/ Servizi bancari / Token fisico o Token App: perché le banche stanno ritirando le “chiavette” di plastica?
Pubblicato il Maggio 18, 2024

Il passaggio dalla chiavetta fisica all’app non è un’inutile complicazione, ma la soluzione definitiva ai rischi nascosti, ai costi e ai fastidi del vecchio sistema.

  • L’autenticazione via app è tecnicamente più sicura dell’SMS, proteggendola da frodi sofisticate come il SIM swapping.
  • Elimina i problemi pratici come la batteria scarica, lo smarrimento del dispositivo (con costi di sostituzione) e le difficoltà operative quando si viaggia all’estero.

Raccomandazione: Attivi il nuovo sistema di token digitale tramite l’app della sua banca. È un’operazione che nella maggior parte dei casi può fare in pochi minuti da casa, garantendosi maggiore sicurezza e tranquillità.

Capisco perfettamente il suo dubbio. Per anni, quella piccola chiavetta di plastica è stata un simbolo di sicurezza, un oggetto fisico e tangibile che ci dava la certezza di essere gli unici a poter autorizzare le nostre operazioni bancarie. L’idea di sostituirla con qualcosa di “invisibile” come un’applicazione sullo smartphone può generare un senso di smarrimento e diffidenza. Molti si chiedono: “Perché cambiare un sistema che ha sempre funzionato? Non sarà meno sicuro?”. È una domanda più che legittima.

La risposta che si sente più spesso è che “la tecnologia avanza” o che “le app sono più comode”. Ma queste sono spiegazioni superficiali che non affrontano il cuore del problema: la sua tranquillità. La verità è che questo cambiamento non è solo una questione di modernità, ma una necessità legata a un significativo aumento della sicurezza e alla risoluzione di tanti piccoli, fastidiosi problemi che la chiavetta fisica portava con sé, spesso senza che ce ne rendessimo conto.

E se le dicessi che questo passaggio non è un’imposizione tecnologica, ma la soluzione definitiva a problemi concreti come la batteria scarica nel momento meno opportuno, il rischio di smarrimento o i costi nascosti? In questa guida, non ci limiteremo a dirle “cosa” sta cambiando. Insieme, come se fossimo seduti alla mia scrivania in filiale, vedremo “perché” questo cambiamento la protegge meglio e le semplifica la vita. La accompagnerò passo dopo passo a comprendere la logica di questa evoluzione, affinché non sia più una fonte di ansia, ma un passaggio consapevole verso una gestione del suo denaro più semplice e, soprattutto, più sicura.

Per affrontare questo argomento in modo chiaro e completo, analizzeremo insieme i punti chiave che spesso generano dubbi, dalla praticità quotidiana alle questioni di sicurezza, fino alle procedure di attivazione. Vedrà che ogni aspetto è stato pensato per offrirle un’esperienza migliore.

Sommario: Guida completa al passaggio dal token fisico al token digitale

Perché la batteria scarica della chiavetta ti blocca sempre nel momento peggiore?

Tutti ci siamo passati: dobbiamo fare un bonifico urgente, paghiamo una bolletta all’ultimo minuto, premiamo il pulsantino della chiavetta e… nulla. Schermo spento, batteria esaurita. È una delle frustrazioni più comuni e concrete legate al token fisico. Questo piccolo dispositivo, pensato per darci sicurezza, si rivela spesso un punto debole proprio per la sua natura materiale: ha una batteria con una vita limitata e non sostituibile. Quando si scarica, l’unica soluzione è recarsi in filiale per la sostituzione, con conseguente perdita di tempo e, talvolta, costi.

Questo non è un semplice inconveniente, ma un vero e proprio blocco operativo. Il token fisico è un oggetto in più da ricordare, da portare con sé e da cui dipendere. Se lo dimentica a casa o in ufficio, non può operare. Se si scarica, è completamente isolato dai suoi servizi bancari digitali fino alla sostituzione. Le banche italiane hanno riconosciuto da tempo questa criticità. Il passaggio al token digitale, integrato nello smartphone, elimina alla radice questo problema. Il suo telefono, che è già un compagno quotidiano e che teniamo costantemente carico, diventa lo strumento unico per generare i codici. Niente più batterie a sorpresa, niente più oggetti extra da gestire.

La transizione non è un capriccio, ma una scelta strategica per offrire un servizio più affidabile. Già nel 2019, istituti come Intesa Sanpaolo, UniCredit e BNL hanno iniziato a dismettere i vecchi sistemi, spingendo i clienti verso soluzioni basate su app o SMS, proprio per superare i limiti strutturali e la scarsa praticità dei dispositivi fisici. L’obiettivo è sempre stato quello di fornirle un accesso ai suoi conti che sia sempre disponibile, senza l’incognita di una batteria che la abbandoni sul più bello.

Come attivare il token app senza dover andare fisicamente allo sportello?

Una delle preoccupazioni più diffuse riguardo al passaggio al token digitale è l’idea di dover affrontare complesse procedure di attivazione, magari recandosi appositamente in filiale. Posso rassicurarla: nella stragrande maggioranza dei casi, l’attivazione del token via app è un processo studiato per essere semplice, rapido e completabile in totale autonomia, direttamente dal divano di casa sua. Le banche hanno investito molto per rendere questa transizione il più fluida possibile, proprio per venire incontro a clienti come lei.

Il processo di solito segue pochi, chiari passaggi. Il primo è scaricare l’applicazione ufficiale della sua banca dagli store sicuri (Google Play Store per Android o App Store per Apple). Una volta installata l’app, dovrà accedere con le sue credenziali di home banking, le stesse che usa già dal computer: il suo codice utente e la sua password. A questo punto, l’app stessa la guiderà in una procedura di “certificazione” del dispositivo. In pratica, il suo smartphone viene registrato come strumento sicuro e autorizzato a generare i codici OTP (One-Time Password).

Come dimostra questa tabella basata su una guida di Salvatore Aranzulla, molte delle principali banche italiane hanno reso questo passaggio quasi istantaneo, come evidenziato in questa guida dettagliata alle procedure di attivazione.

Procedure di attivazione remota token app per le principali banche italiane
Banca Attivazione 100% digitale Requisiti Tempo necessario
Banco BPM (YouApp) Download app, codice identificativo e password 1 minuto
Banca Sella App Sella da store ufficiali 1 minuto
Intesa Sanpaolo App con O-Key Smart Immediato
UniCredit Parziale App Mobile Banking + eventuale supporto filiale Variabile

Il concetto chiave è che il suo smartphone diventa “la sua filiale personale”. Ad esempio, con l’app YouApp di Banco BPM, il primo dispositivo su cui si accede diventa automaticamente il dispositivo certificato. Questo elimina la necessità di codici di attivazione cartacei o visite allo sportello, rendendo l’esperienza sicura e immediata. Vedrà, è molto più semplice di quanto possa sembrare.

Mani che tengono smartphone durante processo di attivazione app bancaria con impronta digitale

Questa immagine illustra perfettamente il momento in cui la tecnologia si unisce alla semplicità: un gesto naturale come usare l’impronta digitale diventa la sua firma sicura. In pochi istanti, senza codici complicati da ricordare, il suo telefono è pronto a operare. Se dovesse incontrare difficoltà, il servizio di assistenza telefonica della sua banca è sempre a disposizione per guidarla passo dopo passo.

Dispositivo dedicato o smartphone multifunzione: quale è tecnicamente più inviolabile?

Questa è forse la domanda più importante e la fonte del dubbio più grande: “Come può un telefono, che uso per mille altre cose, essere più sicuro di un dispositivo creato solo per la banca?”. La risposta può sembrare controintuitiva, ma lo smartphone, se usato correttamente, offre livelli di sicurezza superiori alla vecchia chiavetta. Il motivo risiede nel concetto di autenticazione a più fattori, che il suo telefono integra nativamente.

Pensiamoci. La chiavetta fisica è un oggetto basato su un solo livello di sicurezza: il possesso. Se qualcuno la ruba, ha in mano lo strumento per generare i codici. Certo, gli serve anche la sua password, ma un pezzo del puzzle è già nelle sue mani. Lo smartphone, invece, è una fortezza a più strati. Per usarlo, un malintenzionato dovrebbe prima superare la sua protezione di sblocco: un codice PIN, un’impronta digitale o il riconoscimento facciale. Questo è il primo, invalicabile cancello. Solo dopo si trova di fronte all’app della banca, protetta a sua volta da un’altra password o nuovamente dalla sua biometria.

Il vero punto debole, oggi, non è il dispositivo, ma il canale di comunicazione. Molte banche, inizialmente, hanno sostituito il token fisico con codici inviati via SMS. Sebbene comodo, l’SMS è vulnerabile a una frode chiamata SIM swapping. In questa truffa, un criminale, con documenti falsi, riesce a convincere l’operatore telefonico a trasferire il suo numero su una nuova SIM. Da quel momento, riceve lui tutti i suoi SMS, inclusi i codici della banca. Non è un rischio teorico: come documenta un’indagine della Polizia Postale riportata da esperti di sicurezza informatica già nel 2015, le prime frodi di questo tipo in Italia hanno causato danni ingenti.

I primi casi si sono verificati negli Stati Uniti e già dal 2015 si è avuta notizia dei primi casi in Italia di cui ricordo in particolare un’indagine della Polizia Postale su una frode informatica ai danni di una banca on-line ai cui clienti, residenti in varie parti d’Italia, erano stati sottratti 300.000,00 euro.

– Rossetti, Soft Strategy – Sim swap fraud

L’app token, invece, genera il codice direttamente all’interno del suo dispositivo “certificato”, senza passare per la rete telefonica SMS. Questo canale è crittografato e legato indissolubilmente al suo specifico telefono. Ecco perché lo smartphone, unito a un’app token, è la soluzione tecnicamente più robusta: unisce qualcosa che lei *ha* (il telefono) a qualcosa che lei *è* (la sua impronta) e qualcosa che lei *sa* (il PIN dell’app).

Il rischio di perdere la chiavetta fisica e dover pagare 20 € per la sostituzione

Oltre alla sicurezza, c’è un altro aspetto molto concreto da considerare: il costo. Sebbene la prima chiavetta fisica le venisse fornita gratuitamente, cosa succedeva in caso di smarrimento, furto o semplice rottura? Nella maggior parte dei casi, la banca addebitava un costo di sostituzione, che poteva variare ma si aggirava spesso intorno ai 10-20 euro. Un piccolo ma fastidioso esborso, a cui si aggiungeva il disagio di dover bloccare il vecchio token e attendere l’arrivo di quello nuovo.

Questo è un altro “costo nascosto” del sistema fisico. Il passaggio al token digitale, nella maggior parte dei casi, elimina completamente questa spesa. L’attivazione dell’app è gratuita e, se dovesse cambiare smartphone, le basterà ripetere la semplice procedura di certificazione sul nuovo dispositivo, senza alcun costo. Le banche stesse hanno usato la leva economica per incoraggiare questo passaggio. Ad esempio, UniCredit, nel suo processo di transizione, ha introdotto un costo di emissione di 5 euro per chi richiedeva un nuovo token fisico (UniCredit Pass), rendendo di fatto il passaggio al Mobile Token gratuito la scelta economicamente più logica per i clienti.

Vista macro di monete euro accanto a chiavetta token e smartphone su superficie in legno

Questa immagine rappresenta visivamente il confronto: da un lato, un oggetto fisico che può rompersi o perdersi, generando costi imprevisti; dall’altro, uno strumento che già possiede e che si trasforma in un servizio gratuito. Anche quando è previsto un canone, come nel caso di alcune offerte, questo risulta spesso inferiore nel lungo periodo rispetto ai potenziali costi di sostituzione del dispositivo fisico. La strategia delle banche è chiara: rendere la soluzione digitale non solo più sicura e pratica, ma anche economicamente più vantaggiosa per lei.

In sintesi, con il token digitale non solo elimina il rischio di blocchi operativi, ma si protegge anche da spese impreviste. È un piccolo ma significativo passo verso una gestione del conto corrente più serena e senza sorprese.

Quando le banche smetteranno definitivamente di supportare i generatori di codici fisici?

La risposta breve a questa domanda è: per la maggior parte, lo hanno già fatto. L’abbandono della chiavetta fisica non è una tendenza del futuro, ma un processo che si è in gran parte concluso già da qualche anno. Il punto di svolta è stato il 14 settembre 2019, data in cui è entrata in vigore in tutta Europa la Direttiva sui Servizi di Pagamento 2 (PSD2). Questa normativa ha imposto regole molto più severe per la sicurezza delle transazioni online, introducendo l’obbligo della cosiddetta “Strong Customer Authentication” (SCA), ovvero l’autenticazione forte del cliente.

Questo obbligo ha reso di fatto obsoleti e non più sufficientemente sicuri molti dei vecchi sistemi, incluse le chiavette di prima generazione e le “password card” (i cartoncini con le griglie di codici). Di conseguenza, tutte le principali banche italiane si sono adeguate, programmando una dismissione definitiva dei vecchi dispositivi. Non si è trattato di una decisione autonoma di ogni singola banca, ma di un adeguamento normativo a livello europeo, come confermato in un’analisi di Altroconsumo sulla dismissione dei token fisici, che ha visto banche come BNL e Credem fissare proprio quella data come termine ultimo.

Ecco una breve cronologia che le darà un’idea chiara di quanto questo processo sia stato rapido e coordinato:

  • 12 marzo 2019: UniCredit inizia a eliminare le vecchie Password Card.
  • 4 maggio 2019: Intesa Sanpaolo dismette ufficialmente la storica chiavetta O’Key.
  • 14 settembre 2019: Con l’entrata in vigore della PSD2, banche come BNL, Credem e MPS cessano il supporto per i token fisici.

Oggi, sebbene qualche istituto minore possa ancora offrire un token fisico di nuova generazione (spesso a pagamento), la quasi totalità del sistema bancario italiano si è spostata su soluzioni digitali. Resistere a questo cambiamento, quindi, non è più un’opzione praticabile. Il mio consiglio, da direttore di filiale, non è di “subire” questa transizione, ma di comprenderla e gestirla. Accettare il passaggio al token digitale oggi significa garantirsi la piena operatività con la propria banca per il futuro, senza rischiare di trovarsi un giorno con uno strumento non più supportato.

Google Authenticator o SMS: quale metodo scegliere per evitare il SIM swapping?

Abbiamo stabilito che il passaggio al digitale è inevitabile e più sicuro. Ora, però, si trova di fronte a una scelta: quale metodo digitale usare? Molte banche offrono due alternative principali: ricevere un codice via SMS o usare un’app di autenticazione (come l’app della banca stessa, o app terze come Google Authenticator). Sebbene entrambi siano digitali, la differenza in termini di sicurezza è enorme. Senza esitazione, le dico che la soluzione basata su un’app è infinitamente più sicura.

Il motivo, come abbiamo accennato, è la vulnerabilità degli SMS alla frode del SIM swapping. Questa tecnica è subdola perché non attacca il suo telefono, ma il suo numero di telefono. I criminali, ottenendo i suoi dati personali (spesso tramite phishing o fughe di dati), creano un documento falso e si presentano a un negozio del suo operatore telefonico, chiedendo una nuova SIM per “smarrimento”. L’operatore, ingannato, disattiva la sua SIM e attiva quella del truffatore. Da quel momento, ogni codice OTP inviato via SMS arriva a lui, che può così autorizzare bonifici dal suo conto. È una minaccia reale e devastante: un’operazione della Polizia Postale ha smantellato una rete che aveva sottratto oltre 600.000 euro con frodi SIM swap.

Un’app di autenticazione, invece, neutralizza completamente questo rischio. Ecco perché:

  1. Generazione Offline: Il codice viene generato direttamente all’interno del suo dispositivo, usando un algoritmo segreto sincronizzato con la banca. Non viaggia sulla rete SMS, quindi non può essere intercettato.
  2. Legame con il Dispositivo: L’app è “sposata” con il suo specifico smartphone. Anche se un criminale clonasse la sua SIM, non potrebbe generare alcun codice perché non possiede il dispositivo fisico certificato.
  3. Protezione Aggiuntiva: L’accesso all’app stessa è protetto da PIN o biometria, aggiungendo un ulteriore livello di sicurezza.

La scelta, quindi, è chiara. Se la sua banca le offre la possibilità di usare il “Token App” o “Mobile Token”, la scelga sempre rispetto all’opzione SMS. È la decisione che le garantisce la massima tranquillità digitale, proteggendola dalle frodi più moderne e insidiose. Usare l’SMS è come lasciare la chiave sotto lo zerbino; usare l’app token è come chiuderla in una cassaforte.

Token fisico o Mobile Token: quale sistema crea meno problemi all’estero?

Viaggiare dovrebbe essere un piacere, ma per chi si affida ancora a sistemi di autenticazione tradizionali può trasformarsi in un incubo bancario. Se si trova all’estero e ha bisogno di fare un’operazione online, la scelta tra token fisico e mobile token fa un’enorme differenza. Anche in questo scenario, il Mobile Token (l’app) vince a mani basse per praticità e affidabilità.

Il primo grande problema del sistema SMS all’estero sono il roaming e la copertura. Per ricevere il codice via SMS, deve avere il telefono connesso a una rete mobile. In molte zone del mondo, la copertura può essere scarsa o assente. Inoltre, la ricezione di SMS in roaming può avere dei costi, a volte non trascurabili, che si sommano alle spese del viaggio. Molti correntisti italiani, come riportato da associazioni di consumatori, hanno segnalato proprio questa criticità, trovandosi a pagare per ogni singolo codice ricevuto o, peggio, a non riceverlo affatto.

Il token fisico, da questo punto di vista, sembrava una buona soluzione: non avendo bisogno di connessione, funzionava ovunque. Ma portava con sé tutti i suoi soliti rischi, amplificati dalla situazione del viaggio: smarrimento o furto. Perdere la chiavetta mentre si è a migliaia di chilometri da casa significa essere completamente tagliati fuori dalla propria operatività bancaria, un problema molto serio.

Il Mobile Token via app risolve entrambi questi problemi in un colpo solo. La maggior parte delle app token delle banche è progettata per funzionare anche offline. Poiché il codice viene generato da un algoritmo interno al telefono, non ha bisogno né di rete cellulare né di Wi-Fi. Può trovarsi in mezzo al deserto o su un’isola remota: se ha il suo telefono, può generare il codice e autorizzare l’operazione (ovviamente, le servirà una connessione internet per accedere al sito della banca, ma non per generare il codice). Inoltre, avendo tutto consolidato nel suo smartphone, ha un oggetto in meno da rischiare di perdere.

La sua checklist di tranquillità bancaria prima di partire

  1. Verifichi se l’app token della sua banca funziona offline (la maggior parte sì).
  2. Salvi nella rubrica del telefono i numeri di assistenza internazionale della sua banca.
  3. Se possibile, attivi il token mobile su un secondo dispositivo (es. un tablet) come backup.
  4. Controlli la data di scadenza del suo contratto o dei certificati digitali, se indicata.
  5. Verifichi se l’app richiede ancora SMS per alcune operazioni critiche e, se possibile, disabiliti questa opzione a favore dell’autenticazione via app.

Punti chiave da ricordare

  • Il passaggio al token digitale è una conseguenza diretta della normativa europea PSD2, che ha imposto standard di sicurezza più elevati per proteggere i consumatori.
  • Il sistema di autenticazione tramite app è intrinsecamente più sicuro dell’SMS, in quanto immune alle frodi di SIM swapping che sfruttano la vulnerabilità del numero di telefono.
  • Il token digitale elimina i problemi pratici della chiavetta fisica: batteria che si scarica, rischio di smarrimento con costi di sostituzione e difficoltà operative durante i viaggi all’estero.

Perché la banca ti chiede due codici per pagare online e come evitare blocchi improvvisi?

Arrivati a questo punto, il quadro dovrebbe essere più chiaro. La richiesta di “due codici” o, più correttamente, di una doppia verifica, non è un capriccio della sua banca, ma il cuore della nuova filosofia di sicurezza imposta dalla direttiva europea PSD2. Questo meccanismo si chiama Strong Customer Authentication (SCA) e si basa su un principio tanto semplice quanto efficace: per essere sicuri che sia davvero lei a compiere un’operazione, la banca deve verificare almeno due dei seguenti tre fattori:

  1. Conoscenza: Qualcosa che solo lei sa (es. la password o il PIN del suo home banking).
  2. Possesso: Qualcosa che solo lei ha (es. il suo smartphone certificato).
  3. Inerenza: Qualcosa che lei è (es. la sua impronta digitale o il suo volto).

Quando fa un bonifico, ad esempio, la banca le chiede prima il PIN (Conoscenza) e poi un codice OTP generato dal suo smartphone (Possesso). Ecco la “logica della doppia chiave” in azione. Questo sistema rende la vita dei truffatori estremamente difficile. Anche se riuscissero a rubarle la password, senza avere fisicamente in mano il suo telefono non potrebbero fare nulla. E viceversa.

Come evitare, quindi, blocchi improvvisi? La chiave è proprio abbracciare il sistema digitale in modo corretto. I blocchi, oggi, avvengono principalmente per tre motivi: si digita troppe volte un PIN errato, si utilizza un sistema obsoleto non più supportato (come una vecchia chiavetta), oppure si hanno problemi di ricezione se ci si affida ancora agli SMS. Passando definitivamente al token via app e familiarizzando con il suo funzionamento, si eliminano quasi tutte le cause di blocco. La sua impronta digitale non può essere “dimenticata” come un PIN, e l’app funziona indipendentemente dalla copertura telefonica. La transizione non è quindi un ostacolo, ma la soluzione per un’operatività più fluida e senza interruzioni.

Spero che questa guida le sia stata d’aiuto per vedere questo cambiamento non più con timore, ma con la consapevolezza di chi ha capito i vantaggi concreti per la propria sicurezza e praticità. Il mio obiettivo era fornirle tutti gli strumenti per una scelta informata e serena. Per mettere in pratica questi consigli, il prossimo passo è verificare la procedura esatta della sua banca e procedere con l’attivazione: la sua tranquillità digitale è a portata di mano.

Scritto da Francesca Rossi, Educatrice Finanziaria e Formatrice, ex Responsabile Area Crediti con focus sulla gestione del budget familiare e la trasparenza bancaria. Aiuta le famiglie a ottimizzare le spese e a scegliere i conti correnti più convenienti.
Notifiche SMS a pagamento: come smettere di pagare e guadagnare in sicurezza
Carta di credito revolving o a saldo? La guida per non pagare interessi nascosti del 18%
Novità del sito
Quanto puoi permetterti di chiedere in prestito prima che la banca ti dica di no (Rapporto Rata/Reddito)?
Rata del mutuo troppo alta: quali opzioni hai oggi per abbassarla senza perdere la casa?
Simulatore rata prestito: quanto sono affidabili i preventivi online rispetto all’offerta reale in filiale?
Come le banche analizzano i tuoi ultimi 6 mesi di movimenti prima di concederti un mutuo?
App aggregatrici di conti: sono sicure per monitorare tutte le tue banche in una sola schermata?
Post simili
Bonifico Istantaneo: quando conviene usarlo e come cambiano i costi con le nuove regole UE?
Pagare senza contatto: limiti, comodità e come gestire le spese sotto i 50 euro senza PIN
Google Wallet, Apple Pay o Samsung Pay: la guida definitiva per scegliere il portafoglio digitale in Italia
Dossier titoli: conviene ancora tenerlo in banca o è meglio spostarlo online?