Come funziona e perché è fondamentale per la sicurezza del conto
Il D.Lgs. 385/1993 (Testo Unico Bancario) è il pilastro normativo che disciplina la sicurezza dei conti correnti in Italia. Recepisce la direttiva europea PSD2 e obbliga le banche a implementare sistemi di autenticazione forte (SCA – Strong Customer Authentication) per tutte le transazioni online e gli accessi al conto.
In particolare, l'articolo 49 del TUB stabilisce che l'istituto di credito deve garantire procedure di identificazione robuste per prevenire accessi non autorizzati. La normativa specifica che la 2FA non è facoltativa: è un obbligo che la banca deve imporre, e il cliente deve attivarla se vuole accedere al proprio conto.
La responsabilità del cliente: se non attivi la 2FA quando la banca te la propone, e il tuo conto viene violato, la banca potrebbe negarti il rimborso, adducendo che non hai fatto il dovuto per proteggere il conto. Il principio è simile a quello di una casa: se il proprietario non usa l'antifurto che il costruttore gli fornisce, l'assicurazione potrebbe rifiutare il risarcimento in caso di furto.
Il Regolamento (UE) 2016/679 (GDPR) aggiunge ulteriori obblighi alle banche riguardanti la protezione dei dati personali. La 2FA è considerata una misura tecnica di sicurezza idonea per proteggere i tuoi dati da accessi non autorizzati. Le banche devono informarti chiaramente su come vengono trattati i tuoi dati e le misure implementate per proteggerli.
La Banca d'Italia supervisiona il rispetto di queste norme e può comminare sanzioni amministrative alle banche che non implementano adeguatamente la 2FA. Nel 2023 e 2024, diverse banche italiane hanno ricevuto diffide per aver offerto metodi di autenticazione insufficientemente robusti. Questo significa che il sistema è attivamente controllato e le banche sanno che devono stare al passo.
Tuo diritto di ricorso: se la banca nega il rimborso di una frode e tu avevi attivato la 2FA correttamente, hai il diritto di ricorrere all'Arbitro Bancario Finanziario (ABF) o a procedimenti legali. Consiglia sempre di conservare documentazione della configurazione della 2FA.
Benché la 2FA sia fondamentale, non è sufficiente da sola. Ecco altre misure che dovresti adottare:
Il phishing è uno degli attacchi più comuni. Ecco come proteggerti:
Attenzione agli SMS fraudolenti: non solo le email, ma anche gli SMS possono essere falsificati. Se ricevi un SMS che ti chiede di cliccare un link o confessare dati, non farlo. Contatta direttamente la banca dal numero ufficiale sulla tua carta.
Se sospetti che qualcuno ha accesso non autorizzato al tuo conto:
Secondo la normativa italiana e la PSD2, se subisci una frode:
Importante: conserva sempre documentazione dei tuoi accessi, delle impostazioni di sicurezza attivate e degli avvisi ricevuti. Questo materiale è prezioso in caso di dispute con la banca o azioni legali.
Se vuoi usare un'app di autenticazione (TOTP), ecco le più affidabili e diffuse:
Qual è la migliore? Dipende dalle tue priorità. Per la maggior parte degli utenti, Google Authenticator o Microsoft Authenticator sono le scelte ottimali perché sono stabili, affidabili e ben integrate con gli ecosistemi già diffusi.
Consiglio saggio: indipendentemente dall'app
che scegli, salva sempre i codici di backup (quei codici lunghi che ti dà la banca). Conservali in un luogo sicuro, offline: cassaforte, busta sigillata, password manager. Se perdi il telefono, sono la tua ancora di salvezza.
Molti servizi (banche, social, email) permettono di aggiungere più metodi 2FA contemporaneamente. Prima di disinstallare un'app:
Se non è possibile, contatta il servizio clienti prima di fare cambiamenti.
Se usi Google Authenticator, Microsoft Authenticator o Authy con backup cloud abilitato, la sincronizzazione avviene automaticamente quando accedi con lo stesso account sul nuovo telefono. Con FreeOTP o altre app senza cloud, dovrai disabilitare il 2FA dal vecchio dispositivo, riabilitarlo da zero su quello nuovo, e salvare di nuovo i codici di backup. Alcune banche offrono anche la possibilità di disabilitare il 2FA tramite il loro servizio clienti se il vecchio telefono non è più accessibile.
No, è completamente gratuita. Le app di autenticazione non costano nulla. Le banche italiane non addebitano commissioni per attivare il 2FA sul conto corrente. I soli costi potenziali riguardano solo gli SMS, se la tua banca usa quello come canale: nella maggior parte dei casi sono inclusi nei piani tariffari, ma verifica le condizioni specifiche della tua banca.
L'attivazione è immediata in molti casi. Accedi all'area personale della banca, sezione Sicurezza o Impostazioni, e segui il wizard per configurare il 2FA. Se scegli un'app, installerai l'app dal tuo store, genererai un QR code, lo scannerizzerai, e il sistema confermerà l'attivazione in pochi secondi. Gli SMS e le notifiche push hanno una latenza naturale di pochi secondi quando vengono richiesti. L'unico ritardo potrebbe essere nella disabilitazione di un metodo precedente, se la banca prevede controlli manuali (più raro).
Dipende dall'app e dalle politiche della banca. Google Authenticator non sincronizza tra dispositivi: ogni telefono avrà i codici salvati localmente. Microsoft Authenticator e Authy sincronizzano su cloud, quindi sì, puoi avere lo stesso account su più telefoni e tablet. Tuttavia, la maggior parte delle banche consente di associare un solo dispositivo primario per il 2FA al conto corrente online. Puoi avere app diverse su dispositivi diversi (es. Authenticator sul telefono principale, SMS sul backup), ma verifica le limitazioni specifiche della tua banca nella sezione Sicurezza dell'home banking.
È il scenario più critico per la sicurezza dell'home banking. Se hai abilitato il 2FA solo tramite app, non potrai accedere al tuo conto fino a quando non ripristini l'accesso. Ecco cosa fare immediatamente:
Previeni questo problema registrando sempre un numero di telefono alternativo o un'email di recupero presso la banca. Molti istituti offrono anche codici di backup in formato cartaceo (da conservare in cassaforte): stamparli è una protezione aggiuntiva consigliata.
No, la maggior parte delle banche non applica costi per l'autenticazione a due fattori. È considerato un servizio di sicurezza standard incluso nel conto corrente. Tuttavia, alcuni aspetti richiedono attenzione: se usi SMS, riceverai i messaggi gratuitamente perché inviati direttamente dalla banca (non consumano credito telefonico). Se scegli app come Google Authenticator, Microsoft Authenticator o Authy, sono completamente gratuite e non richiedono abbonamenti. L'unico costo potenziale riguarda la sostituzione della scheda SIM o del numero telefonico se cambi operatore, ma la spesa è sostenuta dal gestore telefonico, non dalla banca. Verifica nel contratto della tua banca o nel sito della sezione "Sicurezza" se ci sono servizi premium di autenticazione a pagamento (rari in Italia nel 2026).
L'attivazione è istantanea nella maggior parte dei casi. Se abiliti il 2FA via SMS, basta sceglierlo nel menu Sicurezza dell'home banking e confermare il tuo numero telefonico: la modifica è effettiva in pochi secondi. Per le app authenticator, scarichi l'app, inquadri il QR code fornito dalla banca, e l'associazione è completa in meno di un minuto. Le banche tradizionali potrebbero richiedere una conferma via bonifico o firma digitale, che dilata i tempi di 24-48 ore per questioni normative, ma è raro per le operazioni 2FA standard. Se riscontri ritardi superiori alle 48 ore, contatta l'assistenza della banca: potrebbe trattarsi di un errore tecnico. Una volta attivato, il 2FA diventa obbligatorio per tutti gli accessi futuri, senza periodi di prova.
La risposta dipende dalle tue priorità. L'app authenticator (Google Authenticator, Microsoft Authenticator o Authy) offre il miglior equilibrio tra velocità e sicurezza nel 2026: il codice è generato localmente sul telefono in 30 secondi senza bisogno di rete, è immune da intercettazioni SMS, e non richiede ricezione di messaggi ritardati. Il tempo totale è minimo: accedi, copi il codice, lo incolli, accesso completato in 15-20 secondi. Tuttavia, se preferisci comodità massima senza app aggiuntive, l'SMS è ancora rapido (ricevi il messaggio entro 10-15 secondi dalla richiesta) e non richiede app. La biometria (impronta o riconoscimento facciale) è la più veloce quando disponibile (meno di 5 secondi), ma non tutte le banche l'hanno implementata su app o home banking. Il consiglio pratico è usare biometria + app authenticator come metodo primario, e SMS come backup, così hai ridondanza senza compromessi sulla velocità.
Dipende dal metodo scelto e dalla piattaforma della banca. Gli SMS si ricevono solo su telefono, quindi se accedi da computer al tuo home banking e hai attivato il 2FA via SMS, riceverai il codice sullo smartphone e dovrai copiarlo sul browser del PC: è il metodo ibrido più comune. Le app authenticator come Microsoft Authenticator o Authy funzionano su tablet e persino su computer (se usi la versione desktop o web di Authy), quindi puoi inserire il codice direttamente dal dispositivo su cui stai accedendo. Alcune banche innovative offrono il 2FA tramite notifiche push direttamente sull'app mobile, funzione più veloce e che non richiede la digitazione manuale di codici. Se usi soprattutto il computer, il metodo più pratico è combinare SMS (generato dal PC, ricevuto sullo smartphone) con app authenticator sincronizzata su cloud su più dispositivi, in modo da avere flessibilità massima. Verifica nella documentazione della tua banca quali metodi sono supportati su ciascuna piattaforma (web, app iOS, app Android).
Le guide Moneyside hanno carattere educativo e informativo. Non costituiscono consulenza finanziaria, legale o fiscale ai sensi del D.Lgs. 58/1998 (TUF) e della Direttiva MiFID II. Verifica sempre le informazioni con fonti ufficiali o un professionista qualificato.