Panoramica
La conferma di pagamento sicura (SPC) è uno standard web proposto che consente ai clienti di autenticarsi presso un emittente di carte di credito, una banca o un altro fornitore di servizi di pagamento utilizzando un'autenticazione della piattaforma, in genere attivata con la funzionalità di sblocco dello schermo del dispositivo, ad esempio un sensore di impronte digitali. In genere, questo accade durante un protocollo di autenticazione dei pagamenti come EMV 3-D Secure o Open Banking. EMV 3-D Secure, ad esempio, supporta lo SPC nella release della specifica v2.3. In precedenza abbiamo annunciato che SPC è stato lanciato per Google Chrome su macOS e Windows e abbiamo fornito guide per gli sviluppatori sia per la registrazione sia per l'autenticazione.
A partire dalla versione M109 (attualmente sul canale beta), SPC sarà disponibile anche su Google Chrome su Android. Gli utenti potranno utilizzare il blocco schermo del proprio dispositivo per completare la procedura di verifica del pagamento sui siti dei commercianti che utilizzano la funzionalità SPC.
Se ti interessa fare esperimenti con la funzionalità SPC, non esitare a provarla sul nostro sito web demo o a chiedere al tuo fornitore di servizi di pagamento se prevede di supportarla per l'autenticazione dei pagamenti degli utenti.
Autenticazione avanzata per i pagamenti
L'autenticazione svolge un ruolo importante nella prevenzione delle frodi nei pagamenti. Tuttavia, oggi l'autenticazione dei pagamenti utilizza spesso metodi di verifica deboli (ad esempio il codice CVC) o con problemi (ad esempio l'OTP via SMS). Questi metodi di autenticazione possono lasciare gli utenti vulnerabili alle frodi o causare l'abbandono del carrello a causa di problemi.
La verifica della piattaforma si basa su Web Authentication (WebAuthn) per offrire un'autenticazione forte alle transazioni di pagamento, utilizzando autenticatori della piattaforma integrati nei dispositivi degli utenti. La parte che esegue l'autenticazione (nota come parte attendibile in WebAuthn), ad esempio la banca emittente o un fornitore di servizi di pagamento, registra l'utente in una procedura una tantum sul proprio sito web o durante una transazione con autenticazione tradizionale. Potranno quindi utilizzare la registrazione per autenticare l'utente nei flussi di pagamento successivi.
Se la parte interessata è la stessa (ad esempio la stessa banca emittente), l'utente dovrebbe essere in grado di utilizzare una registrazione per tutti i pagamenti futuri con quella parte interessata su qualsiasi commerciante che integra la funzionalità SPC.
Modifiche all'API
Gli sviluppatori possono seguire la guida all'implementazione esistente scritta per l'integrazione su computer per scoprire come funziona l'API.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
La proprietà payment indica che si tratta di una credenziale SPC. Per scoprire come utilizzarlo, consulta la guida alla registrazione precedente.
Attualmente questo codice crea credenziali non rilevabili che funzionano per SPC. Una volta che le credenziali rilevabili saranno supportate dall'SPC per Google Chrome su Android, questo codice passerà automaticamente alla creazione di credenziali rilevabili.
Risorse
Scopri come implementare la conferma del pagamento sicuro