Il recente cambiamento forzato introdotto da X, la piattaforma di Elon Musk, ha scatenato un effetto domino: gli utenti che utilizzano passkey o hardware security key - come le YubiKey - per l’autenticazione a due fattori (2FA) sono stati invitati a re‑iscriversi entro il 10 novembre 2025, pena il blocco dell’accesso all’account. Tuttavia, la procedura ha manifestato gravi disfunzioni, trascinando diversi utenti in un loop infinito che impedisce la rientranza.

Il contesto operativo del cambio di dominio

L’obiettivo dichiarato è chiaro: ritirare definitivamente il dominio twitter.com, utilizzato per autenticare le chiavi 2FA, e trasferire tutto a x.com.

Poiché le security key sono stigmatizzate a un relying party ID specifico (in questo caso twitter.com), diventava necessario associarle nuovamente al nuovo dominio per mantenerle operative sul servizio.

Come doveva funzionare la re‑iscrizione

Tra la fine di ottobre e novembre 2025, X ha comunicato tramite il suo account Safety la necessità di re‑iscrivere le security key, offrendo tre opzioni per evitare il blocco dell’account: re‑iscrizione della chiave esistente, registrazione di una nuova o passaggio a un altro metodo 2FA (come le app autenticatrici), anche se quest’ultimo sconsigliato per motivi di sicurezza.

Il disastro operativo: utenti bloccati in un loop

Con il passaggio del termine del 10 novembre, molti utenti hanno segnalato di non poter completare la re‑iscrizione: dopo aver disabilitato e reinserito la chiave, vengono rimandati alla schermata iniziale senza avanzare, rimanendo intrappolati in un loop continuo.

Gli utenti hanno espresso frustrazione, soprattutto perché molti non possedevano neppure una YubiKey, ma il sistema li ha comunque invitati a seguirla, evidenziando un evidente malfunzionamento della logica del flusso.

Reazioni e possibili risposte tecniche

Secondo alcune voci riportate su Reddit, l’intervento tecnico potrebbe essere già in corso: si parla di un ritorno a configurazioni precedenti per ripristinare l’accesso, sebbene la situazione resti instabile ([reddit.com](https://www.reddit.com//r/yubikey/comments/1ovdniu?utm_source=openai)). La comunità segnala anche difficoltà nell’accesso al supporto ufficiale, giudicato lento o inefficace.

Impatto sul piano della sicurezza e dell’affidabilità operativa

Anziché introdurre un miglioramento nella sicurezza—dato che la 2FA con security key è notoriamente phishing‑resistant—X ha involontariamente creato una nuova vulnerabilità operativa: l’impossibilità di accedere ai propri account. Pur essendo un cambio tecnico legittimo, la sua implementazione forzata senza adeguati test ha messo a nudo problemi di governance e qualità del rollout tecnico.

Lezione strategica: sicurezza sì, ma con robustezza

Questo episodio conferma che ogni aggiornamento di sicurezza, anche tecnicamente corretto, deve essere accompagnato da un flusso di transizione solido e testato, con piani di rollback pronti. La migrazione di servizi critici, come l’autenticazione, richiede canali di supporto reattivi, rollback immediati e comunicazioni chiare per gli utenti.

In sintesi, X ha tentato di chiudere definitivamente un caposaldo del suo passato – il dominio twitter.com – ma nel farlo ha finito per sabotare l’accesso di molti utenti, minando la fiducia nel sistema di autenticazione. Una lezione per chiunque gestisca sistemi ad alta criticità: sicurezza e affidabilità devono viaggiare rigorosamente a braccetto.