Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks, analizza la crescita che interessa il comparto dei sistemi di pagamento in mobilità e traccia un possibile futuro.
I pagamenti tramite mobile cresceranno in modo esponenziale nei prossimi anni. Recentemente una ricerca condotta in Inghilterra ha evidenziato che oltre 31 milioni di utenti (il 92% degli intervistati) utilizzeranno il proprio dispositivo mobile per un acquisto nel corso del 2015. L’affermarsi dei pagamenti contactless favorisce fortemente questo processo. La sua adozione sempre più diffusa, ad esempio da parte delle aziende dei trasporti locali (come ATM a Milano o Ataf a Firenze), comporta di fatto una sempre maggiore familiarità degli utenti con questa forma di pagamento.
Il lancio di Apple Pay negli Stati Uniti, dove è già supportato da oltre 380 istituti bancari, ed entro fine luglio in Inghilterra, renderà finalmente reale il sogno di non dover più andare a caccia del portafogli e della carta di credito nella borsa. Con lo smartphone sempre in mano, tutto quello che dovremo fare sarà toccare lo schermo del telefono puntandolo verso l’apparecchio ricevente.
Resta, tuttavia, una grande incognita: una serie di problemi di sicurezza da superare prima che il mobile diventi il principale veicolo di pagamento. Le carte di credito sono dotate di una sicurezza intrinseca che i cellulari non hanno. Crittografia, comunicazione sicura tra la carta e il terminale, ulteriori funzioni di protezione supplementari, elementi tutti volti a garantire che i dati non siano compromessi. Uno dei principali è il Secure Cryptographic Element (SE), inserito nel chip della carta e utilizzato per garantire che i dati siano al sicuro durante la transazione.
Apple contro Android e Windows
Per rendere più sicuri i pagamenti mobile, Apple ha incluso un SE nella soluzione Apple Pay su iPhone 6, iPhone 6+ e Apple Watch. Rispetto al Secure Element Apple dichiara che “il tuo token con la crittografia che lo accompagna è isolato da iOS, mai memorizzato sui server di Apple Pay e mai salvato su iCloud. Dato che il suo numero è unico e diverso dai normali numeri delle carte di credito o debito, la tua banca può impedirne l’utilizzo da parte di una carta a banda magnetica, su un telefono o su siti web”.
Ma cosa accade nel mondo frammentato di Android e Windows, quando i telefoni sono realizzati da una moltitudine di aziende? In genere questi dispositivi non comprendono un SE, dato che ogni produttore tende a utilizzare il proprio hardware e sarebbe molto difficile includere le librerie software richieste nel sistema operativo di tutti questi diversi modelli. Inizialmente, l’idea era utilizzare le SIM per verificare che i pagamenti venissero processati correttamente.
In linea di principio, sembrava una buona soluzione; tutti hanno una scheda SIM, può essere utilizzata per memorizzare le chiavi crittografiche, e può essere richiamata dall’app di pagamento mobile nel momento in cui serve durante la transazione. Cosa ancor più importante, in questo modo le chiavi possono essere isolate dal sistema operativo, e quindi, potenzialmente, da qualsiasi malware attacchi il dispositivo. Purtroppo gli operatori mobile detengono le SIM e controllano la loro assegnazione e quali software possono essere installati su di esse. In un momento in cui i loro ricavi tendono a calare, con un forte consolidamento del mercato, vorrebbero anche loro poter accedere a un pezzetto della torta dei pagamenti mobile. Il risultato è che l’approccio SIM non è mai realmente decollato.
Google trova la soluzione?
Google, proprietario del sistema operativo più diffuso al mondo per i dispositivi mobili, ha ideato una soluzione potenzialmente valida sviluppando un sistema software based che emula un SE (Secure Element) su un dispositivo che non lo ha.
Il processo viene chiamato HCE, (Host Card Emulation) e fa sì che un telefono cellulare si comporti in modo simile a una smart card. Permette, infatti, che un telefono cellulare possa essere utilizzato per una transazione di pagamento nel punto vendita al posto di una smart card contactless.
Si potrebbe pensare che questa soluzione di Android segni un punto di svolta, rendendo i pagamenti mobili disponibili per tutti, non solo per i proprietari di telefoni Apple.
Tuttavia, scavando più a fondo, la situazione non è così rosea come sembra. Android è notoriamente segnalato come il sistema operativo mobile più attaccato al mondo – un recente rapporto di Symantec afferma che una applicazione per Android su cinque contiene del malware. La soluzione HCE si basa sul software ed è accessibile dal sistema operativo principale attraverso una serie di chiamate API. Se abbiamo imparato qualcosa dalle tante violazioni alla sicurezza informatica è che tutto quello che viene eseguito da un software è vulnerabile!
Il ruolo delle banche
Quindi, cosa si può fare? Oggi la responsabilità legale di una frode nel pagamento è demandata all’emittente della carta, nella maggior parte dei casi la vostra banca. La conseguenza è che proprio le banche, in prima fila, stanno studiando nuove metodologie sicure di utilizzo delle applicazioni di online banking da parte degli utenti per pagare direttamente dal proprio conto, bypassando la necessità di un servizio di intermediazione.
Perché ciò avvenga in modo efficace, il comportamento dell’utente deve essere preso in considerazione tanto quanto la tecnologia, visti i rischi sopra citati. L’identificazione out-of-band del dispositivo implica l’analisi di informazioni aggiuntive come la segnalazione di ogni transazione sospetta, tutto questo senza ostacolare l’esperienza del cliente. Le applicazioni per i pagamenti mobile devono, ad esempio, essere in grado di monitorare lo stato del dispositivo, ricercando i malware o altri comportamenti sospetti che potrebbero manipolare il processo HCE per rubare dei dati. L’applicazione, a quel punto, potrebbe inviare queste informazioni tramite la connessione Internet del dispositivo, al di fuori del processo di pagamento, all’ente responsabile. In questo modo, la validità della transazione potrebbe essere determinata utilizzando pattern storici, dispositivi fingerprinting o altro ancora.
Indipendentemente dall’approccio scelto o dalla soluzione che alla fine sarà trovata, questo è il livello d’innovazione e attenzione alla sicurezza che i provider devono dimostrare di possedere per garantire che il passaggio ai pagamenti mobile avanzati avvenga in modo graduale e sicuro.