Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

E-PAYMENT

Apple Pay, ma è vera innovazione?

Tokenizzazione e identificazione biometrica gli elementi distintivi del sistema della Mela. Ma le modalità di accesso aprono alcuni dubbi sulla sicurezza delle operazioni

18 Nov 2014

Roberto Garavaglia, Management Consultant & Innovative Payments Strategy Advisor – Autore del blog CloseToPay.com

L’annuncio di Apple ha “rifertilizzato” un terreno già seminato da molti, richiamando attenzione e sensibilità planetarie; ma Apple Pay crea davvero un nuovo modello di pagamenti digitali o rinnova schemi già consueti? La domanda è, fra i tormentoni di fine anno, quella che più mi ha coinvolto; l’analisi proposta in questo articolo, rappresenta un pensiero, a sintesi delle valutazioni che ho potuto esprimere, sulla base delle (ancora poche) informazioni ad oggi in circolazione.
Il sistema di pagamento proposto dal gigante di Cupertino, si caratterizza – a mio avviso – per mediare due qualità: tradizione e distinzione. Apple Pay adotta l’Nfc come tecnologia per i pagamenti di prossimità e impiega le carte di credito quali strumenti di pagamento; in ambedue le scelte si evince la conferma dell’essenziale rilevanza dei circuiti di pagamento (Visa, MasterCard, Amex) e della trasmissione a corto raggio per l’interazione con i Pos contactless. Queste, fin qui, le componenti “tradizionali” che sono rinnovate, nel proprio ruolo, dalla proposta della Mela.

Gli elementi distintivi, sono invece la tokenizzazione e l’autenticazione biometrica. Per quanto attiene il primo è teoricamente possibile parlare d’innovazione, anche se il concetto di token non è, per sé, nuovissimo (la prima carta tokenizzata risale al 2005). Si tratta di un valore surrogato del Pan (Personal Account Number, il numero identificativo di una carta di credito) che è impiegato in sostituzione del medesimo, evitando con ciò di gestire ed inviare dati che potrebbero essere usati per fini fraudolenti. Nel mondo Apple, il token si chiama Dan (Device Account Number), viene memorizzato in modo sicuro nell’iPhone e, insieme ad un codice di sicurezza univoco per singola transazione,viene trasmesso (via Nfc) al terminale per eseguire il pagamento o impiegato per l’acquisto online dal telefonino. Il lettore d’impronte digitali è invece impiegato per autenticare il possessore del cellulare (attenzione, non l’effettivo titolare della carta tokenizzata!), quando si avvia la transazione.

Al riguardo di questi due elementi distintivi dell’offerta Apple Pay, è opportuno condividere un paio di considerazioni, volte ad indicare quali potranno essere i perni su cui s’incardineranno le future evoluzioni del sistema, nonché le reali possibilità di adozione anche in Europa. Esiste un problema di “qualità” del token, intesa come garanzia dell’associazione titolare effettivo della carta-token; è, infatti, necessario osservare come, in assenza di un sistema d’identificazione e verifica del reale possessore della carta, il token, che è generato one-time su iniziativa del possessore dell’iPhone, attingendo i dati della carta associata al conto iTunes o scattando una foto alla carta stessa, potrebbe non necessariamente riflettere l’identità del cardholder legittimo. L’impiego delle tecniche biometriche (pressione sul lettore d’impronta per avviare la transazione) non vengono usate per garantire l’associazione suddetta, bensì per “sbloccare” l’applicazione di pagamento.

È lecito, dunque, chiedersi se, in presenza di un token con un grado di qualità basso, per il quale non siano state esperite efficaci funzioni di ID & Verification, il pagamento possa configurare un livello di commissioni più simile a quello del mondo Cnp Card-not-Present, piuttosto che CP Card-Present (il primo più alto del secondo) e ciò a prescindere dal contesto operativo in cui si effettua la transazione, sia esso online che fisico. Se, da un lato, l’impiego di un token può comportare un minore costo in termini di compliance Pci per i merchant e gli esercenti, dall’altro è importante capire se gli stessi circuiti, che hanno contribuito alla creazione di uno schema di tokenizzazione (specifiche EMVco di marzo 2014), prevedranno, per le transazione di pagamento token-based, la riduzione delle Interchange Fee, una delle componenti che, insieme alle quote annuali di possesso delle carte di credito, costituiscono il sistema di remunerazione degli emettitori di carte.

Infine è utile chiedersi, posto che il processo di tokenizzazione ha un suo costo, chi possa o debba accollarsene il peso. Ove fossero gli emettitori a dovervi far fronte, in uno scenario europeo caratterizzato dalla proposta di regolamento Ue, che pone limiti ai valori dell’Interchange Fee, l’incidenza della tokenizzazione dovrà essere attentamente valutata, con l’auspicio che possa non ribaltarsi su altri attori della filiera, quali ad esempio i cardholders.

Argomenti trattati

Approfondimenti

A
apple pay
R
roberto garavaglia

Articolo 1 di 5