·  ·  · 

Interruzione dell’accesso a X: il passaggio della chiave di sicurezza a X.com blocca gli utenti mentre Twitter.com muore definitivamente (13 novembre 2025)

Novembre 14, 2025
by
X Login Outage: Security Key Switch to X.com Locks Out Users as Twitter.com Finally Dies (November 13, 2025)

Milioni di utenti di X (precedentemente Twitter) che hanno fatto “tutto nel modo giusto” per la sicurezza dell’account hanno passato le ultime 24 ore bloccati fuori, intrappolati in infiniti loop di autenticazione a due fattori e accolti da un messaggio confuso:

“Devi registrare nuovamente la tua YubiKey.”

Il problema è direttamente collegato al lungo tentativo di Elon Musk di cancellare le ultime tracce di twitter.com e spostare completamente gli accessi su x.com — una transizione di brand e dominio che i critici già consideravano uno dei rebranding più caotici della tecnologia. [1]

Ecco cosa è successo, cosa c’è di nuovo oggi (13 novembre 2025) e cosa puoi fare se il tuo account X è attualmente bloccato nell’inferno dell’autenticazione.

Cosa è successo: il cambio delle chiavi di sicurezza di X va storto

Dal 24 al 27 ottobre, X ha avvisato silenziosamente gli utenti che, se utilizzavano una chiave di sicurezza hardware (come una YubiKey) o una passkey per l’autenticazione a due fattori (2FA), dovevano registrarla nuovamente per il nuovo dominio x.com entro il 10 novembre 2025, altrimenti rischiavano di essere bloccati fuori. [2]

Il team Safety di X ha sottolineato all’epoca che:

  • Il cambiamento era “non legato a nessun incidente di sicurezza,”
  • Solo riguardava chiavi di sicurezza e passkey,
  • Ed era necessario perché quelle chiavi sono crittograficamente legate a twitter.com, che X vuole dismettere. [3]

Testate di sicurezza come BleepingComputer e The Register hanno spiegato che, una volta che twitter.com sarà eliminato, le chiavi associate a quel dominio semplicemente non funzioneranno più — quindi devono essere registrate nuovamente su x.com. [4]

Questo era il piano.

La realtà è arrivata questa settimana.

12–13 novembre: errore YubiKey e loop di accesso infiniti

A partire dalla tarda serata del 12 novembre (ora USA) e nelle prime ore del 13 novembre 2025, gli utenti X hanno iniziato a segnalare che non potevano più accedere da web o mobile:

  • Dopo aver inserito la password, veniva detto loro che “devono registrare nuovamente [la loro] YubiKey” per associarla a x.com. [5]
  • Quando hanno provato a seguire le istruzioni, il flusso semplicemente… si ripeteva in loop.
  • Alcuni non hanno mai posseduto una YubiKey, ma sono stati comunque costretti alla stessa schermata “ri‑registrare la tua YubiKey”. [6]

Android Central, Windows Central e TechCrunch hanno tutti documentato lo stesso schema: un problema globale di accesso per gli account collegati a chiavi di sicurezza o passkey, spesso con conseguente blocco nella verifica o addirittura esclusione totale anche quando gli utenti seguivano correttamente le istruzioni. [7]

La testata specializzata in sicurezza The Tech Buzz lo ha descritto senza mezzi termini come una “migrazione delle chiavi di sicurezza” andata male che ha trasformato la manutenzione del dominio in un “inferno di autenticazione” per gli utenti più attenti alla sicurezza della piattaforma. [8]

Aggiornamento di oggi (13 novembre 2025): Recupero parziale, caos persistente

Nuovi report e post degli utenti oggi suggeriscono che il peggio del blackout si stia attenuando — ma non tutti sono ancora riusciti ad accedere.

Redazioni: Problema confermato, X ancora per lo più silenziosa

  • NewsBytes riporta che X sta “affrontando un grave problema dopo un cambio obbligatorio dell’autenticazione a due fattori”, lasciando gli utenti “intrappolati in loop infiniti o completamente bloccati”, e sottolinea che X non ha commentato pubblicamente il malfunzionamento. [9]
  • Storyboard18 descrive anch’esso un “aggiornamento di sicurezza mal gestito” che ha bloccato gli utenti o li ha intrappolati in loop di accesso — sottolineando ancora che X non ha fornito spiegazioni ufficiali mentre Elon Musk continua a postare normalmente dal suo account. [10]
  • Tech Buzz ha aggiornato la sua storia questa mattina per riflettere i continui fallimenti di autenticazione e la persistente assenza di una dichiarazione ufficiale da parte di X. [11]

TechCrunch osserva che X “non ha risposto a una richiesta di commento,” anche se la sua stessa copertura sull’accesso descriveva loop infiniti e blocchi diffusi dopo la scadenza del 10 novembre. [12]

Segnalazioni degli utenti: rollback in corso, ma non universale

Il live blog di Windows Central, citando fonti interne, ha riportato il 12 novembre che gli ingegneri di X stavano annullando le modifiche recenti, e nel primo pomeriggio l’autore è riuscito a effettuare nuovamente l’accesso mentre le segnalazioni di disservizi su DownDetector hanno iniziato a diminuire. [13]

Nelle community r/Yubikey e r/Twitter di Reddit, gli utenti descrivono: [14]

  • Problemi globali con il flusso di accesso YubiKey/passkey di X.
  • Messaggi confusi che invitano a “registrare nuovamente la tua YubiKey” anche per chi usava solo passkey o app di autenticazione.
  • Una serie di commenti questa mattina come “Sono di nuovo dentro” e “Risolto per entrambi i miei account”insieme a altri che dicono di essere ancora bloccati fuori.

Un commento molto condiviso su Reddit fa riferimento a un post di un ingegnere X verificato che afferma che “il problema di accesso con la chiave di sicurezza dovrebbe essere risolto a breve”, ma la correzione si sta chiaramente diffondendo in modo irregolare: alcuni account funzionano di nuovo, altri sono ancora bloccati nel loop. [15]

In sintesi per il 13 novembre:

  • La situazione sta migliorando ma non è ancora del tutto risolta.
  • Non c’è ancora nessuna analisi dettagliata e pubblica da parte di X.

Chi è interessato — e chi no?

In base alle segnalazioni di oggi e ai post degli utenti: [16]

I più colpiti:

  • Account che hanno mai configurato:
    • Una chiave di sicurezza hardware (YubiKey o simili), oppure
    • Una passkey (autenticatore di piattaforma tramite Face ID, Touch ID, Windows Hello, ecc.)
  • In particolare gli utenti le cui chiavi sono state registrate quando il servizio usava ancora twitter.com per l’accesso.

Per lo più non colpiti (finora):

  • Account che usano autenticatori basati su app (app TOTP),
  • Account che usano codici SMS o email per la 2FA,
  • Account senza 2FA (anche se è fortemente sconsigliato per la sicurezza).

Ironia della sorte, le persone che avevano investito nelle protezioni più forti — token hardware e passkey — sono state quelle più penalizzate da questa migrazione mal gestita. Diverse segnalazioni di utenti suggeriscono anche che alcuni utenti senza chiave siano stati coinvolti nell’errore a causa di un flusso di login difettoso che non rilevava correttamente la loro configurazione. [17]

Perché il passaggio da twitter.com a x.com ha rotto l’accesso

Per capire l’interruzione, bisogna capire come funzionano le security key e le passkey.

A differenza delle password, le security key WebAuthn/FIDO2 e le passkey sono legate a un dominio specifico. Quando hai registrato per la prima volta una chiave per twitter.com, si è bloccata crittograficamente proprio su quell’origine. [18]

Quindi, quando X ha deciso di eliminare definitivamente il vecchio dominio e spostare completamente gli accessi su x.com:

  1. Le chiavi registrate su twitter.com hanno smesso di corrispondere al nuovo dominio.
  2. X ha quindi richiesto agli utenti di annullare e ri-registrare le chiavi per x.com.
  3. Il flusso di ri-registrazione stesso sembra essere stato difettoso, causando:
    • Loop infiniti che riportano alla schermata “ri-registra la tua YubiKey”,
    • Richieste di login per YubiKey su account che usavano solo passkey o app,
    • Utenti impossibilitati a raggiungere la pagina delle impostazioni dove effettuare la modifica. [19]

X Safety aveva precedentemente rassicurato gli utenti che si trattava di una semplice manutenzione e “non legata a problemi di sicurezza,” ma l’esecuzione ha chiaramente deluso le aspettative di affidabilità di base: le migrazioni di sicurezza dovrebbero rendere le persone più sicure, non disconnetterle in massa. [20]

Si tratta di un attacco o di una violazione dei dati?

Non ci sono prove finora che questo incidente sia un attacco, una violazione o un attacco informatico esterno.

  • Le stesse precisazioni di X di ottobre hanno descritto il reset delle chiavi come una migrazione di dominio, non una risposta a un incidente. [21]
    • L’attuale copertura di NewsBytes, Storyboard18, TechBuzz, TechCrunch e altri collega tutti l’interruzione a una implementazione fallita della prevista migrazione delle chiavi di sicurezza, e non a una compromissione dei sistemi di X. [22]

Detto ciò, X non ha ancora condiviso una spiegazione tecnica dettagliata, quindi gli osservatori esterni stanno ancora cercando di ricostruire la causa principale dal comportamento e da commenti interni trapelati.

Cosa fare se sei bloccato fuori dal tuo account X

Se sei attualmente bloccato nel loop YubiKey/passkey, ecco i passaggi pratici tratti dalle precedenti indicazioni di X e dai consigli degli esperti di sicurezza. [23]

1. Prova da un dispositivo su cui sei già connesso

Se hai ancora una sessione X attiva su:

  • Un telefono,
  • Un tablet, oppure
  • Un altro profilo browser,

usa quella sessione attiva per:

  1. Vai su Impostazioni → Sicurezza e accesso all’account → Sicurezza → Autenticazione a due fattori.
  2. Temporaneamente disabilita la vecchia voce della chiave di sicurezza/passkey che fa riferimento a twitter.com.
  3. Aggiungi un metodo di 2FA di backup (app di autenticazione o un’altra chiave hardware) se non ne hai già uno.
  4. Reimposta la tua YubiKey/passkey per x.com solo quando i problemi di migrazione saranno chiaramente risolti.

2. Controlla altre opzioni di 2FA

Alcuni utenti segnalano di poter ancora accedere tramite: [24]

  • Un’app di autenticazione che avevano già configurato,
  • Codici SMS o email,
  • Una chiave hardware di backup.

Se puoi autenticarti con uno di questi metodi, vai subito nelle impostazioni e verifica:

  • Quali chiavi di sicurezza sono elencate,
  • Se la tua chiave è ora associata a x.com,
  • E che hai almeno un metodo di backup funzionante.

3. Usa il modulo di recupero account di X

Se nessun metodo di accesso funziona e sei completamente bloccato fuori, l’unica via ufficiale è contattare il supporto X tramite il modulo “riacquisisci l’accesso al tuo account”, a cui diversi utenti su Reddit dicono di aver fatto ricorso. [25]

Questo processo può essere lento e non c’è garanzia di successo, ma è l’unica via di recupero legittima che X offre se la 2FA non funziona.

4. Evita di disattivare completamente la 2FA (se puoi evitarlo)

Gli stessi avvisi di X prima della scadenza dicevano che dopo il 10 novembre potevi: [26]

  • Re‑iscrivere la tua chiave o passkey,
  • Passare a un altro metodo 2FA, oppure
  • Disattivare del tutto la 2FA (cosa che loro stessi “sconsigliano fortemente”).

A meno che tu non debba assolutamente rientrare subito e non abbia altre opzioni, cerca di non disattivare permanentemente la 2FA. Farlo espone il tuo account a phishing, riutilizzo della password e attacchi SIM‑swap — proprio le minacce che le chiavi di sicurezza dovrebbero prevenire.

Se indebolisci temporaneamente la tua sicurezza per riottenere l’accesso, pianifica di:

  1. Aggiungere subito un’app autenticatore o una chiave di backup, e
  2. Riattivare una 2FA forte non appena i sistemi di accesso di X saranno stabili.

5. Fai attenzione a email di phishing e “supporto” falso

Incidenti come questo sono una calamita per i truffatori. Fai attenzione a:

  • Email che si spacciano per “X Security” e ti chiedono di “sistemare” la tua chiave,
  • Messaggi diretti che offrono di ripristinare il tuo account a pagamento,
  • Link che sembrano x.com ma non lo sono (caratteri extra, sottodomini strani, ecc.).

Se devi cliccare qualcosa, digita tu stesso x.com nel browser e naviga tramite l’interfaccia ufficiale invece di fidarti dei link nei messaggi.

Un ultimo inciampo per il lungo e caotico rebranding di X

Da un punto di vista del branding, questo blackout è simbolicamente brutale.

  • Il sito di design Creative Bloq ha recentemente definito il restyling di Musk su X “uno dei rebranding più disordinati del decennio”, sottolineando che le persone si riferiscono ancora istintivamente alla piattaforma come “X, precedentemente conosciuto come Twitter” a più di due anni di distanza. [27]
  • Quell’articolo ha evidenziato che uno degli ultimi resti tecnici di Twitter — l’URL twitter.com — è stato finalmente ritirato, con i login che ora reindirizzano completamente a x.com.

Ora, proprio l’atto di seppellire twitter.com ha riportato il vecchio marchio sui titoli dei giornali, mentre gli utenti si lamentano che “Twitter ha sbagliato di nuovo” cercando di sistemare le ultime tracce di… Twitter. [28]

Per i critici, questo episodio si inserisce in un modello che hanno evidenziato fin dall’acquisizione di Musk: cambiamenti aggressivi e dall’alto verso il basso implementati ad alta velocità, con team di ingegneri ridotti e apparentemente poche reti di sicurezza. Numerosi media oggi inquadrano esplicitamente il disservizio come l’ultimo di una serie di inciampi operativi dal takeover da 44 miliardi di dollari. [29]

Questo significa che passkey e chiavi di sicurezza sono una cattiva idea?

Risposta breve: no — ma è un avvertimento su come implementarle.

I report di BleepingComputer, The Verge e The Register sottolineano tutti che le chiavi hardware e le passkey restano alcune delle forme di autenticazione più sicure disponibili oggi. Riducono drasticamente il rischio di phishing perché rispondono solo sul dominio esatto su cui sono state registrate. [30]

Il problema qui non era la tecnologia di base. Era:

  • Pianificazione della migrazione gestita male (obbligando la ri-registrazione contro una scadenza rigida),
  • Un flusso di ri-registrazione difettoso senza un’alternativa affidabile,
  • Comunicazione debole durante il disservizio, lasciando agli utenti il compito di risolvere i problemi di sicurezza in pubblico. [31]

Per le altre piattaforme che stanno osservando questa situazione, la lezione è chiara:

Se devi spostare milioni di utenti su un nuovo dominio con credenziali legate all’hardware, servono test a prova di errore, rollout graduale e percorsi di recupero robusti.

FAQ: Interruzione della chiave di sicurezza X, 13 novembre 2025

Cosa ha causato l’interruzione dell’accesso a X?
Una migrazione forzata delle chiavi di sicurezza e delle passkey dal dominio twitter.com a x.com, combinata con un flusso di nuova registrazione non funzionante che ha intrappolato gli utenti in loop YubiKey/passkey e bloccato l’accesso alle impostazioni dell’account. [32]

Chi è stato colpito maggiormente?
Gli utenti che avevano configurato chiavi di sicurezza hardware o passkey per la 2FA, soprattutto quelli le cui chiavi erano state originariamente registrate quando l’accesso avveniva ancora tramite twitter.com. Molti di loro sono stati temporaneamente o sono ancora completamente bloccati fuori. [33]

Il problema è stato risolto ora (13 novembre 2025)?
Segnalazioni da Windows Central e Reddit mostrano che molti utenti possono di nuovo accedere dopo che X apparentemente ha annullato parte della modifica, ma altri restano bloccati e X non ha pubblicato un’analisi dettagliata dell’accaduto. [34]

X è stata hackerata?
Non ci sono prove pubbliche di un attacco o di una violazione dei dati. X e i report indipendenti di sicurezza attribuiscono l’incidente a una migrazione interna delle chiavi di sicurezza mal gestita, non a un attacco esterno. [35]

Devo disattivare la 2FA sul mio account X?
Solo come ultima risorsa. Disattivare la 2FA rende il tuo account molto più facile da compromettere. Se devi indebolire la sicurezza per recuperare l’accesso, aggiungi un’app di autenticazione o una chiave di backup e riattiva la 2FA forte non appena i sistemi di X si saranno stabilizzati. [36]

Al 13 novembre, la crisi si sta lentamente risolvendo, ma il danno alla fiducia degli utenti — e al già controverso rebranding di X — potrebbe durare molto più a lungo dell’interruzione stessa.

How to fix Xbox not signing in to your account (check service status in Xbox assist) 0X87DD0033
Guarda questo video su YouTube.

References

1. www.creativebloq.com, 2. www.theverge.com, 3. www.theverge.com, 4. www.bleepingcomputer.com, 5. www.androidcentral.com, 6. www.reddit.com, 7. www.androidcentral.com, 8. www.techbuzz.ai, 9. www.newsbytesapp.com, 10. www.storyboard18.com, 11. www.techbuzz.ai, 12. techcrunch.com, 13. www.windowscentral.com, 14. www.reddit.com, 15. www.reddit.com, 16. www.newsbytesapp.com, 17. www.androidcentral.com, 18. www.theverge.com, 19. www.techbuzz.ai, 20. www.theregister.com, 21. www.theregister.com, 22. www.newsbytesapp.com, 23. www.bleepingcomputer.com, 24. www.androidcentral.com, 25. www.reddit.com, 26. www.bleepingcomputer.com, 27. www.creativebloq.com, 28. www.creativebloq.com, 29. www.techbuzz.ai, 30. www.bleepingcomputer.com, 31. www.techbuzz.ai, 32. www.newsbytesapp.com, 33. www.techbuzz.ai, 34. www.windowscentral.com, 35. www.theregister.com, 36. www.bleepingcomputer.com

Mateusz Brzeziński

Technology News

  • Rejecting generative AI in healthcare won't protect patients - it could harm them
    November 14, 2025, 9:04 AM EST. Dr. Robert Pearl argues that rejecting generative AI in healthcare won't protect patients and could worsen outcomes. The piece cites about 400,000 deaths yearly from misdiagnoses and 250,000 from preventable errors, then posits genAI can offer timely, reliable guidance, flag early warning signs, and support mental health when clinicians aren't available. Rather than choosing between clinicians or AI, a both/and approach could yield safer, higher-quality, and more accessible care. GenAI could help patients with chronic diseases between visits and reduce avoidable heart attacks, strokes, and kidney failures. With safeguards and oversight, embracing genAI may improve safety, while rejecting it risks entrenching today's problems.
  • Princeton unveils longer-lasting superconducting qubit, accelerating practical quantum computing
    November 14, 2025, 8:58 AM EST. Princeton researchers have built a superconducting qubit that lasts over 1 millisecond, about three times longer than today's best and roughly 15 times the industry standard. The fully functioning quantum chip confirms the qubit's performance, addressing a major barrier to error correction and scalability. The design uses a transmon qubit compatible with existing processors from Google and IBM, and the team says swapping Princeton's components into Google's Willow could make it 1,000 times more effective. The advance boosts the coherence time essential for complex operations and marks the largest single gain in a decade. As Andrew Houck notes, this could accelerate progress toward a practical quantum computer-perhaps by the end of the decade.
  • AI Agents Move Into Ticket Buying, Redefining How Fans Grab Seats
    November 14, 2025, 8:56 AM EST. AI-powered marketplaces are reshaping how fans buy tickets, with AI agents like Google's AI Mode and operators from OpenAI-partnered SeatGeek, StubHub, Ticketmaster and Vivid Seats aiming to surface official inventories and curb scalping. Advertisers spend heavily to appear in related results, but AI Overviews and chat assistants are pulling users away from traditional search. Analysts expect millions of Americans to rely on generative AI as the first stop for purchases by 2029. While some strategies are above-board-better reviews, official inventories, and bot rules-risks remain, including potential pricing tricks visible to bots and the challenge of distinguishing genuine listings from automated access. Companies stress the need for trusted, fan-sourced data and responsible bot use to curb scalpers.
  • How small businesses can survive AI shopping: 7 essential steps
    November 14, 2025, 8:54 AM EST. AI-enabled shopping is reshaping consumer behavior and posing new challenges for small businesses. From review slop and fake reviews to the dominance of Amazon and its 46.8% U.S. market share, shoppers seek easier, more reliable paths-pushing the rise of agentic commerce and subscription e-commerce. The seven essential steps help SMBs stay competitive: leverage AI shopping assistants to streamline buying, narrow product discovery, and reduce choice overload; protect brand trust with review quality controls; diversify sales channels; embrace automation for replenishment (e.g., Subscribe & Save); optimize pricing and sponsorship to stand out from cluttered listings; monitor consumer signals like buy again tendencies; and partner with platforms and fintech for secure, seamless checkout. The goal is to combine convenience and credibility while controlling costs.
  • Apple Unveils iPhone Pocket by Issey Miyake: A $230 Fashion-Tech Accessory
    November 14, 2025, 8:52 AM EST. Apple has unveiled the iPhone Pocket, a fashion-tech accessory created with Issey Miyake using 3D knitting. Priced at Rs 20,379 ($229.95), this slim pouch is marketed as a "smart additional pocket" that can hold an iPhone plus cards or keys. A smaller wrist/handbag version is also available for about $149.95 (roughly Rs 12,500). Reactions online are mixed-some praise the design, others call it an overpriced gimmick. Influencer MKBHD even asked if fans will actually spend $230 on a pocket. Whether real product or parody, Apple has again sparked debate and visibility around its latest gadget entry.