I pagamenti digitali crescono, e insieme crescono gli attacchi ai terminali. Si vedono malware che tentano di intercettare dati in memoria, manomissioni fisiche dei dispositivi, social engineering ai danni del personale e reti WiFi poco protette che diventano l’anello debole. La buona notizia è che la maggior parte dei rischi si riduce con scelte tecniche corrette e procedure semplici da applicare ogni giorno in negozio. Dal 31 marzo 2025 alcuni requisiti di sicurezza sono diventati obbligatori per chi tratta pagamenti: un motivo in più per rivedere setup, fornitori e abitudini operative. Ecco cosa bisogna sapere in materia di POS e sicurezza.

POS e sicurezza: i rischi principali non sono solo gli “hacker”, ma anche gli errori umani

Possiamo mettere in lista gli errori più comuni che compromettono la sicurezza relativa ai terminali POS.

  • Malware e terminali non aggiornati: i POS Android e i PC cassa non aggiornati sono terreno fertile per software malevoli che provano a registrare tasti o catturare dati.
  • Manomissioni fisiche (skimmer e sostituzioni): un terminale “identico” può essere scambiato ad arte con uno alterato; cavi e lettori possono essere modificati.
  • Frodi al telefono o via email: il falso “tecnico” che chiede di installare un’app, leggere un codice o fare “transazioni di test” è ancora una delle truffe POS più efficaci.
  • Rete non segmentata: POS collegati alla stessa Wi-Fi del pubblico o dell’ufficio espongono traffico e dispositivi a rischi inutili.
  • Errori procedurali: importi non verificati, ricevute incomplete, gestione disattenta dei rimborsi: oltre alla sicurezza, aumentano il rischio di contestazioni e chargeback.

Le buone pratiche tecniche che fanno subito la differenza

Cifratura end-to-end e dispositivi validati. Ovvero, è meglio preferire terminali con cifratura punto-punto e soluzioni fornite da operatori affidabili riduce l’esposizione anche in caso di compromissione.

Attenzione agli aggiornamenti regolari: firmware e app del POS vanno aggiornati. Si devono inoltre disattivare debug USB e installazioni da origini sconosciute e consentire solo app del fornitore.

Occhio anche alla rete separata. Infatti, bisognerebbe mettere i POS su una VLAN dedicata o su un router separato, con password robuste, WPA2/WPA3 e WPS disattivato. Mai sulla stessa rete del WiFi clienti.

Monitoraggio e log: ovvero, controllare accessi remoti, cambi di configurazione e tentativi anomali di connessione. Infine, ricordati di conservare i log per un tempo adeguato.

Infine, bisogna pensare alla minimizzazione dei dati, vale a dire scontrini con dati oscurati e nessuna memorizzazione di informazioni sensibili in chiaro su PC o gestionale.

Procedure in negozio: cosa chiedere al personale

Andiamo ora a scoprire quali sono le procedure da eseguire in negozio:

  • Controllo visivo quotidiano: all’apertura e alla chiusura verificare sigilli, viti, allineamento della tastiera, numero di serie e integrità dei cavi.
  • Terminale sempre a vista: evitare che il POS venga portato lontano dal bancone o fuori dalla visuale; usare supporti antirimozione.
  • Doppia verifica dell’importo: mostrare il totale prima del tap/insert e richiedere PIN o conferma quando previsto.
  • Nessun codice al telefono: mai leggere OTP o codici a voce e mai eseguire operazioni “di test” su richiesta telefonica.
  • Formazione periodica: simulare scenari di phishing e di “falso tecnico”, aggiornare il team quando cambiano procedure o dispositivi.

Sicurezza e POS Android: impostazioni consigliate

Per chi usa POS basati su Android (come i POS Axerve), bisogna eseguire alcune best practices, come abilitare il blocco con PIN complesso, disattivare installazioni da sorgenti sconosciute, limitare le notifiche in lock-screen, impedire lo “screen overlay”, usare un sistema di gestione dispositivi (MDM) per distribuire aggiornamenti e policy, e configurare un profilo dedicato alla sola app di pagamento.

Cosa fare se sospetti una truffa o una compromissione

  1. Isola il dispositivo dalla rete ma non cancellare log o app: serviranno per le analisi.
  2. Contatta subito il fornitore/acquirer e segui le loro istruzioni di incident response.
  3. Documenta tutto: orari, terminali coinvolti, scontrini, personale presente, eventuali email/telefonate ricevute.
  4. Verifica gli altri terminali e la rete: meglio un controllo in più che un secondo incidente.
  5. Comunica con trasparenza a chi di dovere (fornitore, eventualmente autorità) e prepara messaggi chiari per il personale.

Checklist operativa

Riassumiamo il tutto nella seguente checklist per avere sotto gli occhi e nell’immediato tutto quello che bisogna fare per mettere in sicurezza il POS (e tutto quello che gli ruota attorno).

  • Terminali aggiornati e forniti da operatori affidabili.
  • POS su rete separata o VLAN dedicata; Wi-Fi clienti sempre isolato.
  • Controllo visivo dei terminali a inizio/fine giornata.
  • Niente codici letti al telefono; nessuna “transazione di test” su richiesta.
  • Log e alert attivi; contatti del fornitore pronti e condivisi con il team.
  • Procedura di incident response semplice e nota a tutti.

Domande pratiche frequenti

Serve un antivirus sul POS? In genere i terminali sono “bloccati” e gestiti dal fornitore; ciò che conta è tenerli aggiornati e non installare nulla di non autorizzato.

Meglio cavo o Wi-Fi? Il cavo è più prevedibile e riduce variabili; se si usa il Wi-Fi, deve essere dedicato e protetto.

Come riconoscere un terminale manomesso? Dettagli che “stonano”: plastiche fuori asse, viti diverse, cavi nuovi non richiesti, seriale che non coincide con l’inventario.