Un codice OTP, ovvero One-Time Password, è una password che si può usare una sola volta. Compare spesso quando accediamo al conto bancario online, a un servizio pubblico o a un social network: è quel numero di sei cifre che arriva via SMS, via email o tramite un’app come Google Authenticator.
Serve per verificare che siamo davvero noi, oltre la solita password. Cambia ogni volta, scade in pochi secondi, e questo lo rende molto più sicuro di una password fissa. Lo usano le banche per autorizzare un bonifico, PayPal per confermare un pagamento, l’Agenzia delle Entrate o l’INPS quando accediamo con SPID, ma anche Google o Facebook se rilevano un accesso sospetto.
Il codice OTP è oggi uno standard di sicurezza essenziale per l’accesso sicuro a servizi online critici. Sebbene non sia infallibile, riduce notevolmente il rischio di accessi non autorizzati rispetto all’uso della sola password statica.
A volte ci arriva per messaggio, altre volte lo dobbiamo generare noi dall’app. In ogni caso, è diventato parte della nostra routine digitale: invisibile fino a pochi anni fa, oggi è una barriera silenziosa che protegge i nostri dati ogni giorno.
Esempio pratico: in banca
Se provi ad accedere al tuo conto da uno smartphone nuovo, la banca blocca temporaneamente l’accesso e ti invia un OTP per verificare che sia davvero tu. Solo dopo averlo inserito, puoi procedere.
Quando accedi al sito della tua banca — ad esempio Intesa Sanpaolo, Unicredit, BNL — dopo aver inserito username e password, ti viene chiesto un OTP per completare il login. Può arrivarti via SMS oppure lo generi con l’app della banca (come O-Key Smart o BNL Secure App).
Oppure, ancora: stai per inviare 500 euro a un amico. Dopo aver inserito l’IBAN e l’importo, la banca ti manda un OTP sul cellulare. Solo dopo averlo inserito, il bonifico parte. È una sicurezza in più contro truffe e accessi non autorizzati.
O anche: durante il pagamento su un sito e-commerce, ti viene richiesto un OTP per convalidare la transazione. Mastercard e Visa usano sistemi come 3D Secure (Mastercard Identity Check, Verified by Visa), che ti inviano un codice via SMS o notifica push per autorizzare il pagamento.
Anche SPID — che usi per accedere all’INPS o all’Agenzia delle Entrate — spesso ti chiede un OTP generato via app o inviato per SMS, soprattutto per operazioni delicate come controllare il 730 precompilato o fare una richiesta di bonus.
Come si genera un codice OTP
I codici OTP possono essere generati in vari modi, tra cui i principali sono:
- tramite algoritmi basati sul tempo (es. TOTP – Time-based One-Time Password),
- o su contatori di eventi (es. HOTP – HMAC-based One-Time Password).
I codici OTP sono diventati una componente fondamentale della verifica in due passaggi (2FA) e dell’autenticazione forte dell’utente. Vengono impiegati soprattutto per garantire un ulteriore livello di sicurezza nei seguenti servizi:
- Banche online (es. Intesa Sanpaolo, Unicredit, BNL): l’OTP viene inviato via SMS o generato tramite app (come MyKey, O-Key Smart, BNL Secure Key) per autorizzare operazioni come bonifici o pagamenti.
- Servizi di posta elettronica (es. Gmail, Outlook): quando accedi da un nuovo dispositivo, Google o Microsoft inviano un OTP via SMS o sull’app di autenticazione.
- Social network (es. Facebook, Instagram, X/Twitter): per proteggere l’accesso all’account, specialmente in caso di accessi sospetti.
- E-commerce e pagamenti digitali (es. Amazon, PayPal, PostePay): un OTP può essere richiesto per confermare un acquisto.
- Portali pubblici italiani come INPS e Agenzia delle Entrate: usano OTP via app (es. App IO, SPID) per convalidare l’accesso.
Modalità di ricezione
- SMS al numero di cellulare registrato
- Email (meno usato per sicurezza)
- App di autenticazione (Google Authenticator, Microsoft Authenticator, Authy, ecc.)
- Dispositivi hardware (token fisici generanti OTP)
