Gestione Sicura del Conto Corrente

Introduzione: avere un conto corrente online è semplice e conveniente, ma la sicurezza digitale è fondamentale per evitare furti e truffe.

La PSD2 (Payment Services Directive 2) è una direttiva europea, entrata in vigore nel 2018, che regola i servizi di pagamento e la sicurezza nell’uso dei conti bancari online. Nello specifico richiede alle banche di verificare l’identità dell’utente usando almeno due fattori di autenticazione indipendenti, si parla a riguardo di Strong Customer Authentication (SCA) o Autenticazione Forte del Cliente. La SCA richiede pertanto almeno un codice fisso (password / pin) oltre a un codice monouso (OTP) generato dall'app mobile della banca installata sul proprio smartphone, inviato via sms, oppure generato da un dispositivo elettronico separato (token). Il codice OTP può essere sostituito dall'APP bancaria dal riconoscimento biometrico, ovvero tramite impronta digitale.
La banca dovrà sempre richiedere la SCA per le operazioni a seguire.

• Accesso alla home banking;
• autorizzazione di pagamenti online;
• operazioni dispositive sensibili, come ad esempio il cambio di un dato personale sensibile.

La PSD2 fornisce riscontri anche in materia di tutela del correntista in caso di truffe o pagamenti da lui non personalmente autorizzati. Nello specifico la PSD2 impone il rimborso immediato ed integrale delle somme prelevate non autorizzate fatto salvo il caso che la banca dimostri che il cliente ha agito con grave negligenza, ad esempio comunicando le proprie credenziali a terzi, oppure non abbia adottato le misure minime di protezione richieste contrattualmente dalla banca. Il correntista ha fino a 13 mesi di tempo per contestare un addebito non riconosciuto, tuttavia a seguito di una operazione non autorizzata è fondamentale quanto prima procedere come segue.

• Segnalare alla banca l’operazione sospetta o non autorizzata.
• Bloccare i dispositivi di accesso alla home banking e gli strumenti di pagamento.
• Inoltrare, mediante R.AR oppure PEC, una comunicazione scritta di disconoscimento dell’operazione.

Se non ottieni la prevista tutela puoi rivolgerti in via stragiudiziaria all’ABF o alla Banca d’Italia.

Il phishing è il tentativo di truffa informatica più diffuso attraverso la quale il malintenzionato cerca di carpire le credenziali del tuo conto bancario con operatività online. A seguire i consigli generali per difendersi nel merito.

• Attivare gli alert della banca per movimentazione del conto.
• Diffidare dalle email ricevute (apparentemente) dalla propria banca e che richiedono di cliccare su link contenuti, a tal riguardo accedere al proprio conto online sempre e soltanto digitandone l'indirizzo nel browser. Verificare che sulla barra di navigazione compaia il simbolo del lucchetto (connessione sicura).
• Evitare di accedere al proprio conto online da dispositivi condivisi con altri utenti. In quanto tra le altre cose potrebbero contenere keylogger ovvero malware in grado di carpire le informazioni digitate.
• Eseguire il logout al termine dell'utilizzo di un servizio online.
• Utilizzare password complesse (almeno 7 caratteri includendo minuscole, maiuscole, numeri e segni speciali), sempre diverse e modificarle con regolarità.
• Evitare di fornire sui sociali informazioni personali sensibili (es. data di nascita) e diffidare dagli approcci in tal senso da persone sconosciute.

Per quanto detto in precedenza grazie all'autenticazione forte, SCA, la conoscenza della username e della password non è sufficiente a consentire accessi alla home banking non autorizzati.

Truffe più sofisticate potrebbero prevedere il furto della propria utenza sim mobile. A tale riguardo carpendo i propri dati personali unitamente a documenti falsi creati ad hoc, si potrebbero venire a creare le condizioni per la duplicazione / portabilità fraudolenta della propria sim aggirando la SCA se basata su OTP SMS oppure basati sul numero telefonico mobile. Spesso il blackout della linea è il primo segnale di un SIM swap in corso. Per evitare all'origine tale approccio fraudolento è fondamentale preferire OTP via APP oppure generati mediante token fisici.