Account Microsoft: niente più codici via SMS, Authenticator è ora obbligatorio (aggiornato: 19 maggio 2026, ore 07:32)

Per anni, la ricezione del codice segreto via SMS è stato il compromesso universale per l'autenticazione sicura: nessuna app da installare, nessun hardware aggiuntivo, funzionava su qualsiasi telefono - anche quello preso in prestito al volo. Ora Microsoft dice basta. L'azienda ha confermato in maggio che eliminerà progressivamente l'invio di codici SMS per gli account Microsoft personali, spingendo centinaia di milioni di utenti verso passkey, app di autenticazione e indirizzi email verificati come metodi sostitutivi. La decisione tocca chiunque usi un account Microsoft per accedere a Windows 11, OneDrive, Xbox, Microsoft Store, Microsoft 365 consumer, Edge sync o - dettaglio tutt'altro che secondario - per recuperare la chiave di ripristino di BitLocker.

Perché gli SMS vengono abbandonati

Microsoft non gira attorno al problema: considera l'autenticazione via SMS una delle principali fonti di frode. «L'autenticazione basata su SMS è oggi una delle principali fonti di frode, e passando ad account senza password, passkey ed email verificate, vi aiutiamo a restare un passo avanti rispetto a minacce in continua evoluzione, rendendo al contempo l'accesso agli account più semplice e fluido», si legge nella documentazione ufficiale.

L'elenco delle vulnerabilità è lungo e noto da tempo: SIM swap, intercettazione a livello di operatore, phishing, ingegneria sociale, ritardi nella consegna.

» Leggi: Utente derubato di 100.000 $ tramite SIM port attack: cos'è, come difendersi (video)

Il punto tecnico fondamentale è che un codice SMS non richiede alcun legame crittografico con il dispositivo dell'utente. È un numero che viaggia in chiaro su un canale progettato negli anni '90, intercettabile da chiunque riesca a convincere un operatore telefonico a trasferire un numero su una nuova SIM - o, in scenari più sofisticati, da chi ha accesso alle reti SS7 del vettore.

Le passkey funzionano diversamente. Ogni credenziale è legata al dispositivo specifico dell'utente, protetta da biometria o PIN locale tramite Windows Hello, e basata su crittografia asimmetrica. Nessun segreto condiviso transita sulla rete, nessun codice da digitare, nessuna finestra temporale in cui un attaccante può intervenire.

Cosa cambia concretamente per gli utenti

Un account Microsoft non è un dettaglio accessorio: è il livello di identità dietro l'intera esperienza Windows 11. Dalla configurazione iniziale del sistema agli acquisti su Microsoft Store, dalla sincronizzazione di Edge al backup di Windows, fino all'accesso alle chiavi di ripristino di BitLocker - tutto passa da lì. Perdere l'accesso al proprio account equivale, in pratica, a perdere l'accesso a buona parte del proprio ecosistema digitale.

I metodi sostitutivi che Microsoft propone sono tre:

• Passkey legate al dispositivo, tramite Windows Hello (biometria o PIN locale).
• Microsoft Authenticator, l'app di autenticazione proprietaria.
• Indirizzi email secondari verificati.

I nuovi account verranno creati di default senza password. Microsoft dichiara che centinaia di milioni di utenti usano già le passkey per accedere ai servizi consumer come OneDrive, Xbox e Copilot. Il dato è plausibile: secondo il rapporto The State of Passkeys 2026 della FIDO Alliance, pubblicato la settimana scorsa, nel mondo sono in uso oltre 5 miliardi di passkey tra ambienti consumer e aziendali.

Le novità tecniche in arrivo

Microsoft non si limita ad annunciare la rimozione: sta rilasciando l'infrastruttura che dovrebbe rendere la transizione praticabile. Tra le novità previste per fine maggio 2026 ci sono le passkey Entra su Windows, che permetteranno di creare e usare passkey legate al dispositivo anche su PC personali o non gestiti, sempre tramite Windows Hello. In parallelo arrivano le passkey per Microsoft Entra External ID, pensate per le applicazioni rivolte ai clienti.

Sul fronte della sincronizzazione, Microsoft Password Manager supporta ora il salvataggio e la sincronizzazione delle passkey tra dispositivi collegati allo stesso account Microsoft. Il supporto per iOS e Android arriverà attraverso Microsoft Edge.

Per il mondo enterprise, le passkey FIDO2 sono disponibili in tutte le edizioni di Microsoft Entra ID, inclusa quella gratuita - nessuna licenza aggiuntiva richiesta. I profili passkey consentono configurazioni granulari per gruppo, ad esempio con criteri diversi per amministratori e personale operativo. Per chi usa Microsoft Authenticator con i nuovi profili passkey, servono almeno la versione 6.8.37 su iOS o la 6.2507.4749 su Android.

Un'altra scadenza da segnare: a partire da gennaio 2027, le domande di sicurezza come opzione di reimpostazione della password in Microsoft Entra ID verranno eliminate. La ragione citata è la vulnerabilità a tentativi di indovinamento, ingegneria sociale e - segno dei tempi - attacchi assistiti dall'intelligenza artificiale.

Recupero dell'account: documento d'identità e riconoscimento facciale

Il punto critico di qualsiasi sistema senza password è il recupero dell'accesso quando tutti i metodi di autenticazione vanno persi. Microsoft introduce un nuovo flusso di verifica dell'identità che consente di riottenere l'accesso utilizzando un documento rilasciato dal governo e un controllo biometrico del volto.

Per gestire queste verifiche, l'azienda ha ampliato la lista dei partner: ai fornitori già attivi - Au10tix, Idemia e TrueCredential - si aggiungono 1Kosmos e Clear. Un'infrastruttura che solleva inevitabilmente domande sulla gestione dei dati biometrici e sulla dipendenza da terze parti per una funzione così sensibile, ma che rappresenta almeno un'alternativa concreta al vicolo cieco del «ho perso il telefono e non ricordo nulla».

Il nodo irrisolto: semplicità contro sicurezza

C'è una tensione che Microsoft non può ignorare, per quanto la narrativa ufficiale punti dritta verso un futuro senza password. Gli SMS sono diventati il secondo fattore di autenticazione di fatto proprio perché non richiedevano nulla: nessuna app, nessun token hardware, nessuna registrazione del dispositivo. Funzionavano su qualsiasi telefono, anche il più economico, anche quello di qualcun altro. Il minimo comune denominatore della sicurezza - debole, sì, ma universale.

Le passkey richiedono invece un dispositivo compatibile, un sistema biometrico funzionante o un PIN configurato, e la capacità di gestire il ciclo di vita delle credenziali. Chi usa un computer pubblico, un telefono preso in prestito o un dispositivo vecchio di qualche anno potrebbe trovarsi davanti a un muro. La transizione rivelerà se l'infrastruttura passkey è davvero resiliente o semplicemente moderna - e dove il modello senza password si scontra con i casi d'uso reali che gli SMS, con tutti i loro difetti, coprivano senza sforzo.

Internamente, Microsoft dichiara di aver già eliminato i metodi di autenticazione più deboli, raggiungendo una copertura dell'autenticazione resistente al phishing pari al 99,6% di utenti e dispositivi nel proprio ambiente. Un dato notevole, ma un'azienda tecnologica con dipendenti dotati di hardware recente e supporto IT dedicato è un contesto molto diverso da quello di un utente consumer con un PC di cinque anni fa e nessun help desk a cui rivolgersi.

La direzione è giusta: gli SMS come secondo fattore erano un cerotto su una ferita strutturale. Ma il passaggio non sarà indolore per tutti, e il successo della transizione si misurerà non sui numeri di adozione tra gli early adopter, bensì sulla capacità di non lasciare indietro chi, fino a ieri, si affidava a un semplice codice ricevuto sul telefono.

Fonti: windowsforum.com, xda-developers.com