Tokenizzazione di rete: pagamenti sicuri, tassi di autorizzazione più elevati
I numeri di carta sono credenziali di pagamento pessime. Un numero di conto principale di 16 cifre non cambia tra un esercente e l'altro, invecchia lentamente nel corso degli anni ed è memorizzato in decine di database, ognuno dei quali può essere violato. Il settore dei pagamenti lo sa da tempo, ma la soluzione è diventata praticabile su larga scala solo relativamente di recente.
La tokenizzazione di rete è la soluzione. Visa, Mastercard e Amex sostituiscono il numero di carta memorizzato con un valore surrogato, un token di rete, che funziona solo per uno specifico esercente e ha un crittogramma generato una sola volta per ogni transazione. Rubate il token; altrove non ha alcun valore. I dati di Visa: riduzione media delle frodi del 26%, aumento del tasso di autorizzazione del 4,6% per le transazioni senza presenza fisica della carta per gli esercenti che utilizzano i token di rete.
Questo articolo illustra i meccanismi, il confronto con la tokenizzazione del gateway (che presenta differenze significative dal punto di vista finanziario) e come si presenta l'implementazione nella pratica.
Che cos'è la tokenizzazione di rete?
Il codice PAN (Primary Account Number) della tua carta è un identificativo statico di 16 cifre. Non cambia tra un esercente e l'altro o tra una transazione e l'altra; lo stesso valore rimane memorizzato in una dozzina di database diversi finché la banca non riemette la carta fisica. Questo è il problema. Le credenziali statiche e ampiamente diffuse sono facili bersagli.
I circuiti di carte di credito – Visa, Mastercard, American Express – risolvono questo problema tramite la tokenizzazione di rete. Sostituiscono il PAN (Permanent Account Number) con un valore numerico casuale, il token di rete, che è riconducibile alla carta reale solo all'interno dell'infrastruttura del circuito stesso. Il token è specifico per ogni esercente. Un token intercettato in un negozio non può essere riutilizzato in un altro né impiegato per clonare la carta.
La tokenizzazione del gateway (chiamata anche tokenizzazione PCI) funziona in modo diverso. Un fornitore di servizi di pagamento o gateway genera il proprio token e lo conserva nel proprio vault. I token del gateway funzionano solo all'interno di quell'ecosistema specifico. I token di rete, invece, provengono direttamente dai circuiti delle carte di credito e veicolano segnali di fiducia riconosciuti dagli emittenti, il che determina l'aumento del tasso di autorizzazione.
Come funziona la tokenizzazione di rete
Il ciclo di vita si articola in tre fasi: provisioning, elaborazione delle transazioni e gestione del ciclo di vita.
Il provisioning avviene prima del primo addebito:
- Il commerciante o il fornitore di servizi di pagamento invia i dati della carta a un fornitore di servizi di richiesta token (TPSP), in genere il PSP o il gateway con integrazioni dirette con i circuiti delle carte.
- Il TPSP instrada la richiesta al circuito di carte pertinente (Visa Token Service, Mastercard Digital Enablement Service e così via).
- Il circuito di pagamento verifica la carta presso la banca emittente. Una volta approvata, genera un token di rete associato a quel commerciante e a quel dispositivo.
- Il token ritorna al TPSP e viene memorizzato. Il PAN non elaborato non è più necessario.
L'elaborazione della transazione segue questo percorso:
- Il cliente paga.
- Il commerciante invia il token di rete al gestore dei pagamenti.
- Il processore richiede un crittogramma al circuito della carta. Tale crittogramma è un codice monouso, valido per 15 minuti, associato a quella specifica transazione.
- Il token e il crittogramma vengono inviati alla banca emittente per l'autorizzazione.
- L'emittente visualizza una credenziale verificata dalla rete ed elabora la transazione.
La gestione del ciclo di vita avviene silenziosamente in background. Quando una carta viene riemessa a causa di scadenza, smarrimento o frode, il circuito di pagamento aggiorna la mappatura del token. Il token memorizzato dal commerciante continua a funzionare senza alcuna azione da parte del cliente.
Token di rete vs. token del gateway: differenze principali
La maggior parte degli esercenti memorizza già i dati delle carte tokenizzate tramite il proprio fornitore di servizi di pagamento (PSP). I token del gateway proteggono tali dati all'interno di un unico ambiente di pagamento, ma presentano un limite che i token di rete non hanno.
| Caratteristica | Token di rete | Gateway / Token PCI |
|---|---|---|
| Emesso da | Circuiti di carte di credito (Visa, Mastercard, Amex) | Gateway di pagamento o PSP |
| Ambito di applicazione | Portatile nell'intero ecosistema delle reti di carte | Vincolato a un solo processore o archivio |
| Aggiornamenti automatici alla ristampa | Sì, gestito dal circuito della carta | No, richiede l'intervento del cliente o un aggiornamento manuale. |
| Trasferimento della responsabilità per frode | Trasferimenti all'emittente per le transazioni approvate | Il commerciante mantiene la responsabilità |
| Segnale di fiducia dell'emittente | Gli emittenti riconoscono i token di rete come verificati | Rischio equivalente standard PAN |
| aumento del tasso di autorizzazione | 4,6% (Visa), 2,1% (Mastercard) su CNP | Nessun miglioramento misurabile |
| riduzione della tariffa di interscambio | Fino a 10 punti base di sconto sulle transazioni idonee Visa | Nessuno |
| Riduzione dell'ambito di applicazione del PCI DSS | Significativo, nessun PAN grezzo nell'ambiente del commerciante | Moderato, riduce la portata all'interno dell'ecosistema PSP |
Un token gateway è un controllo di sicurezza. Un token di rete è un controllo di sicurezza che contribuisce anche ad aumentare i ricavi.
Vantaggi della tokenizzazione di rete per i commercianti
I dati sono sufficientemente specifici da consentire di elaborare un business case:
- Riduzione delle frodi del 26%. La ricerca di Visa sugli esercenti che utilizzano i token di rete mostra questa diminuzione media dei tassi di frode. Un token intercettato non può essere riutilizzato presso un altro esercente: è vincolato a un singolo esercente per impostazione predefinita.
- Tassi di autorizzazione più elevati. Visa registra un aumento del 4,6% del tasso di autorizzazione globale per le transazioni senza presenza fisica della carta rispetto alle transazioni con PAN (Payment Number) non elaborato. Mastercard indica un dato del 2,1%. Considerando milioni di transazioni al mese, si tratta di un notevole recupero di entrate.
- Aggiornamento automatico delle carte. Quando una carta scade o viene sostituita, il token di rete si aggiorna automaticamente. I commercianti non riceveranno più notifiche di mancato rinnovo dell'abbonamento da parte di clienti che hanno semplicemente ricevuto una nuova carta senza aver aggiornato i propri dati di pagamento.
- Trasferimento della responsabilità per i chargeback. Per le transazioni completate con un token di rete e un crittogramma, la responsabilità per i chargeback passa dal commerciante alla banca emittente. Minore volume di contestazioni, minori costi operativi.
- Commissioni di interscambio più basse. La commissione di interscambio di Visa per le transazioni tokenizzate idonee è fino a 10 punti base inferiore rispetto alla commissione per le transazioni non tokenizzate. Per un esercente con un fatturato di 100 milioni di dollari al mese, questa differenza si traduce in un risparmio mensile di 100.000 dollari.
- Ambito di applicazione ridotto dello standard PCI DSS. L'assenza di PAN non elaborati memorizzati nell'ambiente del commerciante significa che un minor numero di sistemi è soggetto ai requisiti di audit PCI. Ciò riduce i costi di conformità e il numero di processi esposti a controlli.
La ricerca di ClearSale aggiunge un ulteriore elemento di contesto: il 39% dei titolari di carta smette di fare acquisti presso un esercente dopo un singolo rifiuto errato. Gli esercenti statunitensi perdono 3,75 dollari per ogni dollaro di frode effettiva (Statista). Entrambi i dati evidenziano la necessità di qualsiasi ottimizzazione che migliori l'accettazione dei pagamenti e riduca le perdite illegittime.
Casi d'uso: chi ha più bisogno dei token di rete?
La tokenizzazione di rete si rivela particolarmente vantaggiosa nelle situazioni in cui le credenziali delle carte vengono memorizzate e utilizzate ripetutamente per gli addebiti, e non solo una volta al momento del pagamento.
- Aziende basate su abbonamenti e SaaS. La fatturazione ricorrente richiede che le credenziali memorizzate rimangano valide anche dopo i rinnovi. Le carte scadute causano un abbandono involontario dei clienti: non è stata la cancellazione dell'abbonamento da parte del cliente, ma il pagamento è semplicemente fallito. I token di rete si aggiornano automaticamente quando le carte vengono riemesse, mantenendo le credenziali sempre valide.
- I commercianti di e-commerce che utilizzano carte di credito memorizzate sono particolarmente esposti al rischio di frode. Le transazioni CNP (Card Not Present) presentano il più alto rischio di frode. I commercianti che memorizzano i dati delle carte per il pagamento con un clic sono obiettivi primari per il furto di credenziali. I token di rete eliminano completamente la memorizzazione dei dati PAN (Payment Number of Identity) dall'ambiente del commerciante.
- Mercati e piattaforme. Le piattaforme multilaterali che gestiscono metodi di pagamento per conto degli utenti beneficiano della portabilità: i token rimangono validi anche se la carta sottostante cambia, a seconda del processore di pagamento.
- Viaggi e ospitalità. Hotel, compagnie aeree e piattaforme di prenotazione addebitano regolarmente le carte di credito dopo la prenotazione iniziale per spese extra post-soggiorno, upgrade di posto o modifiche di orario. Gli aggiornamenti automatici dei token impediscono che i pagamenti non andati a buon fine si trasformino in contestazioni di prenotazione.
- Giochi e contenuti digitali. Gli acquisti in-app e le ricariche del portafoglio avvengono tramite carte memorizzate con un'elevata frequenza di transazione. I token di rete riducono le difficoltà di riautenticazione senza aumentare il rischio di frode.
Come implementare la tokenizzazione di rete
La maggior parte degli esercenti non si integra direttamente con Visa o Mastercard. I circuiti di carte di credito raggiungono gli esercenti tramite i fornitori di servizi di richiesta token (Token Requestor Service Provider, TPSP), e la maggior parte dei principali PSP ha già integrato queste funzionalità con i TPSP.
Il percorso pratico:
- Scegli un PSP o un gateway con supporto nativo per la tokenizzazione di rete. Stripe, Adyen, Checkout.com e Braintree gestiscono automaticamente il provisioning del token di rete quando viene memorizzata una carta. Non è necessaria alcuna integrazione separata da parte tua.
- Attiva questa opzione nella configurazione dei tuoi pagamenti. Per i fornitori di servizi di pagamento (PSP) che la supportano nativamente, l'attivazione della tokenizzazione di rete è solitamente un'opzione di configurazione, non una modifica al codice. Consulta la documentazione del tuo fornitore: potrebbe essere già attiva.
- Tokenizzate retroattivamente le vostre carte già memorizzate. Avete un archivio di PAN? Il vostro PSP può inviarli in blocco tramite provisioning di massa, convertendo l'archivio da basato su PAN a basato su token senza toccare alcun conto cliente.
- Inserisci il token e il crittogramma nel tuo flusso di pagamento. Il PSP genera un crittogramma per ogni transazione. La tua integrazione invia il riferimento del token anziché un PAN grezzo all'avvio dei pagamenti.
- Verifica che la gestione del ciclo di vita sia attiva. Assicurati che il tuo PSP abbia l'aggiornamento automatico dell'account e la gestione del ciclo di vita del token attivi. Questa è la funzionalità che gestisce la riemissione delle carte senza l'intervento del cliente.
Uno scenario da tenere in considerazione è il seguente: se si lavora con più PSP o si necessita della portabilità dei token tra i processori, è fondamentale gestirla esplicitamente. Le opzioni includono un fornitore di token vault autonomo o un PSP che supporti la migrazione delle credenziali tra gateway.
Tokenizzazione di rete e conformità PCI DSS
La tokenizzazione di rete riduce l'ambito di applicazione dello standard PCI DSS, ma non elimina gli obblighi previsti da tale standard.
Ecco il vantaggio concreto: un token di rete memorizzato non è classificato come dato del titolare della carta secondo lo standard PCI DSS, perché non si tratta del numero della carta. I sistemi che interagiscono solo con il token e non visualizzano mai il PAN (numero di carta) possono essere completamente esclusi dall'ambito di applicazione dello standard PCI. Ciò riduce il numero di sistemi, persone e processi aziendali che necessitano di una valutazione annuale, con conseguente riduzione dei costi e dei rischi.
Il trasferimento di responsabilità rafforza questo concetto. Per le transazioni tokenizzate completate con un crittogramma, gli emittenti approvano l'addebito sapendo che la credenziale è stata verificata dalla rete. Se si verifica una frode su una transazione approvata dall'emittente, la responsabilità ricade sull'emittente, non sul commerciante. Si tratta di un cambiamento strutturale nel funzionamento dei chargeback.
Il limite: la tokenizzazione di rete non copre la fase di provisioning. Quando il PAN grezzo viene inviato per la prima volta al TPSP, tale trasmissione deve essere protetta e qualsiasi sistema che gestisca il PAN in quel momento rimane soggetto alla normativa PCI. L'obiettivo è ridurre al minimo tale esposizione: il PAN deve uscire dal vostro ambiente il più rapidamente possibile e non deve comparire in nessun altro punto della vostra infrastruttura.
La conformità PCI richiede comunque crittografia, controlli di accesso e segmentazione della rete. La tokenizzazione è un controllo efficace, ma non sostituisce l'intero programma.
I commercianti che gestiscono transazioni con carta scopriranno che la tokenizzazione di rete è passata da un aggiornamento opzionale a un'infrastruttura di base. Tassi di autorizzazione più elevati, minori frodi, gestione automatica del ciclo di vita delle carte e risparmi sulle commissioni di interscambio si traducono in vantaggi concreti a fronte di volumi di transazione significativi.
Per le aziende che desiderano abbandonare completamente i tradizionali circuiti di pagamento con carta, i gateway di pagamento in criptovalute come Plisio offrono un livello alternativo in cui queste problematiche non sussistono. I pagamenti nativi blockchain non memorizzano le credenziali della carta, non richiedono il provisioning del PAN (Permanent Account Number) e non coinvolgono l'emittente nel flusso della transazione: un modello di sicurezza fondamentalmente diverso per i commercianti che lo desiderano.
