Normative · WCAG 2.2

SC 3.3.8 Livello AA WCAG 2.2 Nuovo nella 2.2

Autenticazione accessibile (minimo)

L'autenticazione non deve richiedere un test di funzione cognitiva — memorizzare password, trascrivere codici o identificare oggetti — salvo che sia disponibile un'alternativa o assistenza. Password, CAPTCHA con immagini e copia-codice da e-mail sono i casi di non conformità più frequenti. Novità di WCAG 2.2.

Cosa richiede

Per autenticarsi, all’utente non può essere richiesto di eseguire un test di funzione cognitiva — ricordare una password a memoria, trascrivere un codice, identificare oggetti in immagini, risolvere un puzzle — a meno che non si verifichi una delle condizioni seguenti:

  • Alternativa: è disponibile un altro metodo di autenticazione che non richiede un test di funzione cognitiva.
  • Meccanismo: è disponibile un’assistenza per completare il test (compilazione automatica del gestore di password, copia-incolla da un’e-mail di verifica).
  • Riconoscimento di oggetti: il test richiede soltanto il riconoscimento di oggetti, non la soluzione di un puzzle (questa eccezione è di portata limitata).
  • Contenuto personale: il test richiede soltanto l’identificazione di contenuto non testuale che l’utente ha fornito personalmente (ad esempio la propria foto del profilo).

L’intento è rendere l’autenticazione accessibile agli utenti con disabilità cognitive, disturbi della memoria, dislessia e afasia, che i flussi basati su password e CAPTCHA hanno sempre escluso sistematicamente.

Come soddisfarlo

  • Consentire i gestori di password: non bloccare l’incolla nei campi password, non disabilitare la compilazione automatica, non rimuovere autocomplete="current-password" o autocomplete="new-password". Questa singola modifica è spesso sufficiente per soddisfare il criterio di successo.
  • Supportare passkey / WebAuthn: una credenziale biometrica o legata al dispositivo aggira completamente il test cognitivo.
  • Supportare OAuth / accesso con social network come percorso alternativo.
  • Magic link: inviare via e-mail un link di accesso con un clic anziché richiedere il richiamo della password.
  • Codici via e-mail o SMS: assicurarsi che il copia-incolla funzioni dal messaggio al campo, e consentire al sistema di compilare automaticamente dove la piattaforma lo supporta (ad esempio la compilazione automatica dei codici SMS su iOS).
  • Evitare i CAPTCHA con immagini (reCAPTCHA del tipo «clicca su tutti i semafori») a meno che non sia offerta un’alternativa non cognitiva.
  • Consentire il pulsante per mostrare la password: aiuta gli utenti con dislessia o difficoltà motorie a verificare il proprio input.

Errori comuni

  • Moduli di accesso che bloccano l’incolla nel campo password — questo singolo anti-pattern fa venire meno la conformità al criterio 3.3.8 per gli utenti che dipendono dai gestori di password.
  • autocomplete="off" sui campi password, che impedisce la compilazione automatica da parte del browser e del gestore di password.
  • CAPTCHA con griglia di immagini come unico passaggio di verifica, senza audio o alternativa.
  • Flussi di autenticazione a più fattori che mostrano un codice a 6 cifre su un dispositivo e richiedono all’utente di memorizzarlo e digitarlo su un altro senza possibilità di copia-incolla.
  • Pagine di accesso che richiedono all’utente di identificare quale tra nove immagini contenga un oggetto specifico.
  • Flussi con «domanda di sicurezza» che richiedono il richiamo di dati personali oscuri («nome del primo animale domestico») senza percorso alternativo.
  • Regole per le password che vietano i pattern comuni e vietano anche l’incolla, costringendo all’inserimento manuale di una stringa impossibile da memorizzare.
  • Codici da app di autenticazione senza bridge di compilazione automatica e senza supporto alla copia, che richiedono la trascrizione entro una finestra di 30 secondi.

Perché è importante

Si tratta del nuovo criterio di punta di WCAG 2.2 e di quello che con maggiore probabilità imporrà cambiamenti di prodotto alle grandi aziende. Le disabilità cognitive riguardano più di 1 adulto su 10, e il modello basato sul «ricordare questa password» li ha sempre penalizzati — il criterio di successo formalizza tale esclusione come un problema di conformità.

Il percorso di conformità più comune è anche il meno costoso: consentire l’incolla, consentire la compilazione automatica, supportare le passkey e i magic link. Molte pagine di accesso già esistenti possono diventare conformi al criterio 3.3.8 con la rimozione di tre righe di codice anti-incolla. La sostituzione dei CAPTCHA è il problema più complesso — le alternative moderne includono il punteggio di rischio basato sul dispositivo (Cloudflare Turnstile, hCaptcha in modalità invisibile) e l’analisi comportamentale, entrambe in grado di bypassare il test cognitivo per la maggior parte degli utenti.

Il criterio 3.3.8 è destinato a dominare i risultati delle verifiche di conformità alla versione 2.2 per i prossimi anni.