October 18, 2021

PAPERS

A volte la vita ti colpirà alla testa con un mattone

Quanto può arrivare il limite della carta contactless senza l’autenticazione a due fattori?

I cittadini britannici potranno effettuare pagamenti fino a £ 100 utilizzando una carta contactless dal prossimo mese, ma la somma a tre cifre ha sollevato qualche perplessità.

L’aumento, annunciato per la prima volta a marzo, il nuovo limite entrerà in vigore il 15 ottobre.

La tecnologia di pagamento contactless è stata introdotta nel 2007 con un limite di spesa di £ 10. Tale limite è aumentato gradualmente a £ 30 entro il 2020, ma ha visto aumenti significativi durante la pandemia di Covid-19. È stato aumentato a £ 45 ad aprile dello scorso anno e ora, poco più di 12 mesi dopo, è più che raddoppiato.

Quando la pandemia ha preso piede, alle persone è stato detto di limitare il contatto fisico, inclusa la riduzione dell’uso di denaro contante. La tecnologia di pagamento contactless, come suggerisce il nome, era un sostituto ideale per contanti perché, a differenza delle app di pagamento tramite cellulare, la maggior parte delle persone utilizzava già le carte di pagamento.

I dati lo confermano. In seguito alla decisione di aumentare il limite dei pagamenti contactless a 45 sterline, il valore medio dei pagamenti contactless è aumentato del 29% nel 2020 a 12,38 sterline, rispetto alle 9,60 sterline del 2019, secondo i dati di Barclaycard. Anche la società della carta ha scoperto che L’88,6% del totale dei pagamenti con carta del Regno Unito nel 2020 è stato contactless.

Dopo l’annuncio dell’aumento di ottobre al limite di spesa a tre cifre, Rishi Sunak, cancelliere dello scacchiere, ha dichiarato: “[This] renderà più facile che mai pagare in modo sicuro e protetto, che sia nei negozi locali o nel tuo pub e ristorante preferito.”

Tuttavia, sebbene l’aumento sia stato ampiamente accolto, ha anche sollevato alcune sopracciglia.

Una questione di autenticazione

Il possesso di una carta contactless è tutto ciò che è necessario per effettuare un pagamento, senza necessità di autenticazione per collegare l’utente alla carta, sebbene, dopo aver effettuato alcuni pagamenti, all’utente della carta verrà richiesto di inserire un PIN.

I metodi di pagamento come Apple Pay, che non hanno limiti di spesa, richiedono la presenza del telefono associato a un conto in banca oltre che un’impronta digitale o un Face ID.

Questo fa sorgere la domanda: quanto può arrivare il limite della carta contactless prima che sia richiesta un’ulteriore autenticazione?

David Bannister, analista capo presso Bloor Research, ha affermato che l’aumento era ampiamente previsto, ma che “alcune persone erano caute nell’andare a £ 100 in una volta sola, più del doppio del limite attuale”.

“Una soglia di 100 sterline sembrava impensabile quando sono stati introdotti i pagamenti contactless, ma da allora l’industria dei pagamenti e il modo in cui gestisce il rischio si sono evoluti e i limiti contactless sono aumentati di conseguenza”

Zilvinas Bareisis, Celent

Ha detto che le persone erano diffidenti anche nei confronti dei £ 10 da cui è iniziato, e che sarebbero ancora diffidenti, “ma l’accettazione è ancora in aumento, quindi la fiducia non è un problema ovvio”.

Ma ha aggiunto che alcuni rivenditori più piccoli potrebbero essere più cauti e scegliere di impostare un limite inferiore. “Una volta era il caso dei negozi che stabilivano il proprio limite di pavimento per le carte di credito”, ha detto.

Bannister ha affermato di aspettarsi che sarebbe necessaria un’autenticazione a due fattori (2FA) di qualche tipo per aumentare notevolmente il limite.

L’analista di Celent Zilvinas Bareisis è d’accordo. “Per le transazioni superiori a £ 100, poche persone si lamenteranno se viene chiesto loro di inserire un codice PIN”, ha affermato. “Penso che la mossa per consentire un limite più alto sia sensata”.

Ha affermato che l’accettazione dei pagamenti contactless è aumentata rapidamente. “Una soglia di 100 sterline sembrava impensabile quando sono stati introdotti i pagamenti contactless, ma da allora il settore dei pagamenti e il modo in cui gestisce il rischio si sono evoluti e i limiti contactless sono aumentati di conseguenza”, ha aggiunto Bareisis.

Ha detto che mentre, in teoria, non c’era limite a quanto in alto poteva andare, con alcuni paesi che non fissavano limiti, la sfida era che mentre è possibile verificare che la carta sia autentica, senza la verifica del titolare della carta non è possibile sapere se la carta è nelle mani giuste. “Più alto è il limite, più attraente è la carta per ladri e criminali”.

La biometria potrebbe essere la risposta

Bareisis ha affermato che sarebbe interessante vedere come i consumatori reagiscono ai nuovi limiti. “Se sollevano preoccupazioni per l’aumento dei rischi, le banche potrebbero essere più interessate a indagando sulle carte biometriche.”

Le transazioni contactless effettuate tramite app per smartphone come Apple Pay beneficiano di metodi di autenticazione del titolare della carta basati sul dispositivo e non hanno già lo stesso limite delle carte di plastica, purché il commerciante possa gestire la transazione. Una possibile soluzione è costruire meccanismi di verifica del titolare della carta, come la biometria, nelle carte stesse: la tecnologia è disponibile, ma il problema principale è il costo aggiuntivo.

L’analista di Aite-Novarica Ron van Wezel ha affermato che aumentare il limite a £ 100 renderebbe le carte contactless più attraenti per i truffatori, ma ha aggiunto che non è un crimine semplice da commettere. “Il criminale avrebbe bisogno di rubare la carta in quanto non è possibile falsificare/copiare una carta EMV”, ha detto.

Van Wezel ha aggiunto che anche i fornitori di carte dispongono di sistemi automatizzati per proteggere i clienti. “I sistemi antifrode dell’emittente filtreranno in una certa misura le transazioni fraudolente e bloccheranno la carta quando viene segnalata come smarrita o rubata. Quindi il rischio per l’emittente è limitato”, ha affermato.

Ha aggiunto che i consumatori sono stati protetti poiché la maggior parte delle banche opera nell’ambito di un accordo volontario in cui i titolari di carta non sono responsabili di frodi, a condizione che non abbiano agito con negligenza.

Secondo i dati più recenti dell’ente commerciale UK Finance, frode solo contactless equivale a 2,5 centesimi per ogni 100 sterline di spesa.