LA RIFLESSIONE

La smaterializzazione del terminale POS e i nuovi standard PCI-DSS

Tra sicurezza e innovazione: come la transizione da terminali fisici tradizionali a soluzioni smaterializzate sta rimodellando la filiera dell’acquiring. L’evoluzione degli standard PCI-DSS e la sostenibilità dei nuovi modelli

Pubblicato il 21 Set 2023

Roberto Garavaglia

Innovative Payments and blockchain Strategic Advisor

PCI-DSS
Roberto Garavaglia

L’industria dei pagamenti è in piena evoluzione, guidata da rapidi progressi tecnologici e mutevoli esigenze dei consumatori. In particolare, l’intera filiera dell’accettazione dei pagamenti digitali è cambiata significativamente, da dispositivi hardware fisici a soluzioni completamente smaterializzate. Questa metamorfosi è sostenuta da evoluzioni negli standard PCI-DSS (Payment Card Industry Data Security Standard)[1], regolamenti che stabiliscono le norme per le transazioni di carte di credito e debito, garantendo sicurezza e affidabilità.

Ripercorriamo il percorso evolutivo del terminale POS e dei servizi di accettazione dei pagamenti, analizzandone gli aspetti tecnologici, funzionali, operativi e ripercorrendo gli sviluppi delle attività di standardizzazione.

La filiera dell’acquiring tradizionale viene analizzata negli impatti che la progressiva smaterializzazione del terminale di accettazione ha comportato.

Dall’hardware al software: la smaterializzazione dei terminali POS

Il processo evolutivo della monetica[2] ha condotto gli sviluppi delle soluzioni di accettazione dei pagamenti in mobilità, lungo un percorso che, baricentrico nel terminale POS, ha visto il susseguirsi di tre fasi:

  1. iniziale: POS fisico, caratterizzata dai terminali di accettazione tradizionali (primi anni ’80 – …)
  2. intermedia: Mobile POS (mPOS), nella quale compaiono i primi dispositivi in grado di offrire soluzioni per gli esercenti più flessibili, disaccoppiate dal terminale POS tradizionale (2018 – …[3];
  3. avanzata: Software POS, in cui il livello di smaterializzazione del terminale è pressoché totale (2022 – …).

Nel seguito, analizziamo ciascuna fase soffermandoci —laddove necessario —, sugli aspetti che afferiscono alle transazioni in prossimità, effettuate con carte conctactless, Digital Wallet, o dispostivi wearable dotati di tecnologia NFC, e le rispettive implicazioni sotto il profilo della sicurezza.

Fase iniziale: POS fisico

I terminali POS fisici sono stati per anni la colonna portante dei pagamenti con carta e, a tutt’oggi, rappresentano la maggioranza del parco installato in Italia.

Questi dispositivi, collegati fisicamente a una rete trasmissiva, richiedono l’inserimento di una carta e l’acquisizione di un codice segreto (PIN) per autorizzare una transazione, laddove previsto in ordine agli obblighi di applicazione della Strong Customer Authentication (SCA).

Transazioni contactless e Mobile Proximity con POS fisici

Nel caso in cui i terminali siano dotati di tecnologia contactless (oggigiorno, la quasi totalità dei POS installati lo prevede), la transazione può avvenire in prossimità, tramite la scansione di una carta c-less (anche in questo caso, la maggioranza delle carte in circolazione è, ormai, contactless). Superati i limiti di soglia previsti per l’applicazione della SCA, viene richiesta la digitazione del PIN sul terminale al fine di autorizzare il pagamento.

Transazioni Mobile Proximity con POS fisici

Un POS predisposto per accettare pagamenti in prossimità, prevede altresì l’opportunità di gestire transazioni dove l’acquirente impiega il proprio smartphone, dotato di tecnologia NFC, mediante l’uso di un Digital Wallet[4]. La transazione, in questo caso, è una transazione di Mobile Proximity Payment che prevede l’autenticazione dell’utilizzatore del Digital Wallet, mediante l’acquisizione di almeno due elementi di sicurezza rivenienti nel possesso dello smartphone e nell’acquisizione di un fattore biometrico (ad esempio la scansione dell’impronta digitale o del volto), o di un PIN digitato sullo smartphone dell’acquirente.

Fase intermedia: Mobile POS

Nonostante i terminali POS fisici siano affidabili, la loro principale limitazione risiede nella scarsa flessibilità: ancorati in un luogo fisico, non sono facilmente adattabili a situazioni dinamiche o a differenti layout di negozio.

Per tale motivo, l’industria della monetica ha saputo proporre il Mobile POS, permettendo un salto evolutivo significativo, grazie all’introduzione di un grado di flessibilità impensabile con i terminali POS tradizionali.

Con un’applicazione specifica e un piccolo accessorio hardware, sempre e comunque necessario per la lettura della carta e l’acquisizione del PIN, qualsiasi smartphone o tablet ha potuto diventare un terminale POS, consentendo ai commercianti di accettare pagamenti ovunque all’interno del negozio o anche fuori da esso.

Fase avanzata: Software POS

Il Software POS è la quintessenza della flessibilità in termini di accettazione dei pagamenti. Queste applicazioni trasformano un dispositivo mobile, sia esso uno smartphone o un tablet, in un terminale di pagamento per l’accettazione di transazioni contactless (carta o Digital Wallet) senza necessità di hardware esterno.

Grazie alla predisposizione di tecnologie NFC presenti sullo smartphone, i commercianti possono processare transazioni con una rapidità e una semplicità senza precedenti.

La peculiare differenza di una soluzione Software POS, rispetto a quelle della precedente fase (Mobile POS), è costituita dall’opportunità di accettare transazioni contactless e acquisire il PIN, quando necessario, direttamente sul dispositivo dell’esercente.

Laddove, tuttavia, la carta di pagamento non fosse contactless, è sempre necessario un piccolo accessorio aggiuntivo (simile a quello previsto per i Mobile POS) in grado di leggere la carta a contatto (microchip e, eventualmente, banda magnetica).

PCI-DSS

L’evoluzione degli standard PCI-DSS: dettagli e implicazioni

La progressiva smaterializzazione del terminale POS è strettamente legata all’evoluzione degli standard PCI-DSS[5] che non solo stabiliscono requisiti di sicurezza, ma abilitano anche nuove funzionalità, in grado di cambiare radicalmente il modo in cui le transazioni avvengono.

Vediamo in dettaglio come gli standard PCI SPoC (Software-Based PIN Entry on COTS), CPoC (Contactless Payments on COTS) e MPoC (Mobile Payments on COTS), hanno influenzato (e influenzano tuttora) questo processo.

L’acronimo COTS (presente in ciascuno dei tre standard) significa Commercial Of-The-Shelf, a indicare un generico dispositivo commerciale, reperibile su un mercato quale è quello, ad esempio, dell’elettronica di consumo. In tal senso, COTS può essere uno smartphone, un tablet che potrebbe essere già in possesso dell’esercente.

PCI SPoC (Software-Based PIN Entry on COTS)

Conosciuto anche come “PIN on glass“, questo standard, del 2018, ha segnato una tappa fondamentale nell’evoluzione dei sistemi di pagamento, permettendo per la prima volta di acquisire il PIN necessario per autorizzare una transazione direttamente sul dispositivo mobile (smartphone o tablet) dell’esercente. In tal senso, esso caratterizza tutte le soluzioni di Mobile POS che abbiamo descritto in precedenza.

La possibilità di acquisire il PIN sul COTS del commerciante ha rappresentato un passo rivoluzionario, perché ha eliminato la necessità di un dispositivo fisico dedicato per la digitazione del codice segreto. Tuttavia, SPoC richiede ancora un lettore di carte separato che può leggere chipcard o bande magnetiche, per completare la transazione.

PCI CPoC (Contactless Payments on COTS)

Questo standard, presentato un anno dopo il precedente (è del 2019), ha aperto la strada ai pagamenti contactless effettuati direttamente attraverso lo smartphone o il tablet dell’esercente, utilizzando la tecnologia NFC integrata.

Gli elementi chiave di una soluzione CPoC includono:

  1. un dispositivo COTS con una interfaccia NFC integrata per leggere la carta di pagamento o il dispositivo che inizia una transazione contactless non basata su PIN;
  2. un’applicazione software di accettazione dei pagamenti, convalidata e sicura, che gira sul dispositivo COTS dell’esercente;
  3. sistemi back-end indipendenti che supportano il monitoraggio, i controlli di integrità e l’elaborazione dei pagamenti.

CPoC elimina la necessità di un lettore di carte esterno, ma limita le transazioni a quelle senza PIN, che spesso hanno un limite massimo di importo.

PCI MPoC (Mobile Payments on COTS)

Pubblicato nel 2022, MPoC rappresenta l’evoluzione più recente e più flessibile degli standard PCI.

Come con CPoC, la transazione contactless utilizza la tecnologia NFC del dispositivo mobile dell’esercente. Tuttavia, a differenza del CPoC, MPoC permette l’acquisizione del PIN direttamente sul dispositivo, eliminando quindi i limiti sull’importo della transazione. Gli obiettivi principali di questo standard sono:

  • supportare diverse modalità di accettazione del pagamento (carta c-less, Digital Wallet, dispositivi wearable dotati di tecnologia NFC, …);
  • offrire vari metodi di verifica del titolare della carta.

In un futuro prossimo venturo è molto probabile che CPoC e MPoC si fondino in un unico standard.

La versatilità di MPoC è notevole. Una soluzione potrebbe, ad esempio, utilizzare l’interfaccia NFC nativa di un dispositivo COTS per transazioni contactless senza PIN, mentre un’altra soluzione potrebbe essere progettata per supportare transazioni contactless con PIN e persino Digital Wallet.

Nonostante l’ampiezza dello spettro di possibili applicazioni sia decisamente ampio, ad oggi MPoC non può supportare i casi d’uso tipici delle vending machine e, in generale, tutti gli ambiti unattended, dove quindi non vi sia la presenza fisica del venditore/commerciante.

Similmente al precedente CPoC, la corretta implementazione di questo standard ha un impatto sulla filiera di accettazione, dovendo prevedere un’architettura multi-tier da integrare (operativamente e funzionalmente) nei processi tradizionali di acquiring, nonché l’adozione di applicazioni sicure e certificate da installare sullo smartphone del commerciante.

L’impatto sulla filiera dell’acquiring

La comprensione e l’implementazione di questi standard PCI è fondamentale per cogliere con successo i concreti benefici dell’evoluzione della filiera dell’acquiring in mobilità. Da SPoC, che ha introdotto il concetto rivoluzionario di “PIN on glass”, a CPoC e MPoC, che hanno reso i pagamenti più flessibili e sicuri, questi standard rappresentano non solo regolamenti ma anche opportunità per creare esperienze di pagamento più efficienti, sicure e adattabili alle mutevoli esigenze dei consumatori e degli esercenti.

Ciò premesso, non sarebbe corretto, né coerente con lo spirito di questo contributo (inserito nella rubrica “LA RIFLESSIONE” a cura dell’autore), se non ci si soffermasse brevemente a considerare l’impatto che l’adozione di questi standard ha comportato (e comporta) sulla filiera dell’acquiring, nel più ampio contesto della monetica in Italia.

L’architettura tecnologica

In Italia, la gestione delle transazioni di pagamento basate su carta prevede una filiera più complessa, rispetto a quella di altri paesi. In particolare, la presenza di un soggetto tecnologicamente attivo nei processi transazionali quale il Gestore Terminali, necessita di rimappare l’architettura multi-tier tipica di questi nuovi standard PCI.

Ciò implica che qualsiasi acquirer intenzionato a offrire soluzioni di accettazione dei pagamenti in mobilità, laddove sviluppi un’offerta congiunta al servizio di convenzionamento degli esercenti tradizionale (ovvero pregresso), debba prevedere un’integrazione, almeno funzionale, con i sistemi legacy.

Il processo di convenzionamento dell’esercente

Il convenzionamento di un esercizio commerciale per l’accettazione di pagamenti con carta prevede un processo talvolta non breve, mediato o intermediato da diversi soggetti che, nella filiera della monetica, intervengono nel rapporto commerciale e operativo con l’esercente: banca proponente il servizio POS, centro servizi del Gestore Terminale, banca acquirer, acquirer (solo per elencare i principali).

In un contratto di convenzionamento tradizionale, ossia che prevede l’impiego di un POS fisico (fase iniziale, per ricondursi a quanto spiegato nei precedenti paragrafi), molto spesso accade che il terminale stesso, nella propria “cespitante fisicità di cespite” (perdonateci il calembour!) sia offerto dalla banca proponente e incluso in un canone di noleggio.

Una proposizione basata su Software POS, come è evidente, lascia l’esercente libero, ma parimenti  responsabile, della messa a disposizione del proprio smartphone (o tablet che sia), su cui è obbligato a installare un’applicazione software nel dominio dell’acquirer, al fine di rendere operativo il servizio di incasso innovativo.

La procedura di onboarding dell’esercente

Sotto il profilo dell’offerta di un servizio basato su Software POS (ma ciò è vero anche per alcune applicazioni di Mobile POS), la procedura di onboarding dell’esercente potrebbe avvenire totalmente online. Il commerciante, accedendo il sito dell’acquirer opportunamente preposto, si identifica (ove già non lo fosse), accetta termini e condizioni del servizio e, in brevissimo tempo, riceve l’autorizzazione a incassare con il nuovo sistema.

La procedura esperita, tuttavia, deve poter garantire i medesimi livelli di sicurezza e garanzia di un convenzionamento tradizionale (usualmente mediato dalla banca proponente, al tempo stesso banca tesoreria del commerciante), sia per quanto attiene la conformità alle disposizioni vigenti in tema di antiriciclaggio e contrasto al finanziamento del terrorismo, sia in adempienza alle norme concernenti la fiscalità.

Quanto è sostenibile la “leggerezza” del POS?

In linea con i principi che ispirano la redazione di questo articolo, permetteteci ora di chiedere in prestito al grande (compianto) Milan Kundera, una delle più intriganti riflessioni della letteratura di fine ‘900.

Chiediamoci quanto possa davvero essere sostenibile (o insostenibile) la leggerezza introdotta nella smaterializzazione di un cespite, il terminale POS fisico, in una filiera dell’acquiring in mobilità ridisegnata sulla base degli sviluppi che abbiamo fin qui spiegato.

Gli economics

Vale, in prima battuta, pensare agli economics della soluzione. Quanto pesano gli impatti descritti sui processi tradizionali di gestione delle transazioni per gli acquirer, per le banche acquirer e (se del caso) per le banche proponenti?

Sul lato opposto di un mercato, quello dei pagamenti, che ricordiamo sempre essere un mercato two sided, in presenza di forti esternalità, quanto può essere realmente conveniente per un esercente, adottare una soluzione che non preveda la fisicità del POS?

Rispondere a queste domande non è semplice. Se sul fronte del commerciante può apparire un vantaggio risparmiare (almeno teoricamente) sul canone del POS, è necessario stimare se e quanto, ciò non si riverberi sull’applicazione di una politica di commissioni — parliamo ovviamente di MSC Merchant Service Charge —, non tanto per l’aspetto meramente economico, quanto per quello della flessibilità. Può il commerciante negoziare per scaglioni di fatturato? Potrà accettare qualsiasi tipo di carta?

La sicurezza … percepita

Sotto il profilo della sicurezza percepita, attesa la conformità delle soluzioni agli standard PCI-DSS più sopra descritti, esiste un problema che afferisce l’ambito relazionale “esercente-acquirente”, quasi un’incognita altamente sfidante da affrontare: la confidenza.

Nel consueto relazionarsi con l’esercizio commerciale all’atto del pagamento, il consumatore è oggigiorno poco propenso a verificare l’oggetto che, bene o male, è in grado di riconoscere, proprio per via del suo famigliare fattore forma: il POS.

Il dispositivo ha un display, un tastierino, una fessura per inserirvi la carta o un simbolo che evoca le onde (marine, in vero, più che elettromagnetiche) a indicare la possibilità del contactless.

Si ha, tutti, ben chiaro che detto dispositivo è segnalato in modo distinguibile e inequivocabile, dalla presenza di marchi che riconducono ai circuiti di appartenenza delle carte accettate.
Ma tutto questo, ci si chiede, come può essere parimenti rappresentato (sì, volutamente usiamo il verbo “rappresentare” e non “presentare”, giacché si è in una dimensione più “leggiadra”), se l’esercente ci mostra un semplice smartphone?

Innovazione sostenibile

Non vogliamo passare per retrogradi refrattari all’innovazione (chi scrive non può proprio esserlo …, suvvia!), ma neppure subire pedissequamente la fascinazione del nuovo.

L’insostenibile leggerezza che, talora, accompagna l’innovazione, quanto sarà effettivamente sostenibile nel tempo?

Vi è vera innovazione se l’impatto che da essa dipende si contempera nella sapiente valutazione olistica di una complessità. Come tale, la complessità richiede tempo e costanza per essere accettata.

“È difficile fare previsioni, soprattutto sul futuro”, diceva Mark Twain. Noi, che non disponiamo di capacità mantiche predittive (e, se le avessimo, non sarebbe su di esse che vorremmo basarci), ci limitiamo per ora a riflettere su questioni che, ove non fossero sufficientemente illuminate, correrebbero il rischio di essere ignorate. Ma non vi è innovazione utile se adombrata dalla fascinazione.


NOTE

[1] Gli standard PCI (Payment Card Industry) sono un insieme di linee guida e requisiti di sicurezza progettati per garantire che tutte le aziende che elaborano, archiviano o trasmettono informazioni relative a carte di credito lo facciano in un ambiente sicuro.

[2] Con monetica ci si riferisce alla gestione del denaro elettronico negoziato tramite l’uso di carte di pagamento (carte di credito/debito e derivati), attuata tramite l’adozione di strumenti informatici e telematici. Termine tutto italiano, ha iniziato a diffondersi nella prima metà degli anni ’80 del secolo scorso. In un’accezione più generale, possiamo definire la monetica come una branca dell’informatica bancaria, coinvolta nello studio, definizione e progettazione di Sistemi di Pagamento Elettronico (più semplicemente e-Payment Systems), che adottano l’impiego di una carta come strumento abilitante un trasferimento elettronico di fondi (EFT – Electronic Funds Transfer).

[3] La start up Square inc, fondata nel 2010 da Jack Dorsey, ideatore di Twitter può essere considerata la madre del Mobile POS. All’epoca, Square constava di un piccolo device di plastica di pochi centimetri, disponibile per piattaforma Android e iOS, che comunicando attraverso il jack audio e per mezzo di un’applicazione scaricabile dagli store di Google e Aplle, permetteva di accettare pagamenti con una carta di pagamento. Il pagatore poteva “strisciare” la propria carta all’interno del lettore e inserire il PIN (o firmare) direttamente sul cellulare del venditore o, in alternativa e ad un costo superiore, il venditore poteva inserire manualmente i dettagli della carta del pagatore e finalizzare la transazione in modalità Card Not Present. Per approfondimenti è possibile leggere “POS Mobile: come il cellulare si trasforma in un POS per accettare pagamenti con carte di credito”, V. Portale, 4 maggio 2022, PagamentiDigitali.it.

[4] Il Digital Wallet in questione è, più propriamente, un “Pass-through Digital Wallet up-front Card Based”, ossia un Digital Wallet basato su una carta (smaterializzata), con cui vengono effettuati i tradizionali Mobile Proximity Payments (a titolo esemplificativo e non esaustivo, appartengono a questa categoria di Digital Wallet, prodotti come Apple Pay, Google Wallet et similia).

[5]Gli standard PCI-DSS sono definiti all’interno del PCI Security Standards Council (PCI SSC), un forum globale che riunisce gli stakeholder del settore dei pagamenti per sviluppare e promuovere l’adozione di standard e risorse per la sicurezza dei dati in tutto il mondo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2