Il telefono squilla. Voce calma, professionale, accento neutro. "Sono il servizio antifrode della sua banca. Abbiamo rilevato un accesso sospetto al suo conto. Per bloccare la transazione le sto inviando un codice OTP via SMS: me lo legga, per favore." In quel secondo hai davanti due strade. Una porta a un conto svuotato in dieci minuti. L'altra a una banca che, quando la richiami tu, ti dice solo "ha fatto benissimo a non rispondere".

Quasi tutti sanno che l'OTP "non si dà a nessuno". Poche persone sanno perché, ed è esattamente questo vuoto che il truffatore riempie con la sua voce rassicurante. La tesi di questo articolo è una sola: l'OTP non è un codice di controllo che la banca usa per verificarti. È la tua firma. Quando lo detti a qualcuno, non stai confermando la tua identità - stai autorizzando un'operazione che sta accadendo in quel momento sul tuo conto.

L'OTP - One Time Password - è il sistema più diffuso in Italia per autorizzare le operazioni bancarie: un codice generato al momento, valido per pochi secondi, inviato sul tuo telefono o sulla tua app. È efficace contro gli attacchi da remoto, ma diventa inutile nell'istante in cui sei tu stesso a leggerlo a chi te lo chiede.

Cos'è davvero un codice OTP e perché esiste

L'OTP nasce dalla direttiva europea PSD2 - Payment Services Directive 2 - che dal 2019 ha imposto in Europa la cosiddetta SCA, l'autenticazione forte del cliente. La regola di base: per autorizzare un pagamento elettronico servono almeno due fattori indipendenti su tre.

Fattore Esempio
Qualcosa che saiPIN, password, risposta a una domanda di sicurezza
Qualcosa che haiSmartphone con app bancaria, token fisico, SIM con il tuo numero
Qualcosa che seiImpronta digitale, riconoscimento facciale

L'OTP è la materializzazione del secondo fattore, il "qualcosa che hai". Lo ricevi sul telefono perché in teoria solo tu hai accesso al telefono. Tutta la sicurezza del sistema PSD2 poggia su questo presupposto. Quando riveli l'OTP a un truffatore, è come se gli passassi fisicamente lo smartphone sbloccato: il sistema è progettato senza margini per quel tipo di errore, perché è l'unica cosa che non doveva mai succedere.

Il copione standard del finto operatore antifrode

Chi cerca un OTP segue quasi sempre lo stesso schema. Riconoscerlo è la difesa migliore.

  1. L'apertura allarmistica. "Abbiamo rilevato una transazione sospetta", "qualcuno sta accedendo al suo conto", "il conto è stato bloccato".
  2. L'accenno a dati che sembrano privati. A volte sanno il tuo nome, l'IBAN parziale, l'ultima operazione: dati ricavati da fughe di informazioni precedenti, non prova di legittimità.
  3. L'urgenza temporale. "Deve agire entro tre minuti, altrimenti la transazione parte".
  4. La soluzione facile. "Le invio un codice di blocco via SMS, me lo legge appena arriva".
  5. L'invio reale del codice. Il codice arriva sul serio. Non lo hanno mandato loro: lo hanno generato avviando un bonifico o un reset password sul tuo conto. Tu glielo detti. Loro lo digitano. Conto svuotato.

Il codice che ricevi è autentico, prodotto dai sistemi della tua banca. Per questo tante vittime giurano di aver parlato con un operatore reale: l'SMS era davvero di Intesa, di UniCredit, di BancoPosta. Era reale, ma lo aveva richiesto il truffatore, non la banca. Quello che non ti dicono nei consigli generici è proprio questo: la trappola non è un messaggio falso, è un messaggio vero usato contro di te.

Le regole d'oro che le banche italiane ripetono ovunque

Tutte le banche italiane - Intesa Sanpaolo, UniCredit, BancoPosta, Banco BPM, BPER, MPS e le altre - ripetono nei materiali di sicurezza e nelle campagne le stesse regole. Memorizzale.

  • La banca non chiede mai l'OTP. Non per telefono, non per email, non per SMS. Il codice serve solo a te, per autorizzare le tue operazioni.
  • La banca non chiede mai password o PIN al telefono. Nemmeno parziali. Nemmeno "per verifica".
  • La banca non chiede l'IBAN: ce l'ha già, è il tuo. Chi te lo chiede sta controllando se sei il conto giusto da svuotare.
  • La banca non ti ordina bonifici "verso un conto sicuro" o "su un IBAN temporaneo". I bonifici di sicurezza non esistono.
  • La banca non lavora con scadenze di tre minuti. Anche le frodi reali si gestiscono con tempi normali.

Una variante più insidiosa parte da un finto SMS della "tua banca", spesso seguito da una chiamata. Ne parliamo nell'analisi degli SMS truffaldini di banche italiane.

Cosa ottiene davvero un truffatore con il tuo OTP

Dipende da cosa sta facendo nello stesso istante sul tuo conto. Non tutti gli OTP sono uguali, e questa è la parte che quasi nessuno spiega.

Tipo di OTP A cosa serve Conseguenza se condiviso
OTP di accessoLogin all'internet bankingIl truffatore entra nel conto come fossi tu
OTP di bonificoAutorizza un trasferimentoIl bonifico parte immediatamente
OTP di pagamento online3D Secure per acquisti con cartaPagamento autorizzato a un beneficiario sconosciuto
OTP di modifica IBANCambia il beneficiario salvatoI bonifici futuri vanno al truffatore
OTP di reset credenzialiResetta password o PINIl truffatore prende il controllo permanente del conto

Il danno peggiore arriva con l'OTP di reset credenziali: in quel caso il truffatore non solo ti svuota il conto, ma cambia anche le tue credenziali. Quando provi a entrare per bloccare tutto, scopri di essere stato chiuso fuori dal tuo stesso home banking. Ecco perché diciamo che l'OTP è una firma e non un controllo: una firma non ti identifica, autorizza un atto - e l'atto lo sceglie chi ha in mano la penna in quel momento.

Cosa fare se hai già detto un OTP

Se ti accorgi - anche dopo cinque minuti - di aver dettato un codice a uno sconosciuto, il tempo è tutto. Le procedure di blocco e reclamo lavorano sui minuti, non sulle ore.

  1. Chiama subito il numero verde antifrode della tua banca. Lo trovi sul retro della carta o sul sito ufficiale. Chiedi il blocco immediato del conto e di tutte le carte.
  2. Cambia la password dell'home banking se riesci ancora a entrare. Se non riesci, segnala subito l'esclusione all'operatore.
  3. Verifica le ultime operazioni. Se sono partiti bonifici, chiedi alla banca il "richiamo del bonifico": può funzionare solo nei primissimi minuti.
  4. Sporgi denuncia alla Polizia Postale, di persona o online tramite commissariatodips.it. Senza denuncia formale la banca difficilmente avvia il rimborso.
  5. Segnala il numero da cui ti hanno chiamato su numerosospetto.it, così altri possono riconoscerlo.

La PSD2 prevede il rimborso in caso di operazione non autorizzata, ma con un'eccezione pesante: la "colpa grave" del cliente. La banca può sostenere che dettare un OTP rientri in quella categoria. La denuncia formale e la tempestività della segnalazione sono i due elementi chiave per costruire un caso a tuo favore.

Come proteggersi prima che succeda

Le abitudini valgono più di qualsiasi tecnologia.

  • Non gestire nulla con chi ti chiama per primo parlando di transazioni urgenti. Riaggancia e chiama tu il numero ufficiale.
  • Memorizza il numero antifrode della banca prima che ti serva, non dopo.
  • Attiva le notifiche push dell'app per ogni operazione: vedi in tempo reale cosa accade.
  • Imposta limiti di spesa e di bonifico bassi se non li usi spesso. Si alzano in pochi secondi quando servono.
  • Controlla ogni mese i beneficiari IBAN salvati, per intercettare modifiche non autorizzate.

Domande frequenti sull'OTP

La mia banca a volte mi chiama davvero. Come distinguo il vero?

La banca può chiamarti, soprattutto per verifiche su movimenti anomali. La differenza è che non ti chiede informazioni: ti chiede solo di confermare se un'operazione l'hai fatta tu, sì o no. Mai password, mai OTP, mai PIN. Se ti chiede credenziali, riaggancia e richiama il numero verde ufficiale.

L'OTP che ricevo per Amazon o eBay funziona allo stesso modo?

Sì, stesso principio. Anche per i pagamenti online con carta l'OTP è il secondo fattore 3D Secure. Vale la stessa regola: nessun servizio te lo chiederà mai al telefono o per email.

Cos'è la colpa grave e come influisce sul rimborso?

La PSD2 prevede il rimborso integrale per operazioni non autorizzate, salvo frode del cliente o colpa grave. Condividere OTP, password o PIN può essere classificato come colpa grave dalla banca. La giurisprudenza italiana ha però più volte chiarito che la banca deve dimostrare la negligenza, non presumerla. Se il rimborso viene negato, puoi rivolgerti gratuitamente all'Arbitro Bancario Finanziario, l'organismo di risoluzione delle controversie istituito presso la Banca d'Italia. Una denuncia dettagliata aiuta a dimostrare la buona fede.

Esistono OTP più sicuri di quelli via SMS?

Sì. Gli OTP generati dall'app bancaria con notifica push sono considerati più sicuri, perché il codice non viaggia sulla rete SMS, esposta a SIM swap e intercettazioni. Le grandi banche italiane offrono questa modalità: se la tua te la propone, attivala al posto degli SMS.

Se ho un dubbio durante una telefonata, cosa faccio?

Semplice: riaggancia. Nessuna emergenza bancaria reale richiede di tenerti al telefono senza interruzioni. Riaggancia, prendi il retro della carta, chiama il numero antifrode ufficiale e racconta cosa è successo. Se la chiamata era vera, ti diranno "ha fatto bene a verificare". Se era falsa, hai evitato il disastro.

In sintesi

L'OTP non è un codice con cui la banca controlla che sei tu: è la firma con cui tu autorizzi un'operazione in corso. Per questo dettarlo a qualcuno equivale a firmargli un bonifico in bianco, anche quando l'SMS è autentico e sembra tutto in regola. Nessuna banca lo chiede al telefono, e nessuna emergenza vera vive di scadenze da tre minuti. Davanti al dubbio la mossa è sempre la stessa: riaggancia e richiama tu il numero ufficiale.