Se negli ultimi mesi hai notato che la tua chiavetta di sicurezza FIDO2, quella che usavi tranquillamente per accedere a Windows 11 senza troppi pensieri, ha iniziato a chiederti un PIN che prima non serviva, sappi che non sei solo. E soprattutto, non si tratta di un malfunzionamento. È Microsoft che ha cambiato le regole del gioco, e lo ha fatto seguendo una logica precisa che merita di essere compresa. A partire dagli aggiornamenti rilasciati tra settembre e novembre 2025, Windows 11 ha introdotto una nuova gestione delle chiavi FIDO2 che, in determinate circostanze, obbliga alla creazione o all’utilizzo di un PIN. Il cambiamento ha colto di sorpresa molti utenti, tanto che Microsoft ha dovuto pubblicare un documento di supporto ufficiale per chiarire che quello che sembra un bug è in realtà un comportamento intenzionale.
Ma facciamo un passo indietro. Le chiavette FIDO2 sono dispositivi hardware progettati per offrire un’autenticazione senza password, più sicura rispetto ai metodi tradizionali. Funzionano richiedendo il possesso fisico del dispositivo e un collegamento tramite USB, NFC o, in alcuni casi, Bluetooth, anche se produttori come Yubico hanno più volte sottolineato come le connessioni Bluetooth non offrano lo stesso livello di sicurezza delle alternative. Il punto centrale di questa modifica riguarda il concetto di User Verification, ovvero la verifica dell’utente. Si tratta di confermare che chi sta utilizzando la chiave sia effettivamente autorizzato e presente, tipicamente attraverso un PIN o una scansione biometrica. Questo processo è regolato dallo standard WebAuthn, sviluppato dalla FIDO Alliance e dal World Wide Web Consortium, che definisce come i metodi di autenticazione gestiscono le richieste di verifica.
WebAuthn prevede tre livelli di verifica: discouraged (sconsigliata), preferred (preferita) e required (richiesta). Quando un servizio o un Identity Provider imposta la verifica su preferred, le piattaforme devono predisporre un PIN se l’autenticatore supporta questa funzionalità. Ed è esattamente qui che entra in gioco la novità di Windows 11. Il supporto per il PIN con le chiavi FIDO2 è stato introdotto gradualmente: è partito con l’aggiornamento KB5065789 distribuito in anteprima a settembre 2025 e si è completato con l’aggiornamento di sicurezza KB5068861 di novembre 2025. Questi update hanno interessato in particolare i dispositivi con Windows 11 24H2 e Windows 11 25H2, rendendo obbligatoria la creazione di un PIN quando un provider di identità richiede la verifica dell’utente durante l’autenticazione.
In pratica, cosa significa per te? Se dopo aver installato questi aggiornamenti ti viene richiesto di creare un PIN per accedere con una chiave di sicurezza, anche se non lo avevi impostato durante la registrazione iniziale, è perché il sistema ora lo impone quando una Relying Party o un IdP richiede la verifica con schema preferred. Microsoft chiarisce che questo comportamento garantisce coerenza tra i flussi di registrazione e autenticazione, uniformando l’esperienza utente secondo gli standard internazionali. Ma chi sono questi Identity Provider e Relying Party di cui si parla? Un Identity Provider è un servizio che gestisce l’identità digitale di un utente e si occupa di autenticarlo quando accede a un’applicazione. È la fonte di verità che conferma chi sei, verifica le credenziali, emette token di autenticazione e fornisce informazioni aggiuntive come email o ruolo. Esempi comuni sono Azure AD (ora Microsoft Entra ID), Google Identity, Okta o Keycloak.
Una Relying Party, invece, è l’applicazione o il sito web che dipende dall’IdP per verificare l’identità dell’utente. Si chiama così perché si affida a un provider esterno per validare chi sta accedendo. Una web app aziendale con single sign-on tramite Azure AD o un portale che supporta chiavi FIDO2 sono esempi perfetti di Relying Party. Dal punto di vista della sicurezza, l’introduzione obbligatoria del PIN rappresenta un miglioramento significativo. Anche se può sembrare un ulteriore ostacolo per alcuni utenti, aggiunge un livello di protezione fondamentale: anche se qualcuno dovesse entrare in possesso della tua chiavetta fisica, non potrebbe utilizzarla senza conoscere il PIN associato. È un principio semplice ma efficace, che trasforma la chiave in qualcosa che hai e qualcosa che sai.
Le aziende che vogliono evitare la richiesta del PIN hanno comunque un’opzione: possono modificare la configurazione WebAuthn impostando la verifica dell’utente su discouraged. Tuttavia, Microsoft sottolinea che l’aggiunta del PIN nell’autenticazione garantisce maggiore coerenza e sicurezza complessiva, motivo per cui l’azienda ha scelto di implementare questo standard come comportamento predefinito. Per chi utilizza le chiavi FIDO2, è importante ricordare alcuni requisiti tecnici: gli utenti devono completare l’autenticazione a più fattori negli ultimi cinque minuti prima di poter registrare una passkey, e i dispositivi devono supportare l’autenticazione FIDO2. Per i dispositivi Windows aggiunti a Microsoft Entra ID, l’esperienza migliore si ha con Windows 10 versione 1903 o successiva, mentre i dispositivi ibridi devono eseguire Windows 10 versione 2004 o superiore.
Le passkey FIDO2 sono oggi supportate in tutti i principali scenari su Windows, macOS, Android e iOS, rendendo questa tecnologia sempre più universale. La specifica FIDO2 richiede a ogni fornitore di chiavi di sicurezza di fornire un GUID di attestazione di Authenticator, un identificatore a 128 bit che indica il tipo di chiave. Questo AAGUID può essere visualizzato nei dettagli del metodo di autenticazione se la passkey è già registrata. Quando si sceglie una chiave di sicurezza hardware, è fondamentale considerare anche aspetti pratici come la durabilità. Le migliori chiavi sono resistenti alla manomissione fisica, durevoli, impermeabili e progettate per resistere all’usura quotidiana. E non dimenticare mai di avere una chiave di backup: registrare una seconda chiave assicura di non rimanere mai bloccato fuori dai propri account se quella principale viene persa o danneggiata.
Quello che Microsoft ha implementato con gli aggiornamenti di fine 2025 è quindi un adeguamento agli standard internazionali WebAuthn, che definiscono come devono funzionare i metodi di autenticazione moderni. L’introduzione del PIN obbligatorio nelle circostanze appropriate non è un capriccio dell’azienda di Redmond, ma una scelta che risponde a precise specifiche tecniche pensate per aumentare la sicurezza senza compromettere eccessivamente l’usabilità. Chi si trova davanti alla richiesta improvvisa di un PIN può quindi stare tranquillo: non è un problema da risolvere, ma una nuova normalità da accettare. E soprattutto, è una normalità che rende i tuoi account più sicuri, anche se richiede qualche secondo in più durante il login. In un’epoca in cui le minacce informatiche come phishing, violazioni dei dati e furti di identità sono all’ordine del giorno, affidarsi esclusivamente alle password non è più sufficiente. Le chiavi FIDO2 con verifica tramite PIN rappresentano uno dei metodi più sicuri disponibili per proteggere la propria identità digitale.
