Sommario
La versione 137 di Google Chrome, rilasciata in contemporanea su desktop, Android e iOS, non si limita a offrire aggiornamenti di stabilità. Insieme alle classiche patch di sicurezza, questa iterazione introduce modifiche strutturali all’esperienza di autenticazione sul web, con l’obiettivo dichiarato di semplificare, proteggere e standardizzare l’accesso degli utenti attraverso passkey, federazione e credenziali sincronizzate.
Durante il Google I/O 2025, il team Chrome ha mostrato una roadmap ambiziosa: rendere il browser il fulcro della gestione dell’identità digitale, trasformando radicalmente il modo in cui gli utenti si registrano, accedono e gestiscono le credenziali online.
Chrome 137: un aggiornamento multipiattaforma orientato alla stabilità e alla sicurezza
Su desktop, la versione 137.0.7151.40 per Windows, macOS e Linux è stata distribuita sul canale Beta con miglioramenti marginali, mentre la release Early Stable ha introdotto otto fix di sicurezza, tra cui:
- Una vulnerabilità critica use-after-free nel modulo Compositing
- Difetti implementativi in Background Fetch, Messages e Tab Strip
- Una falla nella gestione dei permessi nella FileSystemAccess API
Su iOS, la versione 137.0.7151.34 porta aggiornamenti di stabilità, mentre su Android, la release 137.0.7151.44 Beta include ottimizzazioni delle prestazioni e compatibilità incrementata con le nuove API per passkey e credential manager.
Anche se i changelog pubblici riportano modifiche tecniche minori, è sul fronte dell’identità digitale che Chrome 137 si distingue realmente. L’intero ecosistema si orienta verso unificare le modalità di accesso, rendendole più sicure e invisibili per l’utente.
Un accesso unificato: la nuova visione di Google sull’identità digitale
Durante il Google I/O 2025, Chrome ha annunciato un’estensione radicale del suo Credential Manager API, che ora permette di gestire password, passkey e identità federate da un’unica finestra di dialogo. L’obiettivo è ridurre la complessità di scelta per l’utente al momento dell’accesso.
Quando un sito web chiama navigator.credentials.get(), Chrome è in grado di:
- Offrire all’utente le password salvate nel Password Manager
- Mostrare una passkey sincronizzata sul dispositivo
- Fornire opzioni federate tramite FedCM (Federated Credential Management)
Se nessuna credenziale è disponibile, il sito può attivare il proprio flusso di accesso. Se invece sono disponibili più opzioni, Chrome presenta una UI coerente che guida l’utente nella selezione, migliorando l’esperienza senza compromessi sulla sicurezza.
Passkey: sincronizzazione completa e mediazione immediata
Una delle maggiori novità è l’adozione completa delle passkey, che possono ora essere sincronizzate su tutte le principali piattaforme tramite il Google Password Manager, incluso iOS. In caso di assenza della passkey su un dispositivo, Chrome mostra un codice QR per consentire l’accesso da un altro device.
Tuttavia, per evitare interruzioni o promozioni invasive, gli sviluppatori possono attivare la nuova modalità mediation: 'immediate', che istruisce il browser a verificare solo le credenziali disponibili localmente. Se non ne vengono trovate, Chrome non mostra nulla. Questo approccio riduce il numero di prompt e rende il flusso di accesso più fluido e rispettoso del contesto utente.
Creazione automatica delle passkey: un’adozione progressiva e invisibile
Una delle sfide più grandi è convincere gli utenti a migrarsi da password a passkey. Chrome 137 introduce una nuova API che consente ai siti di creare automaticamente una passkey per l’utente al termine di un accesso con password andato a buon fine.
L’utente non viene disturbato, ma riceve una notifica se la passkey viene generata con successo. Se non viene creata, l’esperienza rimane invariata. Questo meccanismo offre un percorso graduale e silenzioso verso l’adozione della nuova identità digitale, senza costringere l’utente ad affrontare scelte complesse.
Identità federata, credenziali di sessione e l’evoluzione della privacy su browser
Il rilascio della versione 137 di Chrome, insieme agli annunci di Google I/O 2025, segna una svolta nell’equilibrio tra user experience, sicurezza e controllo dell’identità.
Oltre a ridefinire la gestione delle passkey, Google sta costruendo un’infrastruttura coerente per supportare accessi federati, credenziali digitali e sessioni legate al dispositivo, offrendo strumenti che risolvono problemi storici come lo spoofing di sessione, la frammentazione dell’accesso cross-device e l’invasività degli SSO esterni.
FedCM: la nuova era dell’identità federata controllata dal browser
Con l’API Federated Credential Management (FedCM), Google punta a sostituire i flussi di login basati su redirect esterni e script poco affidabili con una mediazione diretta all’interno del browser. Questo sistema offre tre vantaggi cruciali: maggiore controllo per gli sviluppatori, rispetto per la privacy degli utenti, e riduzione delle finestre modali invasive.
La modalità passiva di FedCM permette al browser di proporre automaticamente il login con un provider noto, mentre la modalità attiva richiede un’azione esplicita dell’utente (es. clic su “Accedi”). Chrome ora è in grado di suggerire provider multipli in base al contesto, migliorando i tassi di login e riducendo la frustrazione da lockout.
Sessioni associate al dispositivo: contro il furto di cookie e accessi abusivi
Le tradizionali sessioni basate su cookie sono facilmente esposte ad attacchi malware o furti fisici del dispositivo. Chrome introduce ora le Device-Bound Session Credentials, una tecnologia che collega la sessione di accesso a un device specifico.
Anche se un cookie viene copiato altrove, non potrà essere utilizzato senza il dispositivo originale.
Questa tecnologia è fondamentale per proteggere accessi ad email, servizi bancari, ambienti enterprise e interazioni con la pubblica amministrazione. Un cambiamento invisibile per l’utente, ma essenziale per contrastare hijacking e token reuse.
Documenti digitali e credenziali verificabili: verso la piena identità sul web
La nuova Digital Credentials API consente ai siti di richiedere informazioni verificate direttamente dai wallet mobili degli utenti. Attributi come età, stato di studente, patente o identità personale possono essere trasmessi in modo privato, sicuro e conforme agli standard del W3C.
Questa evoluzione avvicina l’esperienza web a quella dei documenti elettronici nei portafogli digitali nazionali, riducendo la necessità di upload manuali e consentendo verifiche istantanee. L’adozione futura potrebbe integrare anche strumenti di firma elettronica e validazione fiscale, trasformando il browser in un nodo sicuro di verifica legale.
Gestione moderna delle password: più sicurezza, meno attriti
Il gestore delle password di Chrome, potenziato nella versione 137, ora supporta:
- Compilazione automatica intelligente, con apertura diretta dei suggerimenti
- Modifica automatica delle password compromesse, per siti che supportano gli endpoint standard
.well-known/change-password - Importazione e esportazione semplificata delle credenziali, anche passkey, con formati compatibili FIDO
Tutti questi strumenti sono pensati per accompagnare l’utente nella transizione, senza mai forzare scelte o imporre cambiamenti radicali. La parola chiave è continuità: l’utente deve sentirsi guidato, non costretto.
Una nuova UX per la privacy: visibilità e controllo reali
Oltre all’aspetto tecnico, Chrome 137 migliora la trasparenza visiva dell’identità digitale: finestre di dialogo più chiare, indicazioni sui provider coinvolti, e opzioni per rimuovere o aggiornare le credenziali salvate.
L’utente può ora vedere quali dati vengono condivisi, e controllare sessioni attive da un pannello centralizzato nel gestore delle password.
Chrome come piattaforma d’identità decentralizzata
Con le novità introdotte in Chrome 137, Google non sta semplicemente migliorando il browser: lo sta trasformando in un layer infrastrutturale per la gestione delle credenziali, un’estensione digitale dell’identità dell’utente, coerente su mobile e desktop, pubblico e privato, cloud e device locale.
In un mondo dove l’identità è frammentata e vulnerabile, questo approccio promette un’architettura di accesso unificata, trasparente e resistente al phishing, capace di gestire password, passkey, login federati e documenti digitali con un solo strumento.
Il 2025 segna così l’inizio di una nuova fase: l’identità digitale non è più un plugin esterno, ma una funzione nativa del browser.
