Pagamenti NFC, Cloud contro Sim - CorCom

Mobile-payment

Pagamenti NFC, Cloud contro Sim

Sarà un chip fisico a gestire le transazioni o tutto avverrà nella nuvola grazie al sistema operativo? Pro e contro delle due soluzioni.Sullo sfondo una guerra fra banche e telco

22 Ago 2014

Giampiero Rossi

Il futuro modo di concepire le nostre spese sarà sempre più influenzato dai pagamenti mobili. Analizzando il panorama attuale è impossibile non soffermarsi sul recente supporto da parte di Google alla nuova funzionalità HCE (Host Card Emulation), che ha aperto un’innovativa possibilità di effettuare pagamenti NFC senza l’utilizzo della SIM Secure Element (SIM SE). Vediamo prima di tutto di definire gli attori:

Il SIM Secure Element è caratterizzato da uno spazio fisico sicuro contenuto dentro la SIM, all’interno del quale viene inserita un’applicazione di pagamento chiamata MCPA (Mobile Contactless Payment Application). L’accesso al Secure Element da parte della banca è garantito dal TSM (Trusted Service Manager), che si occupa del provisioning della MCPA e del suo intero ciclo di vita.

L’Host Card Emulation, invece, è la rappresentazione virtuale che permette di sviluppare soluzioni applicative in grado di emulare una carta di pagamento senza la necessità di avere il Secure Element. Tutto ciò è possibile grazie ad una funzionalità del sistema operativo degli smartphone, che abilita il chip NFC a comunicare, non solo con il Secure Element all’interno della Sim, ma anche con applicazioni che utilizzano servizi “Cloud”.
Con l’HCE quindi si è dunque in grado, almeno potenzialmente, di staccarsi sia dall’operatore di rete mobile sia dal produttore di telefoni, rendendo molto più facile la gestione di un’applicazione NFC, anche se bisogna ricordare che attualmente questa funzione è supportata solo da Android 4.4 e Blackberry OS 10.

La differenza sostanziale tra le due tecnologie sta quindi nel fatto che le credenziali di pagamento, nel caso del SIM SE sono contenute nella SIM, che ha una connessione diretta con il controller/antenna NFC; nel caso dell’HCE no.

Oltre a tutto ciò bisogna anche considerare ulteriori fattori, alcuni dei quali sono stati analizzati in un recente report della “Consult Hyperion”, società di consulenza specializzata in transazioni elettroniche. In particolare è utile soffermarci su quattro loro spunti:

Provisioning
Nel SIM SE il cliente ha bisogno di una SIM dedicata. Questo implica dei costi aggiuntivi per l’utente finale; inoltre, la banca deve interagire con l’operatore per integrarsi con il loro TSM. Nell’HCE non è necessario. Ciò porta una semplificazione per le banche rendendolo, allo stato attuale, molto più attrattivo.

Usability
Un grande punto di forza della SIM SE è che riesce a funzionare anche a smartphone spento (impossibile per l’HCE). Anche per quanto riguarda la verifica del PIN offline, con il SIM SE il PIN può essere inserito prima della transazione, invece nell’HCE c’è un uso limitato delle credenziali di pagamento, in quanto all’inizio della transazione viene spedito al device un single use keys e non è possibile recuperare dinamicamente le credenziali dalla banca durante la transazione anche se il telefono è online: se le nuove credenziali non sono state spedite con successo la transazione non sarà effettuata.

Security
Con l’HCE viene rimosso il Secure Element e messo nel “cloud”. Tutto ciò potenzialmente porta a nuove brecce nella sicurezza. Al contrario, però, la gestione completa della filiera da parte degli istituti finanziari si riflette positivamente su alcuni aspetti di sicurezza. Ad esempio, il controllo diretto della propria applicazione di pagamento da parte della banca permette di semplificare l’implementazione di logiche di fraud&risk management, in modo da inibire l’applicazione tempestivamente e senza dipendere da terze parti.

Business model
Mentre il costo del SIM SE è divisibile tra l’operatore e le banche, nel caso dell’HCE la banca deve investire in piattaforme per il ”SE in the Cloud”. Tuttavia, riesce in parte a mitigare questo fattorenegativo ridimensionando il ruolo degli operatori mobili e dei produttori di smartphone e restituendo di riflesso un ruolo centrale agli Application Payments Providers, tipicamente banche e istituti finanziari.
L’assenza di un Secure Element fisico semplifica in modo significativo i processi di distribuzione e gestione del ciclo di vita delle applicazioni di pagamento. Con questo modello non è necessario l’utilizzo di un Trusted Service Manager, il consumatore non deve disporre di una SIM Card con un Secure Element e non ci devono essere particolari accordi con gli operatori di telefonia mobile. Ma visto che questi costi attualmente non possono essere verificati, i due business model divergono e non si può sulla base dei dati attuali identificare un business plan più conveniente rispetto ad un altro.

Allo stato attuale, i due ecosistemi godono ciascuno di diversi vantaggi e svantaggi che li rendono entrambi molto interessanti e duraturi.
L’avvento dell’HCE può ridurre le complessità associate ai pagamenti SIM SE, anche se in realtà ciò che influenzerà la scelta tra le due tecnologie saranno i mercati, tanto più che un ecosistema SIM SE maturo ne renderebbe molto meno rischioso e più sicuro l’utilizzo.
Se, invece, sarà l’HCE a diventare molto più maturo e affidabile potrebbe invece accadere che l’ago della bilancia si sposti verso questo nuovo sistema, che consente potenzialmente minori spese e maggiore facilità di gestione.