/ Sicurezza finanziaria / Perché la banca ti chiede due codici per pagare online e come evitare blocchi improvvisi?
Pubblicato il Marzo 15, 2024

In sintesi:

  • I pagamenti online falliscono non per un errore, ma per un’interruzione nel “dialogo di sicurezza” tra sito, app e banca.
  • Abilitare le notifiche push dall’app della banca, invece di affidarsi agli SMS, risolve la maggior parte dei problemi di autorizzazione.
  • La maggior parte dei blocchi improvvisi si previene con semplici azioni prima di viaggiare all’estero o cambiare smartphone.
  • Chiudere l’app della banca troppo presto interrompe l’autorizzazione: bisogna sempre attendere il ritorno automatico al sito del commerciante.

Il carrello è pieno. Hai trovato l’offerta perfetta, inserito i dati della tua carta e sei pronto a concludere l’acquisto. Clicchi su “Paga”, il sito ti chiede di attendere mentre contatta la tua banca. Passano alcuni secondi, poi appare il messaggio che ogni acquirente online teme: “Transazione rifiutata” o “Autenticazione fallita”. La frustrazione è immediata, specialmente quando sei certo di avere fondi sufficienti e di aver inserito i dati corretti. Inizi a pensare che sia un problema di connessione, che il sito sia inaffidabile o che la tua banca abbia un problema tecnico.

In realtà, nella maggior parte dei casi, il problema non è un vero e proprio “errore”, ma un’interruzione in un dialogo di sicurezza molto preciso che avviene dietro le quinte. Questo processo, chiamato Strong Customer Authentication (SCA), è stato introdotto da una normativa europea (la PSD2) per proteggerti dalle frodi. Non è un muro invalicabile, ma una conversazione tecnica tra il sito del commerciante, il tuo smartphone e i server della tua banca. I blocchi avvengono quando questa conversazione viene disturbata o interrotta, spesso a causa di impostazioni del telefono, procedure errate o scenari specifici come un viaggio all’estero o un cambio di dispositivo.

E se la chiave per non veder più rifiutato un pagamento non fosse imprecare contro la tecnologia, ma imparare a parlare la sua lingua? Comprendere i punti critici di questo dialogo ti permette di anticipare i problemi e di risolverli prima ancora che si presentino. Questo non è un articolo tecnico che si limita a spiegare una normativa; è un manuale pratico, scritto dal punto di vista di chi risolve questi problemi ogni giorno, per trasformare ogni tua transazione online in un’operazione fluida, sicura e priva di frustrazioni.

In questa guida analizzeremo, passo dopo passo, i punti deboli più comuni nel processo di autenticazione. Vedremo come gestire le notifiche, cosa fare quando sei all’estero, come comportarti quando cambi telefono e come riconoscere i veri tentativi di frode, fornendoti soluzioni concrete per ogni scenario.

Sommario: Guida pratica per risolvere i problemi di autenticazione nei pagamenti online

Perché password e PIN non bastano più per la normativa europea sui pagamenti?

Per anni, l’accoppiata nome utente/password è stata la porta d’accesso a quasi tutti i servizi online, inclusi quelli bancari. Tuttavia, la crescente sofisticazione delle truffe informatiche ha reso questo sistema obsoleto e pericoloso. Le frodi online sono un problema concreto che, secondo dati recenti, ha causato in Italia perdite per circa 180 milioni di euro solo nel 2024, evidenziando la necessità di barriere più robuste. È per questo motivo che l’Unione Europea ha introdotto la direttiva sui servizi di pagamento, nota come PSD2 (Payment Services Directive 2).

L’obiettivo della PSD2 è semplice: rendere i pagamenti elettronici più sicuri per i consumatori. Per farlo, impone un requisito fondamentale per quasi tutte le operazioni online: la Strong Customer Authentication (SCA), o Autenticazione Forte del Cliente. In pratica, per autorizzare un pagamento non basta più dimostrare di sapere qualcosa (la password), ma è necessario provare la propria identità combinando almeno due dei seguenti tre fattori indipendenti:

  • Conoscenza: Qualcosa che solo tu conosci, come una password, un PIN o la risposta a una domanda segreta.
  • Possesso: Qualcosa che solo tu possiedi, come il tuo smartphone (su cui ricevi una notifica), una carta di pagamento o un token di sicurezza fisico.
  • Inerenza: Qualcosa che ti caratterizza in modo univoco, ovvero un dato biometrico come la tua impronta digitale, il riconoscimento facciale o la scansione dell’iride.

L’efficacia di questo approccio è dimostrata dai fatti. Secondo una ricerca della Banca d’Italia, da quando la SCA è stata implementata, il rischio di truffa per i pagamenti online è diminuito del 60%. Sebbene possa sembrare un passaggio in più, la SCA è il tuo principale alleato per la sicurezza: rende estremamente difficile per un malintenzionato autorizzare un’operazione, anche se fosse riuscito a rubarti la password.

Come abilitare le notifiche in-app se non ricevi l’SMS di conferma pagamento?

Uno dei problemi più frequenti durante un pagamento online è l’attesa vana dell’SMS con il codice di conferma (OTP – One Time Password). I motivi possono essere tanti: scarsa ricezione del segnale telefonico, ritardi dell’operatore o, nei casi peggiori, un attacco di SIM swapping in corso. Per risolvere questa criticità e aumentare la sicurezza, quasi tutte le banche si sono spostate verso un metodo più moderno e affidabile: le notifiche push direttamente sull’app della banca. A differenza degli SMS, che viaggiano sulla rete telefonica standard e possono essere intercettati, questo sistema è più sicuro.

Come sottolinea la Banca d’Italia nella sua guida sulla sicurezza dei pagamenti elettronici:

A differenza dell’SMS, la notifica in-app è un canale di comunicazione crittografato e diretto con la banca

– Banca d’Italia, Guida sulla sicurezza dei pagamenti elettronici

Questo canale diretto rende la comunicazione quasi istantanea e molto più difficile da compromettere. Tuttavia, a volte anche le notifiche push non arrivano. Se ti trovi in questa situazione, non è quasi mai un problema della banca, ma un’impostazione del tuo smartphone che blocca la comunicazione in background. Prima di contattare l’assistenza, esegui questi semplici controlli:

  • Verifica il risparmio energetico: Assicurati che le modalità di risparmio energetico o di “ultra-risparmio” non stiano bloccando le attività in background e le notifiche per l’app della tua banca.
  • Controlla i permessi dell’app: Vai nelle impostazioni del telefono, trova l’app della banca e verifica che abbia l’autorizzazione per inviare notifiche.
  • Disattiva le ottimizzazioni della batteria: Per alcune app critiche, i sistemi Android tendono a “ibernarle” per risparmiare batteria. Cerca la sezione “Ottimizzazione batteria” e imposta l’app della banca su “Non ottimizzare”.
  • Assicurati di avere una connessione stabile: Le notifiche push richiedono una connessione dati o Wi-Fi attiva.
  • Aggiorna l’app: Una versione obsoleta dell’app potrebbe non essere più compatibile con i sistemi di notifica più recenti.

Token fisico o Mobile Token: quale sistema crea meno problemi all’estero?

Viaggiare all’estero è uno scenario in cui i problemi di autenticazione possono diventare particolarmente frustranti. La ricezione degli SMS può essere inaffidabile o molto costosa a causa del roaming, e una connessione Wi-Fi pubblica non è sempre sicura o stabile per ricevere notifiche push. In questo contesto, la scelta del sistema di autenticazione diventa cruciale. Le opzioni principali sono il Token Fisico (un piccolo dispositivo che genera codici) e il Mobile Token (integrato nell’app della banca).

Per un viaggiatore, il Token Fisico offre un vantaggio innegabile: funziona completamente offline, senza bisogno di rete cellulare o Wi-Fi. Tuttavia, è un oggetto in più da portare con sé, facile da perdere o dimenticare. Il Mobile Token, d’altro canto, è sempre con te finché hai lo smartphone, ma dipende da una connessione dati per ricevere la notifica di autorizzazione. La scelta dipende dalle tue abitudini e dal tipo di viaggio.

Questo confronto chiarisce i pro e i contro di ciascun sistema quando ci si trova fuori dall’Italia, includendo anche il classico SMS come termine di paragone.

Confronto Token Fisico vs Mobile Token per viaggiatori
Caratteristica Token Fisico Mobile Token via App SMS OTP
Dipendenza dalla rete Non richiesta Richiede Wi-Fi/dati Richiede roaming attivo
Rischio di perdita Alto (può essere dimenticato) Basso (telefono sempre con noi) Medio
Costo all’estero Nessuno Solo traffico dati Potenziali costi roaming
Affidabilità Molto alta Alta con connessione Variabile
Confronto visivo tra token fisico e app mobile per autenticazione bancaria

Indipendentemente dal sistema scelto, una preparazione minima prima della partenza può evitare il 99% dei problemi. Seguire una checklist preventiva ti assicura di poter operare senza intoppi ovunque tu sia.

Il tuo piano d’azione prima di partire per l’estero

  1. Verifica che il tuo numero italiano sia abilitato al roaming internazionale per le emergenze.
  2. Scarica e attiva l’app della banca e il Mobile Token SUL TUO DISPOSITIVO PRIMA di partire.
  3. Imposta alcuni esercenti online di fiducia (es. Amazon, Booking) nella “whitelist” della banca, se la funzione è disponibile, per saltare la SCA.
  4. Porta con te il token fisico come backup se ne possiedi uno, è la tua polizza di assicurazione.
  5. Disattiva eventuali VPN durante i pagamenti, poiché potrebbero far scattare i sistemi antifrode della banca a causa della localizzazione anomala.

L’errore comune di chiudere l’app della banca troppo presto durante l’autorizzazione

Hai avviato il pagamento, hai ricevuto la notifica push, hai aperto l’app della banca e hai autorizzato la transazione con la tua impronta digitale. L’app mostra un messaggio di successo come “Autorizzazione completata”. A questo punto, l’istinto è quello di chiudere l’app della banca e tornare manualmente al sito del commerciante per vedere la conferma dell’ordine. Questo è uno degli errori più comuni e la causa di innumerevoli pagamenti falliti, anche se l’autorizzazione è andata a buon fine.

Il motivo risiede nel “dialogo tecnico” che abbiamo menzionato. Il processo di pagamento non si conclude con la tua autorizzazione sull’app. Quello è solo un passaggio. Dopo la tua conferma, l’app della banca deve comunicare l’esito positivo al sito del commerciante. Questo scambio di informazioni, che in gergo tecnico potremmo chiamare “handshake di autorizzazione”, richiede che l’app rimanga attiva per alcuni secondi. Se chiudi l’app troppo presto, interrompi bruscamente questa comunicazione. L’app ha dato il suo OK, ma il sito del commerciante non l’ha mai ricevuto, e quindi la transazione risulta fallita per timeout o per mancata conferma.

La procedura corretta è un esercizio di pazienza che dura pochi secondi. Seguire questa sequenza garantisce che il dialogo di sicurezza si concluda correttamente, senza interruzioni.

  1. Clicca su “Paga” sul sito del commerciante e attendi di essere reindirizzato alla pagina di autenticazione.
  2. Ricevi e apri la notifica push sull’app della tua banca.
  3. Autorizza il pagamento usando il tuo fattore di inerenza (impronta, volto) o conoscenza (PIN dispositivo).
  4. Leggi il messaggio di conferma sull’app, che spesso dice “Autorizzazione completata, torna al sito del commerciante”.
  5. ATTENDI! Non chiudere l’app. Attendi che sia l’app stessa a reindirizzarti automaticamente al sito del commerciante, oppure clicca sul pulsante “Torna al sito” se presente.
  6. Solo quando vedi la pagina di conferma dell’ordine sul sito del commerciante, il processo è veramente concluso e puoi chiudere l’app in sicurezza.

Come autorizzare i pagamenti se hai cambiato smartphone ma la banca riconosce quello vecchio?

Hai appena acquistato un nuovo smartphone e, dopo aver installato tutte le tue app, provi a fare un pagamento online. Clicchi su “Paga”, ma la notifica di autorizzazione non arriva. Il problema è che, per la tua banca, il tuo “dispositivo di fiducia” è ancora quello vecchio. Per motivi di sicurezza, i sistemi bancari non legano l’autorizzazione solo al tuo account, ma anche a uno specifico dispositivo fisico che hai precedentemente registrato. Finché non comunichi alla banca che hai un nuovo “possesso” (il nuovo telefono), continuerà a inviare le richieste al vecchio dispositivo, che magari hai già venduto o ripristinato.

La procedura corretta per evitare questo blocco è agire *prima* di sbarazzarsi del vecchio telefono. La prevenzione è molto più semplice del recupero. Se hai ancora accesso al vecchio dispositivo, segui questi passaggi:

  • Accedi all’app della banca o all’home banking dal vecchio dispositivo.
  • Cerca una sezione chiamata “Gestione dispositivi”, “Dispositivi associati” o “Profilo e Sicurezza”.
  • Trova l’opzione per dissociare o rimuovere il dispositivo corrente.
  • Conferma l’operazione, probabilmente tramite un’ultima autenticazione.
  • Solo a questo punto puoi installare e attivare l’app sul nuovo telefono, che diventerà il nuovo dispositivo di fiducia.

Se invece hai già ceduto il vecchio telefono, la procedura di recupero varia notevolmente in base al tipo di banca. Qui emerge una differenza sostanziale tra istituti tradizionali e banche puramente digitali.

Caso pratico: Recupero accesso su banca tradizionale vs. banca online

Le banche tradizionali italiane, per ripristinare l’accesso e associare un nuovo dispositivo dopo aver perso quello vecchio, richiedono spesso un intervento fisico. L’utente deve recarsi in filiale con un documento d’identità e talvolta anche con il contratto del conto. Questa procedura, sebbene molto sicura, può richiedere tempo e non è pratica. Al contrario, le banche online come N26 o Revolut, non avendo filiali, hanno sviluppato processi di recupero interamente digitali. Solitamente utilizzano una procedura di video-identificazione: l’utente avvia una videochiamata con un operatore tramite l’app, mostra il proprio volto e un documento d’identità, e l’operatore verifica l’identità in tempo reale. L’intero processo permette di riassociare il nuovo dispositivo e recuperare la piena operatività in 24-48 ore, senza muoversi da casa.

Google Authenticator o SMS: quale metodo scegliere per evitare il SIM swapping?

Mentre le notifiche in-app sono diventate lo standard per la SCA, alcune piattaforme (non necessariamente bancarie) offrono ancora la scelta tra la ricezione di un codice via SMS e l’uso di un’app di autenticazione come Google Authenticator o Microsoft Authenticator. Sebbene l’SMS sembri più semplice, nasconde una vulnerabilità significativa: il SIM swapping. Questa truffa consiste nel convincere un operatore telefonico a trasferire il tuo numero di telefono su una nuova SIM controllata dal truffatore. Una volta fatto, il criminale riceverà tutti i tuoi SMS, inclusi i codici di autenticazione, e potrà accedere ai tuoi account.

Il fenomeno è in crescita e rappresenta una minaccia concreta. Come evidenziato da un recente report, la Polizia Postale ha intensificato il monitoraggio dei siti web malevoli, segno di un’attività criminale sempre più pervasiva. Le app di autenticazione, invece, sono immuni al SIM swapping. Esse generano un codice a tempo (TOTP – Time-based One-time Password) direttamente sul tuo dispositivo, senza alcuna comunicazione esterna. Il codice cambia ogni 30-60 secondi e funziona anche in modalità aereo.

La scelta tra i due sistemi ha implicazioni dirette sulla tua sicurezza. Questo confronto diretto mostra perché le app di autenticazione sono nettamente superiori.

SMS OTP vs App Authenticator (TOTP)
Criterio SMS OTP App Authenticator
Vulnerabilità al SIM swapping Alta Quasi nulla
Dipendenza dalla rete telefonica No (funziona offline)
Facilità di phishing Più facile intercettare Codice cambia ogni 30 secondi
Costo Possibili costi SMS Gratuito
Facilità d’uso Molto semplice Richiede configurazione iniziale

Per tutte le piattaforme che lo consentono, disabilitare l’autenticazione via SMS e passare a un’app come Google Authenticator è una delle scelte più efficaci che puoi fare per blindare la tua sicurezza digitale, andando oltre i requisiti minimi della SCA.

Perché è quasi impossibile replicare la tua impronta digitale per accedere al conto?

L’uso dell’impronta digitale o del riconoscimento facciale (il fattore di “Inerenza”) è diventato il metodo più comune e comodo per autorizzare i pagamenti. Ma quanto è davvero sicuro? Non si rischia che qualcuno possa replicare la nostra impronta? La risposta, con la tecnologia moderna, è: quasi impossibile. I sensori biometrici degli smartphone attuali sono molto più sofisticati di un semplice scanner fotografico. Non si limitano a leggere l’immagine del polpastrello, ma analizzano le caratteristiche uniche del tessuto vivo.

Questa tecnologia è ormai uno standard nel settore bancario italiano. Infatti, uno studio del 2024 rivela che l’83% delle banche italiane utilizza forme di autenticazione biometrica per l’accesso ai conti e per l’autorizzazione delle operazioni, proprio in virtù della sua elevata affidabilità. La sicurezza di questo sistema si basa su più livelli di protezione hardware e software.

Sistema di autenticazione a due fattori con app mobile per sicurezza bancaria

Ecco come funziona la protezione biometrica moderna, rendendo una replica praticamente inutile:

  • Analisi del tessuto vivo: I sensori capacitivi o a ultrasuoni non leggono solo le creste e le valli dell’impronta, ma misurano la conducibilità elettrica dei tessuti sottocutanei, una caratteristica impossibile da replicare con un calco in silicone o una foto.
  • Dati biometrici criptati: La tua impronta non viene salvata come un’immagine. Viene convertita in un modello matematico criptato e archiviata in un’area ultra-protetta del processore del telefono (chiamata Secure Enclave su Apple o TrustZone su Android).
  • Isolamento hardware: Questo “caveau” digitale è un chip fisicamente isolato dal resto del sistema operativo. Nessuna app, e nemmeno il sistema operativo stesso, può accedere direttamente ai dati biometrici grezzi. L’app della banca chiede semplicemente al chip: “È la persona giusta?”. Il chip risponde solo “sì” o “no”, senza mai condividere i dati.

Grazie a questa architettura, usare la tua impronta o il tuo volto per autorizzare un pagamento è uno dei metodi più sicuri a tua disposizione, combinando una sicurezza di livello militare con una comodità imbattibile.

Punti chiave da ricordare

  • La Strong Customer Authentication non è un ostacolo, ma un dialogo di sicurezza; la maggior parte dei pagamenti fallisce quando questo dialogo viene interrotto.
  • Le notifiche push dall’app della banca sono un canale crittografato, diretto e più affidabile degli SMS per autorizzare le transazioni.
  • Prima di viaggiare all’estero o cambiare smartphone, è fondamentale eseguire delle procedure preventive per evitare il blocco dei pagamenti.

Come riconoscere un SMS finto della banca che vuole svuotarti il conto?

Ora che sai come gestire i sistemi di autenticazione legittimi, è fondamentale saper riconoscere quelli falsi. Una delle truffe più diffuse è lo smishing, ovvero il phishing tramite SMS. I truffatori inviano messaggi che sembrano provenire dalla tua banca, con l’obiettivo di spingerti a cliccare su un link malevolo e a inserire le tue credenziali su un sito clone. Il loro tono è quasi sempre allarmistico, per farti agire d’impulso senza riflettere. Per difenderti, parti da una regola d’oro, ribadita costantemente dalle forze dell’ordine.

Come ricorda la Polizia Postale nella sua guida ufficiale antifrode:

Nessuna banca o Poste Italiane ti chiederà MAI via SMS, email o telefono di fornire le tue credenziali complete, i codici della carta o i codici di autorizzazione di una transazione

– Polizia Postale, Commissariato Online – Guida antifrode

Qualsiasi messaggio che ti chieda di fare ciò è, per definizione, una truffa. Oltre a questa regola aurea, ci sono diversi campanelli d’allarme che puoi imparare a riconoscere per identificare immediatamente un SMS sospetto:

  • Mittenti ingannevoli: Il nome del mittente può sembrare quello della banca, ma spesso contiene errori impercettibili o sostituzioni di lettere (es. “BancaIntesa” scritto come “Bancalntesa” con una “L” minuscola al posto della “i”).
  • Toni allarmistici e urgenza: Frasi come “Il tuo conto è stato bloccato”, “Accesso anomalo rilevato” o “Clicca subito per sbloccare la tua carta” sono usate per generare panico.
  • Link abbreviati o strani: Le banche usano i loro domini ufficiali. Un link che inizia con `bit.ly`, `tinyurl` o altri domini non riconoscibili è un segnale di frode quasi certo.
  • Richieste di dati sensibili: L’SMS ti invita a inserire password, numeri di carta o codici di sicurezza su una pagina web.
  • Errori grammaticali o di ortografia: I messaggi fraudolenti, spesso tradotti automaticamente, contengono errori che una comunicazione ufficiale non avrebbe.

Se ricevi un SMS del genere, la cosa giusta da fare è una sola: ignorarlo e cancellarlo. Non cliccare mai sul link. Se hai il dubbio che possa esserci un problema reale con il tuo conto, accedi all’app della banca o al sito ufficiale digitando tu stesso l’indirizzo nel browser, e non tramite il link ricevuto.

Ora che conosci i meccanismi dietro ogni potenziale blocco e sai distinguere le comunicazioni legittime da quelle fraudolente, hai il pieno controllo dei tuoi pagamenti online. Applica questi controlli preventivi e trasforma ogni transazione in un’operazione fluida e sicura.

Scritto da Elena Sartori, Analista di Cybersecurity Bancaria certificata CISSP con 15 anni di esperienza nella prevenzione delle frodi finanziarie. Collabora con istituti di vigilanza per contrastare phishing, malware e furti d'identità nel settore dei pagamenti elettronici.
Come configurare l’autenticazione a due fattori senza rischiare di chiudersi fuori dal conto?
Face ID o impronta digitale: quale è più sicuro della vecchia password per la tua banca?
Novità del sito
Quanto puoi permetterti di chiedere in prestito prima che la banca ti dica di no (Rapporto Rata/Reddito)?
Rata del mutuo troppo alta: quali opzioni hai oggi per abbassarla senza perdere la casa?
Simulatore rata prestito: quanto sono affidabili i preventivi online rispetto all’offerta reale in filiale?
Come le banche analizzano i tuoi ultimi 6 mesi di movimenti prima di concederti un mutuo?
App aggregatrici di conti: sono sicure per monitorare tutte le tue banche in una sola schermata?
Post simili
Come funziona il chip NFC del tuo telefono e come proteggerlo da letture indesiderate?
Come recuperare i soldi dalla banca dopo una truffa online: la procedura di chargeback
Cosa significa “sicurezza a 256 bit” e perché rende i tuoi soldi intoccabili dagli hacker?
Carta bloccata all’estero? Ecco perché succede e come sbloccarla subito