La fuga di 16 miliardi di password: cosa è successo realmente? A giugno 2025, i ricercatori di cybersecurity di Cybernews hanno rivelato una delle più grandi esposizioni di credenziali mai registrate: oltre 16 miliardi di dettagli di login distribuiti tra circa 30 enormi set di dati erano disponibili liberamente online. Piuttosto che essere una singola violazione, questa fuga è il risultato di anni di infezioni silent di malware infostealer che infettavano silenziosamente i dispositivi ed estrapolavano tutto, da password e cookie a token di sessione attive e cronologia dei login web. Molte credenziali risultano ancora valide oggi, coinvolgendo grandi piattaforme come Google, Apple, Facebook, Telegram, GitHub e persino vari sistemi governativi. Alcuni set di dati contenevano fino a 3, 5 miliardi di record e, per un periodo, gran parte di queste informazioni erano accessibili su server pubblici senza la necessità di competenze di hacking. Nel solo 2024, il malware infostealer ha rubato 2, 1 miliardi di credenziali, rappresentando quasi due terzi di tutte le credenziali sottratte da tali strumenti, sottolineando una minaccia in crescita. Perché la fuga di password da 16 miliardi evidenzia i limiti dei sistemi di login tradizionali Questa violazione mette in luce le vulnerabilità fondamentali dei sistemi di identità tradizionali ancora molto utilizzati. La ripetizione di password è comune, quindi quando un account viene compromesso, gli attaccanti possono accedere ad altri servizi tramite la tecnica del credential stuffing. La presenza di token di sessione—chiavi digitali per account autenticati—in queste fughe peggiora il problema. Con strumenti di malware-as-a-service facilmente disponibili, gli hacker possono acquistare dati rubati e automatizzare il controllo degli account senza dover colpire direttamente le vittime. Questi fattori creano condizioni ideali per furto d’identità, frodi finanziarie e violazioni della privacy, segnalando che l’autenticazione a due fattori (2FA) e i password manager da soli sono insufficienti come difesa. Di conseguenza, l’attenzione si sta spostando verso soluzioni fondamentali come i sistemi di identità digitale basati su blockchain che non si affidano alle password. La necessità di autenticazione senza password e Blockchain Dopo queste violazioni di vasta portata, ritorna il consiglio comune: usare password forti e uniche; adottare password manager come 1Password o Bitwarden; abilitare 2FA; passare a passkey che sfruttano i biometrici; e monitorare le fughe di dati tramite strumenti di scansione del dark web. Pur essendo utili, queste sono misure tampone per un sistema privo di resilienza intrinseca.

Gli utenti rimangono esposti a phishing, malware e app vulnerabili. Con le violazioni che aumentano in scala e complessità, gli esperti raccomandano sempre più la gestione dell’identità Web3 per garantire miglioramenti di sicurezza a lungo termine. Abilitando l’autenticazione senza password tramite blockchain, il modello di cybersecurity potrebbe evolversi da difese reattive a protezioni proattive a livello di infrastruttura—sostituendo letteralmente il sistema rotto. È interessante notare che i sistemi di password dei computer risalgono al Compatible Time-Sharing System del MIT negli anni ’60, dove le prime preoccupazioni di sicurezza erano già state identificate, dimostrando che le vulnerabilità delle password non sono una novità. La blockchain può essere la soluzione dell’identità digitale? Dato che sono stati esposti miliardi di password, la domanda urgente è perché si continui a fare affidamento sulle password. Molti sviluppatori, istituzioni e sostenitori della privacy vedono ora l’identità digitale basata su blockchain come un’alternativa molto necessaria. Cosa risolve l’ID digitale basato su blockchain I sistemi di identità decentralizzata alimentati da blockchain invertano il modello tradizionale restituendo agli utenti la proprietà e il controllo delle identità digitali tramite l’identità sovrana (SSI). Invece di banche dati centralizzate vulnerabili a violazioni di ampie portate, la blockchain utilizza identificatori decentralizzati (DID)—chiavi private uniche conservate on-chain e appartenenti esclusivamente all’utente—senza un deposito centrale da colpire. I principali vantaggi includono: - Assenza di un punto singolo di fallimento: Diversamente dai sistemi centralizzati che detengono milioni di credenziali, le identità sulla blockchain sono prive di server centrale suscettibile a compromissioni. - Minima esposizione dei dati: Utilizzando le Credential Verificabili, gli utenti possono verificare attributi (ad esempio età o livello di istruzione) senza condividere documenti di identità completi. Le Zero-Knowledge Proofs avanzate permettono di validare affermazioni (ad esempio "ho più di 18 anni") senza rivelare i dati sottostanti. - Resistenza alle manomissioni e auditabilità: Le credenziali rilasciate ai portafogli digitali degli utenti sono firmate crittograficamente e timestampate, rendendo quasi impossibile la contraffazione o l’alterazione non rilevata. Questo paradigma—l’identità sovrana—sostituisce di fatto l’infrastruttura di identità vulnerabile di oggi. Chi sta guidando le soluzioni di identità digitale blockchain? Benché ancora in fase di sviluppo, la gestione dell’identità Web3 sta facendo progressi concreti. L’Unione Europea sta implementando eIDAS 2. 0 e l’Infrastruttura dei Servizi Blockchain Europea (EBSI) per rilasciare diplomi e credenziali digitali inviolabili tra gli Stati membri. La Germania e la Corea del Sud stanno testando sistemi di identità digitale basati su blockchain, potenzialmente destinati a sostituire le carte d’identità fisiche a livello nazionale. Nel frattempo, startup come Dock Labs, Polygon ID e TrustCloud stanno sviluppando piattaforme che consentono alle persone di creare, gestire e condividere selettivamente credenziali per l’accesso a servizi governativi, bancari, educativi e altro ancora. In sintesi, la fuga di 16 miliardi di password rivela i difetti critici dei sistemi di login legacy e sottolinea l’urgenza di soluzioni di identità digitale innovative e basate su blockchain che promettono maggiore sicurezza, privacy e controllo da parte degli utenti.