Mastercard: 'Basta numeri di carta di credito e password'

Un mondo senza numeri di carta da ricordare e scrivere nei siti per i pagamenti e soprattutto senza complicate password da ricordare e magari modificare regolarmente. Questo è il futuro immaginato da Mastercard e che emerge dai lavori del Mastercard Innovation Forum 2018,che si è tenuto all'Università Bocconi di Milano. Il motivo è presto detto: più i pagamenti sono semplici, più le persone li fanno senza troppi pensieri. Più transazioni si fanno, più aumenta il fatturato di Mastercard. I due argomenti, eliminazione del PAN (Primary account number) e delle password, seguono strade separati, pur essendo per certi versi interconnessi.

L'eliminazione delle password è esperienza comune ormai: tutte le volte che sblocchiamo il nostro telefono con il volto o utilizziamo il sensore di impronte digitali abbiamo utilizzato una tecnologia di autenticazione biometrica. Al momento questa autenticazione è riservata all'accesso di dispositivi personali, ma in futuro sarà il nostro metodo di accesso per diversi servizi. Due quelli presentati nelle demo a latere dell'evento. Una è quella del tornello per mezzi pubblici multi-accesso: oltre a consentire il passaggio ai viaggiatori dotati di scheda magnetica e di QR Code, permette di passare appoggiando direttamente la carta di credito contactless, come avviene ormai sulla rete delle metropolitane dei Milano, ma anche semplicemente presentandosi di fronte alla telecamera integrata. Sarà il nostro volto a identificarci e a permettere al sistema di scalare il viaggio dal nostro credito.

Altro sistema interessante la carta di credito con sensore di impronte integrato: al primo utilizzo, usando un apposito lettore, l'impronta del nostro pollice viene memorizzata nella scheda e poi tutte le volte che bisogna pagare sarà sufficiente impugnare la carta tenendo il pollice premuto sull'apposita area per effettuare il pagamento, senza la richiesta di ulteriori PIN o firme.

Al di sotto di questo sistema di autenticazione è fondamentale che ci sia l'altro tassello della strategia Mastercard, la cosiddetta tokenizzazione. Un token è tipicamente un generatore di codici numerici pseudocasuali ad intervalli regolari: inizialmente siamo stati abituati ai token fisici (piccoli dispositivi elettronici che generavano a tot minuti un codice da utilizzare per l'accesso), ma sempre di più troviamo nella nostra esperienza dei token software. L'utilizzo dei token al posto del numero identificativo della carta per identificare una certa carta di credito ha innumerevoli vantaggi. Innanzitutto, nel caso di utilizzo sul web, nel database non viene memorizzato il numero della nostra carta di credito, ma solo il token crittografato, praticamente inutile per un hacker che ne venisse in possesso violando il sito, a differenza del PAN. Inoltre tramite questa virtualizzazione è possibile tenere traccia in modo semplice di tutti i token rilasciati dal sistema, con la possibilità di revocarne alcuni in caso non si voglia più avere nessun rapporto con un certo venditore. Chi di voi si ricorda tutti i siti in cui ha digitato (e che quindi hanno memorizzato) il vostro numero di carta di credito? Inoltre, in caso di smarrimento della carta, non bisogna reinserire il nuovo numero in tutti i siti, ma il token punterà al profilo della carta sul nostro profilo in banca e sarà automaticamente aggiornato alla nuova carta, senza bisogno di reinserire dati, numeri o password.

Tramite il token, poi, il sistema può proporci un'immagine della nostra carta di credito al momento di pagare, per riconoscerla più facilmente, e non una criptica serie di asterischi seguiti dagli ultimi numeri della nostra carta. Chi ha molte carte spesso fa confusione proprio in questa fase dei pagamenti ed è costretto a tirare fuori dal portafoglio la carta di credito per essere sicuri di addebitare il pagamento su quella voluta.

Mastercard e altri player del settore come Visa e Amex, all'interno dell'EMVCo, stanno inoltre lavorando in modo congiunto a una tecnologia che possa creare uno standard per eliminare dai siti l'inserimento manuale dei dati della carta di credito, chiamata Secure Remote Commerce. Oltre a essere una noia per i consumatori e un punto dove più spesso si abbandona il processo d'acquisto (non si ha la carta sotto mano, non la si vuole mostrare in un luogo pubblico, soprattutto il numero di sicurezza sul retro), è anche uno dei punti più critici per quanto riguarda la sicurezza, dove gli utenti meno esperti possono essere esposti al furto dei dati. Il nuovo standard dovrebbe permettere di avere un proprio profilo di pagamento, basato su token, utilizzabile su diverse piattaforme. Al momento del pagamento all'utente basterà selezionare il profilo e utilizzare uno dei sistemi di autenticazione messi a disposizione dalla propria banca, metodi biometrici in primis.

Bruno Degiovanni, incalzato dai giornalisti presenti, ha poi parlato dei piani futuri su temi come la blockchain. Il tema è sotto la lente di ingrandimento e c'è già in Mastercard un gruppo di lavoro dedicato esclusivamente a esso. Due sono gli ambiti di utilizzo: un è quello delle cripto-valute e l'altro quelli degli smart contract. Il primo è ben lontano da essere realmente utilizzabile. La causa sono i tempi di verifica, al momento Mastercard gestisce migliaia operazioni al secondo, ma soprattutto i costi energetici: la pura elettricità utilizzata per la validazione delle transazioni al momento rende la tecnologia troppo costosa su larghissima scala. Molto più interessante invece il tema degli smart contract, dove vedremo novità in un futuro più prossimo.