/ sicurezza e regolamentazione / Perché devi autorizzare ogni pagamento due volte e come questo ha azzerato le frodi sulla tua carta?
Pubblicato il Marzo 11, 2024

Sei frustrato dal dover autorizzare ogni pagamento due volte? Questo passaggio, noto come Autenticazione Forte (SCA), non è un fastidio, ma uno scudo attivo sotto il tuo controllo. È stato introdotto per rendere quasi impossibili le frodi sulla tua carta, trasformando un piccolo gesto in un enorme guadagno di tranquillità. Questo articolo ti spiega come funziona, come gestirlo senza stress e perché è il tuo miglior alleato per la sicurezza finanziaria.

Sei davanti al computer, stai per fare un bonifico o un acquisto online. Inserisci i dati, clicchi “conferma” e puntualmente compare il messaggio: “Autorizza l’operazione dal tuo smartphone”. Sbuffi, cerchi il telefono, apri l’app, inserisci il PIN o usi l’impronta, e finalmente dai l’ok. Questa scena ti è familiare? Per molti, specialmente per chi non è cresciuto con uno smartphone in mano, questo passaggio in più sembra una perdita di tempo, una complicazione inutile imposta dalla banca.

La verità, però, è un’altra. Quella che percepisci come una “scomodità” è in realtà lo scudo protettivo più potente che sia mai stato creato per difendere i tuoi soldi. Questa procedura, chiamata tecnicamente Strong Customer Authentication (SCA), è figlia di una direttiva europea (la PSD2) nata con un solo scopo: mettere fine alle frodi online che, solo in Italia, hanno generato oltre 3.355 denunce e 160.000 segnalazioni in un solo anno. Il mondo dei pagamenti si è evoluto, e con esso le minacce. La semplice password non basta più.

Ma se la vera chiave non fosse subire passivamente questa regola, ma capirla per trasformarla in un’arma di potere personale? E se questo gesto non fosse un ostacolo, ma una serratura di sicurezza che solo tu puoi girare? L’obiettivo di questo articolo non è solo spiegarti il “perché” tecnico. È darti gli strumenti per gestire questa nuova realtà senza stress, rendendola veloce, sicura e persino vantaggiosa. Vedremo come la tecnologia stessa ci viene in aiuto per semplificare il processo, come chiudere le porte a possibili minacce e come riconoscere i tranelli che nessuna tecnologia può bloccare da sola.

In questa guida completa, affronteremo passo dopo passo ogni aspetto della doppia autenticazione. Analizzeremo le soluzioni pratiche per rendere il processo quasi istantaneo, le procedure per mantenere il controllo sui tuoi dati e le strategie per non cadere nelle trappole dei truffatori, fino a scoprire come queste nuove tecnologie possano persino farti risparmiare.

Sommario: Guida completa alla sicurezza dei tuoi pagamenti online

Come attivare l’impronta digitale per non dover ricordare codici PIN impossibili ogni volta?

La principale fonte di frustrazione della doppia autenticazione è la necessità di ricordare l’ennesimo codice PIN o una password complessa. La buona notizia è che la tecnologia che ha introdotto questa “scomodità” offre anche la soluzione più semplice per superarla. L’autenticazione forte si basa su almeno due di tre fattori: qualcosa che sai (la password), qualcosa che hai (il telefono) e qualcosa che sei (la tua impronta digitale o il tuo volto). Abilitare quest’ultimo fattore, detto biometrico, trasforma un processo macchinoso in un gesto istantaneo e naturalissimo.

Attivare l’accesso con impronta digitale o riconoscimento facciale (Face ID) sull’app della tua banca è il primo passo per smettere di odiare la PSD2. Invece di digitare un codice, ti basterà appoggiare un dito o guardare il telefono. Questo non solo è più veloce, ma è anche esponenzialmente più sicuro: una password può essere rubata, un’impronta digitale no. È il tuo sigillo personale e non replicabile.

Dettaglio macro di un sensore biometrico moderno per l'autenticazione bancaria sicura

Come puoi vedere in questa immagine, i moderni sensori biometrici sono tecnologie di precisione che garantiscono un livello di sicurezza elevatissimo. La maggior parte delle app bancarie italiane ora supporta questa funzionalità. Abilitarla richiede solitamente pochi minuti e ti libererà per sempre dalla tirannia dei codici. È un piccolo sforzo iniziale per un grande guadagno di serenità quotidiana.

Il tuo piano d’azione: Attivare l’autenticazione biometrica

  1. Aggiorna l’app: Assicurati di avere l’ultima versione dell’app della tua banca installata dal Play Store (Android) o dall’App Store (Apple).
  2. Cerca le impostazioni: Accedi all’app e naviga nella sezione “Profilo”, “Impostazioni” o “Sicurezza”.
  3. Trova l’opzione: Cerca una voce come “Autenticazione biometrica”, “Accesso con impronta” o “Usa Face ID”.
  4. Abilita e conferma: Attiva l’interruttore e conferma la tua identità un’ultima volta con il PIN o la password attuali.
  5. Testa il risultato: Esci dall’app e prova a rientrare usando solo la tua impronta o il tuo volto. Il fastidio è già sparito.

In definitiva, usare la biometria non è solo una comodità: è un modo per riprendere il controllo, usando una caratteristica unica e personale per proteggere i tuoi beni nel modo più forte possibile.

Come revocare i permessi PSD2 alle app che non usi più per chiudere le porte ai tuoi dati?

La direttiva PSD2 non ha solo introdotto la doppia autenticazione, ma ha anche aperto le porte a nuovi servizi. Hai mai usato un’app per aggregare tutti i tuoi conti correnti o un servizio per gestire le tue finanze? Questi strumenti, chiamati “Terze Parti” (TPP), funzionano perché tu, tramite un’autorizzazione PSD2, hai concesso loro il permesso di accedere ai dati del tuo conto in sola lettura (AISP) o di avviare pagamenti per tuo conto (PISP).

Questo è molto comodo, ma crea una potenziale vulnerabilità se non gestito correttamente. Ogni permesso che concedi è come dare una copia della chiave di casa a qualcuno. Se smetti di frequentare quella persona, è buona norma riprendersi la chiave. Allo stesso modo, è cruciale fare periodicamente una “pulizia” dei consensi PSD2, revocando l’accesso a tutte quelle app o servizi che non utilizzi più. Lasciare attivi permessi non necessari è una porta aperta sui tuoi dati finanziari che un giorno potrebbe essere sfruttata.

Ogni piattaforma di home banking moderna deve per legge offrire una sezione dedicata, spesso chiamata “Gestione consensi PSD2” o “Servizi di terze parti”, dove puoi visualizzare l’elenco completo di tutte le autorizzazioni che hai concesso, con la relativa data. Controllare questa lista è un’abitudine di igiene digitale fondamentale. Non si tratta di diffidare della tecnologia, ma di usarla con consapevolezza e controllo.

Checklist di audit: Revocare i permessi PSD2 non necessari

  1. Punto di contatto: Accedi al tuo home banking da computer o dall’app principale della tua banca.
  2. Collezione: Trova la sezione “Gestione consensi PSD2”, “Autorizzazioni” o “Collegamenti con terze parti” e apri la lista completa delle app autorizzate.
  3. Coerenza: Per ogni app in elenco, chiediti: “L’ho usata negli ultimi 3 mesi? Mi serve ancora?”. Se la risposta è no, è un candidato alla revoca.
  4. Memorabilità/Emozione: Riconosci nomi di app che avevi completamente dimenticato? Questo è il segnale più forte che il permesso è superfluo e va rimosso.
  5. Piano d’integrazione: Seleziona ogni app non più necessaria e clicca su “Revoca consenso” o “Rimuovi autorizzazione”. Conferma l’operazione.

Questo controllo periodico non è un compito noioso, ma un atto di potere. Sei tu, e solo tu, a decidere chi può “guardare” nei tuoi conti. Esercitare questo potere è la vera essenza della sicurezza finanziaria moderna.

Cosa fare se non ricevi la notifica push per autorizzare l’acquisto e il timer scade?

Hai trovato l’offerta perfetta, sei pronto a pagare, ma sul telefono non arriva nessuna notifica. Guardi lo schermo del computer e vedi il timer che scorre inesorabile: 60, 59, 58 secondi… L’ansia sale. È uno degli scenari più frustranti legati alla Strong Customer Authentication. Quando la tecnologia si inceppa, la “scomodità” si trasforma in un vero e proprio blocco. Fortunatamente, esistono soluzioni per quasi ogni problema tecnico.

La mancata ricezione della notifica push può dipendere da vari fattori: una connessione internet debole (sia Wi-Fi che dati mobili), impostazioni di risparmio energetico dello smartphone che “addormentano” l’app della banca, o semplicemente un’app non aggiornata all’ultima versione. Mantenere l’applicazione aggiornata e controllare che abbia i permessi per funzionare in background e utilizzare i dati mobili è il primo passo per prevenire il problema. Nonostante l’adozione della SCA allunghi leggermente le transazioni, la fluidità del processo è una priorità per le banche.

Ma cosa fare quando il problema si presenta e il tempo sta per scadere? Niente panico. Quasi tutte le piattaforme di pagamento offrono un’alternativa. Spesso, sotto il timer che scorre, c’è un link o un pulsante con scritto “Non hai ricevuto la notifica?” o “Usa un altro metodo”. Cliccandolo, di solito puoi richiedere l’invio di un codice OTP (One-Time Password) via SMS o utilizzare un generatore di codici integrato nell’app stessa. Conoscere queste vie d’uscita ti permette di finalizzare l’acquisto senza dover ricominciare tutto da capo.

Per aiutarti a risolvere rapidamente questi intoppi, ecco una guida schematica basata sulle problematiche più comuni, come delineato da diverse analisi sui pagamenti digitali.

Guida rapida ai problemi con la notifica di autorizzazione
Problema Soluzione immediata Prevenzione futura
Notifica non ricevuta su Android Verifica impostazioni risparmio energetico Aggiungi app bancaria alle eccezioni batteria
Timer scaduto Richiedi nuovo OTP via SMS dall’app Aumenta timeout nelle impostazioni se disponibile
Connessione assente Passa a rete mobile o WiFi alternativo Abilita dati mobili per app bancaria
App non aggiornata Usa generatore OTP offline nell’app Attiva aggiornamenti automatici

La prossima volta che la notifica non arriverà, respira. Ricorda che hai sempre un piano B. La sicurezza non deve mai diventare un ostacolo insormontabile.

L’errore di leggere il codice OTP al “finto operatore” al telefono che aggira la protezione PSD2

La Strong Customer Authentication è uno scudo formidabile contro gli attacchi informatici automatici. Un hacker in un altro continente non può rubare i tuoi soldi se non ha il tuo telefono in mano. Ma c’è un punto debole che nessuna tecnologia potrà mai eliminare del tutto: il fattore umano. I truffatori lo sanno e hanno affinato le loro tecniche, spostandosi dal furto di dati informatici alla manipolazione psicologica, una tecnica nota come “vishing” (voice phishing).

Lo scenario è quasi sempre lo stesso. Ricevi una telefonata. Dall’altro capo, una voce calma e professionale si presenta come un operatore della tua banca, della Polizia Postale o di un altro ente credibile. Ti avvisa di un “tentativo di accesso anomalo” sul tuo conto e, per “bloccarlo”, ti chiede di leggere il codice che hai appena ricevuto via SMS. Questo è il tranello. Quel codice non serve a bloccare nulla; è il codice autorizzativo di un’operazione che il truffatore stesso ha appena avviato a tuo nome. Fornendogli quel codice, stai di fatto autorizzando tu stesso il furto. Gli stai aprendo la porta della cassaforte.

Rappresentazione simbolica del pericolo delle truffe telefoniche nel contesto bancario italiano

Di fronte a questa minaccia, c’è una sola, unica e incrollabile regola d’oro. A ricordarcelo è la massima autorità in materia, la Banca d’Italia, nelle sue comunicazioni sulla sicurezza.

Nessuna banca, polizia o istituzione ti chiederà MAI un codice di autorizzazione o una password al telefono. Mai.

– Banca d’Italia, Rapporto sulla sicurezza dei pagamenti elettronici

Nel momento in cui qualcuno al telefono ti chiede un codice, una password o di effettuare un’operazione, la conversazione deve finire. Riaggancia immediatamente e, se hai un dubbio, contatta tu la tua banca attraverso i canali ufficiali che conosci. Il tuo scudo più forte, qui, non è la tecnologia, ma la tua fermezza.

Cosa cambierà ancora nella sicurezza dei pagamenti europei nei prossimi anni?

La direttiva PSD2, pienamente operativa in Europa dal 2021, è stata una vera e propria rivoluzione, ma non è il punto di arrivo. La tecnologia corre veloce, e con essa le strategie dei criminali. Per questo, le istituzioni europee sono già al lavoro sulle prossime evoluzioni normative: la PSD3 (Payment Services Directive 3) e la PSR (Payment Services Regulation). L’obiettivo rimane lo stesso: rendere i pagamenti ancora più sicuri e competitivi, migliorando al contempo l’esperienza dell’utente.

Uno dei focus principali della futura PSD3 sarà il miglioramento ulteriore della lotta alle frodi. Si sta discutendo di introdurre sistemi di condivisione delle informazioni sulle frodi tra le banche per identificare più rapidamente schemi criminali. Inoltre, si punta a rafforzare i diritti dei consumatori, ad esempio garantendo rimborsi più rapidi in caso di truffe sofisticate come il “vishing”. L’idea è di creare un ecosistema in cui la sicurezza non sia solo responsabilità dell’utente, ma un dovere condiviso tra tutti gli attori del sistema.

Un’altra grande novità all’orizzonte è il framework FIDA (Financial Data Access), che mira a estendere la condivisione dei dati (sempre e solo con il consenso dell’utente) oltre i soli conti di pagamento, includendo prodotti di risparmio, investimenti e assicurazioni. Questo aprirà la strada a servizi di consulenza finanziaria ancora più personalizzati e integrati. Nonostante le preoccupazioni iniziali, la PSD2 non ha frenato l’economia digitale; al contrario, rafforzando la fiducia, ha contribuito alla crescita dell’e-commerce, che secondo l’Osservatorio eCommerce B2C del Politecnico di Milano ha raggiunto i 34 miliardi di euro nel 2022 in Italia.

In sintesi, il futuro dei pagamenti sarà un equilibrio sempre più raffinato tra sicurezza invisibile, controllo granulare da parte dell’utente e un’esperienza d’uso fluida. La “scomodità” di oggi è solo il primo passo verso un futuro in cui i nostri soldi saranno protetti in modo quasi automatico.

Quando chiedere l’autorizzazione all’accesso dati per non spaventare l’utente al primo login?

Dal punto di vista dell’utente, la fiducia è tutto. Quando un’app o un servizio finanziario chiede l’accesso ai dati del conto corrente, la reazione istintiva può essere di sospetto. “Perché vogliono i miei dati? Cosa ne faranno?”. Per questo, il modo e il momento in cui viene richiesto il consenso PSD2 sono cruciali. Un utente consapevole sa riconoscere un approccio trasparente da uno aggressivo e poco chiaro. Le aziende serie non ti chiederanno mai un’autorizzazione “a scatola chiusa” al primo accesso.

La pratica migliore, che dovresti aspettarti da ogni servizio affidabile, è la richiesta di consenso contestuale. Questo significa che l’autorizzazione all’accesso dati ti viene chiesta solo nel momento esatto in cui stai per usare una funzione che la richiede specificamente. Ad esempio, se un’app di gestione finanze ha una funzione per analizzare le tue spese, ti chiederà l’accesso al conto solo quando cliccherai su “Analizza le mie spese”, non appena installi l’app. Prima di chiederti il permesso, ti spiegherà in un linguaggio semplice e chiaro il valore che otterrai in cambio: “Collega il tuo conto per visualizzare un report automatico delle tue uscite e scoprire dove puoi risparmiare”.

Un servizio trasparente ti fornirà sempre rassicurazioni, mostrando certificazioni di sicurezza e spiegando come i tuoi dati sono protetti. Soprattutto, ti garantirà un controllo granulare, permettendoti magari di scegliere quali informazioni condividere, e renderà sempre facile e visibile la procedura per revocare il consenso in qualsiasi momento. Se un’app ti chiede un accesso totale e immediato senza spiegarti il perché, è un segnale di allarme. La tua autorizzazione è preziosa e va concessa solo in cambio di un beneficio chiaro e a fronte della massima trasparenza.

Imparare a riconoscere queste buone pratiche ti trasforma da utente passivo a consumatore informato, capace di distinguere i servizi che meritano la tua fiducia da quelli che è meglio evitare.

Token o dati criptati: quale sistema rende i tuoi dati inutilizzabili per gli hacker?

Quando paghi online o usi un’app collegata al tuo conto, i tuoi dati finanziari viaggiano e vengono memorizzati. Per proteggerli, si usano principalmente due tecnologie: la crittografia e la tokenizzazione. Sebbene entrambe servano a proteggere le informazioni, funzionano in modo molto diverso. Capire questa differenza ti aiuta a comprendere il livello di sicurezza dei servizi che usi. La crittografia è come mettere i tuoi dati in una cassaforte con una chiave. I dati originali vengono trasformati in un codice illeggibile e solo chi possiede la chiave giusta può decifrarli e riportarli alla forma originale. È un sistema robustissimo per proteggere i dati “in transito”, ad esempio quando comunichi con il sito della tua banca (il lucchetto HTTPS nel browser).

La tokenizzazione, invece, è un concetto ancora più forte per i dati “a riposo”, cioè memorizzati. Immagina di lasciare il cappotto in un guardaroba: consegni il cappotto e in cambio ricevi un gettone di plastica. Quel gettone non ha nessun valore intrinseco; serve solo a reclamare il tuo cappotto. Se un ladro ruba il gettone, si ritrova con un pezzo di plastica inutile. La tokenizzazione fa lo stesso con i dati della tua carta: il numero reale viene sostituito con un “token” casuale e senza valore. Solo il sistema centrale (il “guardaroba”) sa a quale carta corrisponde quel token. Servizi come Apple Pay e Google Pay si basano su questo principio: quando paghi, il negoziante non riceve mai il vero numero della tua carta, ma solo un token valido per quella singola transazione.

Quindi, quale sistema è migliore? Entrambi sono essenziali e complementari. La crittografia protegge la comunicazione, mentre la tokenizzazione protegge i dati archiviati. Quando un servizio utilizza la tokenizzazione, i tuoi dati originali non sono nemmeno presenti sui suoi server, rendendo un eventuale attacco hacker quasi del tutto inutile. Per approfondire, ecco un confronto diretto basato sulle spiegazioni di esperti di sicurezza informatica.

Confronto tra Tokenizzazione e Crittografia per la sicurezza dei pagamenti
Caratteristica Tokenizzazione Crittografia
Metafora italiana Gettone del guardaroba Cassaforte con chiave
Dati originali Sostituiti completamente Trasformati ma recuperabili
Se rubati Inutilizzabili senza sistema centrale Decrittabili con la chiave
Uso comune Apple Pay, Google Pay, Amazon Comunicazioni HTTPS, file protetti
Protezione PSD2 Dati ‘a riposo’ Dati ‘in transito’

Scegliere servizi che dichiarano di usare la tokenizzazione, specialmente per i pagamenti ricorrenti, aggiunge un livello di sicurezza e tranquillità che va oltre la semplice conformità alla PSD2.

Da ricordare

  • La doppia autenticazione (SCA) è il tuo scudo più potente contro le frodi, non un semplice fastidio.
  • Attivare l’impronta digitale o il Face ID sull’app della banca trasforma l’obbligo in un gesto istantaneo e sicuro.
  • Non condividere MAI, per nessuna ragione, un codice ricevuto via SMS o una password al telefono. Nessun istituto legittimo te lo chiederà.

Come le nuove tecnologie bancarie possono farti risparmiare 200€ all’anno sulle commissioni?

Abbiamo visto come la tecnologia legata alla PSD2 aumenti la sicurezza, ma c’è un altro beneficio, spesso trascurato, che è direttamente collegato: un risparmio economico significativo. Per anni, le banche tradizionali hanno addebitato costi per gli strumenti di sicurezza. Ricordi la “chiavetta” fisica (token) per generare codici? Aveva un costo di acquisto o noleggio. Anche la ricezione dei codici OTP via SMS spesso comporta una piccola commissione per ogni messaggio (es. 0,15€ – 0,25€). Sommati su un anno, questi “micro-costi” possono diventare una spesa considerevole.

L’avvento della Strong Customer Authentication via app ha cambiato le carte in tavola. Le banche digitali e le fintech, nate con un approccio moderno, hanno integrato l’autenticazione forte direttamente nelle loro applicazioni gratuite. Non c’è nessun token fisico da pagare, nessuna commissione per le notifiche push. Questo, unito a canoni di tenuta conto spesso azzerati e commissioni su bonifici e prelievi molto più basse, crea un’opportunità di risparmio notevole.

Secondo diverse analisi comparative, un utente mediamente attivo con un conto tradizionale può arrivare a spendere fino a 240€ all’anno tra canone, commissioni per operazioni e costi legati alla vecchia sicurezza. Passando a un conto digitale moderno che sfrutta l’app per l’autenticazione, questa spesa può crollare a poche decine di euro o addirittura azzerarsi. Uno studio specifico ha evidenziato come il risparmio medio per un utente tipo italiano si attesti intorno ai 200€ annui. Questo dimostra come abbracciare le nuove tecnologie bancarie non sia solo una questione di sicurezza o comodità, ma anche di intelligenza finanziaria.

Per quantificare il tuo vantaggio personale, è utile analizzare come queste nuove tecnologie impattano direttamente sui costi bancari annuali.

Per iniziare a beneficiare di questi vantaggi, il primo passo è verificare le condizioni del tuo conto corrente e confrontarle con le alternative digitali oggi disponibili. Potresti scoprire che lo strumento che usi ogni giorno per autorizzare i pagamenti in sicurezza è anche la chiave per un risparmio che non ti aspettavi.

Scritto da Giulia Giulia Venturi, Consulente Senior in Digital Banking e Fintech, specializzata in Open Banking e sicurezza dei pagamenti digitali (PSD2/3). Ha guidato la transizione digitale di due importanti istituti di credito italiani.
In primo piano
BTP Italia o BTP Valore: quale titolo di stato protegge meglio i tuoi risparmi dal carovita?
Come investire i risparmi di una vita per battere l’inflazione senza rischiare di perdere tutto in borsa?
Il mio conto è davvero sicuro fino a 100.000€ o c’è una clausola che non conosco?
Ricorso all’Arbitro Bancario (ABF): la guida strategica per riavere i tuoi soldi
Come il sistema di vigilanza bancaria impedisce che la tua banca scappi con i soldi domani mattina?
Post simili
Come recuperare l’accesso SPID bloccato in meno di 24 ore senza andare alle Poste?
Come archiviare digitalmente fatture e scontrini per essere a prova di controllo fiscale per 10 anni?