Aumentare la sicurezza dei pagamenti in-app con i token
Alla base di uno sforzo efficace per la tokenizzazione c’è la volontà di aprirsi ad una moltitudine di modelli di business; la protezione dei dati carta e le relative informazioni della transazione, soddisfare i bisogni dei merchant e degli utenti di velocità, facilità di utilizzo e consistenza.
La tokenizzazione nel mondo dei pagamenti è applicata, principalmente in forme proprietarie, da merchant, acquirer e provider per proteggere i dati memorizzati a seguito di una autorizzazione di pagamento. In questi casi, la tokenizzazione va ad eliminare il dato carta dai sistemi del merchant e riduce il rischio associato di hacking.
Con l’aumento di casi di brecce nei sistemi informatici e di furti riguardanti dati carta, la necessità di utilizzare soluzioni che rendano sicuri i dati di pagamento dall’inizio alla fine della transazione è cresciuta. Questo riguarda sia i pagamenti effettuati tramite web su eCommerce sia i pagamenti tramite mobile e in-app.
Esistono diversi modelli di tokenizzazione sviluppati per le specifiche esigenze degli stakeholder nel mondo dei pagamenti. Questi modelli possono essere divisi in due categorie: token di sicurezza e token di pagamento. I primi, legati alla post-autorizzazione, sono utilizzati per sostituire i dati sensibili (es. dato carta) con un token dopo che il processo di autorizzazione del pagamento è iniziato o per proteggere i dati memorizzati (es. nel database del merchant).
I token di pagamento, costituiscono uno sviluppo più recente dei network di pagamento, sono creati e mantenuti nel wallet del titolare da prima dell’inizio di un pagamento mobile o transazione digitale.
Il token di pagamento è un valore randomico che va a sostituire il dato carta del titolare al momento dell’inizializzazione di una transazione di pagamento. Secondo le direttive EMV, deve essere generato dal Token Service Provider: entità autorizzata a fornire il servizio di mappatura del token con il dato carta memorizzandolo nella sua “cassaforte” per fornire maggiore sicurezza.
Durante una transazione, il token viene inviato dal titolare al merchant per il pagamento, viene poi passato al Token Service Provider che ne verifica la mappatura con il dato carta presente nella “cassaforte” e compie le operazioni necessarie per ottenere l’autorizzazione dai circuiti di pagamento per completare la transazione.
Il merchant non entra in contatto con il dato carta del titolare, per questo, in caso di intrusione nei record della transazione il truffatore avrebbe accesso solamente al valore del token. Questo token risulterebbe inutilizzabile per transazioni future poiché è combinato con un crittogramma dinamico. L’inabilità del truffatore di entrare in possesso di dati carta utilizzabili è la principale differenza tra i token di sicurezza e i token di pagamento.
Dal punto di vista dell’utente il pagamento diventa invisibile. A seguito della prima fase di creazione del wallet, i dati carta non dovranno più essere inseriti per effettuare acquisti. Possono essere tuttavia impiegate diverse forme di sicurezza, ad esempio, con la richiesta di codice pin o password temporanee tramite sms al raggiungimento di determinate soglie.
L’avvento di sistemi di tokenizzazione dei pagamenti è abbastanza recente ma incredibilmente veloce nell’adozione da parte del mercato. In poco tempo si sono diffusi servizi che offrono la tokenizzazione dei dati di pagamento per poterli usare anche all’interno di applicazioni come wallet, pagamenti ricorrenti e fast checkout.
Non esiste il modo migliore quando si tratta di scegliere come accettare i pagamenti in-app o da web, dipende tutto dalla tecnologia attuale e i requisiti di business.
