Trasparenza: Questo articolo contiene link di affiliazione. Se clicchi e apri un conto, Cartaly potrebbe ricevere una commissione senza alcun costo aggiuntivo per te. Maggiori info.
Nel primo semestre 2025, le frodi creditizie in Italia sono aumentate del 9,2%, con oltre 18.800 casi denunciati e un danno complessivo superiore a 86 milioni di euro, secondo l’Osservatorio CRIF. Complessivamente, circa 2,9 milioni di italiani hanno subito una truffa o un tentativo di frode nell’ultimo anno, per un valore stimato di 880 milioni di euro.
Il dato preoccupante: il tasso di frode nei pagamenti “a distanza” con carta (e-commerce) è circa 10 volte superiore a quello nei pagamenti fisici al POS (0,072% contro 0,006%), come rilevato dalla Banca d’Italia.
Ma ecco la buona notizia: le carte digitali di nuova generazione offrono strumenti di protezione che le carte tradizionali non hanno mai avuto. Carte virtuali usa e getta, blocco istantaneo da app, CVV dinamico e autenticazione biometrica rendono le carte digitali più sicure di quelle di plastica, se sai come usarle.
In questa guida vediamo come funzionano le tre linee di difesa principali, quali carte le offrono e cosa fare concretamente per proteggerti. Se vuoi una raccomandazione rapida, puoi fare il quiz in 30 secondi.
Le 3 linee di difesa contro le frodi online
Prima di entrare nel dettaglio, ecco una panoramica delle tre tecnologie che oggi proteggono i tuoi acquisti online:
-
3D Secure (SCA/PSD2): autenticazione forte obbligatoria per legge su ogni pagamento online. Senza la tua conferma (OTP, impronta digitale o riconoscimento facciale), il pagamento non passa.
-
Tokenizzazione (Apple Pay / Google Pay): il numero reale della carta non viene mai trasmesso al commerciante. Viene usato un codice univoco (“token”) che non ha valore al di fuori di quella singola transazione.
-
Carte virtuali usa e getta: numeri di carta temporanei che scadono dopo un singolo utilizzo. Anche se un truffatore intercettasse i dati, non potrebbe riutilizzarli.
Queste tre tecnologie, combinate, rendono i pagamenti digitali estremamente sicuri. Vediamo come funziona ciascuna.
3D Secure: cos’è e come funziona
Il 3D Secure (noto anche come Verified by Visa, Mastercard SecureCode o American Express SafeKey) è un protocollo di sicurezza che aggiunge un passaggio di autenticazione quando paghi online con carta.
Come funziona in pratica
Quando inserisci i dati della carta su un e-commerce, prima che il pagamento venga completato si apre una schermata aggiuntiva che ti chiede di verificare la tua identita. I metodi di verifica possono essere:
- Codice OTP via SMS: un codice temporaneo inviato al numero di cellulare associato alla carta
- Notifica push nell’app della banca: conferma con un tap nell’app (usato da BBVA, N26 e Revolut)
- Autenticazione biometrica: impronta digitale o riconoscimento facciale direttamente nell’app bancaria
La normativa PSD2 e l’obbligo di autenticazione forte
Il 3D Secure non è un optional: è un obbligo di legge in tutta l’Unione Europea. La direttiva PSD2 (Payment Services Directive 2) ha introdotto la cosiddetta Strong Customer Authentication (SCA), che richiede almeno due fattori di autenticazione indipendenti per ogni pagamento online. In Italia la SCA è pienamente operativa dal 31 dicembre 2020 per i pagamenti in presenza, mentre per i pagamenti a distanza (e-commerce) la piena applicazione è arrivata il 1 aprile 2021, sotto la vigilanza della Banca d’Italia.
I due fattori devono appartenere a categorie diverse:
| Categoria | Esempi |
|---|---|
| Qualcosa che sai | PIN, password, codice OTP |
| Qualcosa che hai | Smartphone, carta fisica, token hardware |
| Qualcosa che sei | Impronta digitale, riconoscimento facciale |
Esenzioni dalla SCA
Non tutti i pagamenti richiedono l’autenticazione forte. La normativa prevede alcune esenzioni:
- Transazioni sotto i 30 euro (fino a un massimo cumulativo di 100 euro o 5 transazioni consecutive senza SCA)
- Transazioni ricorrenti (abbonamenti già autorizzati)
- Beneficiari affidabili (commercianti inseriti nella tua lista bianca)
Per approfondire la sicurezza di Revolut in particolare, leggi il nostro articolo dedicato: Revolut e sicura?
Tokenizzazione: perché Apple Pay e Google Pay sono più sicuri della carta fisica
Quando aggiungi una carta a Apple Pay o Google Pay, il numero reale della carta non viene mai salvato sul telefono. Al suo posto viene creato un Device Account Number: un token crittografico univoco custodito nel Secure Element del dispositivo, un chip hardware separato e inaccessibile al sistema operativo e alle app.
Cosa succede durante un pagamento
- Avvicini il telefono al POS (o confermi online)
- Il Secure Element genera un codice di transazione univoco
- Il commerciante riceve solo il token e il codice, mai il numero reale della carta
- Anche intercettando questi dati, non possono essere riutilizzati
Doppia protezione
Ogni pagamento richiede la tua autenticazione: Face ID, Touch ID, impronta digitale o PIN del dispositivo. Se perdi il telefono, nessuno può pagare senza la tua biometria.
Questo significa che pagare con lo smartphone e oggettivamente più sicuro che strisciare la carta fisica, dove il numero e stampato in chiaro e il CVV e visibile a chiunque la maneggi.
Per scoprire quali carte gratuite funzionano con Apple Pay e Google Pay, leggi la nostra guida alla compatibilita. Per capire nel dettaglio come funziona il pagamento contactless, leggi la nostra guida al pagamento contactless.
Carte virtuali usa e getta: la protezione definitiva per lo shopping online
Le carte virtuali usa e getta sono numeri di carta generati al momento, che si autodistruggono dopo una singola transazione. Il numero, il CVV e la data di scadenza cambiano ogni volta, rendendo impossibile qualsiasi tipo di clonazione o riutilizzo fraudolento.
Come funzionano
- Dall’app della tua banca, generi una nuova carta virtuale in pochi secondi
- Usi quei dati per completare l’acquisto online
- Dopo il pagamento, i dati della carta non sono più validi
- Anche se l’e-commerce subisse un data breach, i tuoi dati sarebbero inutilizzabili
Quali carte le offrono?
| Carta | Carte virtuali usa e getta | Carte virtuali permanenti | Note |
|---|---|---|---|
| Revolut | Sì (piano Standard) | Sì | CVV rigenerato dopo ogni transazione online |
| BBVA | No | Si, con CVV Dinamico | CVV generato al momento dall’app, non stampato sulla carta |
| N26 | No | Sì (fino a 6) | Carte virtuali collegabili a sub-account Spaces |
| Amex Blu | No | No | Protezione tramite SafeKey (3D Secure Amex) |
Revolut e l’unica tra queste quattro a offrire carte virtuali usa e getta già nel piano gratuito. Ogni volta che effettui un pagamento online, i dettagli della carta vengono sostituiti automaticamente, aggiungendo un livello di protezione superiore.
BBVA adotta un approccio diverso ma altrettanto efficace: il CVV Dinamico. Il codice di sicurezza non è stampato sulla carta fisica e viene generato al momento dall’app ogni volta che ne hai bisogno. Questo impedisce che qualcuno possa copiare il CVV dalla carta e usarlo online.
Nota: le carte virtuali usa e getta non sono adatte per abbonamenti o pagamenti ricorrenti (Netflix, Spotify, ecc.), dato che i dati cambiano dopo ogni transazione. Per quelli, usa la carta virtuale permanente o la carta fisica.
Blocco carta istantaneo: il controllo totale in un tap
Una delle funzionalita più importanti delle banche digitali e la possibilita di bloccare e sbloccare la carta istantaneamente dall’app, senza dover chiamare un numero verde o recarti in filiale.
Perché e fondamentale
- Vedi un addebito sospetto? Blocchi la carta in 2 secondi
- Non trovi la carta? La blocchi mentre la cerchi, e la sblocchi quando la ritrovi
- Vuoi disattivare i pagamenti online quando non li usi? Puoi farlo
Confronto funzionalita di blocco per carta
| Funzionalita | BBVA | Revolut | N26 | Amex |
|---|---|---|---|---|
| Blocco/sblocco istantaneo | Sì | Sì | Sì | Sì (dall’app) |
| Blocco pagamenti online | Sì (selettivo) | Sì | Sì | No |
| Blocco pagamenti contactless | Sì | Sì | Sì | No |
| Blocco prelievi ATM | Sì | Sì | Sì | No |
| Blocco pagamenti esteri | Sì | Sì | Sì | No |
| Limiti di spesa personalizzati | Sì | Sì | Sì | Parziale |
| Notifiche push in tempo reale | Sì | Sì | Sì | Sì |
BBVA offre la funzione “Limita funzionalita” che permette di disattivare selettivamente pagamenti online, pagamenti in presenza, prelievi e pagamenti all’estero. N26 offre un controllo granulare simile, con la possibilita di bloccare anche la banda magnetica della carta per prevenire la clonazione. Revolut consente di gestire ogni aspetto della carta dall’app, inclusa la disattivazione dei pagamenti contactless e dei prelievi.
Consiglio pratico: tieni disattivati i pagamenti online sulla carta principale e attivali solo quando stai per effettuare un acquisto. In alternativa, usa una carta virtuale dedicata per gli acquisti online.
Cosa fare se ti clonano la carta: guida passo passo
Se noti addebiti che non riconosci, agisci subito. Ogni minuto conta. Ecco i passaggi da seguire, nell’ordine corretto:
1. Blocca immediatamente la carta
Apri l’app della tua banca e blocca la carta con un tap. Tutte le carte che consigliamo (BBVA, Revolut, N26, Amex Blu) permettono il blocco istantaneo dall’app, 24 ore su 24. Se non hai accesso all’app, chiama il numero verde della tua banca.
2. Contatta la banca e disconosci le operazioni
Segnala le transazioni fraudolente alla tua banca o emittente della carta. Descrivi in modo dettagliato ogni operazione che non riconosci. La banca ha l’obbligo di rimborsarti: di norma il riaccredito avviene entro il primo giorno lavorativo successivo alla ricezione della contestazione.
Attenzione ai tempi: hai 13 mesi dalla data di addebito per segnalare un’operazione non autorizzata (art. 9 D.Lgs. 11/2010). La banca ha poi 60 giorni per rispondere al reclamo. Non aspettare: prima segnali, prima ottieni il rimborso. Se hai subito un addebito sospetto, leggi la nostra guida completa per contestare un addebito sulla carta, o scopri nel dettaglio come funziona il processo di chargeback carta di credito.
3. Sporgi denuncia
Recati presso un ufficio di Polizia o una stazione dei Carabinieri e sporgi denuncia per frode informatica. Il verbale ti servira per la pratica di rimborso con la banca. Puoi anche presentare denuncia online sul portale della Polizia Postale.
4. Richiedi una nuova carta
Dopo il blocco, richiedi l’emissione di una nuova carta con un nuovo numero. Con le banche digitali, la nuova carta virtuale è disponibile immediatamente: puoi continuare a pagare online mentre aspetti la carta fisica sostitutiva.
5. Controlla i tuoi account online
Se i dati della carta erano salvati su siti e-commerce, rimuovili e aggiorna i metodi di pagamento con la nuova carta. Cambia le password degli account dove avevi salvato la carta compromessa.
5 regole d’oro per pagare online in sicurezza
Nessuna tecnologia ti protegge al 100% se non adotti comportamenti prudenti. Ecco le 5 regole fondamentali:
1. Usa una carta virtuale dedicata per gli acquisti online
Non usare la carta fisica principale per lo shopping online. Genera una carta virtuale dall’app (meglio se usa e getta come quelle di Revolut) e usala esclusivamente per gli acquisti su internet. Se i dati vengono compromessi, la carta principale resta al sicuro.
2. Attiva le notifiche push per ogni transazione
Tutte le carte digitali che consigliamo inviano una notifica istantanea a ogni pagamento. Se vedi un addebito che non riconosci, puoi bloccare la carta in pochi secondi. Non sottovalutare questa funzionalita: le frodi moderne puntano su micro-addebiti ripetuti (sotto i 30 euro) sperando che passino inosservati.
3. Non salvare i dati della carta sui siti
E comodo, ma ogni sito che memorizza i dati della tua carta e un potenziale bersaglio per i cybercriminali. Usa piuttosto Apple Pay o Google Pay quando disponibili: grazie alla tokenizzazione, il commerciante non riceve mai il numero reale della carta.
4. Verifica sempre il sito prima di pagare
Controlla che l’URL inizi con https:// (con il lucchetto). Diffida di email e SMS che ti chiedono di “verificare” o “aggiornare” i dati della carta: le banche non lo fanno mai via email. Secondo i dati CRIF, il 38,1% delle truffe avviene tramite false email (phishing) e il 28,4% via SMS (smishing).
5. Non condividere mai foto della carta
Il fronte della carta contiene il numero completo, la scadenza e spesso il CVV. Una foto e tutto ciò che serve a un truffatore per fare acquisti online a tuo nome. Con BBVA, questo rischio e ridotto perché il CVV non è stampato sulla carta ed e generato dinamicamente dall’app.
Tabella riepilogativa: funzionalita di sicurezza per carta
Ecco un confronto completo delle funzionalita di sicurezza offerte dalle carte che consigliamo su Cartaly:
| Funzionalita | BBVA | Revolut | N26 | Amex Blu |
|---|---|---|---|---|
| 3D Secure | Sì | Sì | Sì (SecureCode) | Sì (SafeKey) |
| Notifiche push istantanee | Sì | Sì | Sì | Sì |
| Blocco/sblocco istantaneo | Sì | Sì | Sì | Sì |
| Carte virtuali | Sì (con CVV Dinamico) | Sì (anche usa e getta) | Sì (fino a 6) | No |
| CVV dinamico | Sì | Sì (usa e getta) | No | No |
| Blocco selettivo canali | Sì | Sì | Sì | No |
| Apple Pay / Google Pay | Sì | Sì | Sì | Sì |
| Autenticazione biometrica | Sì | Sì | Sì | Sì |
| Protezione antifrode attiva | Sì | Sì (AI-based) | Sì (machine learning) | Sì (monitoraggio 24/7) |
| Zero responsabilita per frodi | Sì | Sì | Sì | Sì |
| Canone | Gratis | Gratis (Standard) | Gratis (Standard) | 0 poi 3 euro/mese |
Per un confronto completo su tutti gli aspetti (cashback, costi, funzionalita), consulta la nostra pagina di confronto carte o la guida alla migliore carta per acquisti online.
Domande frequenti
Il 3D Secure è obbligatorio per tutti gli acquisti online?
Sì, la normativa europea PSD2 impone l’autenticazione forte (SCA) per tutti i pagamenti online nell’Unione Europea. Esistono alcune esenzioni per transazioni sotto i 30 euro (fino a un massimo cumulativo di 100 euro o 5 transazioni consecutive) e per pagamenti ricorrenti già autorizzati.
Le carte virtuali usa e getta sono sicure quanto quelle fisiche?
Sono più sicure. I dati della carta cambiano dopo ogni transazione, rendendo impossibile qualsiasi riutilizzo fraudolento. Anche se un sito e-commerce subisce un data breach, i dati della tua carta virtuale usa e getta saranno già scaduti e inutilizzabili.
Cosa succede se perdo il telefono con Apple Pay o Google Pay?
Nessuno può effettuare pagamenti senza la tua autenticazione biometrica (Face ID, Touch ID, impronta digitale). Inoltre, puoi disattivare da remoto Apple Pay o Google Pay dal tuo account Apple o Google. Il numero reale della carta non è mai memorizzato sul dispositivo, quindi non può essere estratto.
Quanto tempo ho per contestare un addebito fraudolento?
In Italia hai 13 mesi dalla data di addebito per segnalare un’operazione non autorizzata (art. 9 D.Lgs. 11/2010). I 60 giorni spesso citati sono il termine entro cui la banca deve rispondere al reclamo, non il tempo a tua disposizione per segnalare. Il consiglio e di agire immediatamente, non appena noti la transazione sospetta. La banca e obbligata a rimborsarti entro il primo giorno lavorativo successivo alla ricezione della contestazione.
Quale carta offre la migliore protezione per gli acquisti online?
Per la sicurezza pura negli acquisti online, Revolut si distingue grazie alle carte virtuali usa e getta incluse nel piano gratuito. BBVA e un’ottima scelta grazie al CVV Dinamico generato dall’app. Se cerchi anche protezione assicurativa sugli acquisti, la Blu American Express include la copertura contro danni e furto.
Conclusione: la sicurezza è una scelta, non un optional
Le truffe online sono in crescita, ma le armi a tua disposizione sono più potenti che mai. Il 3D Secure, la tokenizzazione e le carte virtuali hanno reso i pagamenti digitali più sicuri di quelli tradizionali: a patto di usare gli strumenti giusti.
Le tre azioni più importanti che puoi fare oggi:
- Attiva una carta con carte virtuali o CVV dinamico: Revolut per le carte usa e getta, BBVA per il CVV Dinamico
- Usa Apple Pay o Google Pay dove possibile, per sfruttare la tokenizzazione
- Tieni sempre attive le notifiche push e blocca i canali che non usi
La sicurezza non costa nulla: tutte le funzionalita descritte in questa guida sono incluse nei piani gratuiti di BBVA, Revolut e N26. Non hai scuse per non proteggerti.
Se la tua carta viene rifiutata durante un pagamento, non sempre si tratta di una frode: scopri gli 8 motivi per cui una carta viene rifiutata e come risolvere.