OpenAI ha presentato Advanced Account Security, un pacchetto di controlli pensato per alzare il livello di protezione degli account ChatGPT e Codex. L’obiettivo dichiarato è ridurre il rischio di accessi non autorizzati per chi gestisce contenuti o dati sensibili: giornalisti, funzionari, ricercatori e attivisti rientrano tra gli esempi citati. La novità più radicale è la possibilità — e in alcuni casi l’obbligo — di abbandonare le password a favore di sistemi più resistenti al phishing, come le passkey e le chiavi hardware. In parallelo è stata annunciata una collaborazione commerciale con Yubico per offrire le YubiKey a prezzo scontato agli utenti interessati.
Questa impostazione è opt-in per la maggior parte degli utenti, ma diventa vincolante per i partecipanti al programma Trusted Access for Cyber, che a partire dal 1 giugno 2026 dovranno attivare obbligatoriamente le misure avanzate.
Chi sceglie di attivare il pacchetto rinuncia volontariamente all’accesso tramite password e al recupero tramite email o SMS: il recupero sarà possibile solo con metodi robusti come passkey di backup, chiavi hardware aggiuntive o codici di recupero dedicati. Questa combinazione abbina protezione dell’accesso e tutela della privacy, poiché l’attivazione esclude automaticamente l’uso delle conversazioni per l’addestramento dei modelli.
Accesso senza password: come cambia l’autenticazione
Con Advanced Account Security OpenAI introduce l’accesso esclusivo tramite passkey o chiavi certificate FIDO. Le passkey sono credenziali digitali legate al dispositivo che non transitano su server centrali, rendendo inefficace il furto tramite siti di phishing o richieste telefoniche di codici. Le chiavi fisiche, come le YubiKey, offrono un ulteriore livello di resistenza: per autenticarsi è necessario possedere l’hardware e attivarlo sul dispositivo.
Questo modello elimina la presenza di una password che possa essere facilmente replicata o carpita, ma introduce la responsabilità diretta dell’utente nella conservazione dei metodi di accesso alternativi e di backup.
Passkey e chiavi hardware: vantaggi pratici
Le passkey e le YubiKey riducono la superficie d’attacco legata al phishing perché non esiste un codice da inserire su un sito falso. Nel comunicato OpenAI ha specificato che l’uso combinato di sessioni più brevi, notifiche a ogni nuovo accesso e la possibilità di vedere e terminare le sessioni attive contribuisce a mitigare ulteriormente i rischi. In termini pratici la partnership con Yubico propone un bundle di due dispositivi — YubiKey C NFC e YubiKey C Nano — offerti a 68 dollari invece dei 126 dollari di listino, pensati rispettivamente per l’autenticazione sullo smartphone tramite tap e per l’uso continuo sul laptop.
Gestione dell’account e impatti sulla privacy
Oltre a cambiare le modalità di login, Advanced Account Security modifica le regole sul recupero account: l’abbandono del recupero tramite email e SMS impedisce che la compromissione della casella di posta o del numero telefonico permetta l’accesso a ChatGPT. Questo approccio rende il processo di recupero più sicuro ma anche più rigido: OpenAI non potrà recuperare un account se l’utente perde tutti i metodi di autenticazione. Contestualmente, l’attivazione della funzione disabilita l’uso delle conversazioni per l’addestramento dei modelli, conferendo a chi tratta informazioni sensibili una garanzia aggiuntiva sulla non utilizzazione dei dati per training.
Sessioni, notifiche e controllo
Le nuove impostazioni accorciano automaticamente la durata delle sessioni attive e richiedono un nuovo accesso con maggiore frequenza, riducendo l’esposizione in caso di dispositivo compromesso.
Gli utenti ricevono avvisi quando si verifica un login da un dispositivo sconosciuto e possono gestire le sessioni in corso dall’interfaccia. Queste funzioni, unite al blocco del recupero via email/SMS, disegnano un modello dove la sicurezza è spostata verso il possesso fisico e la gestione proattiva delle credenziali.
Perché conta e quale contesto
La scelta di OpenAI non arriva in isolamento. Nei mesi precedenti erano emerse segnalazioni di dati di clienti pubblicati dopo una fuga legata a un fornitore di analytics e circolazioni di archivi di credenziali per milioni di account, situazioni che aumentano la sensibilità verso misure anti-phishing. Rendere obbligatoria la protezione per gli utenti con accesso ai modelli più avanzati di cybersicurezza è coerente con la logica di difendere chi può rappresentare un bersaglio privilegiato. Il confronto naturale è con programmi enterprise — come il Google Advanced Protection Program — ma qui la novità è l’applicazione su larga scala in un servizio AI consumer-professionale.
In sintesi, Advanced Account Security rappresenta un cambiamento di paradigma: le password cessano di essere l’opzione centrale a favore di passkey e chiavi hardware, mentre la partnership con Yubico facilita l’adozione pratica di questi strumenti. Chi gestisce dati sensibili dovrà valutare la rigidità del recupero rispetto al valore aggiunto in termini di protezione; per molti utenti la trade-off sarà accettabile, soprattutto se il trend sarà seguito anche da altri attori nel mondo dell’AI.
