Le date che Microsoft ha già fissato
Microsoft ha pubblicato il cambiamento il 13 luglio in un articolo del proprio blog di sicurezza che sembra un normale aggiornamento sull'identità e che contiene quattro date. Dal 1 settembre 2026 ogni utente di Entra ID oggi abilitato a SMS o voce viene attivato automaticamente per le passkey e invitato a registrarne una alla successiva verifica a più fattori. Il 18 settembre Microsoft dichiara che indicherà gli operatori di telecomunicazione supportati, i loro prezzi e le condizioni commerciali nel Microsoft Security Store. Dal 30 ottobre gli amministratori potranno sceglierne e configurarne uno.
La data che chiude la discussione è il 1 febbraio 2027. Quel giorno Microsoft interrompe la consegna di SMS e chiamate vocali come funzione nativa di Entra ID. I tenant che entro allora non avranno un contratto con un operatore proprio non potranno più usare un codice inviato per messaggio o per telefonata come secondo fattore, e chi vi faceva affidamento dovrà registrare una passkey prima di poter accedere. Microsoft lo scrive senza giri di parole: dopo quella data non c'è più alcun opt-out.
La scadenza arriva prima del prezzo
Se si leggono le date in ordine, è l'ordine stesso a essere la notizia. Il ritiro è fissato al 1 febbraio 2027. Il prezzo dell'unica via supportata per conservare SMS e voce non viene pubblicato prima del 18 settembre 2026 e non è configurabile prima del 30 ottobre. Un'organizzazione deve quindi decidere come spostare decine di migliaia di autenticazioni prima di poter mettere una cifra sull'alternativa allo spostamento.
Non è una decisione di sicurezza travestita da questione di fatturazione. È entrambe le cose insieme. Una funzione inclusa nella licenza Entra diventa, per chi ancora ne ha bisogno, un acquisto contrattualizzato presso un operatore terzo attraverso il marketplace di Microsoft. Il metodo esposto al phishing sparisce, il che è difendibile, e la strada supportata per mantenerlo diventa un esercizio di procurement con fornitore, contratto e un prezzo che fuori da Microsoft nessuno può ancora citare.
Gli account che si rompono non hanno telefono
Una passkey presuppone che la persona abbia un dispositivo proprio sul quale autenticarsi con la biometria o con un PIN. Il personale d'ufficio quasi sempre ce l'ha. Gli account che si reggevano sul codice via SMS sono spesso gli altri: magazzino e reparto su terminali condivisi, turnisti senza cellulare aziendale, stagionali e ditte esterne, tecnici sul campo il cui telefono personale non è mai stato registrato da nessuna parte. L'SMS era il minimo comune denominatore proprio perché non richiedeva né registrazione né dispositivo gestito.
Sostituirlo per queste persone significa consegnare qualcosa, un telefono gestito oppure una chiave FIDO2 a testa, e questa è una voce di investimento e un lavoro logistico, non una modifica di configurazione. In Italia l'ACN raccomanda da tempo metodi resistenti al phishing, quindi la direzione non sorprende nessuno. Il conto dell'ultimo miglio sì. E non è una scelta che un amministratore delle identità possa prendere da solo nell'ultima settimana di gennaio 2027.
Che cosa decidere entro il 1 agosto
La scadenza utile non è febbraio. La documentazione di Microsoft colloca l'opt-out temporaneo per la finestra da settembre a febbraio, e l'interfaccia necessaria ad applicarlo, al 1 agosto 2026. Mancano circa due settimane, ed è il momento in cui un'organizzazione deve avere una risposta a una sola domanda: lasciamo partire il rollout delle passkey il 1 settembre, oppure lo fermiamo finché non sappiamo chi non potrà essere registrato?
Per rispondere serve un conteggio, non un'opinione. Estraete l'elenco degli account il cui unico metodo registrato è SMS o voce, divideteli tra chi possiede un dispositivo registrabile e chi no, poi date un prezzo al secondo gruppo. Se il numero è piccolo, prendete il rollout e chiudete presto. Se non lo è, usate l'opt-out ad agosto, dedicate l'autunno all'acquisto di chiavi o telefoni e trattate il 18 settembre come il giorno in cui scoprirete quanto sarebbe costato il piano di riserva.
Da leggere ora: Ruotate ogni segreto che Grok Build abbia mai visto | Aprire una sola email può consegnare la vostra casella Zimbra



