La conferma del pagamento sicuro (SPC) è un standard web proposto che consente ai clienti di autenticarsi presso un emittente di carte di credito, una banca o un altro fornitore di servizi di pagamento utilizzando un'autenticazione della piattaforma:
- Sbloccare il dispositivo con Touch ID su un dispositivo macOS
- Windows Hello su un dispositivo Windows
Con la funzionalità SPC, i commercianti possono consentire ai clienti di autenticare rapidamente e facilmente i propri acquisti, mentre le banche emittenti proteggono i propri clienti dalle frodi.
La SPC è composta da due fasi: registrazione e autenticazione.
- Registrazione: il pagatore collega il proprio dispositivo a una parte coinvolta (RP). La parte che si basa può essere un emittente di carte di credito, una banca o un altro fornitore di servizi di pagamento.
- Autenticazione: il pagatore utilizza il dispositivo registrato per confermare la propria identità con la parte soggetta a limitazioni direttamente dalla piattaforma del commerciante prima di confermare i pagamenti.
Autenticazione per la prevenzione delle frodi
L'autenticazione svolge un ruolo importante nella prevenzione delle attività fraudolente relative ai pagamenti. Tuttavia, questa procedura di verifica spesso si basa su meccanismi deboli, come una combinazione tra numero di carta di credito e nome del titolare della carta o un codice CVC aggiuntivo riportato sul retro della carta. Questi meccanismi sono facilmente compromessi e possono essere rubati se i dati della carta vengono divulgati a causa di violazioni della sicurezza dei dati come compromissione dell'account o attacchi di phishing.
Sono stati introdotti ulteriori meccanismi di prevenzione delle frodi, come EMV® 3-D Secure, in cui al pagatore potrebbe essere chiesto di autenticarsi presso l'emittente della carta o la banca. Per eseguire l'autenticazione, l'utente accede con un nome utente e una password oppure con una password monouso (OTP) inviata al telefono del pagatore tramite SMS. Questo serve a proteggere i clienti dalle attività fraudolente, ma può diventare un ostacolo per alcuni clienti validi al completamento del pagamento. Lo scopo di SPC è ridurre le difficoltà di autenticazione, quindi l'abbandono del carrello.
Nel frattempo, è in crescita un nuovo standard di autenticazione chiamato WebAuthn.
Che cos'è WebAuthn?
Web Authentication (in breve WebAuthn) è un standard web che consente ai server di terze parti (RP) di registrare e autenticare gli utenti nel browser utilizzando la crittografia con chiave pubblica anziché una password.
Gli RP si basano su autenticatori fisici, come un token di sicurezza. Gli RP richiedono la chiave di sicurezza per generare una coppia di chiavi privata/pubblica e poi archiviare la chiave pubblica sul server (registrazione). Queste chiavi generate sono univoche per il dispositivo, il che impedisce agli utenti malintenzionati di rubare l'identità dell'utente. Questo standard è immune al phishing perché la coppia di chiavi è associata all'origine.
FIDO Alliance standardizza il comportamento degli autenticatori. Alcuni token di autenticazione supportano la verifica dell'utente locale con un fattore biometrico (ad esempio l'impronta o il riconoscimento facciale) o un fattore di conoscenza (ad esempio un codice PIN). Molti sono integrati in dispositivi di calcolo, come laptop o smartphone, noti come autenticatori di piattaforma. WebAuthn è supportato su tutti i principali browser (desktop e mobile) e gli autenticatori sono disponibili su miliardi di dispositivi. Gli utenti possono registrarsi e autenticarsi verificando la propria identità localmente sulla piattaforma.
SPC è progettato per funzionare con gli autenticatori della piattaforma di verifica dell'utente (UVPA).
Come funziona la conferma del pagamento sicuro?
La conferma del pagamento sicura (SPC) si basa su WebAuthn ed è progettata specificamente per i pagamenti. Poiché le credenziali WebAuthn sono registrate per determinati domini, non possono essere utilizzate per l'autenticazione su siti non registrati che potrebbero rubare l'identità di un commerciante. Questa funzionalità rende WebAuthn efficace contro gli attacchi di phishing.
SPC aggiunge un livello dei dati di pagamento a WebAuthn in modo che l'emittente della carta o la banca possano fornire un'esperienza di pagamento coerente. Una volta che un pagatore registra un autenticatore presso la parte coinvolta, questo può essere utilizzato per l'autenticazione su diversi siti di commercianti. La terza parte attendibile può anche scegliere di utilizzare la credenziale di pagamento come una normale credenziale WebAuthn.
Stripe ha eseguito un esperimento con SPC nel proprio ambiente di produzione nell'ambito delle prove delle origini di Chrome. In questo esperimento, Stripe ha ottenuto un tasso di conversione migliore dell'8% e il tasso di pagamento è stato tre volte più veloce. Scopri i risultati nel report SPC del gruppo di lavoro W3C Web Payments.
In che modo gli utenti utilizzano la funzionalità SPC?
Il front-end di SPC è costituito da due fasi: registrazione e autenticazione.
Il cliente deve prima registrare il proprio dispositivo utilizzando l'autenticatore della piattaforma di verifica dell'utente (UVPA). Una volta registrato, il dispositivo può essere utilizzato per autenticare l'utente e confermare i pagamenti ogni volta che viene eseguita la verifica del pagamento sicuro sul sito di un commerciante.
Registrazione
Gli utenti possono registrarsi per il programma SPC in due modi:
- Registrati direttamente sul sito web della parte soggetta a limitazioni.
- Registrati indirettamente sul sito web di un commerciante.
Registrazione sul sito web della parte soggetta a limitazioni
Sul sito web dell'RP, la registrazione SPC non è diversa dalla registrazione WebAuthn. Il nostro consiglio è che l'RP chieda al cliente di registrare il suo UVPA nell'ambito di un flusso di accesso.
Uno scenario tipico potrebbe essere il seguente:
- Un cliente accede al sito web della tua banca utilizzando un nome utente, una password e un ulteriore passaggio di verifica (in genere una password unica o OTP).
- Dopo l'autenticazione riuscita, visualizza una richiesta di autorizzazione che chiede al cliente di registrare il proprio dispositivo (UVPA).
- Una volta concessa l'autorizzazione, il browser mostra una finestra di dialogo di registrazione WebAuthn.
- Il cliente acconsente a registrare il dispositivo eseguendo un'autenticazione biometrica.
- Ora il cliente può accedere e pagare in sicurezza utilizzando il proprio dispositivo.
Con la nuova autenticazione, un utente ha già eseguito l'accesso, ma gli viene chiesto di autenticarsi di nuovo per verificare che sia ancora presente lo stesso utente. Questo design viene solitamente visualizzato in un'operazione di sicurezza fondamentale, ad esempio una richiesta di modifica di una password o durante un pagamento. Con un protocollo UVPA WebAuthn, la riautenticazione è molto più rapida e più efficace rispetto all'uso di password.
Per scoprire come creare un flusso di registrazione e autenticazione di WebAuthn per la riautenticazione, consulta la pagina Creare la tua prima app WebAuthn.
Registrazione su un sito web del commerciante durante il pagamento
Se il cliente non registra il proprio dispositivo sul sito web dell'emittente del pagamento, può farlo direttamente sul sito web di un commerciante. L'interfaccia è uguale, ma la registrazione dell'utente viene avviata dal codice dell'RP.
Questa opzione è ideale quando i clienti non visitano spesso il sito web del RP, ma quest'ultimo vuole comunque offrire l'opzione di autenticazione.
Autenticazione (conferma del pagamento)
L'autenticazione è obbligatoria quando un pagatore fornisce una credenziale di pagamento durante una transazione di pagamento.
- Il pagatore fornisce una credenziale di pagamento (ad esempio i dati della carta di credito).
- Il commerciante controlla se il browser supporta la conferma di pagamento sicuro.
- Se il browser supporta SPC, chiama l'API Payment Request con SPC come metodo di pagamento. In caso contrario, verrà utilizzato il metodo di autenticazione esistente.
- Il pagatore conferma i dettagli della transazione e completa l'autenticazione, ad esempio toccando l'autenticatore della piattaforma biometrica.
Piattaforme supportate
La conferma di pagamento sicura è attualmente supportata da Google Chrome su macOS e Windows. Altre piattaforme, tra cui Android, iOS e ChromeOS, non sono supportate a partire da maggio 2022.