Normative · WCAG 2.2

SC 3.3.9 Livello AAA WCAG 2.2 Nuovo nella 2.2

Autenticazione accessibile (avanzato)

L'autenticazione non deve richiedere alcun test di funzione cognitiva, nemmeno il riconoscimento di oggetti o l'identificazione di contenuto personale. È l'aggiornamento al livello AAA del criterio 3.3.8: le passkey, i dati biometrici e le credenziali legate al dispositivo diventano i percorsi pratici.

Cosa richiede

Questo criterio di livello AAA elimina le due eccezioni limitate ammesse al livello AA (3.3.8): anche il riconoscimento di oggetti e l’identificazione di contenuto personale sono vietati. L’autenticazione non deve richiedere alcun test di funzione cognitiva di alcun tipo, senza eccezioni — a meno che non sia disponibile un metodo di autenticazione alternativo che non richieda alcun test di funzione cognitiva.

In pratica ciò significa che nel flusso è sempre disponibile almeno un’opzione di autenticazione pienamente accessibile, anche se rimangono disponibili altre opzioni.

Come soddisfarlo

  • Offrire le passkey / WebAuthn come opzione di prim’ordine — utilizzano lo sblocco biometrico o tramite PIN del dispositivo, senza richiedere alcun test cognitivo.
  • Offrire l’accesso tramite magic link via e-mail come alternativa priva di test cognitivi.
  • Supportare OAuth / accesso con social network.
  • Supportare le chiavi di sicurezza hardware (FIDO2).
  • Assicurarsi che, ovunque l’utente atterri, almeno uno di questi percorsi sia raggiungibile senza CAPTCHA o percorso alternativo basato sul richiamo mnemonico.

Errori comuni

  • Siti che soddisfano il criterio 3.3.8 soltanto consentendo i gestori di password, ma senza alcuna opzione biometrica, passkey o magic link per gli utenti che non utilizzano gestori di password.
  • Autenticazione che richiede l’identificazione della propria foto del profilo (riconoscimento di oggetti / contenuto personale) — accettabile per il livello AA, ma non conforme al livello AAA.
  • Autenticazione progressiva per azioni sensibili che scala sempre verso un test basato sul richiamo mnemonico.

Perché è importante

Il livello AAA è raramente un obiettivo di conformità, ma per i servizi ad alto impatto — bancari, portali sanitari, sistemi di identità governativi — soddisfare il criterio 3.3.9 è sempre più la scelta di prodotto corretta. Le passkey sono oggi ampiamente supportate su iOS, Android, Windows e macOS, e soddisfano il criterio per le categorie di utenti che ne avevano maggiore necessità. Il percorso dal criterio 3.3.8 al 3.3.9 è di solito un unico investimento di prodotto: aggiungere il supporto alle passkey come metodo di autenticazione principale.