Pagare con un Tap è diventato un gesto automatico. Dietro la promessa di transazioni istantanee e senza attrito, però, il fronte della sicurezza si sposta sempre più dalla tecnologia alla psicologia: i sistemi si blindano con SCA, tokenizzazione e biometrici, mentre i truffatori aggirano le difese manipolando il pagatore, rendendo “autorizzata” la frode. In mezzo scorrono contactless, wallet e notifiche in-app, tra SIM swap, phishing sempre più credibile e deepfake che mettono alla prova i controlli di identità.
«Negli anni l’ecosistema dei pagamenti ha rafforzato la sicurezza con tecnologie e obblighi normativi, anche a scapito dell’usabilità, ma il principale punto debole resta il fattore umano», dice a Il Bollettino Valeria Portale, Direttore Osservatorio Innovative Payments.
Questa conversazione entra dove la user experience incontra il rischio: qual è oggi l’anello debole dei pagamenti digitali, come si distribuisce davvero la responsabilità tra utenti, banche e provider, e quanto le nuove regole (dalla verifica del beneficiario ai pagamenti istantanei) possono contenere il fenomeno. Sullo sfondo, l’uso dell’AI come scudo e, insieme, come arma dei truffatori e l’orizzonte, tutt’altro che remoto, di una crittografia da ripensare.
Qual è oggi il rischio più sottovalutato dai consumatori quando autorizzano una transazione online?
«Negli anni il mondo dei pagamenti online ha lavorato per rendere sempre più sicure le transazioni online, riducendo le informazioni scambiate sulla rete e semplificando la user experience per gli utenti. Nonostante gli innumerevoli sforzi, rimangono ancora alcuni rischi. Infatti, come riporta Banca d’Italia nel suo ultimo rapporto, Il numero di frodi nelle transazioni online con carta e moneta elettronica è relativamente basso, con un tasso di frode che rimane pari allo 0,046% del volume totale delle transazioni con carta e dello 0,033% del volume totale delle transazioni con moneta elettronica. Tuttavia, queste operazioni rappresentano una porzione significativa delle frodi complessive, incidendo rispettivamente per il 76% e l’88% del totale delle frodi registrate.
Ad oggi, uno dei rischi più sottovalutati dai consumatori quando autorizzano una transazione online è la manipolazione del pagatore: i frodatori sfruttano la psicologia e il comportamento umano per ingannare le vittime e indurle ad autorizzare pagamenti legittimi a loro favore. Questo tipo di frode, noto anche come Authorized Push Payment (APP) fraud, è particolarmente insidioso proprio perché non implica l’uso di tecniche di hacking o violazioni dei sistemi di sicurezza, come l’uso di SCA (Strong Customer Authentication) o OTP (one time password). In altre parole, l’utente ritiene di essere protetto, perché il processo di autenticazione sembra sicuro, ma in realtà sta compiendo un’azione che lo espone a una truffa».
Le banche e i provider di pagamento investono molto in sistemi antifrode, ma le truffe continuano a crescere. Dove si annida il vero “punto debole”: nella tecnologia o nel comportamento umano?
«Negli anni l’ecosistema dei pagamenti ha sviluppato tecnologie e soluzioni in grado di garantire maggior sicurezza sia per utenti sia per negozianti nella fase delle transazioni. Anche a livello normativo, il regolatore ha reso obbligatori molti sistemi di sicurezza da parte dei provider anche a discapito della usabilità e facilità d’uso.
Tuttavia, nonostante gli innumerevoli sforzi, uno dei “punti deboli” principali oggi è il comportamento umano: le truffe più dannose sfruttano l’ingegneria sociale (social engineering) per indurre l’utente ad autorizzare pagamenti apparentemente regolari, aggirando di fatto i presidi tecnologici senza violarli direttamente. La tecnologia non è irrilevante, i dati mostrano che i controlli come la SCA (Strong Customer Authentication), ovvero la procedura per convalidare l’identificazione dell’utente pagatore basata sull’uso di due o più elementi di autenticazione, hanno ridotto le frodi come il furto di dati o di pagamenti non autorizzati.
Questa procedura prevede la verifica del pagatore di almeno due elementi tra: qualcosa che l’utente conosce (come una password), qualcosa che possiede (ad esempio lo smartphone) e qualcosa che lo identifica (come l’impronta digitale). Crescono invece le frodi basate sulla manipolazione del pagatore, a conferma che l’anello umano è il vettore primario. In questo contesto, l’educazione dell’utente gioca un ruolo cruciale. In Italia, le frodi da ‘manipolazione del pagatore’ sono cresciute del 49% in valore nel secondo semestre del 2024 e rappresentano la componente principale nei bonifici, come evidenziato dall’ultimo report di Banca d’Italia».
L’autenticazione a due fattori è diventata uno standard. È davvero sufficiente o rischia di essere già obsoleta di fronte alle nuove tecniche di phishing e SIM swap?
«Non è superata, ma chiaramente i frodatori stanno cercando nuovi sistemi per cercare di aggirare anche questo sistema di sicurezza. La forma basata su OTP via SMS potrebbe risultare insufficiente contro gli attacchi attuali; le frodi oggi sono in grado di simulare il mittente di un SMS, rendendo quasi impossibile per l’utente identificare il vero soggetto che effettua la richiesta.
In questo contesto, soluzioni come notifiche in-app diventano opzioni aggiuntive per garantire l’autenticità dell’utente e migliorare la sicurezza. L’efficacia contro frodi più evolute richiede un’autenticazione multifattoriale resistente al phishing, controlli pre autorizzazione come la verifica del beneficiario, oltre a processi di verifica dell’identità. Più i sistemi di sicurezza evolvono, più i frodatori si adattano per aggirare questi sistemi: in assenza di questo salto qualitativo, le frodi indotte dall’ingegneria sociale continueranno a crescere pur “rispettando” formalmente la SCA».
Il contactless è percepito come pratico e veloce. Ma quanto è realmente sicuro rispetto ad altre forme di pagamento digitale?
«Queste transazioni sono tra le forme di pagamento più sicure, che avvengono senza la necessità di inserire la carta in un terminale POS. È sufficiente, infatti, avvicinare la propria carta contactless, o lo smartphone, lo smartwatch o l’anello su cui è salvata, a un terminale POS compatibile. La tecnologia alla base di questi pagamenti è la comunicazione a corto raggio, nota come NFC (Near Field Communication), che consente lo scambio di dati a distanza ravvicinata, riducendo i rischi di intercettazione degli stessi.
La transazione è inoltre protetta da meccanismi di crittografia che garantiscono la sicurezza dei dati scambiati, anche grazie a tecniche come la tokenizzazione, che maschera il reale numero della carta di pagamento. Questa è una tecnica di sicurezza che sostituisce le informazioni della carta di pagamento con un set unico e casuale di caratteri detto “token”.
Questo processo consente di mantenere al sicuro i dati di pagamento durante le transazioni, in quanto le informazioni reali della carta non vengono utilizzate o memorizzate. La sicurezza è rafforzata anche dai meccanismi di autenticazione previsti per il cliente: nel caso delle carte fisiche che vengono utilizzate in modalità contactless, si possono effettuare pagamenti senza PIN solo fino al raggiungimento della soglia cumulativa di 150 euro o per un massimo di 5 pagamenti consecutivi dall’ultima volta in cui è stato inserito. Qualora si usasse invece la carta memorizzata nei wallet dello smartphone, si aggiunge un livello di sicurezza ulteriore, in quanto nessuna transazione viene autorizzata senza prima l’inserimento del PIN sul telefono o l’utilizzo del dato biometrico».
La biometria (impronte, riconoscimento facciale, voce) viene spesso presentata come garanzia di sicurezza. Esistono rischi nascosti che il pubblico non considera?
«Rappresenta oggi uno dei metodi più sicuri per il riconoscimento dell’identità e l’autorizzazione delle transazioni, spesso superiore al tradizionale PIN. Tuttavia, dal punto di vista del consumatore, esiste un rischio se i dati biometrici vengono compromessi e sono l’unico mezzo di autenticazione. Dal lato tecnico e aziendale, invece, un possibile pericolo riguarda l’uso dei deepfake.
Questi strumenti, che creano immagini e video estremamente realistici, possono ingannare i sistemi di riconoscimento facciale se il controllo è effettuato esclusivamente in base all’aspetto visivo, senza includere una liveness detection. Oggi, i truffatori possono generare volti e voci “perfetti” tramite deepfake, utilizzandoli per ingannare i sistemi di verifica a distanza. Se i criminali riescono a presentare un video sintetico o a registrare la biometria della vittima, la transazione potrebbe apparire completamente legittima, compromettendo la sicurezza».
L’intelligenza artificiale viene usata per rilevare transazioni sospette in tempo reale. Quali sono i suoi limiti e come possono i truffatori sfruttare la stessa tecnologia a proprio vantaggio?
«L’AI è sempre più utilizzata per rilevare transazioni sospette in tempo reale, sfruttando algoritmi di machine learning che analizzano variabili multiple come la categoria merceologica, la posizione geografica e il comportamento degli utenti. Questi sistemi possono anche estendersi all’analisi biometrica, monitorando, ad esempio, il timing e i pattern di digitazione. Tuttavia, non sono privi di limiti. I truffatori potrebbero, infatti, sfruttare la stessa tecnologia per affinare le proprie tecniche di Social Engineering, rendendo attacchi come le chiamate con la voce di un parente molto più credibili e difficili da individuare».
L’ingresso delle big tech nei pagamenti (Apple Pay, Google Pay, Amazon Pay) riduce o aumenta la superficie di rischio per utenti e istituzioni finanziarie?
«Direi che il problema non sta nelle Big Tech. I sistemi che usiamo per pagare come Apple Pay o Google Pay sono molto sicuri grazie alla tokenizzazione della carta, come spiegato precedentemente. Il token viene anche archiviato in una componente hardware (o in cloud per Google), chiamata Secure Element (SE), sicura e protetta all’interno degli smartphone. Si tratta di un microchip che viene progettato per garantire un ambiente sicuro per la memorizzazione e la gestione di informazioni sensibili, come i dati di pagamento.
Questi sistemi di pagamento adottano le tecnologie più avanzate in termini di sicurezza, così come gli operatori che trattano i dati delle carte devono rispettare diversi criteri, come il PCI DSS, uno standard internazionale di sicurezza che prevede controlli tecnici, organizzativi e procedurali rigorosi per proteggere i dati degli utenti».
In molti casi, i truffatori non violano la tecnologia, ma la fiducia dell’utente. Come si può rafforzare la cybersecurity senza scaricare tutto il peso della protezione sul consumatore?
«La combinazione tra tecnologie efficaci e attenzione personale rappresenta la strategia più solida per affrontare le sfide di sicurezza nei pagamenti.
Non esiste una strategia univoca, probabilmente il modo più efficace per rafforzare la sicurezza senza scaricare il peso sull’utente è incorporare protezioni “by default” nelle infrastrutture e nelle regole del sistema. Un esempio è la Verifica del beneficiario (Verification of Payee): in UE diventerà obbligatoria il 9 ottobre 2025 per i bonifici istantanei, con avviso di mismatch nome IBAN prima dell’autorizzazione, riducendo così possibili errori e/o truffe senza dover chiedere controlli manuali agli utenti».
La corsa alla velocità nei pagamenti (istantanei, in tempo reale) va di pari passo con la sicurezza? O stiamo sacrificando la protezione sull’altare della rapidità?
«Quando si parla di operazioni bancarie e/o di pagamento che hanno un impatto sul sistema economico e la tutela dei consumatori non si può sacrificare la protezione per la rapidità: gli operatori stanno lavorando in questa direzione, con pagamenti sempre più rapidi, ma senza dimenticarne la sicurezza.
La PSD3, il nuovo regolamento sui pagamenti, non rivoluziona la PSD2 che aveva introdotto novità importanti come la SCA, ma si propone di colmare alcune lacune emerse negli ultimi anni, aggiornare le regole al contesto digitale attuale e contrastare con maggiore efficacia le frodi digitali. Ad esempio, gli istituti di pagamento dovranno condividere regolarmente i dati sugli attacchi e sulle tecniche di difesa, contribuendo alla creazione di un ecosistema collaborativo europeo contro il cybercrime».
Guardando al futuro: qual è la minaccia che potrebbe cambiare radicalmente il modo in cui intendiamo la sicurezza dei pagamenti digitali nei prossimi dieci anni?
«La minaccia che potrebbe cambiare radicalmente la sicurezza dei pagamenti digitali nei prossimi dieci anni è l’arrivo di tecnologie evolute (ad esempio i computer quantistici). Queste tecnologie sono capaci di “rompere” la crittografia che protegge tutte le transazioni digitali oggi.
Se questa tecnologia diventasse accessibile, le chiavi che tengono al sicuro i nostri conti, carte e sistemi di pagamento potrebbero essere decifrate in pochi secondi. Azzerando quindi, il valore delle attuali protezioni e rendendo vulnerabili dati sensibili. Il passaggio a sistemi “quantum-resilient” e ad autenticazioni che combinano biometria, behavioural analytics e nuove forme di verifica sarà la vera sfida del prossimo decennio. Il settore bancario è già all’opera per affrontare le minacce del futuro. Le banche centrali europee, tra cui Banca d’Italia, stanno partecipando a progetti internazionali di ricerca e sperimentazione per rendere sicuri i sistemi di pagamento anche nell’era dei computer quantistici.
La Blockchain può garantire maggiore sicurezza. Grazie all’utilizzo di algoritmi di crittografia e alla struttura decentralizzata, insieme a un elevato livello di trasparenza e una riduzione dei costi di transazione. L’AI può invece aiutarci a prevenire le frodi, smascherano velocemente truffatori e malfattori. Le nuove tecnologie da un lato possono rendere più vulnerabili le transazioni, dall’altra parte se ben utilizzate per la prevenzione possono essere un valido strumento per proteggere i consumatori». ©
Articolo tratto dal numero del 15 ottobre 2025 de Il Bollettino. Abbonati!
📸 Credits: Canva