Le banche online e i conti digitali offrono comodità reale: zero code, operazioni h24, costi spesso molto più bassi rispetto agli istituti tradizionali. Ma con la gestione digitale del denaro arrivano anche rischi specifici che è indispensabile conoscere. Phishing, SIM swap, malware, accessi non autorizzati: le minacce esistono e colpiscono anche utenti attenti. Questa guida ti spiega come funzionano le protezioni offerte dalle banche, cosa puoi fare tu per ridurre il rischio, e come si è tutelato per legge nel caso peggiore.
Il Fondo Interbancario di Tutela dei Depositi (FITD): quanto sei coperto
Prima di parlare di cybersicurezza, è utile chiarire la tutela legale di base. In Italia, tutti i depositi presso banche aderenti al Fondo Interbancario di Tutela dei Depositi (FITD) sono garantiti fino a 100.000 euro per depositante per banca. Questo significa che se una banca fallisse, recupereresti fino a quella soglia indipendentemente da cosa accade tecnicamente sui sistemi.
La copertura si applica a conti correnti, conti deposito, libretti e certificati di deposito. Non si applica invece a strumenti finanziari come azioni, obbligazioni, ETF o fondi comuni — quelli sono tutelati dal patrimonio separato (MiFID), ma non dal FITD.
Come funziona in pratica la tutela
Se hai 150.000 euro su un unico conto e la banca fallisce, recuperi 100.000 euro. I restanti 50.000 entrano nel passivo del fallimento e potresti recuperarne una quota, ma non c'è garanzia. La soluzione pratica per chi supera la soglia è distribuire i depositi su più banche aderenti al FITD. Ogni rapporto tra cliente e banca è coperto separatamente.
Tutte le principali banche digitali italiane (Fineco, Illimity, Banca Mediolanum, Flowe, Hype — quest'ultima appoggiata a Banca Sella) aderiscono al FITD. Anche molti neo-bank europei passati in regime post-Brexit o con licenza bancaria completa nell'UE sono coperti da fondi equivalenti nei rispettivi paesi. Prima di aprire un conto, verifica sempre se l'istituto ha licenza bancaria oppure è solo un istituto di pagamento: in quest'ultimo caso il FITD non si applica, anche se esistono obblighi di salvaguardia dei fondi separati.
Se vuoi approfondire dove parcheggiare la liquidità in modo sicuro, leggi la nostra guida ai migliori conti deposito 2026 e quella sul fondo di emergenza.
Autenticazione a due fattori (2FA): la difesa più importante
L'autenticazione a due fattori è il meccanismo che richiede, oltre alla password, un secondo elemento di verifica prima di concedere l'accesso o autorizzare un'operazione. È la misura singola più efficace per proteggere un conto online.
Come funziona il 2FA bancario
In ambito bancario europeo, il 2FA è obbligatorio per legge dal 2019 grazie alla direttiva PSD2 (recepita in Italia dal D.Lgs. 11/2010 e successive modifiche). La normativa impone la Strong Customer Authentication (SCA): per accedere al conto e per autorizzare pagamenti, la banca deve verificare almeno due fattori tra:
- Qualcosa che sai: PIN, password, codice segreto
- Qualcosa che hai: smartphone, token fisico, carta
- Qualcosa che sei: impronta digitale, riconoscimento facciale
In pratica, quando accedi alla tua banca da un nuovo dispositivo o autorizzi un bonifico, la banca invia un codice OTP (One-Time Password) via SMS o tramite app dedicata, oppure richiede la conferma biometrica sul telefono già registrato.
App di autenticazione vs SMS: quale è più sicuro
Gli SMS sono il metodo più diffuso ma anche il più vulnerabile. L'attacco chiamato SIM swap consiste nel convincere il tuo operatore telefonico a trasferire il tuo numero su una SIM controllata dall'attaccante: a quel punto riceve tutti i tuoi SMS, inclusi gli OTP bancari. È un attacco raro ma reale, documentato anche in Italia.
Le app di autenticazione (Google Authenticator, Microsoft Authenticator, Authy) generano codici localmente sul dispositivo, senza passare per la rete telefonica: sono significativamente più sicure degli SMS. Se la tua banca offre questa opzione, attivala.
Alcune banche — in particolare Fineco e CheBanca! — usano app proprietarie con push notification cifrata: anche questa è una soluzione robusta, purché il telefono sia protetto con PIN/biometria e l'app sia aggiornata.
Notifiche in tempo reale: il tuo sistema di allerta precoce
Le notifiche push e via email per ogni movimento del conto sono spesso trascurate, ma rappresentano un sistema di allerta fondamentale. Se qualcuno accede al tuo conto o esegue un'operazione, lo scopri immediatamente — e puoi bloccare la carta o chiamare la banca prima che il danno si estenda.
Come configurare le notifiche in modo efficace
- Attiva le notifiche per ogni transazione, non solo per importi superiori a una soglia
- Ricevi avvisi per accessi al home banking da nuovi dispositivi o IP
- Abilita le notifiche per modifiche ai dati personali (email, numero di telefono, IBAN destinatari)
- Imposta alert per variazioni dei massimali di spesa della carta
Se ricevi una notifica di un'operazione che non hai eseguito, agisci subito: blocca la carta dall'app, cambia la password, e contatta il servizio clienti. Non aspettare. Le banche in genere possono bloccare un bonifico SEPA nelle prime ore se non è ancora stato elaborato.
Conserva sempre i riferimenti di emergenza
Salva in un posto sicuro (non solo sul telefono) il numero del servizio antifrode della tua banca e il numero per blocco carta d'emergenza. In caso di furto del telefono, potresti non riuscire ad accedere all'app: devi poter chiamare da un altro dispositivo.
Le truffe più comuni: phishing, smishing e vishing
La maggior parte delle frodi bancarie non avviene per via di hacker che "bucano" i sistemi della banca, ma sfruttando l'utente come punto di ingresso. Ecco le tecniche più usate in Italia nel 2025-2026.
Phishing via email
Ricevi una email che sembra provenire dalla tua banca: grafica identica, logo corretto, testo formale. Ti chiede di cliccare su un link per "verificare il conto", "sbloccare un pagamento sospeso" o "aggiornare i dati". Il link porta a un sito falso, identico all'originale, che cattura le tue credenziali.
Come difendersi: le banche non chiedono mai credenziali via email. Non cliccare mai su link in email bancarie: accedi sempre digitando direttamente l'indirizzo nel browser o usando i preferiti salvati. Controlla il mittente reale (non solo il nome visualizzato) e l'URL del sito prima di inserire qualsiasi dato.
Smishing via SMS
Stesso concetto del phishing, ma via SMS. Il messaggio sembra provenire dal numero ufficiale della banca (i truffatori usano tecniche di spoofing che fanno apparire il messaggio nel thread dei messaggi legittimi della banca) e contiene un link o un numero da chiamare. In aumento anche i finti alert di "operazione sospetta" che invitano a chiamare un numero — dove risponde un finto operatore bancario.
Vishing telefonico
Il vishing è la versione vocale: ricevi una chiamata da chi si spaccia per un operatore della tua banca, spesso con numero che appare come quello ufficiale (caller ID spoofing). Il finto operatore ti avvisa di una transazione sospetta e ti chiede di "confermare" PIN, OTP o di spostare i fondi su un "conto sicuro" in attesa della risoluzione. Non esiste nessun "conto sicuro della banca": è sempre una truffa.
Regola d'oro: nessuna banca reale ti chiederà mai il PIN, la password completa o un codice OTP per telefono o via messaggio. Se hai dubbi su una chiamata, riaggancia e richiama tu il numero ufficiale della banca trovato sul sito o sul retro della carta.
Malware e keylogger
Software malevolo installato sul tuo computer o telefono può registrare le tue digitazioni (keylogger) o fare screenshot dell'app bancaria. I vettori di infezione più comuni sono allegati email, app scaricate da store non ufficiali, e software pirata. Usa un antivirus aggiornato su PC, scarica app solo da store ufficiali, e non usare mai reti Wi-Fi pubbliche per accedere al conto bancario senza VPN.
Le buone pratiche quotidiane per la sicurezza del conto
Oltre alla protezione tecnica offerta dalla banca, ci sono abitudini semplici che riducono drasticamente il rischio di essere compromessi.
Password sicure e gestori di password
Usa una password lunga (almeno 12 caratteri), unica per la banca, che non usi su nessun altro sito. Il modo più pratico per farlo senza impazzire è usare un gestore di password (Bitwarden, 1Password, KeePass): genera e memorizza password complesse per te, così devi ricordarne solo una master. Non usare mai la stessa password su più siti: se un sito viene violato, gli attaccanti provano quelle credenziali su tutti i servizi principali (credential stuffing).
Dispositivi e reti sicure
- Tieni il sistema operativo e le app sempre aggiornati: le patch di sicurezza chiudono vulnerabilità note
- Non accedere al banking da computer pubblici (biblioteca, internet café) o di altri
- Evita le reti Wi-Fi aperte e non protette; usa i dati mobili o una VPN affidabile
- Non fare jailbreak o root al telefono che usi per il banking: rimuove le protezioni di sicurezza del sistema operativo
- Attiva il blocco automatico dello schermo con PIN o biometria
Controllo periodico del conto
Non basta aspettare le notifiche: controlla il conto almeno una volta a settimana. Alcune truffe avvengono con importi piccoli e ripetuti, progettati per passare inosservati. Se noti movimenti che non riconosci, anche di pochi euro, segnalali alla banca immediatamente.
Cosa fare in caso di frode
Se subisci una frode bancaria online, la sequenza di azioni è:
- Blocca subito la carta e/o il conto dall'app o chiamando la banca
- Cambia le credenziali di accesso da un dispositivo sicuro
- Sporgi denuncia alla Polizia Postale entro 24-48 ore — è necessaria per avviare la procedura di rimborso
- Notifica la banca formalmente dell'accaduto, allegando la denuncia
- Richiedi il rimborso: la PSD2 prevede che in caso di operazioni non autorizzate il rimborso sia effettuato entro la giornata lavorativa successiva, salvo che la banca dimostri dolo o negligenza grave dell'utente
Attenzione: la banca può rifiutare il rimborso se dimostri di aver condiviso volontariamente le credenziali o di aver autorizzato consapevolmente l'operazione (es. cadendo in una truffa telefonica dove hai fornito il codice OTP). Questo è uno dei motivi per cui non bisogna mai comunicare OTP a nessuno.
Come valutare la sicurezza di una banca online prima di aprire un conto
Non tutte le banche digitali offrono lo stesso livello di protezione. Prima di aprire un conto, verifica questi elementi:
- Licenza bancaria italiana o UE: controllabile sul sito della Banca d'Italia (Albo delle Banche) o dell'EBA
- Adesione al FITD: obbligatoria per le banche italiane, verificabile sul sito del FITD
- 2FA obbligatorio: non solo opzionale, ma imposto per ogni accesso e operazione
- Blocco carta immediato dall'app: fondamentale in caso di emergenza
- Limiti di spesa configurabili: poter abbassare i massimali riduce il danno potenziale in caso di compromissione
- Storico di incidenti di sicurezza: cerca notizie pubbliche su violazioni dei dati. Un incidente gestito con trasparenza è meno allarmante di uno non comunicato
Per una panoramica completa dei costi e delle caratteristiche dei conti, consulta la nostra guida ai migliori conti deposito. Se invece stai valutando dove tenere il denaro investito, la guida su broker per investire affronta le garanzie specifiche dei conti titoli. Per gestire al meglio le tue finanze, potrebbe anche interessarti come fare un budget familiare e come risparmiare denaro con strategie concrete.
Aspetti fiscali: i tuoi soldi sul conto e il fisco italiano
Un argomento spesso trascurato nella sicurezza finanziaria complessiva è quello fiscale. I proventi derivanti dai depositi bancari sono soggetti a imposte che devi conoscere.
Gli interessi attivi su conti correnti e conti deposito sono tassati con un'imposta sostitutiva del 26% (ritenuta alla fonte operata dalla banca). Non devi fare nulla: la banca versa direttamente allo Stato e ti accredita il netto. Fanno eccezione i titoli di Stato italiani ed equiparati, tassati al 12,5%.
L'imposta di bollo sui conti correnti è pari a 34,20 euro annui per i privati (con giacenza media superiore a 5.000 euro). Sui conti deposito e sui depositi titoli l'aliquota è dello 0,2% annuo sul valore. Le banche applicano queste imposte automaticamente.
Se sei interessato alla tassazione delle rendite finanziarie in senso più ampio — investimenti, ETF, dividendi — consulta la guida sulla tassazione delle rendite finanziarie.
Domande frequenti
I soldi sul conto corrente di una banca online sono al sicuro come quelli di una banca tradizionale?
Sì, a condizione che la banca online abbia una licenza bancaria italiana o europea e aderisca al Fondo Interbancario di Tutela dei Depositi (o all'equivalente nel paese di licenza). La garanzia di 100.000 euro per depositante si applica indipendentemente dal fatto che la banca operi in filiale o solo online. La differenza di sicurezza riguarda la gestione digitale dell'accesso, non la solidità patrimoniale dell'istituto.
Cosa succede se autorizzo un pagamento per errore o vengo ingannato da una truffa?
Dipende dal tipo di operazione e dalle circostanze. Se l'operazione è stata eseguita senza il tuo consenso (es. qualcuno ha acceduto al conto con credenziali rubate), la PSD2 prevede il rimborso entro il giorno lavorativo successivo alla segnalazione. Se invece hai autorizzato tu stesso il pagamento — anche se ingannato (es. truffa del finto operatore bancario dove hai fornito l'OTP) — il rimborso è più difficile da ottenere, perché la banca considera l'operazione autorizzata. In entrambi i casi, sporgi denuncia alla Polizia Postale e notifica la banca immediatamente.
Il 2FA via SMS è sufficiente o devo usare un'app di autenticazione?
Il 2FA via SMS è molto meglio di nessun secondo fattore, ma è vulnerabile agli attacchi SIM swap (dove i truffatori convincono l'operatore telefonico a trasferire il tuo numero su una SIM controllata da loro). Se la tua banca offre l'autenticazione tramite app dedicata (con notifica push cifrata) o un'app TOTP come Google Authenticator, quella soluzione è più robusta. Per la maggior parte degli utenti, però, il rischio SIM swap è basso e il 2FA via SMS rimane una protezione efficace se abbinato alle altre buone pratiche descritte in questa guida.
Come faccio a capire se una email o un SMS della banca è autentica?
La regola più semplice: la tua banca non ti chiederà mai, via email o SMS, di cliccare su un link per inserire credenziali, PIN o codici OTP. Se ricevi un messaggio del genere, è quasi certamente una truffa. Per verificare, vai direttamente sul sito della banca digitando l'indirizzo nel browser (non cliccare sul link nel messaggio) o chiama il numero sul retro della carta. Controlla anche l'indirizzo email del mittente reale (non il nome visualizzato) e l'URL del sito prima di inserire qualsiasi dato.
Ho più di 100.000 euro liquidi: come li distribuisco per stare nella garanzia FITD?
Distribuisci la liquidità su più banche aderenti al FITD: la garanzia di 100.000 euro si applica per depositante per banca. Con 200.000 euro su due banche diverse (100.000 ciascuna) sei completamente coperto. Se si tratta di un conto cointestato, la garanzia sale a 200.000 euro totali (100.000 per ciascun intestatario). Tieni presente che esistono anche protezioni temporanee fino a 200.000 euro per situazioni particolari (es. proventi da vendita immobiliare, liquidazioni) per un periodo limitato. Valuta anche se parte della liquidità non possa essere investita diversamente, come spieghiamo nella guida su come iniziare a investire da zero.