Domenico Aliperto
La tecnologia HCE (Host Card Emulation) è senz’altro quella che nell’ambito del mobile payment di prossimità offre le soluzioni più economiche e versatili per la virtualizzazione delle carte di pagamento, aprendo le frontiere dei nuovi servizi a valore aggiunto anche ai terminali privi di Secure Element. Non è dunque un caso che sia stata adottata da Google per il roll out commerciale del proprio servizio dedicato, Android Pay, con una chiara scelta di campo rispetto a quanto fatto da Apple e Samsung, i quali hanno puntato invece sull’hardware integrato nel dispositivo che protegge fisicamente le credenziali dell’utente. Con l’enorme diffusione che ha il sistema operativo di Mountain View in tutto il mondo non è difficile immaginare che la sua piattaforma di mobile payment (per ora disponibile solo in America) colmerà presto il vantaggio maturato da Apple nei mercati anglosassoni e da Samsung in Corea e negli States, arrivando addirittura a superare i concorrenti. Per questo motivo la Smart Payment Association (SPA, la federazione internazionale che riunisce le imprese del settore) ha dedicato un’analisi alle potenzialità e ai rischi che l’approccio HCE alle transazioni digitali.
Senza entrare troppo nel merito tecnico, il white paper punta i riflettori sulla combinazione di software che necessariamente bisogna affiancare al sistema per renderlo a prova di attacchi e frodi. Dalla crittografia alla tokenizzazione, passando per il monitoraggio delle attività potenzialmente dannose, l’intelligenza della piattaforma deve sopperire alle vulnerabilità delle risorse Cloud chiamate a generare i codici usa e getta per le transazioni. Se da una parte l’associazione non si sbilancia nel giudicare l’efficacia di queste soluzioni, ancora tutta da dimostrare, dall’altra sottolinea come del resto le comunità tecnica e finanziaria stiano lavorando alacremente per tenerle sotto controllo e adeguarle alle specifiche richieste dal mercato. SPA intende a questo proposito stimolare una discussione sul piano internazionale per indirizzare gli aspetti più problematici e garantire ai consumatori la massima sicurezza man mano che vengono identificate nuove vulnerabilità del sistema operativo Android. Il punto di partenza del confronto potrebbe essere la piattaforma di tokenizzazione EMV (Europay, Mastercard e Visa) e anche se le alternative non mancano (come per esempio il sistema SIM-based che sta elaborando GSMA), sembrerebbe che le banche prediligano uno standard ampiamente diffuso e condiviso per rendere soluzioni e tecnologie interoperabili. Per questo le attività di ricerca dovrebbero essere condotte per ottimizzare la compatibilità di KitKat 4.4, ormai stabile come sistema operativo, con l’ambiente EMV, ancora in piena evoluzione e in attesa del nuovo rilascio del framework, che dovrebbe integrare il PAR (Payment Account Register), risolvendo il problema dei conflitti registrati col sistema da alcuni grandi retailer che utilizzano i numeri delle carte di credito dei clienti per alcune funzionalità di account management.
Token Service Provider
Un altro scoglio da non sottovalutare è l’inserimento dei TSP (Token Service Provider) nella già complessa filiera dei mobile payment. Se ci sono istituti finanziari che stanno provvedendo a investire risorse nella creazione di divisioni interne ad hoc, il modello prevalente sembrerebbe essere quello di una integrazione tra circuiti esistenti e nuovi prestatori di servizi ultraspecializzati, che dovranno farsi inoltre carico della compatibilità tra l’infrastruttura HCE e, laddove previsto, il Secure Element contenuto nel dispositivo in mano all’utente.
Una prospettiva, quella ibrida, che prende sempre più corpo specialmente per rispondere ai rigidi critica di sicurezza richiesti dall’Unione europea. Per questo Global Platform (l’ente sovranazionale non profit che lavora per l’armonizzazione degli standard industriali) sta mettendo appunto il Managing Entity, un meccanismo che dovrebbe permettere agli utenti di attivare e disattivare con facilità le applicazioni di mobile payment di prossimità a prescindere da dove – Cloud o Secure Element – siano memorizzati ed elaborati software e dati personali