Quando si parla di gestione sicura delle password, la psicologia gioca un ruolo sorprendentemente importante. Le minacce più comuni di ingegneria sociale, come le email di phishing, sono concepite per persuadere con l'inganno le vittime a rivelare i propri dati personali. Per aiutare gli utenti a proteggersi dai criminali informatici, dobbiamo anche capire come usano le password e quali pratiche adottano per gestirle. Anche se i dati del 2026 mostrano che il numero medio di password degli utenti è diminuito, il panorama dei rischi digitali non si è affatto ridotto e alcune persone risultano più vulnerabili alle minacce rispetto ad altre. Un recente sondaggio ha analizzato le abitudini degli utenti in materia di sicurezza delle password, per individuare schemi ricorrenti più comuni in base ai Paesi e alle fasce d'età.
Contenuti:
Il numero medio di password è diminuito, ma i rischi sono tutt'altro che spariti
È dal 2020 che NordPass monitora il numero medio di password possedute dagli utenti di internet. Nei primi anni il numero è aumentato in modo costante, raggiungendo il picco di 168 password nel 2024. Tuttavia, solo due anni dopo, è sceso in modo piuttosto drastico a 120. Questa diminuzione è dovuta probabilmente al fatto che gli utenti stanno passando a metodi di accesso più comodi e veloci, come il single sign-on (SSO) con gli account Google o Apple. Cresce inoltre l'adozione delle passkey e della biometria per l'autenticazione senza password.
Anche se la diminuzione del numero di password è una tendenza positiva e auspicabile, questo è solo un tassello del mosaico. Il numero di password utilizzate sta diminuendo, così come il numero di fughe di dati divulgate pubblicamente. Tuttavia, oggi questi incidenti coinvolgono set di dati molto più ampi, che comprendono password gestite in modo inopportuno.
La tendenza a riutilizzare le stesse password per diversi account è da tempo motivo di preoccupazione: da un sondaggio condotto nel 2025 da NordPass, ad esempio, era emerso che la metà degli intervistati tedeschi "riciclava" le password per semplice comodità o perché riteneva che farlo non comportasse chissà quali pericoli. Se però le credenziali non sono conservate in modo sicuro o le password vengono riutilizzate, anche la combinazione di accesso più blindata può essere a rischio.
Anche i metodi SSO, di per sé, non sono infallibili. Se l'account che usi per l'autenticazione SSO (come un'email di Google o dell'università che frequenti) subisce una violazione e la sua password appare in un database di dati violati, gli hacker possono sfruttarlo per accedere a tutti gli altri tuoi account e, potenzialmente, procedere con il furto di identità. Quindi, anche se il numero di password usate è inferiore e gli utenti optano per metodi di accesso alternativi, un'unica credenziale violata può portare alla compromissione di un'intera rete di account. Per sentirsi più al sicuro, gli utenti hanno bisogno di due cose: una password forte e un luogo affidabile in cui conservarla.
Il ruolo dell'archiviazione delle password
Benché spesso i criminali informatici riescano a sottrarre le password tramite moduli di accesso su siti web contraffatti, anche i metodi di archiviazione delle password non sicuri sono ottime fonti da cui attingere. Anche se gli utenti cercassero di diversificare le proprie password, potrebbero commettere l'errore di conservarle all'interno di strumenti facilmente accessibili, come app di messaggistica o appunti. Purtroppo, però, queste soluzioni non sempre offrono la crittografia end-to-end e, in caso di violazione, i criminali hanno pieno accesso ai dati.
Qualche tempo fa è stato condotto un sondaggio multitematico in diversi Paesi, tra cui Stati Uniti, Regno Unito, Germania e Italia, per comprendere quali metodi usano le persone per conservare le proprie password e i motivi alla base delle loro scelte. I risultati del sondaggio sono stati inoltre valutati in base alle fasce d'età e di reddito, per stabilire le abitudini comuni tra le diverse categorie demografiche.
Dal sondaggio è emerso che la stragrande maggioranza degli intervistati preferisce memorizzare le proprie credenziali di accesso nei gestori di password integrati nei browser. Solo un quinto degli intervistati spagnoli ha dichiarato di utilizzare un gestore password dedicato: si tratta del gruppo più numeroso tra tutti i Paesi esaminati. Gli italiani sono i meno propensi di tutti a usare un gestore password dedicato, mentre per i tedeschi la seconda strategia preferita per la conservazione delle credenziali consiste addirittura nell'affidarsi alla propria memoria.
Negli Stati Uniti, il 18% degli intervistati ha dichiarato di usare una combinazione di due metodi, ovvero sia gestori password integrati nei browser che di terze parti. Numeri simili sono stati riscontrati in Canada, dove l'archiviazione combinata delle password risultava uno dei metodi più diffusi. In totale, circa il 14% di tutti gli intervistati ha scelto come strategia primaria una combinazione di metodi di conservazione, appena l'1% in più rispetto a chi utilizza esclusivamente gestori password dedicati.
Questo dato fa un po' storcere il naso: i gestori password basati su browser di solito non offrono lo stesso livello di sicurezza degli strumenti dedicati e, come se non bastasse, sono collegati all'account del browser dell'utente. Supponiamo, ad esempio, che usi Chrome come browser predefinito e ti affidi anche al suo gestore password: in caso di violazione del tuo Account Google, i criminali potrebbero accedere al browser e mettere le mani su tutte le credenziali memorizzate al suo interno.
Molte persone credono erroneamente che combinare l'uso di un gestore password integrato nel browser con uno strumento di terze parti sia un modo sicuro per conservare un backup delle proprie credenziali. In realtà, se le password salvate nel browser vengono violate, il backup può fare ben poco per proteggerle.
Anche il riutilizzo delle password per risparmiare tempo rimane un problema. Quasi un quarto degli intervistati tedeschi ha dichiarato di tenere a mente le proprie password, così come il 18% di australiani e canadesi: ciò mette in luce la tendenza a riutilizzare password identiche o molto simili tra loro, trascurando così i rischi per la sicurezza. Queste password hanno maggiori probabilità di essere violate e possono innescare una reazione a catena in grado di compromettere gran parte o tutti gli account degli utenti.
Un numero limitato di intervistati ha dichiarato di non usare alcuno strumento digitale per la gestione delle password, preferendo invece annotarle su carta. Con una percentuale del 6%, questo metodo risulta il meno diffuso tra gli intervistati del Regno Unito. Al tempo stesso, anche il 13% degli intervistati francesi dichiara di aver scelto questo metodo, una percentuale addirittura superiore all'11% di transalpini che usa una strategia combinata (gestore password integrato nel browser e di terze parti).
| Ricerca sull'uso e sulla conservazione delle password: i principali risultati |
|---|
| Il numero medio di password per utente è sceso da 168 nel 2024 a 120 nel 2026. |
| In media, il 40% delle persone memorizza le credenziali nel gestore password integrato del browser preferito. |
| Gli intervistati tedeschi cambiano poco frequentemente le loro password e fanno un maggiore affidamento sulla memoria per ricordarle. |
| Gli intervistati italiani usano maggiormente l'archiviazione delle password basata su browser e sono i meno propensi a usare un gestore di password dedicato. |
| A livello globale, il 54% degli intervistati ha cambiato la sua password più vecchia negli ultimi 12 mesi. |
| La Generazione Z è più a suo agio con gli strumenti digitali, ma è anche la meno propensa a cambiare le password. |
| I Baby Boomer modificano le password con maggiore frequenza, ma si affidano più spesso a metodi di conservazione meno sicuri. |
| Gli utenti con basso reddito sono il segmento strutturalmente più svantaggiato in termini di sicurezza delle password, nonché quello che si affida di più a soluzioni non innovative. |
| Gli intervistati con un reddito elevato mostrano il più alto tasso di adozione di gestori di password e, allo stesso tempo, sono quelli che fanno meno ricorso alla memoria o alle credenziali scritte a mano. |
Metodologie:
La ricerca quantitativa sull'utilizzo medio delle password è stata condotta da NordPass dal 4 al 15 aprile 2026 e ha coinvolto 1.509 utenti di NordPass.
La ricerca quantitativa sulle abitudini di archiviazione delle password è stata condotta da Nord Security dal 26 marzo al 6 aprile 2026 e ha coinvolto 7.861 residenti di Australia, Canada, Francia, Germania, Italia, Spagna, Regno Unito e Stati Uniti, di età compresa tra 18 e 74 anni.
Il paradosso dei "nativi digitali"
Il sondaggio sull'archiviazione delle password ha inoltre esaminato la frequenza con cui gli utenti modificano le proprie credenziali di accesso. A livello globale, più della metà di tutti gli intervistati ha dichiarato di aver aggiornato la propria password più vecchia nell'ultimo anno. L'Italia si è distinta come il Paese con la più elevata percentuale di password modificate di recente e, al tempo stesso, il numero più basso di credenziali rimaste identiche per oltre un decennio.
Gli utenti tedeschi si collocano invece agli antipodi, con la percentuale più bassa di intervistati (47%) che dichiara di aver aggiornato le password di recente. Negli Stati Uniti, il 14% degli intervistati non ricorda nemmeno l'ultima volta che ha modificato una password.
È interessante notare che l'analisi demografica basata sull'età ha smentito i soliti stereotipi sui "nativi digitali". Benché spesso si ritenga che la Generazione Z abbia una buona conoscenza degli strumenti digitali (e, di conseguenza, anche della cybersecurity), i giovani di età compresa tra 18 e 24 anni sono risultati i più propensi a non cambiare mai le proprie password e i meno inclini a farlo nel giro di un anno. In effetti, la frequenza di aggiornamento delle password cresce di pari passo con l'età, raggiungendo il picco nella fascia compresa tra 55 e 64 anni.
Nonostante gli utenti più giovani cambino meno spesso le password, paradossalmente sono anche quelli di gran lunga più propensi a utilizzare gestori password integrati nei browser, strumenti di terze parti o una loro combinazione. Allo stesso modo, le fasce d'età meno giovani tendono a cambiare più spesso le password, ma sono anche quelle che prediligono maggiormente scriverle su carta o ricordarle a memoria.
Ciò dimostra la mancanza di adeguati standard di sicurezza in tutti i gruppi demografici: nessuno, infatti, ha dato la priorità sia alle modifiche annuali delle password che alla loro archiviazione digitale. Le diverse preferenze nella gestione delle password si contrappongono ai risultati del rapporto sulle 200 password più comuni del 2026, dal quale è emerso che sia giovani che anziani tendono a scegliere le stesse password semplici. La tendenza degli utenti a optare per password più banali e di conseguenza vulnerabili, unita alle discrepanze nei metodi di conservazione sicura, espone queste credenziali a rischi più elevati di attacchi informatici.
Cosa alimenta un falso senso di sicurezza?
Anche se il quadro generale delle tendenze relative all'uso e alla conservazione delle password risulta tendenzialmente positivo, gli esperti di cybersecurity non possono ignorare i potenziali ed evidenti rischi per i dati che derivano dalle cattive abitudini degli utenti. Perché in Paesi diversi si riscontrano prassi così simili per la protezione delle password?
Quando si parla di archiviazione delle password, la praticità è un aspetto fondamentale. Benché di solito le procedure di login siano semplici, se un utente dimentica i propri dati di accesso riuscire ad accedere può diventare un incubo: ciò spinge le persone a usare la stessa password per account diversi, per evitare di dimenticarla e doverla reimpostare in continuazione. I gestori password integrati offrono una soluzione semplice: conservano i dati di accesso nel browser e li compilano in automatico quando serve.
Questo crea un falso senso di sicurezza, inducendo gli utenti a credere che le loro credenziali siano protette e che non occorra ricordarle. Il problema è che non sempre sono disponibili informazioni trasparenti sui protocolli usati dai gestori password dei browser, il che significa che l'utente non può sapere quanto siano davvero al sicuro i dati memorizzati: se il dispositivo subisce una violazione e un hacker riesce ad accedere da remoto al browser, in un solo istante potrà mettere le mani su tutte le credenziali salvate.
Anche gli stessi siti web hanno la loro parte di responsabilità, quando si parla di cattive prassi di gestione delle password e riluttanza ad aggiornarle. Secondo una ricerca condotta da NordPass sui 1.000 siti web più visitati, solo l'1% richiedeva ai propri utenti di creare password conformi alle buone prassi in materia di sicurezza. Le raccomandazioni standard consistono nell'imporre una lunghezza minima delle password, richiedere l'uso di caratteri speciali e supportare la distinzione tra lettere maiuscole e minuscole. Tuttavia, se non sono gli stessi siti web a imporre queste regole, gli utenti tenderanno sempre a creare password più facili da ricordare e, di conseguenza, più vulnerabili.
In questo ambito, possono giocare un ruolo importante anche fattori sociali, come la mancanza di conoscenza in merito ai fondamenti della sicurezza informatica. Le competenze in materia di igiene digitale riguardano il comportamento online degli utenti, la gestione degli account, la manutenzione di dispositivi e software e la gestione appropriata dei servizi di lavoro e personali. L'uso di strumenti dedicati, come gestori password, VPN e antivirus, aiuta gli utenti a migliorare la propria igiene digitale e a proteggere la riservatezza dei dati.
Occorre però ricordare che gli strumenti di sicurezza avanzati sono più facilmente accessibili agli utenti con redditi maggiori. Secondo la ricerca, gli utenti con un basso reddito sono intrinsecamente più svantaggiati in termini di protezione delle credenziali, poiché la loro consapevolezza e possibilità di accesso agli strumenti di sicurezza dedicati sono più limitate. Di conseguenza, risultano più propensi a fare affidamento su messaggi non crittografati e appunti scritti per conservare i propri dati.
Gli utenti ad alto reddito hanno maggiore accesso a informazioni e servizi di gestione delle password, che in molti casi derivano dalla loro attività professionale, se le aziende per cui lavorano hanno bisogno di strumenti specifici per gestire e condividere gli account dei dipendenti. Sono inoltre più propensi a utilizzare servizi a pagamento e il loro tasso di adozione di strumenti per la gestione delle credenziali è molto più elevato. L'accesso e la consapevolezza sono fondamentali per migliorare la gestione delle password degli utenti, oltre che per aiutarli a riconoscere ed evitare gli attacchi di ingegneria sociale.
Piccoli cambiamenti nell'igiene digitale fanno davvero la differenza
Sulla base dei risultati della ricerca, abbiamo individuato tre pilastri fondamentali che è necessario rafforzare: la praticità, la standardizzazione dei requisiti per le password e la formazione sulle buone prassi di sicurezza digitale. Puoi colmare queste lacune seguendo alcuni semplici consigli di igiene digitale:
Usa un gestore password autonomo di terze parti. Strumenti dedicati come NordPass utilizzano una crittografia avanzata per proteggere i dati sensibili da minacce esterne. Dispongono anche di funzionalità come la compilazione e il salvataggio automatici, che semplificano le procedure di registrazione e di accesso. NordPass offre inoltre funzionalità aggiuntive progettate appositamente per rilevare password vulnerabili e dati compromessi.
Passa all'autenticazione senza password. Ove possibile, aggiorna il tuo metodo di accesso configurando l'autenticazione biometrica, basata ad esempio sulle passkey. Queste chiavi di accesso ti consentono di verificare la tua identità e accedere agli account con un solo click, liberandoti dal peso di dover gestire molte password complesse.
Imposta password univoche, complesse e sicure su tutti i tuoi account. Usare sempre combinazioni diverse interrompe la pericolosa catena di riutilizzo delle credenziali, in cui una password compromessa mette a rischio altri account. Un generatore di password aiuta a garantire che le tue credenziali soddisfino i requisiti di sicurezza.
Mantieni sempre aggiornati i tuoi dispositivi. Assicurati che i tuoi sistemi hardware e software siano in perfetto stato di efficienza: installa regolarmente gli aggiornamenti di sicurezza, soprattutto per le applicazioni in cui conservi dati sensibili.
Informati sulle novità riguardanti le minacce informatiche. Gli strumenti basati sull'intelligenza artificiale stanno cambiando progressivamente il panorama delle minacce di cybersecurity. Consulta periodicamente i rapporti sui raggiri e le tattiche di violazione più comuni, in modo da poterli identificare se dovessero prenderti di mira.
Scegli lo strumento giusto per gestire le tue password. La sicurezza informatica è un investimento prezioso, ma non deve per forza costare un occhio della testa. Ad esempio, in una prima fase puoi scaricare il piano NordPass gratuito e memorizzare un numero illimitato di credenziali. Se poi vorrai accedere a una protezione avanzata e ulteriori funzionalità come lo strumento Salute password, Data Breach Scannere Autenticatore, potrai passare al piano Premium in qualsiasi momento.
In conclusione
Il cambiamento positivo nelle abitudini di utilizzo e conservazione delle password è senz'altro una buona notizia, ma ci sono ancora ampi margini di miglioramento. Ora che l'autenticazione senza password sta prendendo sempre più piede, l'obiettivo primario rimane la divulgazione accessibile delle tematiche di cybersecurity e igiene digitale nei confronti di diversi gruppi demografici. Inoltre, è necessario garantire agli utenti la possibilità di accedere facilmente a strumenti avanzati per proteggere i loro dati.