Perché i pagamenti tramite dispositivi mobili non sono diventati popolari dopo così tanti anni?

Notizie dell'8 gennaio: perché la tecnologia dei pagamenti tramite dispositivi mobili non è stata ancora diffusa dopo così tanti anni dalla sua introduzione? Il sito web della rivista Wired ha recentemente pubblicato un articolo scritto da un addetto ai lavori del settore, che ha spiegato le ragioni dal punto di vista della sicurezza, ha presentato gli sforzi compiuti dal settore e ha proposto nuove idee. Di seguito un estratto dell'articolo:

Perché i consumatori sono ancora restii ad accettare i pagamenti tramite dispositivi mobili? Le preoccupazioni relative alla sicurezza rappresentano l'ostacolo numero uno. Gli scandali riguardanti il ​​furto di informazioni personali degli utenti da parte di grandi catene di vendita al dettaglio hanno terrorizzato i consumatori, rendendo impossibile per loro fidarsi veramente della tecnologia di pagamento mobile.

Ciò che è necessario affinché questa tecnologia venga ampiamente accettata è creare fiducia. Le carte di credito EMV (Eurocard, MasterCard, Visa) utilizzano un microchip sicuro per trasmettere i dati, ma si tratta di un dispositivo fisico. La chiave è creare un ambiente altrettanto sicuro nel mondo virtuale.

L'ambito della protezione delle credenziali di pagamento degli utenti è cambiato con l'avvento della tecnologia Host Card Emulation (HCE). Prima dell'emulazione della scheda host, le persone avevano solo due opzioni. Una soluzione è quella di memorizzare le credenziali in uno speciale chip di sicurezza nel telefono, denominato Secure Element (SE). Il risultato è un portafoglio mobile dotato di un elemento sicuro in grado di trasferire dati sensibili come una carta di credito EMV. Un'altra opzione è quella di utilizzare una credenziale "Card On File" nel cloud, che sostanzialmente memorizza online le informazioni di pagamento di base.

L'emulazione della scheda host è il miglior esempio di utilizzo completo del software per garantire la sicurezza della carta di credito. Tutti i dati relativi ai pagamenti con carta di credito non devono più basarsi su un chip fisico, il che pone fine al ruolo di elementi di sicurezza. Anche il precedente dibattito sulla proprietà degli elementi sicuri è stato risolto, aprendo il mercato a nuovi entranti.

Secondo la prassi attuale, le fasi operative coinvolte nel trasferimento dei dati della carta di credito memorizzati sul chip verso un ambiente cloud sicuro risultano problematiche. Per completare una transazione, il telefono deve essere connesso a Internet e attendere una risposta inviata dopo la crittografia dei dati. Anche in una situazione ideale, è difficile realizzare questo obiettivo entro i tempi richiesti dagli emittenti delle carte. E senza un segnale, niente di tutto questo sarebbe possibile. Per risolvere questo problema, è stato ideato un concetto chiamato "Tokenizzazione". Invece di connetterti a Internet ogni volta che effettui un acquisto, puoi memorizzare sul tuo telefono una carta di credito virtuale con utilizzo limitato.

La tokenizzazione ha i suoi problemi. Per rubarti i soldi, i ladri online non devono necessariamente prendere il tuo portafoglio o addirittura il tuo telefono. Gli hacker possono clonare un telefono e ottenere informazioni sulla carta di credito, oppure semplicemente installare un malware sul telefono in modo che le carte virtuali possano essere inviate direttamente al ladro.

Nel lungo periodo, i pagamenti tramite dispositivi mobili possono essere sicuri solo se è in atto un meccanismo di autenticazione forte. Dobbiamo essere in grado di associare le informazioni identificative dell'utente all'autorizzazione della transazione. Sebbene le banche abbiano familiarità con i requisiti di protezione dei dati, i nuovi entranti sul mercato con meno esperienza devono comunque prestare molta attenzione all'autenticazione e alla valutazione del rischio.

Sembra che gli smartphone stessi possano svolgere un ruolo importante nel garantire la sicurezza dei pagamenti tramite dispositivi mobili.

Caratteristiche quali il posizionamento WiFi, il posizionamento 3G, i dati GPS e il numero e il tipo di applicazioni presenti sul dispositivo possono formare un profilo utente univoco. Sebbene non si tratti di una panacea, è possibile utilizzare questi dati per stabilire se si è verificata una transazione fraudolenta. Allo stesso tempo, poiché la soglia di autenticazione è abbassata, finché il consumatore può essere ritenuto affidabile, può avere un'esperienza di acquisto migliore. Inoltre, puoi anche impostare delle soglie per le transazioni quando hai dei sospetti.

In quest'epoca in cui la criminalità informatica sta diventando sempre più sofisticata, tutte le attività su Internet sono soggette a rischi per la sicurezza. L'approccio di autenticazione basato sulla gestione del rischio creato nel modo sopra descritto non fa eccezione. Questo metodo richiede un'enorme quantità di informazioni personali, il che attirerà senza dubbio l'attenzione degli hacker. Questi dati devono essere protetti, ma dato il loro volume e la loro sensibilità, è molto più difficile proteggerli adeguatamente rispetto a un tipico database di password.

L'autenticazione si sta trasformando in un problema di big data. Per ridurre l'interesse degli hacker nei confronti delle informazioni personali sensibili, abilita la crittografia. Se i dati vengono crittografati, il danno sarà minore, anche se vengono rubati o persi.

Con lo sviluppo del settore dei pagamenti mobili, l'emulazione della carta host si è rivelata un nuovo metodo popolare e valido. Se gli operatori del settore vogliono che i pagamenti tramite dispositivi mobili diventino popolari, devono creare un ambiente di transazione sicuro e promuovere la fiducia degli utenti. Ironicamente, un dispositivo come lo smartphone, che può rappresentare un rischio per la sicurezza, può anche contribuire alla sicurezza aiutando gli utenti ad autenticarsi. Un altro aspetto della sicurezza è la crittografia dei dati. Può aggiungere un ulteriore limite alla protezione dei dati e incoraggiare ulteriormente il pubblico ad accettare i pagamenti tramite dispositivi mobili.

L'autore Richard Moulds è vicepresidente della gestione prodotti e della strategia presso Thales e-Security.

Vincitore del Qingyun Plan di Toutiao e del Bai+ Plan di Baijiahao, del Baidu Digital Author of the Year 2019, del Baijiahao's Most Popular Author in the Technology Field, del Sogou Technology and Culture Author 2019 e del Baijiahao Quarterly Influential Creator 2021, ha vinto numerosi premi, tra cui il Sohu Best Industry Media Person 2013, il China New Media Entrepreneurship Competition Beijing 2015, il Guangmang Experience Award 2015, il China New Media Entrepreneurship Competition Finals 2015 e il Baidu Dynamic Annual Powerful Celebrity 2018.