Token digitale, le banche dicono addio alla chiavetta

Negli ultimi mesi i correntisti italiani sono stati avvisati dalle loro banche di cambiamenti nel sistema di accesso all’home banking. Ci sarà bisogno sempre di una password di accesso statica (il PIN che non cambia a meno che il cliente non lo voglia) e poi, per le operazioni dispositive, di un codice usa e getta. Ma molte banche stanno sostituendo i loro sistemi di autenticazione, quelli che generano i codici usa e getta (OTP one time password) passando dalle tessere (sistema battaglia navale) o dai token fisici ai token digitali, con codici usa e getta generati sul cellulare del cliente, o attraverso apposite app (con smartphone) oppure comunicati via sms.

Il perché di questa scelta 

La vecchia chiavetta dunque è destinata a poco a poco a scomparire; alcune banche l’hanno già definitivamente sostituita, altre stanno cercando di disincentivarne l’utilizzo introducendo per il loro possesso un canone annuo. Perché le banche lo fanno? A loro dire per aumentare la sicurezza dei sistemi di autenticazione come richiesto dal Regolamento Eba 2018/389 che entrerà in vigore il prossimo 14 settembre 2019 e che impone tra le altre cose alle banche e agli istituti di pagamento di assicurare ambienti protetti per la consegna e l’invio delle credenziali di autenticazione per i pagamenti online.

Risulta chiaro però che anche con le nuove norme non ci sarebbe alcun bisogno di cambiare i token fisici che comunque permettono di generare codici usa e getta e che sono sempre abbinati a una password statica in mano al titolare. Evidentemente però le banche si sentono più sicure a fornire gli OTP, non attraverso i token fisici, ma attraverso app scaricate su smartphone evoluti, con cui possono assicurare invio e generazione di credenziali in maniera più “sicura”.

Sicurezza, comodità e costi

Ecco cosa cambia nel passaggio da token fisico a token digitale:

• Dal punto di vista delle conseguenze di un furto o smarrimento o di attacchi informativi non cambia molto. Le norme sono sempre le stesse e fanno ricadere sulla banca la responsabilità di garantire un ambiente informatico sicuro; per cui se malauguratamente qualcuno riesce a carpire informazioni relativamente alle password statiche o agli OTP spetta alla banca provare di aver fatto tutto il possibile per tutelare il correntista da attacchi informatici. E questo vale comunque, sia con un token fisico che con un token digitale.
• Però siamo convinti che non avendo una chiavetta ma generando i codici direttamente sul proprio smartphone si riduca la possibilità di perdita o di furto; il nostro smartphone è sempre con noi e sempre sotto nostro controllo. Se malauguratamente dovessimo perderlo ce ne accorgeremmo molto rapidamente (meno di 10 minuti) e comunque potremmo bloccarlo a distanza e potremmo anche chiedere al Servizio clienti della banca di bloccare la generazione digitale di OTP.
• Aumenta anche la comodità d’uso nel caso di token digitale. Dal 14 settembre 2019 sarà operativa la nuova regolamentazione sulla strong authentication prevista dalla PSD2 (direttiva 2015/2366) per il commercio elettronico: in pratica sarà necessario autenticare anche i pagamenti degli acquisti online con un codice OTP, come quello che si usa per le disposizioni da home banking. È chiaro che ricevere gli OTP su smartphone, lo stesso con cui molto spesso si fanno gli acquisti online, facilita la vita (rende l’esperienza di acquisto e di pagamento più accattivante).
• Si riducono anche i costi: molte banche fanno pagare il token fisico.

Che cosa succede, banca per banca

Le banche italiane hanno interpretato in maniera molto diversa tra loro le novità di legge. 

• Intesa San Paolo. Dal 4 maggio 2019 la chiavetta O’Key non è più utilizzabile dai correntisti. I codici OTP saranno generati attraverso una app su smartphone. Per chi non ha lo smartphone l’alternativa è chiedere i codici usa e getta via sms sul cellulare. Ma mentre il token via app non ha costi, quello via sms costa 10 euro l’anno, a cui bisogna aggiungere il costo eventuale degli sms (compreso tra i 16 e i 26 centesimi a sms). Ovviamente per i correntisti questa è una modifica unilaterale delle condizioni economiche che Intesa San Paolo può fare rispettando il preavviso di almeno due mesi previsto dall’articolo 118 del Testo unico bancario.
• Unicredit invece ha deciso di eliminare dal 12 marzo 2019 la password Card, la tesserina plastificata con 40 codici prestampati, che ancora i vecchi correntisti usavano per avere i codici autorizzativi. I clienti dovranno sostituirla con altro dispositivo di sicurezza a scelta tra Mobile Token (attraverso l’app su smartphone) e/o un token fisico, UniCredit Pass (costo di emissione 5 euro).
• BNL BNP Paribas sostituirà il suo token fisico il prossimo 14 settembre 2019. Da quel momento i correntisti non potranno più usare il token fisico (Pass Bnl) e dovranno passare al Mobile Token con otp generati dalla app installata sullo smartphone oppure con sms inviati sul cellulare (a pagamento).
• Credem passa al mobile token il 14 settembre 2019. E’ prevista la versione via app o la versione via sms.
• MPS dal primo settembre abbandonerà il token fisico per passare a codici usa e getta inviati gratuitamente sul cellulare.
• Credit Agricole da maggio 2019 invia gli otp con sms o con chiamata su cellulare certificato.

Poi ci sono le banche che sono già passate da un po’ a nuovi sistemi di autenticazione diversi dal classico token fisico:

• Carige: sms per le operazioni dispositive su cellulare
• Creval ha un tastierino numerico che produce otp dopo aver inserito pin in possesso del titolare.
• Banca Popolare di Sondrio: otp via app oppure con tastierino numerico che genera otp dopo avere inserito pin
• Banco Bpm: otp via app o tramite tastiera numerica o con token card.
• Poste Italiane: otp via app o tramite lettore apposito in cui inserire carta Postamat.
• Ubi Banca: già da un po’ di tempo è previsto l’uso del digital code generato da app su smartphone certificato. Per chi non ha uno smartphone si può ancora usare la tessera Qui Ubi per i codici dispositivi.

Conto corrente, trova il migliore

Usa il nostro servizio di comparazione online per trovare il conto corrente migliore, ne abbiamo confrontati più di 400.