Anelli NFC per i pagamenti: cosa possono davvero fare (e cosa no)

I wearable passivi per i pagamenti NFC (Near Field Communication) – anelli e braccialetti senza batteria – stanno guadagnando terreno come soluzioni frictionless nel contesto EMV[1] contactless.

Alimentati esclusivamente dal campo elettromagnetico del terminale POS, questi dispositivi utilizzano token EMV al posto del numero di carta di credito (PAN) e si basano su architetture standardizzate (ISO/IEC 14443, EMVCo, NFC Forum).

Analizziamone il funzionamento tecnico, i vincoli di usabilità, le implicazioni normative (es. PSD2/SCA) e le best practice per l’adozione sul campo.

Come funziona un wearable NFC passivo

Un gesto semplice, ma un sistema complesso. Dietro al “tap” che consente il pagamento con un anello contactless, si cela una sofisticata architettura tecnica. Tutto parte da un’interazione invisibile: il campo elettromagnetico del lettore POS attiva il tag presente nell’anello solo in quel momento, al fine di compiere la sua funzione.

Un dispositivo wearable passivo, infatti, non contiene batteria né circuiti attivi. Al suo interno ospita un chip EMV contactless e un’antenna circolare miniaturizzata sintonizzata a 13,56 MHz, nell’insieme chiamato “TAG[2] NFC”. Quando il dispositivo entra nel campo del lettore, si “risveglia” grazie all’energia ricevuta via induzione elettromagnetica e negozia una transazione presentando un token EMV, anziché i dati sensibili della carta. Lo standard sottostante è ISO/IEC 14443[3], con compatibilità garantita dalle specifiche EMVCo[4] e NFC Forum[5].

Il materiale di cui è composto l’anello è (in quasi tutti i casi) impermeabile all’acqua e, pertanto, può essere indossato anche in spiaggia o mentre si nuota in mare.

Specifiche tecniche del TAG NFC passivo

La miniaturizzazione, diciamolo subito, porta con sé compromessi. Ridurre tutto un sistema di pagamento a un anello significa confrontarsi con i limiti fisici della trasmissione radio e della potenza disponibile. La precisione conta più della forza.

I tag NFC usati nei wearable operano a 13,56 MHz, secondo gli standard ISO/IEC 14443-1/2/3/4, sia in versione Type A che B. Le velocità di comunicazione variano da 106 a 424 kbps, ma nella maggior parte dei casi i pagamenti viaggiano a 106 kbps. La distanza pratica di lettura è di 1-5 cm, con valori ottimali sotto i 4 cm. L’antenna interna è piccola, sensibile, soggetta a detuning[6] se vicina a metalli o liquidi.

L’uso di ferrite come schermatura posteriore all’antenna NFC consente di mitigare gli effetti di detuning (es. terminali incassati o anelli con struttura metallica). La ceramica, spesso impiegata come materiale strutturale dell’anello, non interferisce con la trasmissione NFC, ma non svolge funzione schermante attiva.

Standard di pagamento adottati

Dietro ogni “beep” c’è un sistema di regole globali. La compatibilità del wearable che s’indossa con terminali di tutto il mondo non è casuale: è il frutto di una convergenza tra specifiche industriali di altissimo livello.

Il flusso transazionale è governato dal protocollo EMV Contactless, mentre la comunicazione radio si basa sui già citati standard ISO/IEC 14443. Le specifiche del NFC Forum assicurano che tutto funzioni anche tra dispositivi eterogenei (es. smartphone, POS, validatori generici quali, ad esempio, quelli presenti nei sistemi di gestione dei tornelli di transito della metropolitana). Il consolidamento recente del kernel EMV Contactless[7] ha inoltre migliorato la velocità e la compatibilità su scala globale.

Tokenizzazione: sicurezza e gestione

E i dati della carta? Rispondere a questa domanda, più che legittima (ma spesso alimentata dai detrattori delle tecnologie contactless di pagamento), è molto semplice: non viaggiano mai.
I wearable NFC passivi come gli anelli non contengono il numero reale della carta (PAN), ma un suo “sostituto”: un token EMV statico. Questo sistema, detto tokenizzazione, permette di proteggere il vero PAN pur consentendo il pagamento contactless in modo immediato.

Un token è un numero alternativo al PAN, emesso da un Token Service Provider (TSP). Viene assegnato al dispositivo e memorizzato nel chip EMV del wearable in fase di inizializzazione, ma a differenza del PAN:

• può essere revocato o sospeso in caso di furto;
• è valido solo in un determinato contesto (es. circuito Mastercard su POS fisici);
• non può essere utilizzato online se non espressamente previsto.

Perché non si usano cryptogrammi dinamici?

Nei tag NFC attivi (es. smartphone, carte con batteria o secure element evoluti), il chip genera un codice crittografico unico per ogni transazione (ARQC[8]), verificato dall’emittente. Questo garantisce un’autenticazione dinamica.

Ma nei dispositivi passivi, come gli anelli NFC senza batteria, non c’è capacità computazionale per generare codici crittografici in tempo reale, il chip espone un profilo EMV minimale e il token statico, senza creare cryptogrammi.

La sicurezza non si basa quindi su una risposta crittografica dinamica, ma su:

• limiti imposti al token (es. uso solo su POS fisici);
• regole di accettazione lato circuito e banca;
• monitoraggio comportamentale lato issuer.

Il ruolo del TSP (Token Service Provider)

Una infrastruttura invisibile, ma fondamentale per rendere l’anello utile e sicuro è rappresentata dal Token Service Provider (TSP).

Il TSP è l’anello di congiunzione (ci sia perdonato il gioco di parole: non solo in senso figurato) tra il mondo della carta di pagamento e il wearable. A lui spetta la responsabilità di generare il token, verificarne l’associazione con il titolare e distribuirlo in sicurezza.

Provisioning iniziale

Quando un utente acquista un anello e vuole associarlo alla sua carta:

1. Avvia la procedura di enrolment tramite un’app, un sito o in negozio;
2. L’anello comunica con il Token Requestor (spesso lo stesso vendor o wallet provider);
3. Il Token Requestor invia la richiesta al TSP, che:
   • contatta l’emittente per verificare l’identità del titolare (ID&V);
   • genera un token EMV;
   • lo invia, in forma cifrata, al chip EMV dell’anello.

Sospensione o revoca del token

In caso di perdita o furto del wearable:

• l’utente può sospendere il token tramite app o call center;
• il TSP notifica la sospensione all’emittente;
• il token diventa inutilizzabile, senza bloccare la carta originale.

Strong Customer Authentication (SCA) e PSD2

L’attuale direttiva PSD2[9] sui servizi di pagamento obbliga a utilizzare almeno due fattori di autenticazione (p.e. un PIN e il possesso fisico dello strumento di pagamento – nel nostro caso l’anello al dito) per ogni pagamento digitale. Ma prevede anche esenzioni specifiche per rendere più fluida l’esperienza d’uso.

Esenzioni applicabili ai wearable

L’anello NFC può beneficiare delle seguenti esenzioni:

• pagamenti ≤ 50 €, se non si superano 5 transazioni consecutive o 150 € cumulativi senza SCA;
• trasporti pubblici e parcheggi automatizzati, che rientrano nell’Articolo 12 del Regolamento Delegato (UE) 2018/389[10]: qui non vi è alcun limite di importo o frequenza, purché si tratti di terminali non presidiati (unattended).

Ciò spiega perché gli anelli possono funzionare nei tornelli della metropolitana o nei parcheggi contactless senza la necessità di inserire il PIN: non è necessaria una nuova autenticazione ogni volta, e la transazione è comunque tracciata e monitorata.

Attenzione a non dimenticarsi il PIN!

Al di fuori del perimetro di esenzioni per l’applicazione obbligatoria della SCA spiegate nel precedente paragrafo, è importante ricordarsi il PIN.

Sovente, infatti, soprattutto per chi possiede più di una carta di pagamento (e, magari, è anche un tech savvy …) accade che la smaterializzazione dello strumento a uso di un wallet di tipo “pass-through”[11] (come Google Wallet, Apple Pay, Samsung Wallet), porti a dimenticarsi il PIN della carta usata con lo smartphone, poiché al fattore della conoscenza (il PIN, appunto), tipico di una SCA multi fattore, si sopperisce con il fattore dell’inerenza, come l’impronta digitale o la scansione del viso per sbloccare il telefono prima di effettuare il pagamento.

Ecco, con un anello e, più in generale, con un tag NFC passivo, è necessario ricordare il PIN, per non venire limitati nell’esperienza di pagamento al raggiungimento delle soglie di esenzione della SCA.

Ottimizzazione del tap: distanza e posizionamento

Un buon pagamento con un anello nasce da una buona “coreografia”. Chi ha usato un wearable per pagare sa che non basta avvicinarsi al lettore: serve un certo “ritmo”, una posizione precisa.

Per massimizzare la lettura:

• occorre mantenere una distanza di 0-2 cm;
• allineare l’anello piatto e parallelo alla superficie del terminale;
• eseguire un movimento lento e centrato.

Rotazioni leggere dell’anello possono aiutare in caso di mancata lettura, specie su terminali con hotspot NFC decentrati.

Tempi di transazione e reattività

Una frazione di secondo fa la differenza. La rapidità è uno degli aspetti più apprezzati dei pagamenti contactless.

• Il tempo di “tap” RF dura (ovvero dovrebbe durare) meno di 500 ms.
• La transazione completa richiede 1-3 secondi a seconda della latenza di rete e del terminale.

Rischi e limitazioni

Nessuna soluzione è perfetta – l’importante è sapere dove sono i punti deboli.
L’uso di token statici in dispositivi senza protezioni attive amplifica la superficie di attacco. Il rischio più noto è il cosiddetto skimming passivo: un lettore NFC malevolo, se avvicinato all’anello, può tentare di acquisire il token.

Cosa succede se un malintenzionato acquisisce il token?

In linea teorica, chiunque con un lettore NFC può leggere: il token statico (DPAN) e alcune informazioni EMV minime.

Ma questo non basta per effettuare un pagamento, in quanto il token:

• è legato a un dominio d’uso (es. POS fisici, circuito Mastercard o Visa);
• è soggetto ai controlli antifrode dell’emittente (frequenza, luogo, importo);
• è inutilizzabile su canali per cui non è abilitato (es. e-commerce).

Inoltre, la lettura richiede:

• prossimità fisica reale (1-4 cm);
• orientamento preciso dell’anello;
• assenza di schermature (ferrite, ceramica).

Altri limiti noti

Altre limitazioni di cui si è a conoscenza sono:

• Detuning da metallo/acqua: può impedire la lettura;
• Interferenze ambientali (vetrine, terminali incassati);
• Assenza di feedback: se non si riceve un beep dal terminale, l’utente non sa se il tap è riuscito;
• Smarrimento del dispositivo: impone un sistema di revoca token efficiente e tracciabile.

Raccomandazioni pratiche per l’uso dell’anello NFC

Un dispositivo utile, ma da usare con tecnica e attenzione.

Come accostare correttamente l’anello al terminale

Lo abbiamo già anticipato in precedenza, ma riteniamo di doverlo ulteriormente rimarcare, poiché riteniamo sia uno dei principali aspetti (e, talora, limiti) da considerare per una buona esperienza di pagamento effettuata con un wearable anello, dotato di un tag NFC passivo.

1. Posizionare l’anello piatto e parallelo alla superficie del lettore, come se si stesse bussando con le falangi delle dita su una superfice orizzontale, unite in pugno (Fig. 1); ciò dipende dal fatto che l’antenna circolare dell’anello deve potersi posizionare in modo ottimale rispetto al lettore e, laddove invece si avvicinasse la mano tesa o il solo dito “inanellato” al POS, si correderebbe il rischio di offrire una minore superfice d’antenna all’induzione elettromagnetica del lettore.
2. Preferire un tap lento e ben centrato.
3. Ruotare leggermente il pugno (sempre orientato nella posizione descritta) in senso orario e antiorario se il tap non viene riconosciuto.
4. Mantenere una distanza di 0-2 cm per una lettura affidabile.

In caso di dita bagnate, l’umidità può indurre una desintonizzazione dell’antenna integrata nell’anello. In questi casi è raccomandabile asciugare bene la mano prima di effettuare il pagamento. In ambienti esterni (per esempio esposti a pioggia), considerare un’alternativa al wearable.

Lettori verticali (es. vending machine)

Questo è un caso d’uso cui si presta minor attenzione, ma, al contrario, è quello che genera le maggiori criticità. Vediamo perché.

Il lettore posto in verticale richiede di ruotare il polso all’indietro per accostare l’anello lateralmente; nelle persone che hanno maggiori difficoltà di articolazione (p.e. chi soffre di artrite) questa operazione di torsione del polso – del tutto innaturale, può riuscire con difficoltà, riducendo la superficie utile per la lettura. Anche in questo caso occorre un po’ di pazienza e muoversi lentamente fino a percepire il “beep” di conferma.

Caselli autostradali

L’utilizzo di un anello per pagare i pedaggi autostradali è molto comodo, rispetto all’uso di una carta contactless o di uno smartphone, tuttavia, occorre tener presente che:

• i caselli con lettore contactless richiedono che l’anello sia indossato sulla mano sinistra, quella più vicina al lettore;
• il lettore potrebbe essere incassato o schermato: attenzione alla distanza e all’inclinazione della mano;
• è sconsigliabile usare l’anello se l’utente è da solo alla guida e non ha libertà di movimento, a meno che non indossi abitualmente l’anello sulla mano sinistra…

Attenzione ai colpi!

Sebbene nella maggior parte dei prodotti in commercio la resistenza a urti accidentali è ben tollerata, è molto sconsigliato sbattere l’anello con violenza su superfici solide, o sottoporlo a vibrazioni meccaniche. Attenzione, dunque, a non arrabbiarsi sbattendo il pugno con l’anello sul tavolo! (…ed evitare di indossarlo se si usano utensili come trapani o simili).

Ostacoli fisici all’interazione NFC

Anche l’hardware dell’ambiente d’accettazione conta.

Terminali con plastiche spesse o incassati

Le coperture in plastica (es. nei POS self-service) riducono la trasmissione; è preferibile avvicinare l’anello alla zona non schermata del lettore, se presente.

• Smart POS con lettore laterale

Molti POS Android di nuova generazione montano il lettore NFC sul lato corto frontale.

Questo richiede all’utente una rotazione innaturale del polso per allineare l’anello (similmente a quanto abbiamo descritto per il caso della vending machine), spesso fallendo il tap. In questi casi, è più efficace usare un telefono o una carta, oppure individuare il punto esatto del campo NFC.

Considerazioni igienico-sanitarie

Per funzionare, l’anello richiede spesso che le falangi entrino in contatto diretto con la superficie del POS; a differenza di una carta o di uno smartphone, non si può appoggiare il dispositivo evitando il contatto della mano.

In scenari di pandemia o igiene rafforzata (es. ospedali, ristorazione), l’uso del wearable può, quindi, risultare meno igienico.

Esperienza d’uso nei diversi contesti di accettazione

Non tutti i lettori parlano la stessa lingua, ma l’anello si adatta… se lo si convince. L’esperienza di pagamento cambia molto a seconda del contesto. Ma i wearable NFC, se ben progettati, offrono una compatibilità sorprendente.

Ecco un breve elenco delle più frequenti possibili interazioni anello-POS:

• Smart POS: alta velocità, compatibilità piena, ma prestare grande attenzione a quelli con plastiche troppo spesse e/o con lettori sul lato corto frontale o laterale, per le ragioni che abbiamo riassunto in precedenza.
• SoftPOS (Tap on Phone): hotspot ridotto, richiede precisione o una maggiore disponibilità dell’esercente ad avvicinare il proprio smartphone al dito del cliente (operazione non sempre gradita da entrambe le parti).
• Vending/unattended: funzionano bene se il reader non è troppo profondo, ma attenzione alla torsione innaturale del polso, soprattutto per chi ha disabilità articolari.
• TPL (trasporti pubblici): alta compatibilità e buona fruibilità grazie all’esenzione Art. 12 del Regolamento Delegato (UE) 2018/389 e alla gestione offline, ma attenzione anche in questo caso a:
  • lettori di nuova generazione che, per ragioni estetiche e di maggior resistenza ad atti vandalici, oppongono una superficie di plastica più spessa che allontana il lettore dall’anello, aumentando di alcuni secondi il pagamento in un’esperienza utente molto particolare (immaginiamo le file ai tornelli che si creerebbero se tutti i passeggeri pagassero con un anello!);
  • aspetti igienici, laddove le falangi del dito su cui è calzato l’anello devono inevitabilmente toccare il lettore del tornello, a volte anche facendo pressione per qualche secondo.

Questi contesti dimostrano come l’anello NFC possa adattarsi a una varietà di ambienti d’uso, purché siano rispettati i vincoli tecnici di lettura e le condizioni normative di accettazione. La chiave del successo resta l’equilibrio tra design del dispositivo, configurazione del terminale e consapevolezza del contesto operativo.

Take-away e prospettive future

Tecnologia semplice solo in apparenza

L’anello NFC passivo non è un’alternativa general purpose alla carta o allo smartphone, ma uno strumento di pagamento con caratteristiche tecniche, operative e normative ben definite. Comprendere cosa può fare, come deve essere usato e in quali condizioni è sicuro è essenziale per valutare se introdurlo in un ecosistema di accettazione o proporlo come soluzione al pubblico.

Cosa ci insegna l’analisi

• Un anello NFC passivo non genera cryptogrammi dinamici, e per questo la sua sicurezza non può basarsi su tecniche attive di autenticazione;
• La protezione dipende dalla limitazione del contesto d’uso del token, dalla capacità del circuito di rifiutare usi anomali e dal monitoraggio lato emittente;
• L’esperienza utente è strettamente connessa alla posizione del lettore, alla configurazione fisica del POS, alla manualità del gesto e persino allo stato igienico-ambientale (es. dita umide o contatto diretto della mano con la superficie);
• L’adozione richiede educazione d’uso, design del punto di accettazione e parametrizzazione delle soglie SCA adeguata da parte degli issuer.

Verso una diffusione più consapevole

I dispositivi passivi NFC come gli anelli possono funzionare molto bene:

• nei micropagamenti contactless con terminali a vista;
• con issuer che abbiano implementato correttamente le soglie PSD2/SCA e un flusso efficiente di gestione token.

Non sono invece adatti a:

• ambienti con terminali profondi, incassati o verticali difficili da raggiungere;
• pagamenti in movimento (es. tornelli metropolitana) senza pianificazione dell’ergonomia;
• contesti in cui l’utente non è in grado di ripetere correttamente il gesto (anziani, mani occupate, presenza di guanti, ecc.).

La prospettiva non è “più tecnologia”, ma “più comprensione”

I wearable NFC passivi non hanno bisogno di evolvere verso scenari ipertecnologici: non devono fare di più, devono essere usati meglio.

E questo implica:

• maggiore consapevolezza progettuale nei terminali POS;
• chiarezza nei canali di enrolment e revoca token;
• formazione minima ma puntuale per il consumatore finale.

Solo così sarà possibile trasformare l’anello da gadget di nicchia a strumento funzionale, sicuro e coerente con le esigenze del pagamento contactless moderno.

NOTE

[1] Acronimo di Europay, Mastercard e Visa, EMV è lo standard internazionale per i pagamenti elettronici basati su chip. Regola il funzionamento delle carte e dei dispositivi contact e contactless, assicurando interoperabilità e sicurezza.

[2] TAG (o transponder NFC): nei sistemi di comunicazione contactless, un TAG è un microdispositivo passivo che contiene un chip e un’antenna miniaturizzata. Non ha batteria, ma viene alimentato dal campo elettromagnetico generato da un lettore NFC. Nei pagamenti EMV, il TAG contiene le credenziali necessarie (es. un token) per iniziare una transazione.

[3] Serie di standard internazionali che definiscono la comunicazione a corto raggio tra un lettore e un chip contactless. Specificano l’interfaccia fisica, la trasmissione, il protocollo e la struttura del dialogo. Sono lo standard tecnico di base per i pagamenti NFC.

[4] Organismo internazionale che gestisce e sviluppa le specifiche EMV. È controllato dai principali circuiti di pagamento (tra cui Visa, Mastercard, American Express, Discover, JCB e UnionPay) e garantisce l’evoluzione tecnica degli standard EMV.

[5] Consorzio industriale che promuove l’adozione e l’interoperabilità della tecnologia Near Field Communication (NFC). Le sue specifiche si basano sugli standard ISO/IEC ma aggiungono requisiti per garantire la compatibilità tra dispositivi di diversi produttori (es. smartphone, POS, wearable).

[6] In ambito NFC, il detuning è il fenomeno per cui l’antenna del dispositivo perde la corretta sintonia con la frequenza operativa (13,56 MHz), riducendo l’efficienza della comunicazione con il lettore. È causato tipicamente dalla vicinanza di materiali conduttivi (metallo), dall’umidità (es. dita bagnate), o da interferenze ambientali, e può compromettere la lettura del segnale.

[7] È il “motore” software che gestisce il dialogo tra il chip contactless del dispositivo e il terminale di pagamento. Ogni circuito di pagamento ha un proprio kernel, ma EMVCo lavora alla loro armonizzazione per favorire un’esperienza d’uso più uniforme.

[8] È un codice crittografico generato dal chip EMV in dispositivi attivi (es. telefoni) al momento della transazione. Serve a dimostrare l’autenticità dell’operazione e viene validato dalla banca emittente. I dispositivi NFC passivi, come gli anelli, non generano ARQC.

[9] DIRETTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE.

[10] REGOLAMENTO DELEGATO (UE) 2018/389 DELLA COMMISSIONE del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.

[11] Per “wallet pass-through” si intende una particolare tipologia di Digital Wallet operativa su smartphone che non elabora direttamente la transazione, ma agisce da canale di trasporto trasparente tra il dispositivo e il circuito di pagamento. In questo modello, il token EMV è emesso e gestito dal circuito (via TSP), mentre il wallet si limita a inoltrare la richiesta di pagamento senza aggiungere logica propria.

La Figura 1 è stata generata con l’ausilio dell’AI su cui è stato fatto un reimpainting a cura dell’autore