Conferma del pagamento sicuro

La conferma di pagamento sicura (SPC) è uno standard web proposto che consente ai clienti di eseguire l'autenticazione presso un emittente di carte di credito, una banca o un altro fornitore di servizi di pagamento utilizzando un autenticatore della piattaforma:

  • Funzionalità di sblocco, incluso Touch ID, su un dispositivo macOS
  • Windows Hello su un dispositivo Windows

Con SPC, i commercianti possono consentire ai clienti di autenticare in modo rapido e semplice i loro acquisti, mentre le banche emittenti proteggono i propri clienti dalle attività fraudolente.

L'SPC si compone di due fasi: registrazione e autenticazione.

  • Registrazione: il pagatore collega il proprio dispositivo a una parte attendibile. La parte coinvolta può essere un emittente della carta di credito, una banca o un altro fornitore di servizi di pagamento.
  • Autenticazione: il pagatore utilizza il dispositivo registrato per confermare la propria identità con la parte soggetta a limitazioni direttamente dalla piattaforma del commerciante prima di confermare i pagamenti.

Autenticazione per la prevenzione delle attività fraudolente

L'autenticazione gioca un ruolo importante nella prevenzione delle frodi relative ai pagamenti. Tuttavia, questo processo di verifica si basa spesso su meccanismi inefficaci, come una combinazione tra il numero della carta di credito e il nome del proprietario della carta o un codice CVC aggiuntivo riportato sul retro della carta. Questi meccanismi possono essere facilmente compromessi e rubati se i dati della carta vengono trapelati a causa di violazioni della sicurezza dei dati, come la compromissione dell'account o attacchi di phishing.

Sono stati introdotti ulteriori meccanismi di prevenzione delle frodi, ad esempio EMV® 3-D Secure, in cui al pagatore potrebbe essere chiesto di autenticarsi presso l'emittente della carta o la banca. Per eseguire l'autenticazione, l'utente accede con un nome utente e una password o una password monouso (OTP) inviata al telefono di chi paga tramite SMS. Questo sistema è in grado di proteggere i clienti dalle frodi, ma può diventare un ostacolo per il completamento del pagamento da parte di alcuni clienti validi. SPC punta a ridurre le difficoltà di autenticazione, riducendo quindi l'abbandono del carrello.

Nel frattempo, è in crescita un nuovo standard di autenticazione chiamato WebAuthn.

Che cos'è WebAuthn?

Autenticazione web (WebAuthn in breve) è uno standard web che consente ai server RP (affidabili delle parti) di registrare e autenticare gli utenti nel browser utilizzando la crittografia a chiave pubblica, anziché una password.

Le parti soggette a limitazioni si basano su autenticatori fisici, ad esempio un token di sicurezza. Le parti soggette a limitazioni richiedono al token di sicurezza di generare una coppia di chiavi pubblica-privata e quindi di archiviare la chiave pubblica sul server (registrazione). Queste chiavi generate sono univoche per il dispositivo, che impedisce ai malintenzionati di impersonare l'utente. Questo standard è resistente al phishing perché la coppia di chiavi è legata all'origine.

FIDO Alliance standardizza il comportamento dell'autenticatore. Alcuni autenticatori supportano la verifica locale dell'utente con un fattore biometrico (come l'impronta o il riconoscimento facciale) o un fattore di conoscenza (come un codice PIN). Molti sono integrati in dispositivi di elaborazione, come laptop o smartphone, noti come autenticatori di piattaforma. WebAuthn è supportato su tutti i principali browser (desktop e dispositivi mobili) e gli autenticati sono disponibili su miliardi di dispositivi. Gli utenti possono registrarsi e autenticarsi verificando la propria identità localmente sulla piattaforma.

SPC è progettato per funzionare con l'autenticazione UVPA (User Verification Platform Authenticator).

Esempi di UVPA includono Apple Touch ID e la fotocamera di un cellulare
Molti dispositivi integrano un sensore biometrico. Questi autenticatori sono chiamati UVPA (User Verification Platform Authenticator).

Come funziona la conferma di pagamento sicura?

La conferma di pagamento sicura (SPC) si basa su WebAuthn e progettata appositamente per scopi di pagamento. Poiché le credenziali WebAuthn sono registrate per domini specifici, non possono essere utilizzate per l'autenticazione su siti non registrati che potrebbero simulare l'identità di un commerciante. Questa funzionalità rende WebAuthn efficace contro gli attacchi di phishing.

SPC aggiunge un livello delle informazioni di pagamento in WebAuthn in modo che l'emittente della carta o la banca possano offrire un'esperienza di pagamento coerente. Una volta che un pagatore registra un autenticatore presso la parte richiedente, questa può essere utilizzata per l'autenticazione su diversi siti del commerciante. La parte attendibile può anche scegliere di utilizzare la credenziale di pagamento come normale credenziale WebAuthn.

Stripe ha eseguito un esperimento con SPC sul proprio ambiente di produzione, nell'ambito delle prove dell'origine di Chrome. In questo esperimento, Stripe ha ottenuto un tasso di conversione migliore dell'8% e il tasso di pagamento tre volte più rapido. Leggi i risultati nel report SPC nel W3C Web Payments Working Group.

Qual è l'esperienza degli utenti con le SPC?

Il front-end SPC prevede due fasi: registrazione e autenticazione.

Il cliente deve prima registrare il proprio dispositivo utilizzando l'autenticatore della piattaforma di verifica dell'utente (UVPA). Una volta registrato, il dispositivo può essere utilizzato per autenticare l'utente e confermare i pagamenti ogni volta che viene eseguito SPC sul sito di un commerciante.

Iscrizione

Gli utenti possono registrarsi a SPC in due modi:

  • Registrati direttamente sul sito web della parte soggetta a limitazioni.
  • Registrati indirettamente sul sito web di un commerciante.

Registrazione sul sito web della parte soggetta a limitazioni

Sul sito web della parte soggetta a limitazioni, la registrazione SPC non è diversa dalla registrazione WebAuthn. Consigliamo di far sì che la parte soggetta a limitazioni chieda al cliente di registrare il proprio UVPA come parte di un flusso di accesso.

Uno scenario tipico potrebbe essere il seguente:

  1. Un cliente accede al sito web della tua banca utilizzando un nome utente, una password e un passaggio di verifica aggiuntivo (in genere una password monouso o OTP).
  2. Dopo l'autenticazione, mostra una richiesta di autorizzazione che chiede al cliente di registrare il suo dispositivo (UVPA).
  3. Una volta concessa l'autorizzazione, il browser mostra una finestra di dialogo di registrazione WebAuthn.
  4. Il cliente acconsente alla registrazione del dispositivo tramite un'autenticazione biometrica.
  5. Il cliente può ora accedere e pagare in sicurezza utilizzando il proprio dispositivo.

Con la reauthentication, un utente ha già eseguito l'accesso, ma viene chiesto di autenticarsi di nuovo per assicurarsi che lo stesso utente sia ancora presente. Questo design è generalmente utilizzato in un'operazione fondamentale per la sicurezza, come la richiesta di modificare una password o quando si esegue un pagamento. Con un URL WebAuthn UVPA, la riautenticazione è molto più rapida e sicura rispetto all'uso delle password.

Scopri come creare un flusso di registrazione e autenticazione WebAuthn per la riautenticazione in Crea la tua prima app WebAuthn.

Registrazione sul sito web di un commerciante durante il pagamento

Se il cliente non registra il proprio dispositivo sul sito web dell'emittente del pagamento, può farlo direttamente sul sito web di un commerciante. L'interfaccia è la stessa, ma la registrazione dell'utente viene avviata dal codice della parte soggetta a limitazioni.

Questo è ideale quando i clienti non visitano spesso il sito web della parte soggetta a limitazioni, ma quest'ultima vorrebbe comunque offrire l'opzione di autenticazione.

Autenticazione (conferma pagamento)

L'autenticazione è richiesta quando un pagatore fornisce una credenziale di pagamento durante una transazione di pagamento.

  1. Il pagatore fornisce una credenziale di pagamento (ad esempio i dati della carta di credito).
  2. Il commerciante controlla se il browser supporta la conferma del pagamento sicuro.
  3. Se il browser supporta SPC, chiama l'API Payment Request con SPC come metodo di pagamento. In caso contrario, utilizza il metodo di autenticazione esistente.
  4. Il pagatore conferma i dettagli della transazione e completa l'autenticazione (ad esempio toccando l'autenticatore della piattaforma biometrica).

Piattaforme supportate

La conferma del pagamento sicura è attualmente supportata da Google Chrome su macOS e Windows. Altre piattaforme, tra cui Android, iOS e ChromeOS, non saranno più supportate a partire da maggio 2022.

Passaggi successivi