Può capitare di ricevere una notifica – via mail o via SMS, ma anche sullo smartphone – in cui veniamo informati che c’è stato un accesso non riconosciuto al nostro conto corrente online. Se non si è fatto nulla che possa giustificare un messaggio del genere, ad esempio collegarsi per la prima volta con il nuovo telefono o da un computer che non avevamo mai usato prima per simili scopi, è normale farsi prendere un po’ dal panico e pensare che qualche malintenzionato stia cercando di impadronirsi del nostro denaro, ma fortunatamente non è sempre questo il caso.
Vediamo qui di seguito quali possono essere le cause di una simile situazione e come è possibile risolverla.
La sicurezza è una questione fondamentale per qualsiasi conto corrente, ma lo è ancora di più per i conti correnti online, visto che tutto viene fatto digitalmente: non c’è un impiegato allo sportello che controlla la nostra identità, ma dobbiamo fornirla – sul PC, sul tablet o sullo smartphone – fornendo come prima cosa le nostre credenziali, ovvero username e password. Questo però non basta: da tempo, ormai, è obbligatoria nei conti correnti online la cosiddetta autenticazione a due fattori, che prevede un secondo metodo di autenticazione in modo da evitare il rischio che qualcuno possa essere venuto in possesso delle nostre credenziali d’accesso e possa quindi disporre a suo piacimento del suo patrimonio.
L’autenticazione a due fattori può operare in vari modi: i più comuni sono l’invio di un codice OTP (one-time password, cioè un codice usa e getta) su un dispositivo in nostro possesso che abbiamo provveduto a registrare nel nostro profilo di conto, come un SMS sul telefono o una mail al nostro indirizzo. In alternativa l’autenticazione, se viene effettuata su un dispositivo portatile, può essere data grazie a dati biometrici, in primo luogo il riconoscimento facciale o dell’impronta digitale. Infine, ci possono essere degli speciali dispositivi, dati dalla banca, che cambiano ogni minuto o giù di lì il codice OTP da inserire, e solo chi ne è in possesso può accedere al conto (oggi però queste funzioni vengono perlopiù svolte da un’app con questo scopo, piuttosto che con un dispositivo separato). Dimostrando così due volte la propria identità si può finalmente accedere al conto.
Attenzione, però: se si può fare ricorso a una certa tipologia di operazioni bancarie in questo modo, ciò non significa che si possa accedere a tutte senza dare ulteriori prove della propria identità. Con l’autenticazione a due fattori, infatti, è possibile controllare il proprio matrimonio, consultare l’estratto conto e così via, ma non si possono dare disposizioni più complesse, come ad esempio un bonifico, la richiesta di un prestito, la creazione di un nuovo RID per pagare le forniture eccetera. In questo caso, infatti, è necessario un terzo livello di autenticazione per dare l’ok alla singola disposizione, di solito con un altro PIN segreto scelto dall’utente, o approvando l’operazione da un’app sullo smartphone. Come si vede, vista la delicatezza della questione i sistemi di sicurezza in un conto corrente online sono molto avanzati, per ridurre al minimo le possibilità che qualcun altro cerchi di accedere ai nostri soldi.
| Sistema di sicurezza | Scopo |
| Credenziali di accesso | Servono per il primo livello di accesso al conto corrente |
| Password OTP o riconoscimento biometrico | Servono per il secondo livello di accesso al conto corrente, con possibilità di controllare addebiti e accrediti, estratto conto, portafoglio titoli ecc. |
| PIN o riconoscimento biometrico aggiuntivo | Servono per autorizzare le disposizioni dal conto, come i bonifici |
Tutto questo non significa, però, che non ci sia più alcun rischio; anche se è difficile, non è impensabile che qualcuno possa impadronirsi sia delle nostre credenziali che del nostro dispositivo di controllo, magari uno smartphone non abbastanza avanzato da avere il riconoscimento biometrico (l’unico che assicura che solo noi possiamo entrare sul nostro conto). Un’altra eventualità è quella del phishing, ovvero di quei tentativi di furto dell’identità effettuati tramite l’invio all’utente di mail contraffatte (o anche SMS) in cui si invita a fornire le proprie credenziali con varie giustificazioni, come la necessità di un controllo o l’accredito di un bonifico a favore del correntista, o, appunto, la notifica di un accesso non riconosciuto. Queste mail vengono composte in modo da assomigliare a quelle ufficiali inviate dalla propria banca, e se l’utente non è attento rischia di essere lui stesso a fornire i suoi dati ai malintenzionati, per vedersi poi, qualche tempo più tardi, una notifica di accesso non riconosciuto al conto online.
Per difendersi efficacemente dal phishing, è bene sapere che praticamente nessuna banca può chiedere direttamente le credenziali di un suo utente via mail, e anzi sono proprio gli istituti di credito i primi a sconsigliare di fornire dati sensibili. È necessario inoltre controllare l’attendibilità della mail prima di aprirla, verificando il mittente e il dominio, non scaricando allegati e soprattutto senza cliccare sul link. Se si hanno ancora dubbi, prima di fornire i propri dati è indispensabile contattare la banca chiedendo chiarimenti e una conferma, ma nella quasi totalità dei casi mail o SMS di questo genere sono da cancellare il prima possibile.
Come comportarsi, quindi, quando arriva una notifica che segnala un accesso non riconosciuto? La prima cosa è accertarsi con la massima sicurezza possibile di non essere stati noi a causare la notifica, e l’eventualità che questo accada è molto probabile. Ad esempio, può arrivarci un simile messaggio se stiamo cercando di accedere al nostro conto da una pagina in incognito del browser, oppure se abbiamo cambiato smartphone e abbiamo aperto la prima volta l’app della banca. In altri casi è la connessione diversa da quella che usiamo di solito a fare scattare l’allarme, magari perché non siamo collegati in quel momento al wi-fi di casa o stiamo operando sul 4G o sul 5G del nostro smartphone.
In ogni caso, prima di prendere qualsiasi provvedimento è necessario essere certi di non avere alcuna responsabilità, perché le procedure di blocco di un conto sono laboriose e difficili da cancellare. In secondo luogo, bisogna accertarsi che questa notifica non sia essa stessa, a sua volta, un tentativo di phishing: viene fornito un link per “disconoscere” il tentativo di accesso e l’utente spaventato corre a cliccarlo, cadendo così nella trappola tesa per lui. Valgono quindi le stesse indicazioni riportate qui sopra: l’attendibilità della notifica va accertata senza alcun dubbio. Quando si riceve una notifica di accesso non riconosciuto, quasi sempre vengono forniti, nella seconda parte del messaggio, i contatti da utilizzare per parlare con la banca e chiarire la situazione: bisogna evitare di utilizzare eventuali link e chiamare la banca con il consueto numero verde, anche con il rischio di impiegarci un po’ di più, perché le conseguenze di chi cade nella truffa di un finto accesso non riconosciuto corre pericoli ben maggiori.
Nell’eventualità (remota, è il caso di ricordarlo ancora) in cui qualcuno abbia effettivamente trovato il modo per accedere al nostro conto e utilizzare il nostro denaro, bisogna segnalarlo immediatamente alla banca e richiedere senza indugi il blocco di ogni pagamento, per poi provvedere a presentare una denuncia alla Polizia o ai Carabinieri. Una copia della denuncia dovrà essere presentata anche alla banca. Va detto che la banca è obbligata a rimborsare al cliente l’importo indebitamente prelevato, salvo motivato sospetto di frode, dolo o colpa grave del cliente (proprio fornire le proprie credenziali in un tentativo di phishing potrebbe rientrare nel caso di “colpa grave”: ragione in più per diffidare di mail ed SMS sospetti). In questa tabella, riassumiamo le cose da fare:
