Che cosa è il codice di sicurezza della carta di credito?

Aggiornato il: 02/11/2021
di Alessandro Voci
Pubblicato il: 02/11/2021

Con codice di sicurezza della carta di credito ci si può in realtà riferire, nel linguaggio di tutti i giorni, a diversi codici numerici (soprattutto il codice CVV o CVV/2 o il PIN) che permettono di effettuare transazioni utilizzando questa forma di pagamento senza rischi. Sia per gli acquisti online che per quelli fisici, infatti, non basta avere il numero della carta o, nel secondo caso, la carta stessa per acquistare qualcosa, ma è appunto richiesto l’inserimento di un codice. Facciamo chiarezza e vediamo come funziona il codice di sicurezza della carta di credito nei vari casi.

Codice di sicurezza carta di credito

Il codice CVV/CVV2

Tecnicamente, con “codice di sicurezza della carta di credito” si dovrebbe alludere al codice CVV o CVV2. Questo acronimo) sta per Card Validation Value o Card Verification Value ed è un numero di 3 o 4 cifre stampato sulla maggior parte delle carte di credito, di solito sul retro (ma, nel caso della American Express, è invece davanti, accanto al numero della carta). In altri casi viene chiamato CVC (Card Validation Code) o CIN (Card Identification Number), ma si parla sempre della stessa cosa, ovvero del codice di sicurezza nato per cercare di contrastare il fenomeno di clonazione delle carte di credito che è necessario fornire in determinate tipologie di transazioni.

Per la precisione, il CVV non viene comunicato quando si effettua un acquisto tramite POS, perché anche le informazioni relative a questo codice vengono trasmesse attraverso il passaggio della banda magnetica. È invece necessario fornirlo sia negli acquisti online che quando si compra qualcosa comunicando il numero della carta di credito, magari al telefono (per quanto questa pratica sia sconsigliata quando possibile, perché si rischia effettivamente di vedersi addebitare cifre per acquisti di altri, a meno di non avere altri livelli di protezione come l’autenticazione a due fattori di cui parleremo più avanti).

Il CVV viene impresso (e, nella maggior parte dei casi, non stampato proprio per evitare rischi di clonazione) sulla carta ed è composto da 3 numeri nel caso di carte di credito MasterCard o VISA o di 4 numeri per le American Express.

Il PIN della carta di credito

Anche le carte di credito hanno un PIN, ovvero Personal Identification Number, che è il codice di sicurezza utilizzato di norma per gli acquisti con le carte di debito (Bancomat) o per il prelievo allo sportello automatico. Questo perché quando si effettua una transazione tramite POS con la carta di credito si deve scegliere su quale circuito appoggiarsi, quello del Bancomat che fa funzionare a tutti gli effetti la carta come se fosse una carta di debito (e quindi l’addebito della cifra pagata è immediato, a differenza di essere rinviato nel tempo) o quello della carta di credito (che permette di saldare il conto il mese successivo, di solito il 10); a volte la domanda viene effettuata dallo stesso operatore che ci porge il POS, il fatidico “Bancomat o carta?”.

Se, appunto, scegliamo di utilizzare il primo circuito, oppure stiamo procurandoci dei contanti all’ATM, ci verrà richiesto il codice PIN, che può considerarsi anch’esso un codice di sicurezza della carta. Di solito il PIN ha cinque cifre, ma può anche averne 4.

Attenzione: per gli acquisti online e per le transazioni al telefono non viene richiesto il PIN, quindi bisogna stare attenti a non confondersi. Va ribadito che il PIN viene richiesto nei pagamenti tramite POS in modalità Bancomat o nei prelievi, il CVV o CVV2 è invece da fornire per gli acquisti su Internet o quelli al telefono. Ci sono però dei casi in cui il PIN non è richiesto anche se si effettua una transazione fisica: questo accade con i pagamenti contactless per cifre inferiori ai 25 euro, ovvero quelli in cui è sufficiente avvicinare la carta al lettore: in questo caso, se il POS è abilitato, non sarà necessario inserire alcun codice.

Le altre misure di sicurezza per la carta di credito: l’autenticazione a due fattori

Come si è visto, l’utilizzo del codice di sicurezza della carta di credito ha il compito di rendere le transazioni più sicure, ma non è necessaria molta fantasia per accorgersi che si tratta di misure forse non sufficienti a garantire una protezione davvero a prova di malintenzionato. Questo perché CVV e PIN sono nati in un periodo storico in cui l’utilizzo del denaro digitale, come le carte di credito o di debito, non era ancora diffuso come oggi. Allo stato attuale, invece, sono gli stessi governi a disincentivare l’uso del contante e quindi a favorire il ricorso alle carte di pagamento, per ragioni di tracciabilità delle transazioni e di conseguenza di lotta all’evasione. 

Con un ricorso così massiccio alle carte di credito, i rischi aumentano: infatti almeno in teoria per un acquisto online sarebbe sufficiente fare una fotografia della carta di credito (fronte/retro per quelle dei circuiti VISA e MasterCard, anche solo frontale, come si è visto, per l’American Express, che ha il suo CVV davanti) ed entrare così in possesso di tutti i dati necessari per comprare qualcosa. Per gli acquisti fisici, invece, c’è il pericolo della clonazione, che può essere solo parzialmente scongiurato con l’inserimento del PIN. Come fare, quindi, per essere certi che nessun altro se non il proprietario sta acquistando qualcosa?

L’autenticazione a due fattori è oggi il metodo più usato per incrementare la sicurezza nelle transazioni con le carte di pagamento. “Due fattori” significa che non basta più un singolo sistema di controllo, come appunto l’inserimento di un codice di sicurezza; è invece richiesta una seconda autorizzazione che confermi l’identità del richiedente, da darsi in diversi modi e su strumenti diversi. L’autenticazione a due fattori è utilizzata per gli acquisti online visto il sempre maggior peso che questi hanno nell’economia mondiale, con l’e-commerce che, per la sua comodità e praticità, viene utilizzato da un numero sempre crescete di persone.

Il caso più comune è quello della notifica SMS che viene inviata al numero di telefono registrato presso il proprio conto corrente quando si usa una carta legata a quel conto; in altre parole, si inseriscono tutti i dati della carta e si riceve un messaggio sul cellulare dove viene ad esempio comunicato un codice OTP (ovvero one-time password, in altre parole una password usa-e-getta) da inserire nel campo che, sul dispositivo dove si sta effettuando l’acquisto, viene presentato all’acquirente. Un altro tipo di autenticazione a due fattori, ancora più comodo, è quello dell’indicatore biometrico, come l’impronta digitale o la retina che vengono identificati da un apposito sensore sul proprio dispositivo: in questo modo il sistema ha la certezza che chi sta chiedendo l’autorizzazione per la transazione può essere soltanto il legittimo titolare del conto.

Che cosa fare per evitare addebiti non dovuti

In ogni caso è bene tenere a mente poche semplici regole relative ai codici di sicurezza per non rischiare che qualcun altro entri in possesso dei dati necessari per effettuare un acquisto a nostro nome e sottrarci così il nostro denaro:

  • effettuare acquisti solo su siti sicuri, cioè quelli il cui indirizzo è preceduto dalla dicitura https;
  • conservare il PIN in un luogo sicuro e non vicino alla relativa carta di credito o di debito;
  • evitare di fare acquisti al telefono con la carta di credito;
  • controllare regolarmente l’estratto conto;
  • attivare le notifiche che, anche senza autenticazione a due fattori, indicano in tempo reale gli acquisti che sono stati effettuati da una determinata carta.