L’industria dei pagamenti è un mercato che, pur essendo concentrato nelle mani di pochi attori, è caratterizzato da dinamicità e innovazione. Stando al World Payments Report 2017, infatti, il numero di transazioni elettroniche concluse a livello globale cresce in media del 10% l’anno e ci si aspetta che raggiunga una cifra pari a 577 miliardi entro la fine del 2018. In questo mercato tecnologicamente complesso l’innovazione è tutto e leader del settore come Mastercard e Visa, che assieme sovraintendono tra l’80 e il 90% di tutte le transazioni, costituiscono dei punti di riferimento con i loro rispettivi incubatori di startup innovative, “Mastercard Start Path” e “Visa Everywhere Initiative”.
Tuttavia, la strenua ricerca dell’innovazione del domani non è necessariamente dettata dalla creatività o dalla competizione, ma da necessità concrete legate al cybercrime. È risaputo infatti, che i pagamenti elettronici sono spesso preda di attacchi informatici che spaziano dal furto delle credenziali all’elaborazione di siti fasulli o a sistemi fraudolenti ancor più complicati. La cybersecurity costituisce quindi uno dei pilastri fondamentali e condizionanti per colossi come Visa e Mastercard, su tutti i livelli: dal card-on-file, al third party payment, al guest checkout e ancora al mobile payment. Tutte le forme di digital payments sono infatti a rischio frode.
Ad una prima occhiata, il problema sembrerebbe di semplice risoluzione: aumentare i livelli di sicurezza. La questione, tuttavia, è più complessa di quel che sembra poiché l’eccessiva reazione al cybercrime genera importanti sfide per i big player dei pagamenti, come più volte affermato dai piani alti delle organizzazioni, e queste sfide, se non affrontate adeguatamente, possono minacciare la performance e la posizione di mercato. In altre parole, far fronte al cybercrime nei pagamenti spesso significa implementare sistemi macchinosi e composti da un insieme complicato di feedback che non sempre giovano al consumatore e non sempre garantiscono l’efficienza.
I requisiti per l’approvazione della transazione elettronica per esempio, sia su POS che su browser, si rivelano sovente troppo rigidi, al punto che un terzo delle transazioni non andate a buon fine erano in realtà transazioni sicure da autenticare. Considerando che il tasso di negazione della transazione ammonta in media a circa il 12-15%, ciò significa che vi è un 3-5% di transazioni che può essere reso più efficiente.
In secondo luogo, l’eccessiva reazione al cybercrime ha provocato un’esplosione di barriere di sicurezza, (specialmente sul lato browsing) che sono state riversate sul consumatore finale e di conseguenza ne hanno peggiorato considerevolmente la user experience. Si pensi solamente al tempo necessario per espletare un nuovo pagamento card-on-file, in cui non solo vengono richiesti tutti i dettagli della carta fisica, ma bisogna anche ricordare la password dell’addizionale barriera di sicurezza introdotta dalla banca, come può essere un OTP per esempio.
Le opportunità per ovviare a questi problemi derivano principalmente dalla PSD2, normativa europea entrata in vigore a gennaio 2018, che apre le porte del mercato alle fintech. Stando a dati della Banca d’Italia, nel primo semestre 2018, gli investimenti fintech nell’industria dei pagamenti hanno raggiunto l’86% di tutti gli investimenti fintech nell’Unione Europea, per un ammontare di circa 20 miliardi di euro, dati emblematici della propensione innovativa del settore.
Una delle soluzioni scaturite da questi sviluppi, e in corso di collaudo e implementazione da parte dei big player come Mastercard e Visa, si basa su due componenti principali: la tokenizzazione e la biometria. La radice dei problemi precedentemente illustrati infatti si identifica in due infrastrutture che da 50 anni sostengono i sistemi di pagamento elettronici: il Permanent Account Number (PAN) e la necessità di avere una password (PIN). L’obiettivo dell’industria è di eliminarli, operando quindi un cambiamento radicale.
Da un lato, la tokenizzazione consente di eliminare il PAN in favore di un codice numerico unico generato ad hoc per il completamento di una determinata transazione, mentre dall’altro la biometria, come l’impronta digitale o il riconoscimento facciale, assicura un’autenticazione rapida e semplificata. Ciò consentirebbe di apportare miglioramenti sostanziali alla sicurezza, incrementando l’efficienza delle autenticazioni e innovando la user experience, nonché riducendo i costi e semplificando le operazioni per tutti gli attori coinvolti nel processo di pagamento.
EMVCo, il regolatore privato che stabilisce gli standard globali per i pagamenti, sta attualmente producendo gli standard di interoperabilità per i token, definendo l’ecosistema, i processi e le specifiche tecniche cui i vari attori dovranno adeguarsi per offrire questo tipo di servizio. Ci si aspetta quindi che ciò dia ulteriore impulso alla transizione e permetta a coloro che sono già attrezzati e pronti per uscire sul mercato di iniziare questa rivoluzione per la cybersecurity che, assieme a molte altre innovazioni, caratterizzerà il mercato nel 2019 e negli anni a venire.
A cura di:
Julian Mcneill, The Innovation Group