Il CVV (Card Verification Value) è un codice di sicurezza numerico presente sulle carte di pagamento. Questo parametro serve a convalidare e autorizzare le transazioni a distanza, ovvero tutti quegli acquisti in cui la carta non viene inserita fisicamente in un lettore, operazioni tecniche definite "Card Not Present".
La sua funzione è verificare che chi sta eseguendo l'operazione disponga della carta al momento del pagamento. Senza l'inserimento di questo codice, il sistema blocca la transazione a tutela del titolare.
Significato dell'acronimo e differenze tecniche tra CVV, CVC e CID
A seconda del circuito a cui appartiene la carta, questo codice può avere nomi diversi, anche se la funzione è sempre la stessa:
- CVV (Card Verification Value): è l'acronimo usato dal circuito Visa.
- CVC (Card Validation Code): è la sigla del circuito Mastercard.
- CID (Card Identification Number): è il termine usato da altri circuiti internazionali.
Nel corso degli anni, la tecnologia alla base di questi codici si è evoluta per contrastare le frodi online in modo più efficace. Esistono due versioni:
- CVV1: era il codice nascosto nella banda magnetica della carta. Veniva letto meccanicamente dai terminali nei negozi fisici e non offriva protezione adeguata per gli acquisti su internet.
- CVV2: è il codice attuale. È il numero stampato sulla superficie della carta, non memorizzato nel chip né nella banda magnetica. Non può essere letto elettronicamente e deve essere digitato manualmente dall'utente. Questo lo rende molto più difficile da copiare.
Dove si trova il codice CVV sulla carta di credito
La posizione del codice segue criteri standard:
- Carte standard (3 cifre): il codice si trova sul retro della carta, vicino allo spazio riservato alla firma del titolare.
- Altre carte (4 cifre): per alcune specifiche tipologie di carte di credito, il codice si trova stampato sulla parte frontale, sopra il numero identificativo principale.
Per ragioni di sicurezza, il codice CVV è stampato sulla carta con inchiostro ordinario e non viene mai memorizzato nel chip o nella banda magnetica. Questa scelta non è casuale: significa che il codice non può essere acquisito elettronicamente da nessun dispositivo.
Quando una carta viene inserita in un terminale POS manomesso, è possibile che vengano copiati i dati contenuti nel chip o nella banda magnetica, come il numero della carta e la data di scadenza. Tuttavia, il codice CVV stampato a inchiostro non è presente in quei supporti digitali, quindi non può essere copiato con gli stessi metodi.
Il risultato è che, anche in caso di clonazione parziale, i dati raccolti non sono sufficienti per effettuare acquisti online: senza il CVV, la transazione non viene autorizzata.
A cosa serve il codice e come funziona nei pagamenti online
Il codice CVV serve a confermare che l'acquirente che sta effettuando un acquisto online ha la carta fisicamente tra le mani. I passaggi di un pagamento online sono in genere i seguenti:
- Il consumatore inserisce il numero della carta (16 cifre).
- Indica il mese e l'anno di scadenza.
- Scrive il proprio nome e cognome.
- Inserisce il codice CVV per completare l'operazione.
Le normative europee sui servizi di pagamento, in particolare la direttiva PSD2, prevedono un livello di verifica aggiuntivo chiamato autenticazione forte. In pratica, l'acquisto si articola in due fasi:
- Prima fase: inserimento manuale del CVV sulla pagina del negozio online.
- Seconda fase: conferma tramite l'app dell'istituto finanziario (ad esempio con impronta digitale) oppure tramite un codice numerico usa e getta (OTP) ricevuto via SMS.
Solo dopo questa doppia verifica il sistema autorizza l'addebito.
Differenza tra PIN e codice CVV
Esistono svariati codici di sicurezza con funzioni distinte, ed è utile distinguere il ruolo di ogni elemento:
- Codice PIN: è un numero riservato, solitamente di 4 o 5 cifre, che la società emittente invia per posta. Viene usato nei pagamenti fisici presso i negozi (digitandolo sul POS) o per i prelievi agli sportelli ATM. Non viene mai richiesto per gli acquisti online.
- Codice CVV: è il numero stampato sulla carta. Viene richiesto esclusivamente per le transazioni a distanza, su internet. Non viene mai usato nei negozi fisici.
Un'ulteriore distinzione riguarda la memorizzazione dei dati: i siti di e-commerce non possono salvare il codice CVV nei propri sistemi. Possono conservare il numero della carta per agevolare acquisti futuri, ma il CVV deve essere reinserito manualmente a ogni transazione. Questa regola riduce i rischi in caso di violazioni informatiche ai danni dei negozi online.
Consigli per la sicurezza e la prevenzione delle frodi
La prevenzione delle truffe informatiche richiede attenzione costante. Ecco alcune indicazioni oggettive su come gestire i pagamenti in modo sicuro:
- Non condividere mai il CVV: questo codice non va comunicato via e-mail, messaggio o telefono. Nessun operatore autorizzato chiederà mai di dettarlo.
- Diffidare dei messaggi sospetti: i messaggi che invitano a cliccare su link per sbloccare la carta o bloccare addebiti anomali sono spesso tentativi di phishing. È opportuno cancellarli senza interagire.
- Monitorare i movimenti: controllare regolarmente l'estratto conto consente di individuare con tempestività eventuali addebiti non riconosciuti.
- Attivare le notifiche: abilitare gli avvisi automatici sull'app del proprio istituto finanziario permette di ricevere un riscontro diretto per ogni operazione effettuata.
In caso di movimenti non riconosciuti, è necessario contattare il servizio clienti per bloccare la carta e richiedere l'apertura di una contestazione formale.