Il problema maggiore delle transazioni dematerializzate è, ovviamente, la sicurezza: certezza del pagamento per il venditore, e certezza di uso delle credenziali da parte dell’acquirente, che non desidera di certo ritrovarsi a pagare servizi che non ha richiesto o, peggio ancora, a finire derubato da chi gli ha sottratto il numero di carta di credito. Questo problema, in realtà, è nato soprattutto con Internet e la diffusione dell’e-commerce, perché prima era molto meno attuale. Anzi, se hai visto film molto popolari come “Le ali della libertà” o “Ghost”, ambientati rispettivamente all’inizio e alla fine del ‘900, avrai notato che alcuni personaggi si presentano in banca sotto falso nome, e addirittura firmano assegni o gestiscono rapporti di conto corrente altrui: ciò si poteva verificare, al di là della finzione cinematografica, perché gli istituti di credito avevano meno strumenti per accertare l’identità delle persone che si presentavano allo sportello; ancora oggi, peraltro, il direttore di una filiale può rifiutarsi di compiere alcune operazioni, come ad es. liquidare un assegno, in favore di persone che non conosca personalmente o, in alternativa, che non siano state rigidamente identificate attraverso la normale procedura prevista per i clienti della banca.
Nel 1950, un uomo d’affari impegnato dimenticò a casa il denaro che gli serviva per pagarsi il pranzo, e concepì l’idea di creare un circuito di credito fondato sulla mera presentazione d’un documento: si chiamava Frank McNamara, e quel giorno concepì la prima carta di credito, chiamata appunto Diners Club, cioè “Compagnia dei commensali”, come coloro che l’avrebbero usata – in origine – per pagare al ristorante. Le carte di credito hanno quindi moltiplicato i problemi di sicurezza finanziaria, perché in realtà basta conoscerne il numero per poter compiere qualunque acquisto, anche online. Le banche e le società di servizi finanziari sono corse ai ripari con una serie di soluzioni più o meno efficienti, ma solo negli ultimi anni si è raggiunto uno standard de facto con la tecnologia 3-D Secure (3DS). E in questo tutorial, ti parlerò proprio di come attivare il 3-D Secure, al fine di aiutarti a proteggere le tue transazioni digitali. Le informazioni che ti darò, comunque, hanno carattere puramente informativo, non hanno alcuna garanzia di correttezza, e non integrano né sostituiscono quelle che ti verranno fornite dal tuo istituto di credito o dalla società che ha emesso la tua carta di credito/debito, cui dovrai fare costantemente ricorso per ogni dubbio.
Indice
- Cos’è e come funziona la tecnologia 3-D Secure
- A cosa serve abilitare il 3-D Secure
- Circuiti bancari compatibili con 3-D Secure
- Attivazione della tecnologia 3DS
- Come usare il 3-D Secure per pagare online
- Annullare l’attivazione del 3-D Secure
- Tecnologie alternative al 3-D Secure
Cos’è e come funziona la tecnologia 3-D Secure
Per capire come funziona il 3DS, dobbiamo fare un veloce passo indietro ad alcuni anni fa, quando il sistema di sicurezza più utilizzato per le transazioni online consisteva nell’uso di un token, un apparecchio grande quanto un portachiavi munito di almeno un pulsante e di un piccolo schermo a cristalli liquidi.
Questo dispositivo conteneva una batteria ed una scheda, quest’ultima programmata per fare solo due cose: mantenere una misura temporale certa per tutta la durata della batteria, e generare un numero pseudo-casuale sulla base di un algoritmo segreto, legato direttamente all’orario segnato dall’orologio interno.
Al momento del rilascio del token, che veniva consegnato al cliente assieme alla carta e ad un PIN, la banca provvedeva a sincronizzarlo con i propri sistemi, in maniera tale che l’orologio interno del token “battesse” in autonomia lo stesso orario del server di riferimento.
Qualora poi il cliente avesse voluto utilizzare la carta per compiere delle operazioni sul proprio conto virtuale, avrebbe inserito sul sito le proprie credenziali, il PIN e il codice temporaneo generato dal token, premendo il suo unico pulsante; il server della banca, in contemporanea, avrebbe compiuto la stessa operazione, generando il numero casuale e confrontandolo con quello immesso dal cliente.
Poiché gli orologi del token e del server erano sincronizzati, si sarebbero create due cifre identiche, chiamate entrambe OTP (one-time password). Avendo una durata limitata nel tempo, virtualmente, queste non sono (dal punto di vista teorico) clonabili/calcolabili da un malintenzionato.
Tale sistema non consentiva però di compiere acquisti sicuri, ma solo di accedere con sicurezza al proprio c/c sul server della banca. Per questa ragione, è stato implementato il sistema 3DS, che consente di versare il denaro direttamente sul conto del negoziante, e sfrutta (o può sfruttare) gli stessi strumenti del controllo diretto tramite password, ovvero la OTP.
Dal momento che le prime società a sviluppare questa tecnologia furono Visa e, subito dopo, MasterCard, potresti trovare il nome di queste due imprese associato a quello del protocollo, per ragioni di carattere commerciale. Il protocollo 3DS usato oggi, tuttavia, è stato sviluppato dal consorzio EMVCo (controllato equamente da Visa, MasterCard, JCB, American Express, China UnionPay e Discover), e permette un’autenticazione sicura anche durante le transazioni senza carta (CNP).
Funzionamento della tecnologia EMV 3-D Secure
La sigla EMV 3-D Secure Three-Domain Secure sta per 3 domini sicuri, giacché la procedura – che sfrutta le caratteristiche del linguaggio XML – si fonda, al momento in cui scrivo, sull’interazione di tre server:
- Acquirer – il server del soggetto che richiede il pagamento, come un negozio online;
- Issuer – il server della società che ha emesso la carta (può essere una banca, PosteItaliane o un’impresa di servizi finanziari);
- Dominio intermedio (chiamato anche Directory Server) – è il cuore del protocollo, che “smista” i dati scambiati tra acquirer e issuer, facendo da filtro e verificando la validità della transazione.
Solitamente, ad un certo punto della procedura – come vedremo – viene chiesto all’utente di inserire una OTP, soprattutto se la transazione è considerata ad alto rischio. È ciò che prevede il sistema 3-D Secure 2.0.
Nel nostro tempo, per ottimizzare i tempi e ridurre i costi imponenti della diffusione dei token (oggetti, peraltro, anche inquinanti, perché muniti di batteria e circuiti elettrosaldati non recuperabili), questi codici temporanei sono tipicamente ottenuti in maniera digitale. Nella fattispecie, per calcolare la OTP viene utilizzato lo smartphone, attraverso un’app apposita (sviluppata dall’emittente della carta o dall’istituto bancario), nonché sfruttando il servizio SMS.
A loro volta, le applicazioni possono essere protette da un sistema di autenticazione biometrica (riconoscimento facciale o impronta digitale), oltre che da password alfanumeriche complesse.
A cosa serve abilitare il 3-D Secure
Attivare il servizio 3DS è oggi imprescindibile per compiere acquisti online, perché molte società emittenti di carte di credito/debito lo impongono ai loro clienti senza dare alcuna alternativa.
Questa scelta, frutto dello studio sinergico di tanti professionisti della cyber-sicurezza, non va ovviamente a limitare la libertà dei titolari delle carte, ma serve a tutelare in maniera notevole tutto il sistema dell’e-commerce, che riesce a diffondersi solo nella misura in cui i clienti si sentano protetti anche sotto il profilo finanziario. E bada bene che tra i clienti delle carte di credito non ci sono solo gli utenti che acquistano online, ma anche i negozianti, che ovviamente non possono conoscere chi acquista, e desiderano essere garantiti nel caso in cui quest’ultimo, qualche tempo dopo, scopra di non aver compiuto personalmente l’operazione (ad es. a causa di una carta clonata): in questo caso, il protocollo 3DS viene in soccorso, giacché – a seconda dei contratti stipulati – il negoziante farà ricadere tutta la responsabilità sull’issuer (emittente della carta), che tramite l’OTP o altri sistemi è il solo a poter identificare il suo cliente.
In questo modo, quindi, si tutela l’intero e-commerce come organismo socio-economico: gli issuers continuano a vendere servizi finanziari, i negozianti sono tutelati rispetto all’eventuale disconoscimento della spesa, e il consumatore sa di poter contare su di uno strumento affidabile, difficilissimo da clonare e/o hackerare. Tralascio intenzionalmente il discorso legato alla tecnologia NFC, che meriterebbe un approfondimento dedicato.
Va precisato, da ultimo, che questo protocollo di sicurezza può essere usato anche per altre transazioni digitali ad alto rischio, correlate a servizi di vario genere. Ne rappresentano un esempio i pagamenti delle bollette online, che appunto, potrebbero richiedere l’inserimento di dati sensibili, come i numeri della carta.
Circuiti bancari compatibili con 3-D Secure
Puoi verificare direttamente se la tua banca ha abilitato questa tecnologia e la supporta nelle carte di credito o prepagate che emette.
Allo stato attuale, il servizio è disponibile, in maniera diretta o tramite software e tecnologie di terze parti, per i seguenti istituti di credito italiani:
- PosteItaliane;
- UbiBanca;
- Monte dei Paschi di Siena;
- Intesa San Paolo;
- Banco BPM;
- Unicredit.
Il servizio è attivo anche presso istituti bancari esteri, come l’Unione di Banche Svizzere (UBS). Può essere abilitato, inoltre, tramite società emittenti di carte associate ai circuiti Visa e Mastercard, tra le prime ad adoperare la tecnologia 3DS, nonché mediante vendor con circuiti propri, come American Express (AMEX). Da non dimenticare Nexi, una società creata a seguito della fusione tra ICBPI e CartaSi, che offre infrastrutture per il pagamento digitale a diverse banche italiane.
Per essere certo di trovare un sistema di pagamento compatibile 3-D Secure, ti suggerisco di consultare:
- L’elenco dei vendor approvati da MasterCard;
- L’elenco dei vendor approvati da Visa;
- La lista dei prodotti approvati da EMVCo.
Attivazione della tecnologia 3DS
Attualmente, quasi tutte le società che ti ho elencato sopra hanno previsto automaticamente delle modalità di attivazione di questa tecnologia.
Solitamente, la sua introduzione, per i clienti che non l’avessero ancora attivata, è preceduta dall’invio di una lettera con cui l’istituto emittente spiega in maniera dettagliata la procedura da adottare, che in alcuni casi può richiedere l’obbligo di recarsi fisicamente presso uno sportello della filiale per comunicare il numero di cellulare da associare alla carta.
Qualora mai ciò non si fosse verificato, devi contattare direttamente l’emittente per ottenere ogni informazione necessaria. Non è possibile dettagliare un esempio pratico in questo caso.
Come usare il 3-D Secure per pagare online
La procedura per adoperare il 3DS online può subire alcune variazioni a seconda delle scelte dell’emittente. Tuttavia, di solito, funziona in questo modo:
- Presso il sito del venditore online, al momento del pagamento, troverai un form, in cui dovrai inserire:
- Nome e cognome dell’intestatario della carta;
- Numero della carta;
- Codice di verifica (CVC/CVV), solitamente – ma non sempre – collocato sul retro della carta (è un vecchio metodo per essere certi che tu l’abbia con te e non stia usando, ad es., una foto della carta rubata a qualcuno);
- Data di scadenza della carta;
- Eventualmente, un indirizzo di fatturazione (in alcuni casi, può non essere richiesto).
- Una volta inseriti i dati, dovrai confermarne l’immissione selezionando un apposito tasto di autorizzazione, che ti indirizzerà (nella maggior parte dei casi) ad una schermata di riepilogo, in cui ti verrà ribadito l’ammontare definitivo del prezzo da pagare;
- In alcuni casi, per ragioni di intermediazione bancaria (ad es. se stai adoperando una carta emessa da un partner del provider, ma non ad esso direttamente collegata), potresti trovare una piccola commissione aggiuntiva;
- Se avrai dato l’autorizzazione a procedere, verrai reindirizzato (a seconda dei casi) al server dell’issuer, che ti chiederà di inserire la OTP. Se l’issuer adopera gli SMS, entro pochi secondi riceverai il messaggio contenente il PIN da inserire; se invece l’issuer adopera un’app per smartphone (che sostituisce il token) ti potrebbe essere chiesto di premere un pulsante di conferma direttamente su quest’ultima. In tal caso, ovviamente, lo smartphone dovrà essere connesso a Internet;
- Compiuta la verifica dell’identità come sopra, il server ti restituirà il messaggio positivo di avvenuto pagamento, o – eventualmente – un messaggio di errore, che dovresti tempestivamente comunicare al tuo fornitore di servizi finanziari. In alcuni casi, l’issuer potrebbe fornirti anche un ulteriore servizio, consistente in un SMS di conferma dell’avvenuta transazione.
Annullare l’attivazione del 3-D Secure
Non esistono validi motivi per disattivare l’uso del solo sistema 3DS, ed in molti casi non è un’ipotesi contemplata: se hai perso la carta, il cellulare, o vuoi cambiare numero, dovrai infatti ricorrere direttamente all’emittente della carta per compiere ogni operazione di recupero necessaria.
Se invece ti stai chiedendo come disabilitare il servizio perché non riesci ad effettuare dei pagamenti online, ti suggerisco di chiedere informazioni al contact center dell’emittente della carta, che potrebbe non essere quello della tua banca (ad es. il contact center di MasterCard o Visa).
Tecnologie alternative al 3-D Secure
Il 3DS non è ovviamente il solo protocollo utilizzato per garantire la sicurezza online. Un sistema alternativo ma non molto diffuso, almeno in Italia, è il Dynamic CVV, che concettualmente assomiglia molto al vecchio sistema basato sulla OTP tramite token: la carta di credito, infatti, presenta sul retro uno schermo in e-ink (come molti lettori di e-book) che sostituisce il codice CVC/CVV statico, e cambierà ad ogni transazione, garantendo – almeno finché non si perde la carta – un controllo maggiore sull’identità dell’utente.
Completamente slegato da queste tecnologie – e concettualmente autonomo rispetto ad esse – è poi il servizio offerto da PayPal, che non usa intermediazioni, garantisce la protezione del conto e degli acquisti, e inoltre gestisce i pagamenti dell’acquirente tramite autenticazione.