scegli uno, guarda soprattutto quattro aspetti: sblocco forte del dispositivo, sincronizzazione tra i device che usi davvero, supporto alle passkey e procedura chiara di esportazione o recupero. Un gestore eccellente sulla carta serve a poco se poi non sai come rientrare quando cambi telefono o computer. C’è solo una cautela da tenere bene a mente: non trattarlo come una scatola nera. La password principale deve essere solida, il telefono deve avere un blocco schermo serio e gli strumenti di emergenza devono essere chiari e raggiungibili. Sì, centralizza molto. Ma per la maggior parte delle persone il bilancio resta nettamente a favore.

Passkey spiegate semplice: cosa cambia davvero rispetto a password + SMS

La passkey cambia la scena in modo molto concreto: invece di digitare una password, autorizzi l’accesso con il dispositivo che già usi e con il suo sblocco locale, per esempio impronta, volto o PIN. Dietro non c’è magia. C’è un gestore di credenziali che crea e protegge la passkey e, a seconda dell’ecosistema, la sincronizza tra dispositivi fidati o ne conserva un backup sicuro. Il vantaggio principale sta qui: la passkey riduce il phishing perché non stai consegnando a un sito un segreto riutilizzabile come una password. Questo non significa protezione assoluta. Un dispositivo compromesso, un furto fisico o un recupero account gestito male restano problemi seri. Però, per l’utente comune, il salto pratico è reale. La domanda che arriva subito è sempre la stessa: se perdo il telefono, perdo tutto? Non necessariamente. Molto dipende dal tuo ecosistema. L’NCSC ricorda che le passkey dipendono dal credential manager che le crea, le protegge e spesso le sincronizza tra dispositivi fidati. Su Google, per esempio, aggiungere una passkey non elimina gli altri fattori di autenticazione o recupero già presenti. Su Apple, invece, le passkey passano da iCloud Keychain e richiedono la two-factor authentication dell’Apple Account. Tradotto: la passkey funziona al meglio quando hai già un ecosistema ordinato, con dispositivi fidati, metodi di recupero curati e blocco schermo serio. Se tutto il resto è trascurato, da sola non può rimettere in ordine l’intero quadro.

Ti potrebbe interessare

Tecnologia e Innovazione

Come usare l’intelligenza artificiale per organizzare il lavoro quotidiano senza aumentare stress e confusione

2FA a confronto: SMS, app di autenticazione, passkey, chiavi fisiche

SMS

È il livello minimo accettabile quando non hai alternative. Ha il vantaggio della semplicità e della diffusione, ma non andrebbe scambiato per il punto d’arrivo.

App di autenticazione Per chi non può usare passkey o chiavi fisiche, spesso è la scelta più sensata. L’NCSC osserva che app come Google Authenticator o Microsoft Authenticator sono in genere più sicure e più comode dell’SMS. Richiedono però un minimo di disciplina su backup e cambio telefono.

Passkey

Per molti utenti sono il miglior equilibrio tra sicurezza e comodità. Evitano di digitare la password nei servizi compatibili e riducono il rischio di phishing. Il punto da chiarire prima è dove vengono archiviate e come si recuperano quando cambi dispositivo.

Chiave fisica Ha senso per account molto sensibili o per persone ad alto rischio: giornalisti, attivisti, amministratori di sistemi, professionisti esposti. Apple, per esempio, prevede chiavi FIDO certificate come protezione avanzata per il proprio account. È una difesa molto forte, ma richiede ordine: servono chiavi di scorta e procedure chiare.

Proteggi prima l’email principale: è il telecomando degli altri account

Se qualcuno entra nella tua email personale, spesso non ha bisogno di indovinare altre password. Gli basta usare il “password dimenticata” su vari servizi e aspettare i link di recupero. Ecco perché l’email va protetta prima del social più usato. La sequenza utile è questa: password unica e robusta, passkey se disponibile oppure 2FA forte, codici di backup salvati bene, controllo dei metodi di recupero e verifica dei dispositivi collegati. Poi fai un controllo che molti saltano: inoltri automatici, filtri sospetti, sessioni aperte e accessi recenti. Un account email compromesso lascia spesso tracce proprio lì. Vale ancora di più se quell’indirizzo è collegato a SPID, PEC, marketplace, bollette, servizi sanitari o acquisti online. In molti casi è la vera chiave maestra della tua vita digitale.

Configurazione pratica sugli account più usati: Google, Apple, Microsoft

Google

Nel tuo account Google cerca la sezione

Sicurezza e attiva la Verifica in due passaggi. Da lì puoi anche aggiungere una passkey. Un dettaglio utile: Google spiega che creare una passkey non rimuove i fattori di recupero già esistenti. In pratica, la passkey può diventare il modo più comodo per entrare senza toglierti automaticamente la rete di sicurezza.

Subito dopo salva i

codici di backup. Google ne mette a disposizione dieci, monouso. Se ne generi di nuovi, quelli vecchi vengono invalidati. Meglio non lasciarli in uno screenshot sul telefono principale.

Apple Negli account Apple la two-factor authentication è ormai la norma. Per usare le passkey nell’ecosistema Apple servono

iCloud Keychain e 2FA attivi. Proprio perché il sistema è molto integrato, conviene verificare subito quali dispositivi fidati hai associato e come recupereresti l’accesso se perdessi l’iPhone.

Apple offre anche strumenti più avanzati, come le

Security Keys fisiche, pensati per chi ha esigenze elevate. C’è invece una funzione da trattare con prudenza: la Recovery Key. Dà più controllo all’utente, ma disattiva il normale processo standard di recupero. Se la attivi e poi la perdi, il rischio di restare fuori dall’account aumenta davvero.

Microsoft Sull’account Microsoft trovi le impostazioni nelle

Advanced Security Options. Da lì puoi aggiungere un nuovo metodo di accesso o verifica e creare una passkey. Se non usi ancora passkey, attiva almeno la two-step verification dalla sezione Sicurezza.

Ti potrebbe interessare

Tecnologia e Innovazione

Australia e divieto social under 16: come funziona, perché nasce e cosa sta cambiando davvero

Se ti affidi a Microsoft Authenticator, pianifica anche il cambio di telefono. Microsoft chiarisce che backup e ripristino non sono cross-platform: un backup creato su iPhone non si ripristina su Android e viceversa. È uno di quei dettagli che conviene sapere prima, non durante un’emergenza.

Social e messaggistica: Facebook, Instagram e WhatsApp senza lasciare buchi aperti

Facebook

Nel

Centro gestione account, dentro Password e sicurezza, puoi attivare la two-factor authentication. I metodi previsti da Meta restano tre: chiave fisica, app di autenticazione o SMS. Se puoi scegliere, meglio app o chiave fisica. Meta permette anche di generare dieci codici di recupero monouso: vanno salvati fuori dal telefono principale o comunque in un ambiente ben protetto.

Su Facebook le passkey esistono, ma l’esperienza non è ancora uniforme su tutti i dispositivi. L’help ufficiale segnala che il supporto è soprattutto mobile e che su computer può servire ancora username e password. Meglio saperlo prima, così non lo scambi per un malfunzionamento.

Instagram Anche qui il percorso passa dal

Centro gestione account, sezione Password e sicurezza, poi two-factor authentication. L’app di autenticazione è un’opzione concreta, ma la configurazione resta molto centrata sullo smartphone. Il consiglio pratico è semplice: attiva la 2FA, verifica i metodi di recupero e non dare per scontato che basti aver scelto una buona password.

WhatsApp Su WhatsApp la sicurezza non riguarda solo le chat. Un account compromesso può diventare un veicolo di truffe verso contatti, familiari e colleghi. Nel 2026 Meta ha introdotto le

Strict Account Settings, nelle impostazioni Privacy > Advanced, con restrizioni utili per chi è più esposto: blocco automatico di allegati e media da sconosciuti, silenziamento delle chiamate da numeri ignoti e altre misure di contenimento. Non sostituiscono la protezione dell’account, ma riducono la superficie d’attacco.

Il recupero account è parte della sicurezza, non il piano B Molte configurazioni sembrano solide finché non perdi il telefono, cambi numero o ti si rompe il computer. È in quel momento che si capisce se la sicurezza è stata pensata davvero. I

backup codes, i dispositivi fidati, le email di recupero e i numeri secondari non sono burocrazia: fanno la differenza tra un problema gestibile e giorni passati a tentare di rientrare.

Fai tre controlli concreti. Primo: i numeri e le email di recupero sono ancora tuoi e attivi? Secondo: sai dove sono i codici di backup di Google o Facebook? Terzo: se usi strumenti più delicati, come la Recovery Key di Apple, sei sicuro di averli conservati in modo affidabile e separato dal device principale? La regola pratica è conservare i codici offline oppure in un ambiente separato e ben protetto. Stamparli e tenerli in un luogo sicuro è spesso meglio che lasciarli nelle note in chiaro o nella galleria fotografica. Se vuoi fare una verifica seria, prova a rispondere oggi a una domanda semplice: se domani perdi lo smartphone, da dove rientri nei tuoi account più importanti?

Ti potrebbe interessare

Tecnologia e Innovazione

Navigare nel Mare della Sicurezza Online: Pratiche e Strumenti per Proteggere la Tua Vita Digitale

Gli errori più comuni che fanno saltare anche una buona configurazione

• Riutilizzare la stessa password tra email, e-commerce e social.
• Attivare la 2FA ma non salvare i codici di recupero.
• Affidarsi solo all’SMS quando il servizio offre passkey, app di autenticazione o chiavi fisiche.
• Creare passkey o lasciare sessioni aperte su dispositivi condivisi, aziendali o non ben protetti.
• Ignorare notifiche di accesso, richieste di verifica inattese o prompt che non hai iniziato tu.
• Dimenticare di aggiornare numero di telefono o email di recupero quando cambi operatore o indirizzo.
• Proteggere bene il login e trascurare l’email principale, che resta il punto di reset di molti altri servizi.

Focus Italia: SPID, Agenzia delle Entrate, SMS-truffa e segnali da controllare prima di cliccare Nel contesto italiano la truffa funziona spesso perché usa marchi familiari e un tono d’urgenza: Agenzia delle Entrate, banca, corriere, INPS, provider di identità digitale. L’obiettivo non è sempre rubare denaro subito. Molto spesso è ottenere credenziali, codici temporanei o abbastanza informazioni per tentare il recupero account. La routine più efficace è banale, ma funziona:

non usare il link del messaggio. Apri l’app ufficiale, digita a mano l’indirizzo del servizio o passa dal tuo segnalibro salvato. Se arriva un codice o una richiesta di conferma che non hai avviato tu, trattala come un campanello d’allarme, non come una formalità da sbrigare in fretta.

Per SPID e servizi pubblici vale la stessa logica di base: protezione forte dell’email collegata, attenzione massima al phishing e accesso solo da canali ufficiali. Le regole cambiano da provider a provider, ma gli errori che sfruttano i truffatori restano quasi sempre gli stessi.

Checklist finale: mettere in sicurezza i propri account in meno di un’ora

• Metti al sicuro per prima la tua email principale.
• Attiva le passkey sui servizi che le offrono già in modo stabile.
• Dove le passkey non ci sono, usa password lunghe e uniche con un password manager.
• Attiva la 2FA almeno su Google, Apple o Microsoft, home banking, marketplace, Facebook e Instagram.
• Se puoi scegliere, preferisci app di autenticazione o chiavi fisiche rispetto all’SMS.
• Scarica, stampa o conserva in modo sicuro i codici di recupero.
• Controlla telefoni, email e dispositivi fidati associati agli account.
• Rivedi sessioni aperte, inoltri automatici e filtri sospetti nella casella email.
• Evita di creare passkey o lasciare account aperti su dispositivi condivisi.
• Ogni pochi mesi verifica che i metodi di recupero siano ancora aggiornati.

Domande frequenti

Le passkey sostituiscono del tutto le password?

Non sempre. In molti servizi possono diventare il metodo principale di accesso, ma password e strumenti di recupero restano spesso presenti. Google, per esempio, chiarisce che aggiungere una passkey non rimuove automaticamente i fattori già esistenti.

Se perdo il telefono perdo anche le passkey? Non automaticamente. Dipende dal gestore credenziali e dalla sincronizzazione tra dispositivi fidati. Il rischio vero nasce quando non hai pianificato recupero, dispositivi di scorta e accesso all’account principale del tuo ecosistema.

L’SMS come secondo fattore è ancora utile?

Sì, se l’alternativa è non avere alcuna 2FA. Ma, quando il servizio lo consente, in genere è meglio passare ad app di autenticazione, passkey o chiavi fisiche.

Un password manager è davvero sicuro? Ha pro e contro reali. Sì, centralizza molto, ma ti permette di usare password forti e diverse ovunque. La sicurezza dipende dalla password principale, dal blocco del dispositivo e dal modo in cui gestisci backup e recupero.

Quale account va protetto per primo?

L’email principale. Subito dopo vengono l’account Google, Apple o Microsoft che usi come ecosistema base, poi home banking, marketplace, social e messaggistica.

Serve ancora cambiare password periodicamente? No, non come regola automatica. Ha senso cambiarla se sospetti una compromissione, se l’hai riutilizzata altrove o se il servizio ti segnala un problema concreto.

Che differenza c’è tra passkey e chiave fisica di sicurezza?

La passkey è una credenziale gestita dal dispositivo o dal suo gestore credenziali. La chiave fisica è un token hardware dedicato. Possono convivere, ma la chiave fisica è più adatta a chi ha esigenze di protezione più alte.

I codici di recupero dove vanno conservati?

Meglio offline o comunque separati dal dispositivo principale: per esempio stampati e messi in un luogo sicuro, oppure custoditi in un ambiente digitale ben protetto. Screenshot nel telefono o email non protette sono scelte deboli.

Vuoi approfondire l’argomento? Esplora altri contenuti in Tecnologia e Innovazione.