/ Sicurezza finanziaria / Le app bancarie sono davvero sicure su reti Wi-Fi pubbliche grazie alla crittografia?
Pubblicato il Maggio 15, 2024

Contrariamente alla credenza comune, usare l’app della tua banca su un Wi-Fi pubblico non è l’azzardo che si pensa. La sicurezza moderna risiede nell’architettura dell’app stessa, non nella rete.

  • La crittografia TLS (Transport Layer Security) crea un tunnel cifrato inviolabile tra il tuo smartphone e i server della banca, rendendo i dati illeggibili a chiunque si trovi sulla stessa rete.
  • Un’app nativa, scaricata da uno store ufficiale, offre strati di sicurezza aggiuntivi (come il blocco su dispositivi manomessi) che un sito web non può garantire.

Raccomandazione: Concentrati sull’igiene digitale (usare solo app ufficiali, mantenere il sistema aggiornato) invece che sulla paranoia della rete Wi-Fi che stai utilizzando.

Sei in treno, al bar dell’università, o in attesa al gate dell’aeroporto. Tiri fuori lo smartphone per controllare il saldo o effettuare un bonifico, ti connetti al Wi-Fi gratuito e un dubbio ti assale: “È davvero sicuro?”. Il mantra che ci ripetono da anni è sempre lo stesso: “Mai connettersi a un Wi-Fi pubblico per operazioni sensibili”. Ci consigliano VPN, reti cellulari e mille precauzioni che spesso ci fanno desistere dall’usare i servizi di cui abbiamo bisogno in mobilità. Questo timore, per quanto comprensibile, è alimentato da una visione della sicurezza informatica che appartiene ormai al passato.

Da ingegnere della sicurezza, posso affermare che la vera fortezza digitale non è la rete che usi, ma l’applicazione stessa che hai installato sul tuo telefono. L’architettura delle moderne app bancarie è progettata per essere intrinsecamente sicura, indipendentemente dal canale di comunicazione. La domanda, quindi, non dovrebbe essere “quanto è sicura questa rete Wi-Fi?”, ma piuttosto “quanto è robusta la crittografia della mia app?”. La risposta, come vedremo, è: molto più di quanto immagini.

In questo articolo, smonteremo questi miti uno per uno, analizzando con un approccio tecnico ma comprensibile i meccanismi che proteggono i tuoi dati. Esploreremo la matematica che rende una chiave crittografica più impenetrabile di un caveau, confronteremo la sicurezza di un’app nativa rispetto a un sito web e capiremo quale sia il rischio reale (e spesso sopravvalutato) di accedere al conto mentre sei connesso alla rete di un aeroporto. Preparati a cambiare prospettiva sulla sicurezza del tuo mobile banking.

Per navigare con chiarezza tra i vari livelli di sicurezza che proteggono le tue finanze digitali, abbiamo strutturato l’articolo in sezioni dedicate. Ognuna affronta un aspetto specifico, dalla crittografia fondamentale fino alle tecnologie di pagamento del futuro.

Sommario: Guida definitiva alla sicurezza delle tue app bancarie

Perché neanche la banca può leggere la tua password grazie alla crittografia end-to-end?

Uno dei concetti più fraintesi sulla sicurezza bancaria riguarda la gestione delle credenziali. Molti credono che da qualche parte, nel database della banca, esista un file con la loro password in chiaro. La realtà è molto più sicura e si basa su un principio chiamato hashing crittografico. Quando imposti la tua password, l’app non la invia al server della banca. Invece, la trasforma in una stringa alfanumerica di lunghezza fissa, l’hash appunto, attraverso un algoritmo complesso. Questo processo è a senso unico: è matematicamente impossibile risalire alla password originale partendo dall’hash.

Quando effettui l’accesso, la password che inserisci viene nuovamente trasformata nello stesso hash sul tuo dispositivo, e solo quest’ultimo viene inviato alla banca per il confronto. Se i due hash coincidono, l’accesso è autorizzato. Questo significa che nessun dipendente della banca potrà mai conoscere la tua password, perché la banca stessa non la possiede. Questo sistema è alla base della moderna sicurezza delle credenziali, come dimostrato dalle pratiche di istituti come Intesa Sanpaolo, che non memorizzano mai la password originale ma solo il suo corrispettivo crittografato.

Questa architettura di sicurezza è stata ulteriormente rafforzata a livello europeo. Infatti, dal 31 dicembre 2020 in Italia è obbligatoria la Strong Customer Authentication (SCA) per quasi tutte le operazioni di pagamento, come previsto dalla direttiva PSD2. Questo impone l’uso di almeno due fattori di autenticazione indipendenti (es. qualcosa che sai, come la password; qualcosa che hai, come lo smartphone; qualcosa che sei, come l’impronta digitale), rendendo l’accesso fraudolento esponenzialmente più difficile, anche se qualcuno dovesse in qualche modo intercettare una delle tue credenziali.

Come usare l’app della banca in sicurezza anche senza una VPN attiva?

Il consiglio di usare una VPN (Virtual Private Network) su reti pubbliche è un classico della sicurezza informatica. Una VPN crea un tunnel crittografato tra il tuo dispositivo e un server remoto, mascherando il tuo traffico da occhi indiscreti sulla rete locale. È uno strumento eccellente per la privacy generica, ma è davvero indispensabile per il mobile banking? La risposta, da un punto di vista tecnico, è: non necessariamente.

Il motivo è che le app bancarie hanno una sorta di “VPN integrata” per le comunicazioni. Quando avvii l’app, questa stabilisce una connessione protetta dal protocollo TLS (Transport Layer Security). Questo protocollo, successore di SSL, crea un tunnel crittografato direttamente tra il tuo smartphone e i server della banca. In pratica, l’app stessa si occupa di cifrare tutti i dati in transito, rendendoli illeggibili a chiunque si trovi sulla stessa rete Wi-Fi, che sia il gestore del bar o un malintenzionato che tenta un attacco “man-in-the-middle”.

Usare una VPN è come mettere un’auto blindata (il tuo traffico) dentro un camion blindato (la VPN) per trasportarla. È una sicurezza aggiuntiva, ma l’auto era già blindata di suo. La crittografia TLS usata dalle banche è così robusta che, per la sola operatività bancaria, la protezione offerta è già di livello militare. La vera differenza non la fa la VPN, ma l’igiene digitale di base: assicurarsi di usare l’app ufficiale, mantenerla aggiornata e avere un sistema operativo non compromesso. La paranoia sulla rete è meno produttiva della diligenza sul dispositivo.

App nativa o sito web: quale canale è più difficile da hackerare per un criminale?

Quando devi accedere al tuo conto, hai due opzioni principali: l’app nativa scaricata sul tuo smartphone o il sito web della banca tramite browser. Sebbene entrambi utilizzino connessioni sicure (HTTPS/TLS), dal punto di vista di un criminale informatico, l’app nativa rappresenta un bersaglio strutturalmente più difficile. Questa superiorità, che definisco “asimmetria della sicurezza”, deriva da diversi fattori legati all’architettura del sistema operativo mobile.

Questo confronto visivo illustra come l’app nativa operi in un ambiente più controllato e isolato rispetto a un browser web, che è esposto a una superficie di attacco più ampia.

Confronto visivo tra la sicurezza di un'app bancaria nativa e l'accesso via browser web

Un’app nativa opera in un ambiente “sandbox”, ovvero un’area isolata del sistema operativo con accesso limitato alle altre app e ai dati del telefono. Inoltre, le banche implementano controlli specifici che un sito web non può avere. Come sottolinea un’analisi approfondita sulla sicurezza delle app bancarie, “le app delle banche italiane spesso implementano controlli di sicurezza a livello di sistema operativo, come il blocco del funzionamento su dispositivi con root (Android) o jailbreak (iOS), un livello di protezione che il sito web non può avere”. Un dispositivo “rooted” o “jailbroken” ha rimosso le protezioni di base del produttore, rendendolo molto più vulnerabile, e le app bancarie serie si rifiutano di funzionare in tali condizioni.

Studio di caso: La minaccia dei “dropper” e l’importanza delle fonti ufficiali

Nonostante la robustezza intrinseca, la sicurezza delle app native ha un punto debole: l’origine del download. I criminali sfruttano questa leva creando “dropper”, ovvero app apparentemente innocue (come utility per la pulizia o antivirus) caricate su store non ufficiali o veicolate tramite link di phishing. Una volta installate, queste app scaricano di nascosto un trojan bancario. Casi noti come Fast Cleaner, che veicolava il trojan Xenomorph, o Antivirus Super Cleaner, che installava SharkBot, dimostrano che la più grande vulnerabilità non è l’app della banca, ma l’installazione di software da fonti non attendibili. Questo rafforza un concetto chiave: la sicurezza dell’app è massima solo se proviene dall’App Store ufficiale di Apple o dal Google Play Store.

Il rischio reale di accedere al conto corrente collegati al Wi-Fi gratuito dell’aeroporto

Immaginiamo la scena: sei bloccato in aeroporto con un volo in ritardo e hai bisogno di fare un pagamento urgente. Ti colleghi al Wi-Fi gratuito del terminal. Il cuore ti batte un po’ più forte. È qui che il mito del “Wi-Fi pubblico insicuro” raggiunge il suo apice. Ma qual è il rischio *reale*? Grazie alla crittografia moderna, è drasticamente inferiore a quanto si creda. Come abbiamo visto, l’app bancaria stabilisce un tunnel TLS sicuro. Qualsiasi dato scambiato tra te e la banca (password, importi, dati del beneficiario) viene cifrato prima ancora di lasciare il tuo smartphone.

Un potenziale aggressore sulla stessa rete Wi-Fi vedrebbe solo un flusso di dati incomprensibili diretti verso i server della tua banca. Non potrebbe né leggerli né modificarli. Il temuto attacco “Man-in-the-Middle” (MitM), in cui un hacker si interpone tra te e la banca, è reso quasi impossibile dal meccanismo di certificati digitali del TLS. L’app verifica l’autenticità del certificato del server bancario prima di iniziare la comunicazione. Se il certificato non è valido o appartiene a un impostore, l’app semplicemente rifiuterà la connessione. Questo meccanismo di difesa è automatico e trasparente per l’utente.

Le banche, per prassi, non lesinano sulla robustezza di questa protezione. Infatti, le banche utilizzano crittografia a 128 bit o 256 bit per proteggere tutti i dati delle transazioni. Questi standard sono considerati estremamente sicuri e, come vedremo, richiederebbero una potenza di calcolo inimmaginabile per essere violati. La stessa logica si applica quando si è all’estero: la sicurezza del canale TLS non cambia, ma l’uso del Wi-Fi diventa una scelta pratica per evitare costi di roaming elevati. Il vero rischio, anche in aeroporto, non è l’intercettazione, ma il phishing (essere ingannati a inserire dati su un sito falso) o un attacco “shoulder surfing” (qualcuno che ti spia fisicamente da dietro le spalle).

Quando le banche aggiorneranno i protocolli per resistere ai futuri computer quantistici?

La crittografia che protegge oggi le nostre transazioni, come l’RSA e l’ECC, si basa su problemi matematici che sono estremamente difficili da risolvere per i computer classici. Tuttavia, l’orizzonte tecnologico presenta una nuova, potenziale minaccia: i computer quantistici. Un computer quantistico su larga scala, sebbene non ancora esistente, avrebbe la capacità teorica di rompere gli attuali standard crittografici in tempi relativamente brevi, un evento apocalittico per la sicurezza digitale noto come “Q-Day”.

Questo scenario da film di fantascienza non sta però cogliendo di sorpresa il settore finanziario e della sicurezza. Anzi, la transizione verso la crittografia post-quantistica (PQC) è già in corso. La PQC si riferisce a una nuova generazione di algoritmi crittografici progettati per essere sicuri sia contro i computer classici che contro quelli quantistici. L’ente di standardizzazione più importante al mondo in questo campo, il NIST (National Institute of Standards and Technology) degli Stati Uniti, ha già completato un processo di selezione durato anni, approvando un primo set di algoritmi PQC pronti per l’implementazione.

Il settore bancario è in prima linea in questa transizione. Anche se il “Q-Day” potrebbe essere ancora a un decennio di distanza, l’aggiornamento delle infrastrutture critiche richiede tempo e pianificazione. Come riportato da analisi specialistiche, le banche stanno già sperimentando la crittografia post-quantistica (PQC) per essere pronte a una migrazione su larga scala. In Italia, istituzioni come la Banca d’Italia, in collaborazione con l’Agenzia per la Cybersicurezza Nazionale (ACN) e il CERTFin, monitorano attivamente l’evoluzione di queste minacce per garantire la resilienza a lungo termine del sistema finanziario. La sicurezza dei tuoi soldi non è solo reattiva, ma anche proattiva e orientata al futuro.

Perché è matematicamente più difficile decifrare una chiave a 256 bit che scassinare un caveau?

Quando si parla di crittografia a 256 bit, come lo standard AES-256 (Advanced Encryption Standard) utilizzato dalla maggior parte delle app bancarie e dei governi, i numeri in gioco sfidano l’immaginazione umana. La metafora del caveau non è un’esagerazione; anzi, è un eufemismo. Un caveau fisico ha un numero finito di punti deboli: la serratura, le pareti, le cerniere. Una chiave crittografica a 256 bit ha un solo punto debole: la matematica. E la matematica è dalla nostra parte.

Una “chiave” a 256 bit è una sequenza di 256 “uni” e “zeri”. Il numero totale di combinazioni possibili è 2 elevato alla potenza di 256. Per dare un’idea di questa grandezza, il numero di atomi nell’universo osservabile è stimato intorno a 10 elevato alla 80. Il numero di chiavi AES-256 possibili è di circa 1,1 x 10 elevato alla 77. Secondo analisi di settore, una chiave AES-256 ha 1.15 quattuorvigintilioni di combinazioni possibili, un numero così vasto da rendere un attacco “brute force” (provare tutte le chiavi una per una) fisicamente impossibile con la tecnologia attuale e futura prevedibile.

Questa rappresentazione visiva cerca di dare un’idea della complessità frattale e stratificata che sta dietro a una chiave crittografica, un ordine di grandezza più complesso di qualsiasi meccanismo fisico.

Rappresentazione visiva della complessità matematica di una chiave a 256 bit

Anche se il supercomputer più potente del mondo fosse dedicato esclusivamente a questo compito, impiegherebbe miliardi di miliardi di anni per testare tutte le combinazioni. Questo è il “costo computazionale” che rende la crittografia moderna la tua più grande alleata. Scassinare un caveau richiede abilità, strumenti e tempo. Violare una crittografia AES-256 richiederebbe letteralmente più energia di quella prodotta dal nostro sole in milioni di anni. Ecco perché la tua app bancaria, protetta da questo scudo matematico, è una fortezza digitale di prim’ordine.

Come tenere l’NFC spento e accenderlo solo al momento del pagamento per massima sicurezza?

La tecnologia NFC (Near Field Communication) ha trasformato i nostri smartphone in portafogli digitali, permettendoci di pagare semplicemente avvicinando il telefono al POS. Questa comodità, però, solleva in alcuni una domanda sulla sicurezza: un malintenzionato potrebbe “leggere” la mia carta a distanza? La risposta breve è no. La tecnologia NFC è progettata per funzionare solo a distanze estremamente ravvicinate, tipicamente meno di 4 centimetri. Questo rende un’intercettazione a distanza praticamente impossibile.

Inoltre, ogni transazione richiede un’azione esplicita da parte tua. Per pagare, devi prima sbloccare il telefono (spesso con impronta digitale o riconoscimento facciale) e poi avvicinarlo intenzionalmente al POS. In Italia, per pagamenti contactless superiori a 50€ è sempre richiesto l’inserimento del PIN, aggiungendo un ulteriore livello di sicurezza. Anche se un ladro ti rubasse il telefono, non potrebbe effettuare pagamenti senza la tua autenticazione biometrica. Tuttavia, per chi desidera il massimo controllo, adottare la pratica di attivare l’NFC solo quando necessario è un’ottima abitudine di “igiene digitale”.

La maggior parte degli smartphone Android e iOS rende questa operazione semplicissima tramite il menu delle impostazioni rapide (quick settings), accessibile con uno swipe dall’alto dello schermo. Puoi aggiungere l’icona dell’NFC a questo pannello e attivarla o disattivarla con un singolo tocco prima e dopo ogni pagamento. Questo non solo offre una tranquillità psicologica, ma contribuisce anche a un leggero risparmio di batteria.

Il tuo piano d’azione per la sicurezza NFC

  1. Accesso Rapido: Assicurati che l’interruttore NFC sia presente nel pannello delle impostazioni rapide del tuo telefono per un’attivazione/disattivazione istantanea.
  2. Sblocco Obbligatorio: Verifica nelle impostazioni di Android (sezione “Dispositivi collegati” > “Preferenze di connessione” > “NFC”) che sia attiva l’opzione “Richiedi sblocco del dispositivo per NFC”.
  3. Autenticazione per Pagamenti: All’interno del tuo wallet digitale (Google Pay, Apple Pay), controlla che ogni transazione richieda l’autenticazione tramite impronta digitale o riconoscimento facciale.
  4. Abitudine in Luoghi Affollati: Prendi l’abitudine di mantenere l’NFC disattivato di default, specialmente in luoghi molto affollati come mezzi pubblici o concerti, e attivarlo solo per il tempo strettamente necessario al pagamento.
  5. Disattiva Connessioni Automatiche: Come buona pratica generale, disattiva l’impostazione che permette al tuo telefono di connettersi automaticamente a reti Wi-Fi aperte sconosciute.

Punti chiave da ricordare

  • La crittografia TLS (AES-256) usata dalle app bancarie crea un tunnel di comunicazione impenetrabile, rendendo i tuoi dati sicuri anche su reti Wi-Fi pubbliche.
  • Un’app nativa, scaricata da uno store ufficiale (Google Play Store, Apple App Store), è strutturalmente più sicura dell’accesso via browser grazie a meccanismi come il sandboxing e il blocco su dispositivi manomessi.
  • Le vere minacce per la sicurezza bancaria oggi non sono tanto l’intercettazione sulla rete, quanto le truffe di ingegneria sociale come il phishing e l’installazione di app malevole da fonti non attendibili.

Google Wallet, Apple Pay o Samsung Pay: quale portafoglio digitale è più completo per le tue carte?

L’ascesa dei pagamenti digitali è inarrestabile. I dati più recenti mostrano una crescita esponenziale: secondo i dati Nexi, in Italia si è registrato un +61% di speso con smartphone e smartwatch, con un aumento del 36% delle carte virtualizzate nei wallet. Questa comodità si basa su una tecnologia comune chiamata tokenizzazione. Quando aggiungi una carta al tuo wallet, il numero reale non viene memorizzato sul dispositivo. Viene invece creato un “token”, un numero di carta virtuale unico, che viene usato per le transazioni. Questo significa che, anche se un POS fosse compromesso, i dati della tua carta fisica rimarrebbero al sicuro.

La scelta del wallet digitale dipende principalmente dall’ecosistema del tuo dispositivo (iOS per Apple Pay, Android per Google Wallet e Samsung Pay) e dalla compatibilità con la tua banca. Sebbene la copertura sia ormai molto ampia, esistono ancora delle differenze.

Questo tavolo comparativo riassume le principali caratteristiche dei tre sistemi leader nel mercato italiano, aiutandoti a capire quale si adatta meglio alle tue esigenze e alle carte che possiedi.

Compatibilità wallet digitali con banche italiane 2024
Wallet Banche Supportate Tecnologia Caratteristiche Uniche
Google Wallet Intesa Sanpaolo, UniCredit, Postepay, BPER, Mediolanum, Fineco e molte altre Solo NFC Integrazione profonda con l’ecosistema Google (Gmail, Maps)
Apple Pay Supportato da quasi tutte le principali banche e istituti finanziari italiani Solo NFC Elevata sicurezza con Face ID/Touch ID, funzione “Tap to Pay” per esercenti
Samsung Pay Supportato dalle principali banche italiane NFC + MST Compatibile anche con i vecchi POS non contactless grazie alla tecnologia MST (Magnetic Secure Transmission)

In sintesi, Apple Pay vanta la compatibilità più estesa con le banche italiane e un’integrazione hardware/software impeccabile. Google Wallet è la scelta predefinita per l’universo Android, con un’ottima integrazione nei servizi Google. Samsung Pay offre un vantaggio unico con la tecnologia MST, che simula la strisciata di una carta magnetica, rendendolo compatibile con quasi tutti i POS in circolazione, anche quelli più datati non abilitati al contactless. La scelta finale, quindi, è meno una questione di sicurezza (tutti e tre sono estremamente sicuri) e più una questione di ecosistema e compatibilità bancaria.

Ora che hai compreso i robusti meccanismi che proteggono le tue finanze digitali, il passo successivo è passare dalla conoscenza all’azione. Esegui un rapido audit delle impostazioni di sicurezza sul tuo smartphone e all’interno delle tue app per assicurarti di applicare le migliori pratiche discusse in questo articolo.

Scritto da Elena Sartori, Analista di Cybersecurity Bancaria certificata CISSP con 15 anni di esperienza nella prevenzione delle frodi finanziarie. Collabora con istituti di vigilanza per contrastare phishing, malware e furti d'identità nel settore dei pagamenti elettronici.
Come configurare l’autenticazione a due fattori senza rischiare di chiudersi fuori dal conto?
Face ID o impronta digitale: quale è più sicuro della vecchia password per la tua banca?
Novità del sito
Quanto puoi permetterti di chiedere in prestito prima che la banca ti dica di no (Rapporto Rata/Reddito)?
Rata del mutuo troppo alta: quali opzioni hai oggi per abbassarla senza perdere la casa?
Simulatore rata prestito: quanto sono affidabili i preventivi online rispetto all’offerta reale in filiale?
Come le banche analizzano i tuoi ultimi 6 mesi di movimenti prima di concederti un mutuo?
App aggregatrici di conti: sono sicure per monitorare tutte le tue banche in una sola schermata?
Post simili
Come funziona il chip NFC del tuo telefono e come proteggerlo da letture indesiderate?
Come recuperare i soldi dalla banca dopo una truffa online: la procedura di chargeback
Cosa significa “sicurezza a 256 bit” e perché rende i tuoi soldi intoccabili dagli hacker?
Carta bloccata all’estero? Ecco perché succede e come sbloccarla subito