Capitolo 1
Analisi Tecnologica
Il principale elemento che contraddistingue i diversi strumenti elettroni-
ci di pagamento e` la tecnologia adottata, che comprende tutti i dispositivi
interessati ed i metodi impiegati dai meccansimi di transazione.
Il parco delle tecnologie applicabili ai pagamenti e` estremamente vasto ed
in continua evoluzione, segue le tendenze del mercato e cerca di anticiparle.
Non vivendo in un contesto isolato, non sempre la tecnologia piu` affascinante
e rivoluzionaria puo` pero` essere considerata la piu` valida; la breve storia di
questi strumenti insegna, infatti, che le aspettative di successo dei sistemi piu`
innovativi devono sempre misurarsi con l’atteggiamento spesso indifferente
del mercato.
Senza eccedere nei dettagli, verranno illustrate le principali tecnologie
che attualmente coinvolgono il mondo dei pagamenti elettronici, utilmente
ripartite in tre categorie, in modo da rendere piu` lineare il percorso di analisi.
1.1 Tecnologie web based
Nonostante il contesto di crisi generalizzata, il volume delle vendite online
e` in continuo aumento oramai da diversi anni, ed il fenomeno non sembra
destinato ad arrestarsi; nel panorama europeo, l’ultima ricerca del gruppo
3
1.1 Tecnologie web based
“Forrester Research” [For08] conferma per il 2008 la stessa crescita esplosiva
dello shopping online verificatasi l’anno precedente1.
Figura 1.1: Volume delle vendite online in Europa, dati Forrest Research
[Sof08]
Anche nel nostro Paese la crescita dell’e-commerce e` importante, anche
se il divario dalle altre nazioni continua ad essere molto alto2.
Il successo del commercio elettronico dimostra il ricorso sempre piu` fre-
quente alla rete per acquistare beni e servizi online, o addirittura per estin-
guere obbligazioni pecuniarie originate in contesti completamente estranei
alla rete (ad esempio bollette, multe e tasse).
Tutto questo conferisce un ruolo di importanza sempre maggiore ai sistemi
di pagamento su Internet.
1Secondo il report, nel 2008 la crescita dell’e-commerce in Europa si attesta intorno
al valore fatto registrare l’anno precedente (+ 58%), confermando cos`ı che il mercato
non e` ancora saturo e continua ad attirare nuovi utenti. Lo studio evidenzia infatti che,
nonostante la diffidenza ancora nutrita nei confronti dei servizi online, e la mediocre qualita`
tecnica dei siti europei, il commercio elettronico continua a registrare nuovi utilizzatori,
ai quali e` dovuto il merito del suo successo esplosivo [Res08].
2La ricerca “E-commerce in Italia”, realizzata annualmente dal “Casaleggio Associati”,
evidenzia una “crescita con il freno a mano” per il 2008; secondo lo studio infatti, pur
continuando a crescere intorno al 40%, il commercio elettronico italiano riveste un ruolo
ancora marginale nel panorama europeo, a causa di carenze strutturali [Cas08a].
1. Analisi Tecnologica 5
Dal punto di vista tecnologico e` importante precisare che, ad oggi, la qua-
si totalita` di questi pagamenti non necessita di alcuna risorsa specifica, sia
essa hardware o software. Sia gli strumenti di pagamento tradizionalmente
piu` diffusi (come la carta di credito o il bonifico bancario), che quelli di istitu-
zione piu` recente (come la moneta elettronica o il pagamento tramite credito
telefonico), possono infatti essere utilizzati online senza l’impiego di alcun
dispositivo. E` generalmente sufficiente l’immissione delle relative chiavi di
accesso all’interno del browser di navigazione, per consentire l’autenticazione
dello strumento, che in genere avviene in assoluta sicurezza grazie all’adozione
dei recenti protocolli crittografici.
1.1.1 Trasmissione dei dati di pagamento
Le procedure di autenticazione delle parti e di cifratura delle comunica-
zioni, sono sempre stati oggetto di grande attenzione nel mondo del web.
Gia` negli anni ’90, all’inizio dello straordinario sviluppo di Internet, sono
emersi seri problemi di protezione, tanto gravi da sconsigliare lo scambio di
dati riservati attraverso la rete pubblica. Non a caso gli istituti di credi-
to hanno utilizzato per molti anni circuiti di comunicazione completamente
isolati. Questo problema ha rapidamente portato allo sviluppo di protocolli
di crittografia sempre piu` efficienti, che nel giro di pochi anni hanno reso le
comunicazioni su Internet decisamente sicure.
TLS e HTTPS
Oggi il piu` utilizzato e` il TLS (Transport Layer Security), sviluppato a
partire dall’ultima versione del piu` noto SSL (Secure Sockets Layer) da cui
differisce solo per alcune peculiarita`. Si tratta essenzialmente di un protocol-
lo di crittografia molto avanzato in grado di garantire la massima riservatezza
nelle comunicazioni su Internet, l’autenticazione delle parti e l’integrita` del
messaggio. La sua applicazione piu` diffusa, nonche´ quella che interessa mag-
giormente la trasmissione degli estremi di pagamento, e` legata alla comunica-
1.1 Tecnologie web based
zione sul web e prende il nome di HTTPS: una specializzazione del protocollo
HTTP dove le comunicazioni avvengono su un canale sicuro [Wik08r].
I dati vengono infatti cifrati con il sistema della chiave asimmetrica a 128
bit3, che implica la disponibilita` di un certificato elettronico valido da parte
del server di pagamento (che ne garantisce sia l’identita` che l’autorevolezza).
L’integrita` dei dati trasmessi e` infine verificata alla fine della trasmissione
mediante un meccanismo basato sul MAC (indirizzo univoco) delle parti
[Wik08d].
Trattandosi quindi di operazioni estremamente delicate (che richiedono,
tra l’altro, una certa competenza in materia di sicurezza), la maggior parte
degli esercenti che accetta carte elettroniche non acquisisce direttamente i
relativi estremi, ma si rivolge ad enti esterni specializzati nello svolgimento
delle pratiche di pagamento: i cosiddetti “gateway” (par. 3.4, pag. 51).
Mentre alcuni commercianti scelgono di integrare nei propri siti i moduli
per la gestione dei pagamenti, altri ridirigono gli acquirenti direttamente
sui server di pagamento, delegando cos`ı ai gateway la gestione dell’intera
operazione.
1.1.2 Problemi di sicurezza
Sebbene gli standard di sicurezza nella trasmissione dei dati che coinvol-
gono le procedure di pagamento abbiano dunque raggiunto livelli di efficien-
za elevatissimi, tali da renderne praticamente impossibile sia l’intercettazione
che la decifrazione, non si puo` certo affermare che le preziose chiavi di accesso
agli strumenti elettronici siano sempre al sicuro.
3Si tratta di un protocollo di crittografia che utilizza una coppia di chiavi (entrambe di
128 bit): la chiave pubblica, che serve unicamente per codificare il messaggio, e la chiave
privata utilizzata esclusivamente dal destinatario. Si tratta infatti dell’unica sequenza
segreta di bit, generata a partire da numeri casuali, in grado di decodificare il messaggio
[Wik08d].
1. Analisi Tecnologica 7
Phishing online
Da un lato il relativamente recente fenomeno “phishing” sta sviluppando
tecniche sempre piu` astute e raffinate per estorcere i dati di accesso al credi-
to. La procedura consiste essenzialmente nel contattare, principalmente per
e-mail, i potenziali clienti dei servizi di pagamento e di commercio piu` diffusi
nella rete, fingendosi la societa` erogante e convincendoli, con qualche scusa,
a comunicare i propri dati. In molti casi lo scopo viene raggiunto mettendo
in piedi un vero e proprio sito clone, apparentemente identico a quello della
societa` in questione e con un URL spesso molto simile, ma con una importan-
te differenza: la pagina di accesso ai servizi e` finalizzata semplicemente alla
cattura delle chiavi immesse; quasi sempre infatti la procedura termina con
uno pseudo errore interno, e reindirizza l’ignaro utente verso il sito autentico,
in modo da sviare ogni sospetto. Naturalmente il trucco e` efficace soprat-
tutto con gli utilizzatori meno esperti e sospettosi, spesso ignari delle insidie
della rete. Nonostante basti dunque solo un po’ di accortezza per non cadere
nella trappola del phishing, il fenomeno va ad alimentare un generale clima
di sfiducia nei confronti di Internet e soprattutto dei sistemi di pagamento
interessati.
Phishing offline
D’altro canto i dati relativi alla carte di pagamento non sono al sicuro
nemmeno fuori dalla rete, dove non si applicano certo i protocolli di sicu-
rezza e di riservatezza previsti per le procedure di acquisto via web. Basti
pensare che la quasi totalita` degli acquisti effettuati con carta di credito si
conclude con la consegna di quest’ultima all’esercente; per non parlare della
diffusa consuetudine di pagare il conto del ristorante cedendo tranquillamen-
te la tessera al cameriere, che ha tutto il tempo di trascrivere indisturbato i
preziosi numeri riportati. Tali frodi sono poi agevolate dal comportamento
imprudente di molti utenti che, pur temendo di comunicare gli estremi di
pagamento su Internet per completare gli acquisti, utilizzano offline i relativi
1.2 Tecnologie card based
dispositivi senza alcuna accortezza4.
Autenticazione online poco sicura
Puo` quindi rivelarsi poco prudente che gli estremi della carta di pagamen-
to, liberamente disponibili a chiunque ne venga momentaneamente a contat-
to, siano sufficienti al suo utilizzo sul web. Basta pensare che la stragrande
maggioranza delle transazioni su Internet avviene con carta di credito, sem-
plicemente mediante l’immissione della coppia numero della carta e data di
scadenza e, quando richiesto, del numero di sicurezza (il CCV).
Naturalmente questo non significa che chiunque disponga dei dati di pa-
gamento possa usufruirne indisturbato, e non bisogna dimenticare che tutti
i pagamenti elettronici sono registrati e facilmente rintracciabili. Tuttavia,
nonostante le norme convengano in questo senso (come illustrato nel par. 2.2
a pag. 22), non e` sempre facile per il titolare di una carta di credito farsi rim-
borsare per eventuali utilizzi fraudolenti da parte di terzi che, se interessano
cifre di modesta entita`, sono persino difficili da scovare.
Il problema resta dunque la mancanza, all’interno delle procedure di pa-
gamento piu` diffuse online, di un meccanismo di autenticazione completo,
che non si limiti a verificare il possesso delle chiavi di accesso.
1.2 Tecnologie card based
Per quanto riguarda gli strumenti di pagamento attualmente piu` diffusi
(le carte di credito, le carte di debito e le carte prepagate) non esiste una
grande eterogeneita` tecnologica.
4La ricerca CRIF-RiSSC [Rep08] sostiene che “per l’86% degli intervistati, la prudenza
equivale soprattutto nel non fare acquisti via Internet e/o tramite altri canali di vendita
a distanza, oppure farlo solo occasionalmente. Con minore apprensione e con maggiore
frequenza, invece, i dati personali vengono utilizzati per compilare moduli cartacei ed
effettuare registrazioni a siti web o vengono comunicati via e-mail”.
1. Analisi Tecnologica 9
1.2.1 Banda magnetica
Sebbene tutte le carte di credito o di debito attualmente emesse siano
dotate di un microchip che le rende compatibili con lo standard EMV (di cui
si parlera` piu` avanti), questa tecnologia non e` ancora pienamente sfruttata.
Infatti in svariati paesi, tra cui l’Italia, molti POS (Pont Of Sale) non sono
ancora adeguati al nuovo standard. Inoltre le carte prepagate, che stanno
conquistando un ruolo di primo piano nel mercato delle transazioni elettro-
niche, in genere non montano alcun microchip. Di conseguenza una parte
rilevante delle transazioni avviene ancora con la lettura della banda magne-
tica. Si tratta di una tecnologia vecchia oramai di trent’anni, considerata in
tutto il mondo poco sicura poiche´ facile da clonare5. Per la verita` le frodi
di questo tipo non hanno mai costituito un emergenza nel nostro paese, pro-
babilmente per via del fatto che il pagamento elettronico e` un fenomeno di
recente diffusione. In altri paesi invece, tra cui primeggiano gli Stati Uniti, il
problema aveva raggiunto dimensioni considerevoli, rendendo gia` da tempo
indispensabile l’adozione di sistemi piu` sicuri.
1.2.2 Chip EMV
L’EMV (standard sviluppato da Europay ed introdotto da Mastercard e
Visa) prevede innanzitutto l’utilizzo di una Smart Card, al posto della vecchia
carta con banda magnetica. I vantaggi tecnologici sono importanti: mentre la
banda magnetica offre una semplice memoria non cifrabile (in maniera attiva)
e di modeste dimensioni, il microchip montato si una Smart Card e` un vero e
proprio microprocessore. Questo in genere e` dotato di due memorie distinte:
5Per memorizzare i dati di una carta di credito a banda magnetica e` sufficiente stri-
sciarla in uno “skimmer”; si tratta di un semplicissimo dispositivo in grado di leggere - e
conservare in memoria - gli estremi di pagamento (tranne il codice C2V) relativi ai tutte
le carte strisciate. Per accedere ai preziosi dati, di solito basta collegare l’apparecchio ad
un PC. Inoltre molti apparecchi dispongono anche della modalita` di scrittura, permetten-
do cos`ı di effettuare delle clonazioni, senza il minimo sforzo e sporattutto, senza alcuna
competenza tecnica [Wik08c].
1.3 Tecnologie contactless
la flash, che contiene le applicazioni che dialogano col mondo esterno (il
cosiddetto firmware) e la EEPROM, che contiene le informazioni della carta
e del cliente. Questa architettura consente innanzitutto di mettere in pratica
sistemi di autenticazione avanzati (basati su cifratura attiva) in grado di
proteggere adeguatamente i dati interni, cos`ı come di sviluppare funzionalita`
alternative alla semplice identificazione della carta [Wik08h].
Nonostante molte carte di credito dispongano gia` del chip EMV6, questo
sistema e` ancora utilizzato pochissimo, nonostante gli attuali accordi pre-
vedano che la completa migrazione dalla tecnologia a banda magnetica sia
completata entro il 2010 [Eur07].
1.3 Tecnologie contactless
Il termine “contactless” e` sostanzialmente un sinonimo di “wireless”, ri-
ferito genericamente ad una card, o comunque ad un dispositivo che, nella
versione classica, non prevede alcun collegamento via cavo per essere utiliz-
zato, bens`ı un “contatto”. Questo tipi di strumenti utilizzano generalmente
tecniche di identificazione a radio frequenza.
1.3.1 RFID
Un sistema di identificazione a radiofrequenza e` costituito da due com-
ponenti principali: un trasponder o tag, e un reader.
Il tag e` genericamente un microchip, che ospita tutte le informazioni in
grado di garantirne il riconoscimento univoco. Di solito dispone di un’anten-
na che rende possibile il dialogo con il reader.
La tecnica non e` recente, ma la sua diffusione e` avvenuta negli ultimi
anni a seguito di importanti innovazioni tecnologiche, che hanno consentito
lo sviluppo dei tag “passivi”. Si tratta di nuovi microchip che non necessitano
di essere alimentati (e quindi di una batteria), poiche´ traggono dalle onde
6La dotazione di chip EMV per le carte di credito e` obbligatoria dal 2008, secondo gli
accordi SEPA [Eur07].
1. Analisi Tecnologica 11
radio diffuse dal reader per interrogarli l’energia necessaria per attivarsi e
trasmettere i dati [Wik08q].
Applicazioni
Questi progressi hanno favorito l’introduzione della tecnologia RFID nei
piu` svariati ambiti applicativi. Strumenti di questo tipo gia` sono da tempo
adottati con successo dalle seguenti applicazioni:
• sistemi identificativi, del personale (come cartellini elettronici) o degli
articoli (etichette alternatie ai codici a barre);
• sistemi di sicurezza, come serrature elettroniche, talloncini antitaccheg-
gio;
• sistemi di “traking”, che consentono di garantire la provenienza dei
farmaci, o di controllare lo stato delle spedizioni;
• sistemi di posizionamento, che agevolano la gestione dei magazzini
automatizzando alcune procedure.
Pagamenti
Non c’e` da stupirsi allora se le aspettative che i principali gestori di pa-
gamento elettronico riversano in questo tipo di tecnologie sono molto alte. I
sistemi di pagamento contactless consentono quindi di autorizzare una tran-
sazione semplicemente avviciando il relativo strumento identificativo (di so-
lito una card) al terminale di pagamento, senza che tra i due dispositivi vi
sia alcun contatto., con l’introduzione di uno strumento potenzialmente in
grado di accelerare il processo di abbandono del contante. Sistemi di questo
tipo sono gia` adottati con successo negli Stati Uniti (da Mastercard, Visa
ed AmericanExpress), in Giappone ed in alcuni paesi asiatici (da JBC). In
molti paesi europei (primo tra tutti l’UK), sono ancora in via di sperimen-
tazione. Per i dettagli implementativi si rimanda alla parte successiva della
1.4 Tecnologie mobili
trattazione in cui sono opportunamente descritti i sistemi attualmente in uso
(3.2, pag. 36).
1.3.2 NFC
A partire dalle direttive dell’RFID, Philips e Sony hanno sviluppato con-
giuntamente un nuovo protocollo di comunicazione, che implementa un dia-
logo bidirezionale (non valido solo in lettura, come per il suo predecessore):
il Near Field Communication [Nfc08]. A differenza dell’RFID, che nonostan-
te la standardizzazione operata dall’iso (ISO-14443) ha subito il proliferarsi
di sottosistemi evolutivi incompatibili tra loro, il sistema NFC si e` subito
imposto come leader nella comunicazione tra apparecchi di media comples-
sita`, come i telefoni cellulari o i POS, e piccoli dispositivi (come i chip delle
carte di pagamento). Per questo motivo alcuni nuovi modelli di telefono cel-
lulare oggi disponibili (soprattutto Nokia e Samsung), implementano questa
tecnologia, che essendo compatibile con la maggior parte delle SmartCard
in circolazione, sembra essere la piu` adatta ad implementare le funzioni di
m-payment.
1.4 Tecnologie mobili
Negli ultimi anni lo sviluppo di applicazioni dedicate alla gestione dei
pagamenti si e` rivolto con grande interesse al mondo degli strumenti mobili.
Sarebbe un errore pensare che l’m-payment (cos`ı si chiamano tutti i sistemi di
pagamento che fanno riferimento a strumenti mobili) sia strettamente legato
alle recenti tecnologie ed ai dispostivi di nuova concezione. La sorprendente
diffusione dei telefoni cellulari, unita all’entusiasmo da sempre dimostrato dai
consumatori nei confronti dei nuovi prodotti, ha subito messo in luce l’alto
potenziale di questi strumenti, ed in particolare dei loro possibili utilizzi
accessori. I primi progetti di mobile payment non hanno avuto particolare
successo, ma l’efficienza delle nuove tecnologie puo` incentivare notevolmente
la loro diffusione.
1. Analisi Tecnologica 13
1.4.1 Principali dispositivi
Il mercato degli strumenti mobili offre soluzioni estremamente variegate,
sulle quali e` opportuno fare chiarezza, prima di descrivere le tecnologie im-
piegate dai sistemi di m-payment. Innanzitutto occorre distinguere alcuni
aspetti su cui spesso si fa confusione. Gli strumenti mobili, dotati di ac-
cesso a servizi telecomunicativi, sono caratterizzati dall’appartenere ad una
generazione; quest’ultima e` indipendente dalle caratteristiche tecniche e dal-
le funzioni del dispositivo, e si riferisce unicamente alle tecnologie e ad i
protocolli che utilizza per comunicare con la rete.
Generazioni
Dalla loro comparsa ad oggi, gli strumenti di comunicazione mobile (non
necessariamente telefonini) hanno attraversato ben quattro generazioni, pas-
sando dallo standard TAC-ETACS (1G) completamente analogico, agli odier-
ni GSM, GPRS ed EDGE appartenenti alla IIG, fino allo standard UMTS
e HSDPA (IIIG). Inoltre in alcuni paesi si sta gia` sperimentando il nuo-
vo protocollo OFDM, appartenente alla quarta generazione [Wik08u]. Le
differenze tra le diverse tecnologie riguardano essenzialmente la velocita` di
ricezione e trasmissione: mentre i sistemi di prima generazione erano solo in
grado di trasmettere messaggi vocali in maniera analogica, la successiva ha
introdotto la comunicazione digitale e le prime forme di Internet mobile; la
terza generazione, grazie al notevole aumento di banda, offre la possibilita` di
trasmettere video e navigare in Internet a velocita` sostenuta. Notevoli sono
infine le potenzialita` della tecnologia OFDM, che grazie ad un nuovo sistema
di modulazione capace di limitare al massimo la perdita di dati ed i tempi di
latenza, sarebbe in grado di raggiungere velocita` stratosferiche7.
7Qualcomm ha gia` implementato diversi sistemi di comunicazione basati sullo standard
OFDM [Qua08].
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
