Usare lo smartphone Android come Security Key per Google

È importante mantenere sicura la tua vita digitale. Molti servizi online offrono ora la verifica in due passaggi (2SV), che richiede due elementi di autenticazione distinti: «qualcosa che sai» (la password) e «qualcosa che possiedi» (ad esempio un telefono o una chiave fisica). Se accedi con password e un codice inviato al telefono, stai già usando la verifica a due fattori.

L’anno scorso Google ha introdotto la Titan Security Key, un dispositivo fisico da collegare o avvicinare al computer per completare il processo di autenticazione. Era molto apprezzato dalle aziende ma meno diffuso tra i consumatori per il costo. Ora Google consente di usare il tuo smartphone Android al posto della Titan Key come parte della Verifica in due passaggi, a condizione che il telefono esegua Android Nougat (7.0) o versioni successive.

Questa guida mostra come configurare la Verifica in due passaggi di Google e usare il tuo smartphone Android come Security Key.

Requisiti minimi

• Smartphone Android con Android 7.0 (Nougat) o successivo.
• Stesso account Google aggiunto sia sul computer che sul telefono.
• Bluetooth attivo sul telefono e sul computer (la connessione avviene tramite BLE quando necessario).
• Browser Chrome aggiornato sul computer per la migliore compatibilità.

Importante: se non hai lo stesso account Google su entrambi i dispositivi, aggiungilo prima di procedere.

Aggiungi il tuo account Google al telefono

1. Apri l’app Google dal menu delle app.
2. Tocca la tua immagine del profilo in alto a destra.
3. Se l’account che vuoi collegare è elencato, selezionalo. Altrimenti tocca “Aggiungi un altro account”.
4. Identificati usando l’impronta digitale, il PIN o lo sblocco del dispositivo.
5. Inserisci l’indirizzo email che desideri aggiungere e segui la procedura di configurazione.

Abilitare la Verifica in due passaggi (2SV)

1. Sul computer, visita la pagina di iscrizione alla Verifica in due passaggi per l’account Google.
2. Fai clic su “Inizia” o “Get started” (a seconda della lingua del tuo account).

3. Scegli l’account che vuoi proteggere e inserisci le credenziali per l’accesso.
4. Quando richiesto, controlla le notifiche sul telefono e tocca “Sì” per confermare l’accesso.
5. Scegli un numero di telefono di backup nel caso il telefono principale non sia disponibile.

6. Se non hai un numero alternativo, clicca su “Usa un’altra opzione di backup” e segui le istruzioni.
7. Stampa o salva i codici di backup visualizzati e conservali in un luogo sicuro.

8. Clicca Avanti e attiva la Verifica in due passaggi.

Nota: i codici di backup permettono di accedere anche quando il telefono non è disponibile. Conservali offline (stampa o file cifrato).

Test: sbloccare l’account usando il telefono

Per verificare che tutto funzioni, esegui il logout dall’account Google nel browser Chrome sul computer e prova a effettuare l’accesso.

1. Fai clic sulla foto del profilo nell’angolo in alto a destra del browser.
2. Seleziona l’account e accedi con le tue credenziali.
3. Vedrai un messaggio che indica di controllare il telefono per la conferma.

4. Sul telefono, tocca il pulsante “Sì” nella notifica per completare l’accesso.

Una volta confermato, avrai accesso a tutti i servizi Google (Play Store, YouTube, Gmail, ecc.). Google estenderà probabilmente queste funzionalità a più prodotti in futuro.

Quando questa soluzione potrebbe non funzionare

• Telefono spento, senza batteria o fuori portata Bluetooth: la conferma non arriverà.
• Se il telefono non ha lo stesso account Google o non è aggiornato oltre a Nougat.
• Se il browser non supporta la funzione (usa Chrome aggiornato per evitare problemi).
• Se la configurazione del dispositivo o le policy aziendali bloccano l’autenticazione tramite telefono.

Se la soluzione fallisce, usa i codici di backup o un numero di telefono alternativo per accedere.

Approcci alternativi alla Security Key sul telefono

• Chiavi hardware USB/NFC (es. FIDO U2F o soluzioni simili): funzionano senza telefono e offrono massimo isolamento.
• App di autenticazione (Google Authenticator, Authy): generano codici TOTP offline come secondo fattore.
• SMS o chiamata vocale: meno sicuri, ma utili come backup.

Ogni approccio ha vantaggi: le chiavi hardware sono più robuste contro il phishing; le app di autenticazione funzionano offline; lo smartphone è comodo e veloce.

Suggerimenti pratici e best practice

• Metti un codice o blocco biometrico sul telefono; senza sblocco il dispositivo non autorizza la conferma.
• Tieni aggiornati sistema operativo e browser per patch di sicurezza e compatibilità.
• Conserva i codici di backup offline (stampa o file cifrato).
• Registra una seconda opzione di backup (altro telefono o chiave hardware) se viaggi spesso.
• Disattiva o rimuovi il metodo se perdi o vendi il telefono.

Importante: se perdi il telefono, revoca immediatamente l’accesso dal tuo account Google e usa i codici di backup per rientrare.

Checklist basata sul ruolo

• Utente individuale:

  • Aggiungi l’account Google al telefono.
  • Attiva 2SV e salva i codici di backup.
  • Verifica l’accesso dal computer.

• Amministratore IT:

  • Documenta la procedura per gli utenti.
  • Valuta policy aziendali su autenticazione e dispositivi personali.
  • Mantieni opzioni di recovery centralizzate.

• Viaggiatore frequente:

  • Registra un secondo metodo di autenticazione (chiave hardware o numero di backup).
  • Evita di dipendere esclusivamente da roaming SMS.

Privacy e note GDPR (breve)

L’uso del telefono come Security Key implica che Google gestisca segnali di autenticazione tra dispositivi associati allo stesso account. Non memorizzare i codici di backup in chiaro su servizi cloud non protetti. Per organizzazioni soggette a GDPR, documenta la base legale e le misure tecniche per proteggere gli account.

Rischi comuni e mitigazioni

• Rischio: telefono compromesso. Mitigazione: abilitare cifratura, PIN/biometria e considerare una chiave hardware per accessi sensibili.
• Rischio: perdita del dispositivo. Mitigazione: revoca immediata dell’accesso e uso dei codici di backup.
• Rischio: phishing mirato. Mitigazione: preferire metodi FIDO (chiavi fisiche o telefono con protocolli FIDO) e istruire gli utenti a verificare URL prima di inserire credenziali.

Box riassuntivo: punti chiave

• Requisito: Android 7.0+ e stesso account Google su telefono e PC.
• Metodo: la conferma avviene via notifica sul telefono (Bluetooth/connessione vicina).
• Backup: codici stampati e numero alternativo.
• Alternative: chiave hardware, app di autenticazione, SMS (backup).

Riepilogo

Usare il tuo smartphone Android come Security Key è una soluzione pratica e più sicura rispetto al solo uso della password. Richiede Android Nougat o successivo, lo stesso account Google su entrambi i dispositivi e il browser aggiornato. Salva i codici di backup e configura almeno una opzione di recovery per evitare di rimanere bloccato fuori dall’account.

Note finali: se gestisci account aziendali o dati sensibili, considera di implementare chiavi hardware come soluzione a più alto livello di sicurezza.