Panoramica
La conferma di pagamento sicura (SPC) è uno standard web proposto che consente ai clienti di autenticarsi presso un emittente di carte di credito, una banca o un altro fornitore di servizi di pagamento utilizzando un'autenticazione della piattaforma, in genere attivata con la funzionalità di sblocco dello schermo del dispositivo, ad esempio un sensore di impronte digitali. In genere, questo accade durante un protocollo di autenticazione dei pagamenti come EMV 3-D Secure o Open Banking. EMV 3-D Secure, ad esempio, supporta lo SPC nella release della specifica v2.3. In precedenza abbiamo annunciato che SPC è stato lanciato per Google Chrome su macOS e Windows e abbiamo fornito guide per gli sviluppatori sia per la registrazione sia per l'autenticazione.
A partire dalla versione M109 (attualmente sul canale Beta), SPC sarà disponibile anche su Google Chrome su Android. Gli utenti potranno utilizzare il blocco schermo del proprio dispositivo per completare la procedura di verifica del pagamento sui siti dei commercianti che utilizzano la funzionalità SPC.
Se ti interessa fare esperimenti con SPC, non esitare a farlo sul nostro sito web dimostrativo oppure chiedi al tuo fornitore di servizi di pagamento se prevede di supportarlo per l'autenticazione dei pagamenti degli utenti.
Autenticazione avanzata per i pagamenti
L'autenticazione svolge un ruolo importante nella prevenzione delle attività fraudolente relative ai pagamenti. Tuttavia, oggi l'autenticazione dei pagamenti utilizza spesso metodi di verifica deboli (ad esempio il codice CVC) o con problemi (ad esempio l'OTP via SMS). Questi metodi di autenticazione possono lasciare gli utenti vulnerabili alle frodi o causare l'abbandono del carrello a causa di problemi.
SPC si basa sull'autenticazione web (WebAuthn) per portare l'autenticazione avanzata alle transazioni di pagamento, utilizzando autenticatori di piattaforma integrati nei dispositivi degli utenti. La parte che esegue l'autenticazione (nota come parte attendibile in WebAuthn), ad esempio la banca emittente o un fornitore di servizi di pagamento, registra l'utente in una procedura una tantum sul proprio sito web o durante una transazione con autenticazione tradizionale. Potranno quindi utilizzare la registrazione per autenticare l'utente nei flussi di pagamento successivi.
Finché la parte coinvolta è la stessa (ad esempio la stessa banca emittente), l'utente deve essere in grado di utilizzare un'unica registrazione per tutti i pagamenti futuri presso la parte coinvolta in tutti i commercianti che integrano SPC.
Modifiche all'API
Gli sviluppatori possono seguire la guida all'implementazione esistente scritta per l'integrazione desktop per scoprire come funziona l'API.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
La proprietà payment indica che si tratta di una credenziale SPC. Per scoprire come utilizzarlo, consulta la guida alla registrazione precedente.
Attualmente questo codice crea credenziali non rilevabili che funzionano per SPC. Una volta che le credenziali rilevabili saranno supportate dall'SPC per Google Chrome su Android, questo codice passerà automaticamente alla creazione di credenziali rilevabili.
Risorse
Scopri come implementare la conferma del pagamento sicuro