·  ·  · 

Interruzione dell’accesso a X: il passaggio della chiave di sicurezza a X.com blocca gli utenti mentre Twitter.com muore definitivamente (13 novembre 2025)

Novembre 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Milioni di utenti di X (precedentemente Twitter) che hanno fatto “tutto nel modo giusto” per la sicurezza dell’account hanno passato le ultime 24 ore bloccati fuori, intrappolati in infiniti loop di autenticazione a due fattori e accolti da un messaggio confuso:

“Devi registrare nuovamente la tua YubiKey.”

Il problema è direttamente collegato al lungo tentativo di Elon Musk di cancellare le ultime tracce di twitter.com e spostare completamente gli accessi su x.com — una transizione di brand e dominio che i critici già consideravano uno dei rebranding più caotici della tecnologia. [1]

Ecco cosa è successo, cosa c’è di nuovo oggi (13 novembre 2025) e cosa puoi fare se il tuo account X è attualmente bloccato nell’inferno dell’autenticazione.

Cosa è successo: il cambio delle chiavi di sicurezza di X va storto

Dal 24 al 27 ottobre, X ha avvisato silenziosamente gli utenti che, se utilizzavano una chiave di sicurezza hardware (come una YubiKey) o una passkey per l’autenticazione a due fattori (2FA), dovevano registrarla nuovamente per il nuovo dominio x.com entro il 10 novembre 2025, altrimenti rischiavano di essere bloccati fuori. [2]

Il team Safety di X ha sottolineato all’epoca che:

  • Il cambiamento era “non legato a nessun incidente di sicurezza,”
  • Solo riguardava chiavi di sicurezza e passkey,
  • Ed era necessario perché quelle chiavi sono crittograficamente legate a twitter.com, che X vuole dismettere. [3]

Testate di sicurezza come BleepingComputer e The Register hanno spiegato che, una volta che twitter.com sarà eliminato, le chiavi associate a quel dominio semplicemente non funzioneranno più — quindi devono essere registrate nuovamente su x.com. [4]

Questo era il piano.

La realtà è arrivata questa settimana.

12–13 novembre: errore YubiKey e loop di accesso infiniti

A partire dalla tarda serata del 12 novembre (ora USA) e nelle prime ore del 13 novembre 2025, gli utenti X hanno iniziato a segnalare che non potevano più accedere da web o mobile:

  • Dopo aver inserito la password, veniva detto loro che “devono registrare nuovamente [la loro] YubiKey” per associarla a x.com. [5]
  • Quando hanno provato a seguire le istruzioni, il flusso semplicemente… si ripeteva in loop.
  • Alcuni non hanno mai posseduto una YubiKey, ma sono stati comunque costretti alla stessa schermata “ri‑registrare la tua YubiKey”. [6]

Android Central, Windows Central e TechCrunch hanno tutti documentato lo stesso schema: un problema globale di accesso per gli account collegati a chiavi di sicurezza o passkey, spesso con conseguente blocco nella verifica o addirittura esclusione totale anche quando gli utenti seguivano correttamente le istruzioni. [7]

La testata specializzata in sicurezza The Tech Buzz lo ha descritto senza mezzi termini come una “migrazione delle chiavi di sicurezza” andata male che ha trasformato la manutenzione del dominio in un “inferno di autenticazione” per gli utenti più attenti alla sicurezza della piattaforma. [8]

Aggiornamento di oggi (13 novembre 2025): Recupero parziale, caos persistente

Nuovi report e post degli utenti oggi suggeriscono che il peggio del blackout si stia attenuando — ma non tutti sono ancora riusciti ad accedere.

Redazioni: Problema confermato, X ancora per lo più silenziosa

  • NewsBytes riporta che X sta “affrontando un grave problema dopo un cambio obbligatorio dell’autenticazione a due fattori”, lasciando gli utenti “intrappolati in loop infiniti o completamente bloccati”, e sottolinea che X non ha commentato pubblicamente il malfunzionamento. [9]
  • Storyboard18 descrive anch’esso un “aggiornamento di sicurezza mal gestito” che ha bloccato gli utenti o li ha intrappolati in loop di accesso — sottolineando ancora che X non ha fornito spiegazioni ufficiali mentre Elon Musk continua a postare normalmente dal suo account. [10]
  • Tech Buzz ha aggiornato la sua storia questa mattina per riflettere i continui fallimenti di autenticazione e la persistente assenza di una dichiarazione ufficiale da parte di X. [11]

TechCrunch osserva che X “non ha risposto a una richiesta di commento,” anche se la sua stessa copertura sull’accesso descriveva loop infiniti e blocchi diffusi dopo la scadenza del 10 novembre. [12]

Segnalazioni degli utenti: rollback in corso, ma non universale

Il live blog di Windows Central, citando fonti interne, ha riportato il 12 novembre che gli ingegneri di X stavano annullando le modifiche recenti, e nel primo pomeriggio l’autore è riuscito a effettuare nuovamente l’accesso mentre le segnalazioni di disservizi su DownDetector hanno iniziato a diminuire. [13]

Nelle community r/Yubikey e r/Twitter di Reddit, gli utenti descrivono: [14]

  • Problemi globali con il flusso di accesso YubiKey/passkey di X.
  • Messaggi confusi che invitano a “registrare nuovamente la tua YubiKey” anche per chi usava solo passkey o app di autenticazione.
  • Una serie di commenti questa mattina come “Sono di nuovo dentro” e “Risolto per entrambi i miei account”insieme a altri che dicono di essere ancora bloccati fuori.

Un commento molto condiviso su Reddit fa riferimento a un post di un ingegnere X verificato che afferma che “il problema di accesso con la chiave di sicurezza dovrebbe essere risolto a breve”, ma la correzione si sta chiaramente diffondendo in modo irregolare: alcuni account funzionano di nuovo, altri sono ancora bloccati nel loop. [15]

In sintesi per il 13 novembre:

  • La situazione sta migliorando ma non è ancora del tutto risolta.
  • Non c’è ancora nessuna analisi dettagliata e pubblica da parte di X.

Chi è interessato — e chi no?

In base alle segnalazioni di oggi e ai post degli utenti: [16]

I più colpiti:

  • Account che hanno mai configurato:
    • Una chiave di sicurezza hardware (YubiKey o simili), oppure
    • Una passkey (autenticatore di piattaforma tramite Face ID, Touch ID, Windows Hello, ecc.)
  • In particolare gli utenti le cui chiavi sono state registrate quando il servizio usava ancora twitter.com per l’accesso.

Per lo più non colpiti (finora):

  • Account che usano autenticatori basati su app (app TOTP),
  • Account che usano codici SMS o email per la 2FA,
  • Account senza 2FA (anche se è fortemente sconsigliato per la sicurezza).

Ironia della sorte, le persone che avevano investito nelle protezioni più forti — token hardware e passkey — sono state quelle più penalizzate da questa migrazione mal gestita. Diverse segnalazioni di utenti suggeriscono anche che alcuni utenti senza chiave siano stati coinvolti nell’errore a causa di un flusso di login difettoso che non rilevava correttamente la loro configurazione. [17]

Perché il passaggio da twitter.com a x.com ha rotto l’accesso

Per capire l’interruzione, bisogna capire come funzionano le security key e le passkey.

A differenza delle password, le security key WebAuthn/FIDO2 e le passkey sono legate a un dominio specifico. Quando hai registrato per la prima volta una chiave per twitter.com, si è bloccata crittograficamente proprio su quell’origine. [18]

Quindi, quando X ha deciso di eliminare definitivamente il vecchio dominio e spostare completamente gli accessi su x.com:

  1. Le chiavi registrate su twitter.com hanno smesso di corrispondere al nuovo dominio.
  2. X ha quindi richiesto agli utenti di annullare e ri-registrare le chiavi per x.com.
  3. Il flusso di ri-registrazione stesso sembra essere stato difettoso, causando:
    • Loop infiniti che riportano alla schermata “ri-registra la tua YubiKey”,
    • Richieste di login per YubiKey su account che usavano solo passkey o app,
    • Utenti impossibilitati a raggiungere la pagina delle impostazioni dove effettuare la modifica. [19]

X Safety aveva precedentemente rassicurato gli utenti che si trattava di una semplice manutenzione e “non legata a problemi di sicurezza,” ma l’esecuzione ha chiaramente deluso le aspettative di affidabilità di base: le migrazioni di sicurezza dovrebbero rendere le persone più sicure, non disconnetterle in massa. [20]

Si tratta di un attacco o di una violazione dei dati?

Non ci sono prove finora che questo incidente sia un attacco, una violazione o un attacco informatico esterno.

  • Le stesse precisazioni di X di ottobre hanno descritto il reset delle chiavi come una migrazione di dominio, non una risposta a un incidente. [21]
    • L’attuale copertura di NewsBytes, Storyboard18, TechBuzz, TechCrunch e altri collega tutti l’interruzione a una implementazione fallita della prevista migrazione delle chiavi di sicurezza, e non a una compromissione dei sistemi di X. [22]

Detto ciò, X non ha ancora condiviso una spiegazione tecnica dettagliata, quindi gli osservatori esterni stanno ancora cercando di ricostruire la causa principale dal comportamento e da commenti interni trapelati.

Cosa fare se sei bloccato fuori dal tuo account X

Se sei attualmente bloccato nel loop YubiKey/passkey, ecco i passaggi pratici tratti dalle precedenti indicazioni di X e dai consigli degli esperti di sicurezza. [23]

1. Prova da un dispositivo su cui sei già connesso

Se hai ancora una sessione X attiva su:

  • Un telefono,
  • Un tablet, oppure
  • Un altro profilo browser,

usa quella sessione attiva per:

  1. Vai su Impostazioni → Sicurezza e accesso all’account → Sicurezza → Autenticazione a due fattori.
  2. Temporaneamente disabilita la vecchia voce della chiave di sicurezza/passkey che fa riferimento a twitter.com.
  3. Aggiungi un metodo di 2FA di backup (app di autenticazione o un’altra chiave hardware) se non ne hai già uno.
  4. Reimposta la tua YubiKey/passkey per x.com solo quando i problemi di migrazione saranno chiaramente risolti.

2. Controlla altre opzioni di 2FA

Alcuni utenti segnalano di poter ancora accedere tramite: [24]

  • Un’app di autenticazione che avevano già configurato,
  • Codici SMS o email,
  • Una chiave hardware di backup.

Se puoi autenticarti con uno di questi metodi, vai subito nelle impostazioni e verifica:

  • Quali chiavi di sicurezza sono elencate,
  • Se la tua chiave è ora associata a x.com,
  • E che hai almeno un metodo di backup funzionante.

3. Usa il modulo di recupero account di X

Se nessun metodo di accesso funziona e sei completamente bloccato fuori, l’unica via ufficiale è contattare il supporto X tramite il modulo “riacquisisci l’accesso al tuo account”, a cui diversi utenti su Reddit dicono di aver fatto ricorso. [25]

Questo processo può essere lento e non c’è garanzia di successo, ma è l’unica via di recupero legittima che X offre se la 2FA non funziona.

4. Evita di disattivare completamente la 2FA (se puoi evitarlo)

Gli stessi avvisi di X prima della scadenza dicevano che dopo il 10 novembre potevi: [26]

  • Re‑iscrivere la tua chiave o passkey,
  • Passare a un altro metodo 2FA, oppure
  • Disattivare del tutto la 2FA (cosa che loro stessi “sconsigliano fortemente”).

A meno che tu non debba assolutamente rientrare subito e non abbia altre opzioni, cerca di non disattivare permanentemente la 2FA. Farlo espone il tuo account a phishing, riutilizzo della password e attacchi SIM‑swap — proprio le minacce che le chiavi di sicurezza dovrebbero prevenire.

Se indebolisci temporaneamente la tua sicurezza per riottenere l’accesso, pianifica di:

  1. Aggiungere subito un’app autenticatore o una chiave di backup, e
  2. Riattivare una 2FA forte non appena i sistemi di accesso di X saranno stabili.

5. Fai attenzione a email di phishing e “supporto” falso

Incidenti come questo sono una calamita per i truffatori. Fai attenzione a:

  • Email che si spacciano per “X Security” e ti chiedono di “sistemare” la tua chiave,
  • Messaggi diretti che offrono di ripristinare il tuo account a pagamento,
  • Link che sembrano x.com ma non lo sono (caratteri extra, sottodomini strani, ecc.).

Se devi cliccare qualcosa, digita tu stesso x.com nel browser e naviga tramite l’interfaccia ufficiale invece di fidarti dei link nei messaggi.

Un ultimo inciampo per il lungo e caotico rebranding di X

Da un punto di vista del branding, questo blackout è simbolicamente brutale.

  • Il sito di design Creative Bloq ha recentemente definito il restyling di Musk su X “uno dei rebranding più disordinati del decennio”, sottolineando che le persone si riferiscono ancora istintivamente alla piattaforma come “X, precedentemente conosciuto come Twitter” a più di due anni di distanza. [27]
  • Quell’articolo ha evidenziato che uno degli ultimi resti tecnici di Twitter — l’URL twitter.com — è stato finalmente ritirato, con i login che ora reindirizzano completamente a x.com.

Ora, proprio l’atto di seppellire twitter.com ha riportato il vecchio marchio sui titoli dei giornali, mentre gli utenti si lamentano che “Twitter ha sbagliato di nuovo” cercando di sistemare le ultime tracce di… Twitter. [28]

Per i critici, questo episodio si inserisce in un modello che hanno evidenziato fin dall’acquisizione di Musk: cambiamenti aggressivi e dall’alto verso il basso implementati ad alta velocità, con team di ingegneri ridotti e apparentemente poche reti di sicurezza. Numerosi media oggi inquadrano esplicitamente il disservizio come l’ultimo di una serie di inciampi operativi dal takeover da 44 miliardi di dollari. [29]

Questo significa che passkey e chiavi di sicurezza sono una cattiva idea?

Risposta breve: no — ma è un avvertimento su come implementarle.

I report di BleepingComputer, The Verge e The Register sottolineano tutti che le chiavi hardware e le passkey restano alcune delle forme di autenticazione più sicure disponibili oggi. Riducono drasticamente il rischio di phishing perché rispondono solo sul dominio esatto su cui sono state registrate. [30]

Il problema qui non era la tecnologia di base. Era:

  • Pianificazione della migrazione gestita male (obbligando la ri-registrazione contro una scadenza rigida),
  • Un flusso di ri-registrazione difettoso senza un’alternativa affidabile,
  • Comunicazione debole durante il disservizio, lasciando agli utenti il compito di risolvere i problemi di sicurezza in pubblico. [31]

Per le altre piattaforme che stanno osservando questa situazione, la lezione è chiara:

Se devi spostare milioni di utenti su un nuovo dominio con credenziali legate all’hardware, servono test a prova di errore, rollout graduale e percorsi di recupero robusti.

FAQ: Interruzione della chiave di sicurezza X, 13 novembre 2025

Cosa ha causato l’interruzione dell’accesso a X?
Una migrazione forzata delle chiavi di sicurezza e delle passkey dal dominio twitter.com a x.com, combinata con un flusso di nuova registrazione non funzionante che ha intrappolato gli utenti in loop YubiKey/passkey e bloccato l’accesso alle impostazioni dell’account. [32]

Chi è stato colpito maggiormente?
Gli utenti che avevano configurato chiavi di sicurezza hardware o passkey per la 2FA, soprattutto quelli le cui chiavi erano state originariamente registrate quando l’accesso avveniva ancora tramite twitter.com. Molti di loro sono stati temporaneamente o sono ancora completamente bloccati fuori. [33]

Il problema è stato risolto ora (13 novembre 2025)?
Segnalazioni da Windows Central e Reddit mostrano che molti utenti possono di nuovo accedere dopo che X apparentemente ha annullato parte della modifica, ma altri restano bloccati e X non ha pubblicato un’analisi dettagliata dell’accaduto. [34]

X è stata hackerata?
Non ci sono prove pubbliche di un attacco o di una violazione dei dati. X e i report indipendenti di sicurezza attribuiscono l’incidente a una migrazione interna delle chiavi di sicurezza mal gestita, non a un attacco esterno. [35]

Devo disattivare la 2FA sul mio account X?
Solo come ultima risorsa. Disattivare la 2FA rende il tuo account molto più facile da compromettere. Se devi indebolire la sicurezza per recuperare l’accesso, aggiungi un’app di autenticazione o una chiave di backup e riattiva la 2FA forte non appena i sistemi di X si saranno stabilizzati. [36]

Al 13 novembre, la crisi si sta lentamente risolvendo, ma il danno alla fiducia degli utenti — e al già controverso rebranding di X — potrebbe durare molto più a lungo dell’interruzione stessa.

How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
Guarda questo video su YouTube.

References

1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.reddit.com, 26. www.bleepingcomputer.com, 27. www.creativebloq.com, 28. www.creativebloq.com, 29. www.techbuzz.ai, 30. www.bleepingcomputer.com, 31. www.techbuzz.ai, 32. www.newsbytesapp.com, 33. www.techbuzz.ai, 34. www.windowscentral.com, 35. www.theregister.com, 36. www.bleepingcomputer.com

Mateusz Brzeziński

Technology News

  • ULA to Retry ViaSat-3 Mission Launch After Valve Replacement
    November 14, 2025, 10:42 AM EST. ULA will again attempt to launch the Atlas V carrying the ViaSat-3 Flight 2 satellite from Cape Canaveral after replacing a faulty liquid oxygen tank vent valve that scrubbed two previous tries. The window opens at 10:04 p.m. ET and closes at 10:48 p.m. ET, giving about 44 minutes for liftoff. Weather is expected to be favorable with ~95% compliance. The ViaSat-3 satellite will reach a geostationary orbit at 79°W, then undergo in-orbit testing before service. The mission aims to provide global connectivity, including free Wi-Fi for commercial aircraft, home internet, and government/defense communications, covering the Americas. The Atlas V 551's first stage will not land on a droneship; it will splash down in the Atlantic.
  • AI-generated songs top Spotify and Billboard charts as synthetic music floods streaming platforms
    November 14, 2025, 10:40 AM EST. Three AI-generated tracks surged onto Spotify and Billboard, underscoring a surge of synthetic music. Walk My Walk and Livin' on Borrowed Time by Breaking Rust led Spotify's Viral 50 in the US, while a Dutch track, We Say No, No, No to an Asylum Center, topped Spotify's global viral chart. The ascent follows a wave of AI-made music saturating platforms; a Deezer study estimates about 50,000 AI-generated songs uploaded daily (roughly 34% of submissions). The tracks' quick rise has sparked discussion about rights, takedowns, and provenance, as some songs disappeared after owners or platforms acted. Experts note AI music has improved in quality and reach, raising questions about compensation and attribution as this hyperscale phenomenon expands.
  • Is Your Internet Speed Delivering on What You Pay For? How to Check
    November 14, 2025, 10:38 AM EST. Wondering if your internet lives up to your bill? A simple speed test can confirm your download and upload speeds, plus latency and often jitter. Across sites, the core metrics are the same: download speed, upload speed and ping. Providers advertise the downstream speed, but what matters for streaming, gaming and video calls is the actual performance under real use. Tools like Ookla's test are commonly cited by outlets like CNET. If results lag, consider hardware, connection type, or plan adjustments. A recent report shows many Americans cut speeds after bill hikes, underscoring the value of testing before changes. Run multiple tests and compare to your plan's promised speeds to decide next steps.
  • US stock market slips as Nvidia and AI stocks weaken
    November 14, 2025, 10:32 AM EST. US stocks edged lower as Nvidia and other AI heavyweights weakened, weighing on a broad market that had rallied recently. Investors cited profit-taking after a long tech run and concerns about AI profitability, demand for compute, and lofty valuations. The S&P 500 and Nasdaq fell, with semiconductors leading declines on fears that near-term earnings may disappoint. Analysts say durability of AI spending and clearer earnings guidance are needed to sustain momentum. The session also underscored ongoing policy and regulatory noise around AI, adding to market nerves. A rebound may depend on clearer outcomes from big AI names and evidence that demand remains robust for next-generation hardware and software.
  • Apple-Tencent Deal: Apple to Process WeChat Payments with 15% Commission in China
    November 14, 2025, 10:28 AM EST. Apple has reached a deal with Tencent to process in-app payments inside WeChat mini apps and mini games on the iPhone, earning a 15% commission on purchases. This creates a new China revenue stream after a year of negotiations. In China, most iPhone users access services through WeChat rather than separate App Store apps, so Apple gains a foothold in a vast ecosystem previously outside the App Store model. Bloomberg estimates the size of the WeChat ecosystem could make this deal worth billions, despite the lower 15% rate compared to Apple's standard 30%.