In Svizzera la maggioranza dei terminali di pagamento accetta i pagamenti senza contatto.
Le carte di credito abilitate per le operazioni senza contatto rispettivamente gli smartphone/smartwatch/wearables provvisti di Apple Pay, Samsung Pay, Google Pay, SwatchPay! o di altre soluzioni di pagamento devono essere avvicinati solo brevemente al terminale. L’antenna nella carta (o nello smartphone/nello wearable) trasmette immediatamente i dati di pagamento tramite la tecnologia radio (NFC = Near Field Communication). Importi inferiori a CHF 80 possono essere così pagati in modo semplice e rapido senza l’inserimento di un codice PIN. Per importi a partire da CHF 80, in caso di impiego diretto della carta di credito, ma non in caso di utilizzo dello smartphone/smartwatch/wearable con identificazione biometrica, viene inoltre richiesto il codice PIN o la firma.
Il pagamento senza contatto è sicuro per il titolare della carta:
- per rendere possibile il pagamento senza contatto, l’industria delle carte ha sviluppato delle onerose tecnologie di cifratura. Ciascun pagamento è cifrato in maniera dinamica, ossia la carta genera per ciascun pagamento un crittogramma utilizzabile un’unica volta. Anche se questi dati venissero intercettati durante la trasmissione, non vi sarebbe alcun rischio per le altre transazioni.
- Nessuna trasmissione di dati personali (come ad es. nominativo del titolare della carta).
- Sono esclusi pagamenti involontari in caso di normale utilizzo della carta: per effettuare un pagamento, la carta deve essere tenuta a una distanza di pochi centimetri (meno di 4 centimetri) dal terminale. Nel contempo, il terminale deve essere attivato ossia, per permettere un addebito, il commerciante deve dare un ordine di pagamento al terminale. Qualora il terminale rilevi più di una carta, interrompe automaticamente l’operazione di pagamento, di modo che non possa avvenire alcun addebito di una carta che si trova casualmente nelle vicinanze di un terminale di pagamento.
- Nessun addebito doppio: anche se la carta viene avvicinata consecutivamente e in un breve lasso di tempo al terminale, è tecnicamente garantito che possa essere eseguita una sola transazione.
- La carta (o lo smartphone/lo smartwatch/lo wearable) resta in mano al titolare della carta durante tutta l’operazione di pagamento.
- Un tentativo di rilevazione dei dati di una carta di credito senza contatto (in questo contesto viene spesso utilizzata l’immagine ipotetica di una persona che agisce nella folla con un lettore delle carte) è in pratica difficilmente realizzabile, ampiamente inutile e privo di rischi finanziari per il titolare della carta: da una carta senza contatto di ultima generazione possono essere rilevati unicamente il numero della carta e la data di scadenza. Una transazione a carico del titolare della carta unicamente con numero della carta e data di scadenza può essere effettuata al massimo in alcuni shop online che rinunciano volontariamente agli standard di sicurezza vigenti per i pagamenti in Internet. È importante che in tali casi il titolare della carta, se rispetta i propri obblighi di diligenza, sia sempre indennizzato dall’emittente della propria carta di credito. Le carte abilitate alle operazioni senza contatto non comportano dunque alcun rischio di danno elevato per il titolare della carta. Infine, in merito al tentativo illustrato si deve anche considerare che per i truffatori sarebbe molto difficile ottenere un lettore di carte funzionante che possa consentire una transazione effettiva su di un conto fraudolento. Tali apparecchi sono disponibili solo presso gli acquirer e sono attivati solo dopo aver verificato la legittimità di un commerciante.
Una nuova dimensione per il pagamento senza contatto grazie alla virtualizzazione della carta di credito sullo smartphone (ad es. via Apple Pay o Samsung Pay) o un altro dispositivo mobile, ad esempio uno smartwatch:
- i dati della carta necessari per il pagamento con il dispositivo mobile sono anche qui protetti tramite la più moderna tecnologia di cifratura. Il numero della carta viene sostituito da un numero alternativo (token) e salvato nel dispositivo mobile.
- Il numero effettivo della carta non si trova nell’apparecchio, né viene salvato presso il provider della soluzione (ad es. Apple o Samsung).
- Ciascun token viene realizzato solo per uno specifico dispositivo mobile e non può essere utilizzato su nessun altro dispositivo, ciò che contrasta fortemente un utilizzo fraudolento.
- Per il pagamento senza contatto viene utilizzata l’antenna nel dispositivo mobile. Il dispositivo avvicinato al terminale di pagamento e i dati di pagamento sono trasmessi in maniera cifrata al terminale mediante la tecnologia NFC.
- Il titolare della carta può autenticare un pagamento tramite i dati biometrici, in particolare tramite la propria impronta digitale. In tal modo il pagamento senza contatto è possibile anche per importi superiori a CHF 80 in tutto il mondo senza inserimento del codice PIN ovvero senza firma. Un’autenticazione tramite il codice PIN rimane comunque possibile.
