--- url: 'https://www.corbado.com/it/blog/mastercard-passkeys' title: 'Passkey Mastercard: il Servizio Payment Passkey di Mastercard' description: 'Le Payment Passkey di Mastercard e il sottostante Servizio di Autenticazione tramite Token migliorano la sicurezza dei pagamenti con un accesso senza password, offrendo una UX fluida e sicura.' lang: 'it' author: 'Vincent Delitz' date: '2025-07-15T13:23:15.594Z' lastModified: '2026-03-25T10:05:49.923Z' keywords: 'mastercard, servizio payment passkey mastercard, passkey mastercard' category: 'Passkeys Reviews' --- # Passkey Mastercard: il Servizio Payment Passkey di Mastercard ## 1. Introduzione: le Passkey di Mastercard Negli ultimi anni, il settore finanziario ha mostrato un crescente interesse nel migliorare la [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) e l'esperienza utente con metodi di [autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) innovativi. Le passkey stanno emergendo come una soluzione sempre più convincente e preferita da banche (ad esempio, [Revolut](https://www.corbado.com/blog/revolut-passkeys)), [fintech](https://www.corbado.com/it/blog/passkey-finom-sicurezza-bancaria) (ad esempio, [Finom](https://www.corbado.com/blog/finom-passkeys)) e fornitori di servizi di pagamento (ad esempio, [PayPal](https://www.corbado.com/blog/paypal-passkeys)). I nostri ultimi articoli hanno analizzato a fondo le implicazioni di questo cambiamento tecnologico, in particolare nel contesto della [PSD2](https://www.corbado.com/blog/psd2-passkeys) / **Autenticazione Forte del Cliente (SCA)**: - Passkey associate al dispositivo e sincronizzate - Analisi dei requisiti [PSD2](https://www.corbado.com/blog/psd2-passkeys) e SDA - Cosa significano i requisiti [SCA](https://www.corbado.com/it/blog/psd2-passkey) per le passkey - Implicazioni di [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) / [PSR](https://www.corbado.com/blog/psd3-psr-passkeys) per le passkey - [Collegamento dinamico](https://www.corbado.com/it/blog/collegamento-dinamico-passkey-spc) Continuando la nostra analisi del mondo dell'[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) sicura, Mastercard ha introdotto un nuovo servizio per le passkey: **Mastercard Payment Passkeys**. Questo servizio, noto anche con il nome del suo framework tecnico, **Mastercard Token Authentication Service (TAS)**, rappresenta una mossa strategica per sostituire i metodi di [autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) obsoleti con un approccio sicuro, fluido e intuitivo che sfrutta la [biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking) (ad esempio, [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID). Il servizio mira a semplificare il processo di checkout online, coniugando [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) e praticità per milioni di acquirenti in tutto il mondo. La doppia denominazione sembra una scelta strategica. **Payment Passkeys** comunica chiaramente ai consumatori e agli esercenti il vantaggio di un accesso biometrico semplificato, mentre **Token Authentication Service** si rivolge agli sviluppatori e ai partner che integrano il sistema, richiamando i dettagli tecnici dell'implementazione. [Watch on YouTube](https://www.youtube.com/watch?v=2SWPK7C24Fc) Questo articolo analizza l'approccio di Mastercard, esplorando la tecnologia, l'esperienza utente, i vantaggi e le implicazioni per il settore delle [Payment](https://www.corbado.com/passkeys-for-payment) Passkey. ## 2. L'ascesa delle passkey nei servizi finanziari L'integrazione delle passkey nel settore dei [servizi finanziari](https://www.corbado.com/passkeys-for-banking) segna una svolta verso un'autenticazione più sicura e intuitiva. ### 2.1 I consumatori odiano le password La forza trainante di questo cambiamento sono le aspettative dei consumatori. Come Mastercard ha rivelato in precedenti dichiarazioni, i consumatori odiano le password: - **7 consumatori su 10 si sentono sopraffatti** dal numero di password che devono gestire - Oltre l'**80% delle violazioni di dati confermate è stato causato dalle password**. Mastercard ha riconosciuto che qualsiasi segreto condiviso, incluse le OTP, sta diventando un bersaglio per i criminali informatici. Ecco perché Mastercard vuole sostituire la password con fattori legati alla persona. Le passkey, sfruttando la [biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking) del dispositivo (ad esempio, [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID), rispondono efficacemente a questa esigenza. ### 2.2 Le password sono un rischio per la sicurezza Inoltre, le passkey eliminano i tradizionali punti deboli della [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) associati alle password, come i rischi di [phishing](https://www.corbado.com/glossary/phishing). Sostituendo le password con chiavi crittografiche semplici da usare ma difficili da sfruttare, le passkey offrono una soluzione convincente per le istituzioni finanziarie che mirano sia a migliorare la sicurezza sia a semplificare le interazioni con gli utenti. ### 2.3 Requisiti normativi per le Payment Passkey Il modello di sicurezza delle passkey si allinea ai rigidi requisiti delle normative finanziarie come l'**Autenticazione Forte del Cliente (SCA)** prevista dalla [PSD2](https://www.corbado.com/blog/psd2-passkeys). La [SCA](https://www.corbado.com/it/blog/psd2-passkey) impone un'autenticazione a più fattori per la maggior parte dei [pagamenti](https://www.corbado.com/it/blog/credenziali-digitali-pagamenti-apple-vs-google-wallet) elettronici e degli accessi ai conti, richiedendo la convalida tramite almeno due elementi indipendenti appartenenti a tre categorie: - Conoscenza (qualcosa che l'utente sa) - Possesso (qualcosa che l'utente possiede) - Inerenza (qualcosa che l'utente è) Le passkey soddisfano naturalmente questi requisiti: la chiave privata sicura memorizzata sul dispositivo rappresenta il fattore di "Possesso", mentre i dati biometrici usati per sbloccarla rappresentano il fattore di "Inerenza". Se si utilizza un PIN del dispositivo, questo può soddisfare il fattore di "Conoscenza". Tuttavia, nel settore è in corso un dibattito sulla necessità che le passkey sincronizzate forniscano ulteriori garanzie riguardo all'associazione al dispositivo. Inoltre, le normative sui [pagamenti](https://www.corbado.com/it/blog/credenziali-digitali-pagamenti-apple-vs-google-wallet) spesso richiedono il [collegamento dinamico](https://www.corbado.com/it/blog/collegamento-dinamico-passkey-spc), che assicura che il processo di autenticazione leghi crittograficamente l'importo specifico della transazione e il beneficiario all'approvazione dell'utente. Le implementazioni delle passkey, in particolare se integrate con protocolli come EMV 3DS o utilizzando estensioni come la [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC), sono progettate per incorporare questi dettagli della transazione nella firma crittografica, soddisfacendo questo requisito fondamentale. > Se ti interessano i dettagli tecnici delle passkey nei > [pagamenti](https://www.corbado.com/it/blog/credenziali-digitali-pagamenti-apple-vs-google-wallet), ad esempio > come utilizzare gli [iframe](https://www.corbado.com/blog/iframe-passkeys-webauthn) come > [fornitore di servizi di pagamento](https://www.corbado.com/it/blog/passkey-fornitori-pagamento-sdk-terze-parti), > leggi questo articolo su passkey e [iframe](https://www.corbado.com/blog/iframe-passkeys-webauthn). ## 3. Il percorso di Mastercard verso le passkey L'introduzione delle [Payment](https://www.corbado.com/passkeys-for-payment) Passkey da parte di Mastercard non è un evento isolato, ma il culmine di un impegno strategico a lungo termine per far progredire la sicurezza dei pagamenti e adottare standard di [autenticazione senza password](https://www.corbado.com/it/glossary/ctap). ### 3.1 Mastercard tra i primi membri della FIDO Alliance Mastercard è uno dei primi membri della [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), la forza trainante dietro le passkey e WebAuthn, a cui ha aderito già nel 2012. ### 3.2 Servizio di Autenticazione Biometrica di Mastercard In passato, Mastercard aveva già lanciato il **Servizio di Autenticazione Biometrica di Mastercard**, un primo passo nella direzione delle passkey. Questo servizio era già stato progettato per aderire agli standard FIDO. ### 3.3 Mastercard e la Secure Payment Confirmation (SPC) Nel settembre 2023, Mastercard ha fornito un aggiornamento sulle passkey e sulla [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC). In quell'occasione, Mastercard ha condiviso la sua visione sui potenziali processi per le **passkey standard rispetto alle passkey SPC**. I mockup erano già molto dettagliati (come vedrai di seguito). ### 3.4 Lancio del Servizio Payment Passkey di Mastercard in India ad agosto 2024 Ad agosto 2024, Mastercard ha [lanciato il suo Servizio Payment Passkey in India](https://newsroom.mastercard.com/news/press/2024/august/mastercard-selects-india-for-the-global-launch-of-its-payment-passkey-service-accelerating-secure-online-checkout-for-millions-of-shoppers/), un mercato caratterizzato da un elevato volume di pagamenti digitali e da una significativa adozione del mobile. Questo lancio iniziale è probabilmente servito come un banco di prova su larga scala per la scalabilità e l'efficacia del servizio, in particolare in un ambiente in cui le frodi basate su OTP sono un problema noto. ### 3.5 Espansione nelle regioni APAC, America Latina e MEA Dopo il lancio in India, Mastercard ha esteso il servizio ad altre regioni chiave, tra cui l'[Asia-Pacifico](https://newsroom.mastercard.com/news/ap/en/newsroom/press-releases/en/2024/mastercard-goes-otp-free-in-apac-for-faster-safer-online-transactions/) (inizialmente Singapore), l'[America Latina](https://www.biometricupdate.com/202412/mastercard-brings-payment-passkey-service-to-latin-america) (a partire dal Brasile) e il Medio Oriente e Africa (MEA), iniziando dagli Emirati Arabi Uniti. Questo approccio regione per regione consente a Mastercard di adattare l'implementazione e le partnership alle dinamiche del mercato locale e ai quadri normativi. Un elemento cruciale di questa strategia è l'enfasi sulle partnership. In ogni regione di lancio, Mastercard ha collaborato strettamente con attori locali chiave, inclusi aggregatori di pagamento: - Aggregatori di pagamento: - India: Juspay, Razorpay o PayU - America Latina: Yuno - MEA: noon Payments, Tap Payments - Esercenti online: - India: bigbasket - America Latina: Sympla - Banche leader: (come - India: Axis Bank - Singapore: DBS o UOB Queste partnership sono essenziali per integrare il servizio [Payment](https://www.corbado.com/passkeys-for-payment) Passkey negli ecosistemi di pagamento esistenti, gestire le normative locali e raggiungere un'ampia base di consumatori. Ciò dimostra un modello flessibile e collaborativo piuttosto che un approccio top-down e universale. ### 3.6 Mastercard lancia l'autenticazione con passkey in Europa a giugno 2025 A giugno 2025, Mastercard ha compiuto progressi significativi nella sua strategia di checkout sicuro in tutta Europa. L'azienda ha raggiunto risultati notevoli, spinti principalmente dalla diffusa adozione della tokenizzazione, con quasi il [50% delle transazioni e-commerce europee](https://mobileidworld.com/mastercard-launches-passkey-authentication-in-europe-achieves-50-e-commerce-adoption/) che ora utilizzano questa tecnologia. La tokenizzazione sostituisce i numeri sensibili delle carte di pagamento con [token digitali](https://www.corbado.com/it/blog/singapore-passkey-banche) sicuri, riducendo l'esposizione dei dati di pagamento dei clienti e migliorando notevolmente la sicurezza. Contemporaneamente, Mastercard ha iniziato a implementare le payment passkey con importanti partnership iniziali, tra cui Dintero, Netopia e Solidgate. Sebbene le payment passkey siano ancora in una fase iniziale rispetto alla tokenizzazione, la loro introduzione si allinea alla visione più ampia di Mastercard di un [e-commerce](https://www.corbado.com/passkeys-for-e-commerce) senza password e senza attriti. **Principali risultati in Europa:** - **Adozione della tokenizzazione:** quasi la metà dell'[e-commerce](https://www.corbado.com/passkeys-for-e-commerce) europeo è ora protetto tramite tokenizzazione. - **Ampia copertura:** - Tokenizzazione implementata in 45 paesi europei. - Click to Pay (checkout senza password) attivo in 26 mercati, con iscrizioni raddoppiate in un anno. - **Implementazione iniziale delle passkey:** Payment passkey lanciate con alcuni fornitori di servizi di pagamento europei. > "A un anno dall'inizio del nostro percorso verso il 100% di tokenizzazione e > autenticazione, l'Europa sta guadagnando un forte slancio. Il nostro obiettivo finale > rimane chiaro: un'esperienza di checkout fluida, sicura e senza password in ogni mercato > europeo entro il 2030." – Brice van de Walle, EVP di Mastercard Questi sviluppi evidenziano la strategia a doppio binario di Mastercard: una solida espansione della tokenizzazione oggi, completata da un'adozione strategica e lungimirante delle payment passkey. ## 4. Come funzionano le Payment Passkey di Mastercard: un'analisi tecnica approfondita Le Payment Passkey di Mastercard sono abilitate dal **Servizio di Autenticazione tramite Token di Mastercard (TAS)**. TAS è l'[infrastruttura](https://www.corbado.com/passkeys-for-critical-infrastructure) sottostante che consente a esercenti e portafogli digitali di offrire ai consumatori la possibilità di autenticare le loro transazioni online utilizzando la [biometria](https://www.corbado.com/it/blog/biometria-consapevolezza-pagatore-dynamic-linking) collegata alla loro passkey Mastercard, sostituendo le tradizionali password o OTP. Questo servizio non opera in isolamento. È profondamente integrato con altre tecnologie chiave di Mastercard, in particolare la tokenizzazione e potenzialmente il framework EMV 3DS, il tutto nel rispetto degli standard globali. ### 4.1 Integrazione con il Servizio di Tokenizzazione di Mastercard Un aspetto essenziale del servizio è la sua integrazione con il Servizio di Tokenizzazione di Mastercard, spesso chiamato MDES (Mastercard Digital Enablement Service). La tokenizzazione è una misura di sicurezza critica che sostituisce il Primary Account Number (PAN) a 16 cifre del consumatore con un identificatore digitale unico o "token". Questo token è specifico per un particolare dispositivo, esercente o contesto di transazione. Quando avviene una transazione, viene trasmesso solo il token, il che significa che l'esercente non deve mai archiviare o gestire il [PAN](https://www.corbado.com/glossary/pan) reale, riducendo significativamente il rischio associato alle violazioni dei dati. Le Payment Passkey di Mastercard fungono quindi da meccanismo per autenticare l'intenzione dell'utente legittimo di utilizzare questa credenziale tokenizzata per una transazione specifica. ### 4.2 I dati biometrici non vengono mai condivisi con Mastercard o gli esercenti L'autenticazione stessa sfrutta la passkey memorizzata sul dispositivo dell'utente, sbloccata tramite la [biometria del dispositivo](https://www.corbado.com/it/blog/passkey-biometria-locale) (impronta digitale, scansione del volto) o il PIN/codice di accesso del dispositivo. È fondamentale capire che i dati biometrici utilizzati per sbloccare la passkey rimangono al sicuro sul dispositivo dell'utente e non vengono mai condivisi con Mastercard, l'esercente o terze parti. Il meccanismo della passkey conferma semplicemente il successo dell'autenticazione locale (ad esempio, Face ID, Touch ID) prima di consentire al processo di firma crittografica di procedere. ### 4.3 Payment Passkey di Mastercard e EMV 3DS Sebbene i dettagli specifici dell'implementazione varino, le Payment Passkey operano probabilmente all'interno o a fianco del framework **EMV 3-D Secure (3DS)**, lo standard di settore per la protezione delle transazioni **card-not-present (CNP)**. EMV 3DS facilita lo scambio di dati di transazione dettagliati tra l'esercente e l'emittente della carta, consentendo all'emittente di eseguire valutazioni del rischio. Se la transazione è considerata ad alto rischio, l'emittente può "sfidare" l'utente a eseguire un'autenticazione aggiuntiva (SCA). Le Payment Passkey di Mastercard forniscono un metodo sicuro e potenzialmente molto più fluido per soddisfare questa sfida [SCA](https://www.corbado.com/it/blog/psd2-passkey) rispetto ai metodi tradizionali come le OTP. I servizi correlati di Mastercard, come Identity Check Express e la [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys) per gli esercenti, sfruttano esplicitamente le funzionalità FIDO / WebAuthn all'interno del flusso EMV 3DS, consentendo agli esercenti (con il permesso dell'emittente) di eseguire l'autenticazione per conto dell'emittente utilizzando questi metodi moderni. La sinergia tra passkey e tokenizzazione crea un'architettura di sicurezza a più livelli. Le passkey proteggono la fase di autenticazione dell'utente, impedendo a persone non autorizzate di avviare transazioni. La tokenizzazione protegge la credenziale di pagamento sottostante, minimizzando il valore di qualsiasi dato potenzialmente esposto in caso di violazioni. Questo approccio combinato affronta le frodi da più angolazioni, rendendo l'intero processo di transazione significativamente più resiliente. Inoltre, integrare l'autenticazione con passkey nell'affermata [infrastruttura](https://www.corbado.com/passkeys-for-critical-infrastructure) EMV 3DS è un approccio pragmatico che ne facilita l'adozione. Consente a emittenti e [acquirer](https://www.corbado.com/glossary/acquirer) di migliorare la sicurezza e l'esperienza utente sfruttando i loro investimenti esistenti nella tecnologia 3DS, invece di richiedere l'implementazione di sistemi di autenticazione completamente separati. > **EMV 3DS (3-Domain Secure)** con autenticazione dell'emittente è un protocollo di > sicurezza progettato per aumentare la sicurezza dei > [pagamenti online](https://www.corbado.com/it/blog/passkey-visa) con carta. Prevede un passaggio aggiuntivo in > cui l'emittente della carta (ad esempio, Mastercard, [Visa](https://www.corbado.com/blog/visa-passkeys), > American Express) verifica l'identità del titolare, spesso tramite metodi come una > password, una scansione biometrica o una OTP inviata al suo telefono cellulare. Questo > processo aiuta a ridurre le frodi e aumenta la sicurezza delle transazioni, garantendo > che sia il vero titolare della carta ad autorizzare l'acquisto. ## 5. Semplificare il checkout: l'esperienza utente con le passkey di Mastercard Un obiettivo primario delle Payment Passkey di Mastercard è rivoluzionare l'esperienza di checkout online, rendendola più veloce, semplice e sicura eliminando l'attrito associato a password e OTP. Il percorso dell'utente comprende sia la creazione iniziale della passkey sia il suo uso successivo per autenticare i pagamenti. ### 5.1 Esempio: creazione della passkey durante il checkout Agli utenti può essere richiesto di creare una Payment Passkey di Mastercard in diversi momenti della loro interazione con i servizi Mastercard. Gli scenari comuni includono: - **Durante il checkout:** Spesso, l'opzione di [creare una passkey](https://www.corbado.com/it/blog/migliori-pratiche-creazione-passkey) viene presentata dopo che un utente ha completato con successo un passaggio di autenticazione tradizionale per una transazione, come una sfida EMV 3DS che prevede una OTP o un altro metodo. Questo onboarding contestuale sfrutta l'esperienza immediata dell'utente con metodi potenzialmente più macchinosi per evidenziare il vantaggio di un checkout futuro più fluido. - **All'interno delle applicazioni dell'emittente:** Le banche che emettono Mastercard possono integrare il flusso di creazione della passkey direttamente nelle loro app di [mobile banking](https://www.corbado.com/passkeys-for-banking), consentendo agli utenti di collegare proattivamente una passkey alla loro carta. - **Durante l'aggiunta di una carta:** L'opzione potrebbe anche essere presentata quando un utente aggiunge la sua Mastercard a un [portafoglio digitale](https://www.corbado.com/it/blog/garanzia-portafogli-digitali) o la salva come Card-on-File (CoF) presso un esercente o un servizio come Click to Pay. Analizziamo brevemente l'esempio di creazione della passkey durante il checkout. Dopo aver cliccato sul pulsante "Paga", l'utente viene reindirizzato dal negozio di esempio (`https://decorshop.com`) a una pagina web ospitata da Mastercard (`https://verify.mastercard.com`). Questo sito fa parte del processo di autenticazione EMV 3DS. Una volta completato con successo questo processo, l'utente ha la possibilità di creare una passkey. Da notare che questa passkey verrà creata per il [Relying Party](https://www.corbado.com/glossary/relying-party) ID di Mastercard (ad esempio, `verify.mastercard.com` o `mastercard.com`). Quindi, la passkey non viene registrata presso l'esercente a cui l'utente vuole trasferire il denaro. Ciò consente di utilizzare la stessa passkey presso qualsiasi esercente che adotti il servizio Payment Passkey di Mastercard, e non solo per questo specifico esercente. ![Registrazione delle Passkey Mastercard durante il Checkout](https://www.corbado.com/website-assets/mastercard_passkeys_registration_after_authentication_1_25207ee37b.png) _Tratto da [https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf](https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf)_ Dopo aver deciso di [creare una passkey](https://www.corbado.com/it/blog/migliori-pratiche-creazione-passkey), viene eseguita l'autenticazione locale (in questo caso, uno smartphone [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) che ha memorizzato la passkey in [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)). Al termine della creazione della passkey, l'utente viene reindirizzato dal sito di Mastercard al negozio. ![Registrazione delle Passkey Mastercard completata dopo l'autenticazione](https://www.corbado.com/website-assets/mastercard_passkeys_registration_after_authentication_2_aaff36e0e8.png) _Tratto da [https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf](https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf)_ ### 5.2 Esempio: accesso con passkey durante il checkout Una volta che un utente ha una Payment Passkey di Mastercard associata alla sua credenziale di carta, il processo di checkout presso gli esercenti partecipanti diventa notevolmente più snello: 1. **Selezione della carta:** L'utente avvia il checkout e seleziona la sua Mastercard. Potrebbe trattarsi di una carta memorizzata in modo sicuro tramite il servizio **Click to Pay** di Mastercard, salvata direttamente presso l'esercente (**Secure Card on File - SCOF**) o persino inserita durante un flusso di checkout come ospite. 2. **Richiesta di autenticazione:** Invece di richiedere una password, un CVV o una OTP, all'utente viene chiesto di autenticarsi utilizzando la sua Payment Passkey di Mastercard. Il flusso esatto può variare: - **Flusso con passkey standard:** L'utente potrebbe sperimentare un breve e fluido reindirizzamento a un dominio controllato da Mastercard (ad esempio, `verify.mastercard.com`). Qui, appare la richiesta WebAuthn standard, che chiede all'utente di confermare la transazione utilizzando il sensore biometrico o il PIN del proprio dispositivo. Dopo un'autenticazione locale riuscita, viene reindirizzato al sito dell'esercente per completare l'acquisto. Questo flusso avviene in un contesto di prima parte, in cui l'utente si autentica direttamente con Mastercard. - **Flusso con Secure Payment Confirmation (SPC) (Potenziale):** Un flusso alternativo, potenzialmente più fluido, coinvolge la [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc). In questo scenario, l'utente rimane sul sito web dell'esercente. Appare un pop-up nativo del browser, che mostra i dettagli chiave della transazione (nome dell'esercente, importo, informazioni parziali della carta) e richiede direttamente l'autenticazione con passkey. Ciò elimina completamente il reindirizzamento e fornisce un forte [collegamento dinamico](https://www.corbado.com/it/blog/collegamento-dinamico-passkey-spc) incorporando i dettagli della transazione nella richiesta di autenticazione. Si noti che le passkey [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) sono ancora in fase concettuale e non è stato deciso se raggiungeranno mai la disponibilità generale (principalmente a causa del mancato via libera da parte di Apple). Questo flusso opererebbe in un contesto di terza parte, in cui l'esercente invoca l'autenticazione per la passkey di Mastercard, probabilmente utilizzando credenziali condivise tramite EMV 3DS. ![Autenticazione con Passkey Mastercard durante il Checkout](https://www.corbado.com/website-assets/mastercard_passkeys_authentication_during_checkout_3073ff1c16.png) _Tratto da [https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf](https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf)_ ### 5.3 Integrazione con Click to Pay La sinergia tra **Payment Passkeys di Mastercard** e **Click to Pay** è particolarmente degna di nota. Click to Pay offre ai consumatori un modo standardizzato e sicuro per memorizzare i dettagli della loro carta tokenizzata per un checkout online più semplice presso gli esercenti partecipanti. Le Payment Passkey fungono da moderno livello di autenticazione biometrica per accedere e utilizzare queste credenziali Click to Pay memorizzate. Questa combinazione è la chiave per ottenere una vera esperienza di checkout "con un clic", eliminando sia l'inserimento manuale della carta sia le sfide con password/OTP. Il primo lancio globale di un servizio integrato Click to Pay con Payment Passkey da parte di Mastercard e Tap Payments sottolinea questa direzione strategica. Ciò sfrutta l'[infrastruttura](https://www.corbado.com/passkeys-for-critical-infrastructure) e la rete di esercenti esistenti di Click to Pay, fornendo un potente meccanismo di scalabilità per l'adozione delle Payment Passkey. La tabella seguente riassume le caratteristiche principali dei potenziali flussi di autenticazione: | **Caratteristica** | **Flusso con passkey standard** | **Flusso con passkey SPC** | | ------------------------------ | -------------------------------------------- | ---------------------------------------------------------- | | **Posizione dell'utente** | Breve reindirizzamento al dominio Mastercard | Rimane sul dominio dell'esercente | | **Contesto di autenticazione** | Prima parte (utente si autentica con MC) | Terza parte (esercente invoca auth per MC) | | **Esperienza utente** | Reindirizzamento fluido, richiesta WebAuthn | Nessun reindirizzamento, pop-up del browser con dettagli | | **Collegamento dinamico** | Ottenuto tramite scambio di dati EMV 3DS | Integrato nella richiesta/firma SPC | | **Stato attuale** | Ampiamente applicabile tramite WebAuthn | Supporto del browser potenzialmente limitato/in evoluzione | ## 6. Vantaggi delle passkey di Mastercard per esercenti e consumatori Per gli esercenti, adottare il Servizio Payment Passkey / Servizio di Autenticazione tramite Token di Mastercard significa: - **Riduzione di frodi e chargeback**: questo è probabilmente il vantaggio più significativo. Legando l'autenticazione direttamente alla biometria unica dell'utente o al PIN del dispositivo tramite passkey resistenti al [phishing](https://www.corbado.com/glossary/phishing), il rischio di transazioni non autorizzate crolla. L'uso sottostante della tokenizzazione protegge ulteriormente i dati della carta. Questa autenticazione più forte può anche portare a trasferimenti di responsabilità per alcuni tipi di frode, in modo simile ai vantaggi visti con l'adozione di EMV 3DS. Casi di studio, come quello che coinvolge noon Payments, riportano esplicitamente una diminuzione dell'incidenza delle frodi dopo l'implementazione di Payment Passkey e Click to Pay. - **Aumento dei tassi di approvazione e conversione**: l'attrito durante il checkout è una delle principali cause di abbandono del carrello. Eliminare la necessità di ricordare password o inserire OTP fluidifica il flusso di pagamento, portando a tassi di completamento più elevati. Inoltre, il forte segnale di autenticazione fornito dalle passkey dà alle banche emittenti maggiore fiducia nell'approvare le transazioni, riducendo la probabilità di costosi rifiuti errati. Tassi di approvazione più alti si traducono direttamente in un aumento delle vendite e dei ricavi. Partner come Yuno hanno notato che le passkey portano a tassi di conversione più elevati. - **Miglioramento dell'esperienza cliente e dell'immagine del brand**: offrire un processo di checkout all'avanguardia, sicuro e senza sforzo migliora la soddisfazione del cliente e costruisce la fiducia nel brand dell'esercente. Fornire un modo di pagare dimostrabilmente più sicuro può essere un elemento di differenziazione competitiva. Per i consumatori, questo servizio consente: - **Checkout fluido e più veloce**: il vantaggio più immediato è l'eliminazione delle seccature. Gli utenti non devono più ricordare password complesse o attendere e inserire manualmente le OTP. L'autenticazione avviene rapidamente utilizzando la stessa biometria familiare (ad esempio, [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID) usata per sbloccare il telefono. La natura "registrati una volta, usa ovunque" presso gli esercenti partecipanti aggiunge una notevole comodità. - **Maggiore sicurezza e tranquillità**: le Payment Passkey offrono una sicurezza fondamentalmente più forte rispetto a password o OTP. Sono resistenti al [phishing](https://www.corbado.com/glossary/phishing) e a molte forme di frode online. Sapere che le transazioni sono protette dalla biometria offre ai consumatori maggiore fiducia e tranquillità quando fanno acquisti online. - **Protezione della privacy**: poiché i dati biometrici rimangono sul dispositivo e la tokenizzazione protegge il numero di carta effettivo, vengono trasmesse meno informazioni sensibili durante la transazione. La tabella seguente riassume la proposta di valore per ogni gruppo di [stakeholder](https://www.corbado.com/blog/passkeys-stakeholder): | **Categoria di vantaggio** | **Vantaggio per l'esercente** | **Vantaggio per il consumatore** | | -------------------------- | --------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------- | | **Sicurezza** | Riduzione di frodi e chargeback, minor rischio, potenziale trasferimento di responsabilità | MFA resistente al phishing, sicurezza biometrica, tranquillità | | **Efficienza** | Tassi di approvazione/conversione più alti, checkout più veloce, meno abbandono del carrello | Checkout più veloce e fluido, niente password/OTP | | **Praticità** | Integrazione semplificata (tramite TAS/Click to Pay) | Registrazione unica, uso presso più esercenti, sblocco familiare del dispositivo | | **Costo** | Riduzione delle perdite per frode, costi operativi potenzialmente inferiori (ad es. meno chiamate di supporto per reset password/frodi) | (Vantaggio indiretto tramite sicurezza, tempo risparmiato, potenzialmente meno problemi legati a frodi o autenticazioni fallite) | ## 7. Implicazioni per esercenti e sviluppatori Per gli esercenti e gli sviluppatori che desiderano sfruttare i vantaggi delle Payment Passkey di Mastercard, l'integrazione avviene tramite il Mastercard Token Authentication Service (TAS). TAS è progettato per funzionare in combinazione con le soluzioni di tokenizzazione e checkout esistenti di Mastercard, principalmente **Click to Pay** e **Secure Card on File (SCOF)**. In sostanza, TAS fornisce il livello avanzato di autenticazione biometrica per le transazioni che utilizzano credenziali già tokenizzate e memorizzate tramite questi servizi. > Se ti interessano i dettagli tecnici delle passkey nei pagamenti, ad esempio come > utilizzare gli [iframe](https://www.corbado.com/blog/iframe-passkeys-webauthn) come > [fornitore di servizi di pagamento](https://www.corbado.com/it/blog/passkey-fornitori-pagamento-sdk-terze-parti), > leggi questo articolo su passkey e iframe. Questo approccio di integrare l'autenticazione con passkey in servizi consolidati come Click to Pay e SCOF mira a minimizzare le interruzioni per gli esercenti. Invece di richiedere un percorso di integrazione completamente nuovo, le aziende che già utilizzano queste soluzioni Mastercard potrebbero trovare che l'aggiunta del supporto per le passkey sia un processo più snello, sfruttando la loro infrastruttura esistente. Mastercard fornisce risorse per l'integrazione attraverso il portale Mastercard Developers (developer.mastercard.com). Queste risorse includono SDK e API progettati per facilitare l'implementazione delle funzionalità di TAS. Sebbene le specifiche tecniche dettagliate richiedano l'accesso al portale, frammenti di documentazione rivelano casi d'uso specifici e chiamate API relative alla gestione delle passkey nel contesto dei pagamenti, come "Create Passkey after ID\&V" (Identità e Verifica), "Create Passkey after Transaction Authentication" e "Use Passkey for Transaction Authentication". L'esistenza di queste funzioni definite suggerisce che per gli sviluppatori è disponibile un framework di integrazione strutturato e maturo. È disponibile anche un video ufficiale che spiega il concetto: [Watch on YouTube](https://www.youtube.com/watch?v=qaBEFt-Axx8) Gli esercenti e gli sviluppatori interessati a implementare le Payment Passkey di Mastercard dovrebbero consultare il portale Mastercard Developers per documentazione dettagliata, SDK, API e guide di integrazione specifiche pertinenti alla loro piattaforma scelta (ad esempio, Click to Pay, SCOF) e al loro ambiente tecnico. ## 8. Il futuro dell'autenticazione dei pagamenti: Mastercard, Visa e American Express Il lancio del Servizio Payment Passkey di Mastercard è uno sviluppo significativo, che segna un chiaro impegno da parte di una delle principali reti di pagamento a superare le password e le OTP per passare a un'autenticazione biometrica più sicura e intuitiva. Ciò si allinea con la visione più ampia di Mastercard per il futuro dell'[e-commerce](https://www.corbado.com/passkeys-for-e-commerce), che include l'eliminazione graduale dell'inserimento manuale della carta entro il 2030 in regioni come l'Europa, affidandosi invece alla tokenizzazione e a metodi di autenticazione fluidi come le passkey. Mastercard non è sola in questa impresa. [Visa](https://www.corbado.com/blog/visa-passkeys) ha lanciato il suo servizio, dal nome simile, [Visa](https://www.corbado.com/blog/visa-passkeys) Payment Passkey Service. Come l'offerta di Mastercard, il servizio di Visa si basa sugli standard FIDO, utilizza la [biometria del dispositivo](https://www.corbado.com/it/blog/passkey-biometria-locale), mira a sostituire password/OTP, si integra con la tokenizzazione e Click to Pay, e sottolinea i doppi vantaggi di una maggiore sicurezza (riduzione delle frodi) e di una migliore esperienza utente. Visa evidenzia potenziali riduzioni del tasso di frode fino al 50% rispetto alle OTP via SMS e nota un ampio supporto di sistemi operativi e browser per FIDO. Una potenziale distinzione menzionata nei materiali di Visa è il concetto di "supporto all'autenticazione gestito da Visa" o un "modello federato", in cui Visa gestisce la complessità dell'autenticazione FIDO di base, semplificando potenzialmente l'integrazione per esercenti e emittenti. Le strategie parallele e persino le convenzioni di denominazione simili adottate dalle due più grandi reti di carte suggeriscono fortemente una convergenza a livello di settore verso le passkey FIDO come standard futuro per l'autenticazione dei [pagamenti online](https://www.corbado.com/it/blog/passkey-visa). Questa spinta coordinata avvantaggia l'intero ecosistema promuovendo l'interoperabilità e riducendo la frammentazione. Anche American Express sta attivamente incorporando moderne tecnologie di autenticazione. Sebbene non abbiano lanciato un marchio distinto "Payment Passkey Service" come Visa e Mastercard (a maggio 2025), hanno integrato funzionalità biometriche basate su FIDO/WebAuthn (riconoscimento facciale e delle impronte digitali) direttamente nella loro piattaforma esistente SafeKey. SafeKey stessa è basata sullo standard EMV [3-D Secure](https://www.corbado.com/glossary/3d-secure). American Express, anch'essa membro del consiglio della [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), sta quindi sfruttando la stessa tecnologia core senza password, ma integrandola nel suo consolidato framework di sicurezza. Ciò potrebbe riflettere una diversa strategia di branding, sfruttando la notorietà di SafeKey, o potenzialmente differenze architetturali derivanti dal loro modello di rete. Tuttavia, la direzione è coerente: sfruttare la biometria on-device e gli standard FIDO per un'autenticazione online più forte e fluida. ## 9. Conclusione L'introduzione del **Servizio Payment Passkey di Mastercard** rappresenta un momento di svolta nell'evoluzione della sicurezza e della UX dei [pagamenti online](https://www.corbado.com/it/blog/passkey-visa). Abbracciando gli standard delle passkey FIDO e integrandoli strettamente con la tokenizzazione e le soluzioni di checkout esistenti come Click to Pay, Mastercard sta affrontando le criticità fondamentali dell'autenticazione tradizionale basata su password e OTP. Questa iniziativa offre vantaggi sostanziali a tutto l'ecosistema dei pagamenti. Per gli **esercenti**, promette una significativa riduzione delle perdite per frode e dei chargeback, unita a tassi di approvazione delle transazioni più elevati e a una migliore conversione grazie a un processo di checkout senza attriti. Per i **consumatori**, offre un modo più veloce, comodo e dimostrabilmente più sicuro di pagare online, sfruttando la familiare [biometria del dispositivo](https://www.corbado.com/it/blog/passkey-biometria-locale) ed eliminando la necessità di gestire password o gestire OTP. Le basi tecnologiche – che combinano un'autenticazione resistente al phishing con la minimizzazione dei dati della tokenizzazione, il tutto all'interno del quadro degli standard EMVCo consolidati – creano una difesa forte e stratificata contro le frodi. Il lancio globale strategico di Mastercard, basato su partnership, segnala ulteriormente l'importanza e l'impegno a lungo termine dietro questa tecnologia. Mentre Visa segue un percorso parallelo con il proprio Servizio Payment Passkey e American Express integra funzionalità biometriche simili in SafeKey, la direzione è chiara: le passkey stanno rapidamente diventando il nuovo standard per la sicurezza dei pagamenti digitali.