Passkey Mastercard: il Servizio Payment Passkey di Mastercard

Negli ultimi anni, il settore finanziario ha mostrato un crescente interesse nel migliorare la sicurezza e l'esperienza utente con metodi di autenticazione innovativi. Le passkey stanno emergendo come una soluzione sempre più convincente e preferita da banche (ad esempio, Revolut), fintech (ad esempio, Finom) e fornitori di servizi di pagamento (ad esempio, PayPal).

I nostri ultimi articoli hanno analizzato a fondo le implicazioni di questo cambiamento tecnologico, in particolare nel contesto della PSD2 / Autenticazione Forte del Cliente (SCA):

• Passkey associate al dispositivo e sincronizzate
• Analisi dei requisiti PSD2 e SDA
• Cosa significano i requisiti SCA per le passkey
• Implicazioni di PSD3 / PSR per le passkey
• Collegamento dinamico

Continuando la nostra analisi del mondo dell'autenticazione sicura, Mastercard ha introdotto un nuovo servizio per le passkey: Mastercard Payment Passkeys. Questo servizio, noto anche con il nome del suo framework tecnico, Mastercard Token Authentication Service (TAS), rappresenta una mossa strategica per sostituire i metodi di autenticazione obsoleti con un approccio sicuro, fluido e intuitivo che sfrutta la biometria (ad esempio, Face ID, Touch ID). Il servizio mira a semplificare il processo di checkout online, coniugando sicurezza e praticità per milioni di acquirenti in tutto il mondo. La doppia denominazione sembra una scelta strategica. Payment Passkeys comunica chiaramente ai consumatori e agli esercenti il vantaggio di un accesso biometrico semplificato, mentre Token Authentication Service si rivolge agli sviluppatori e ai partner che integrano il sistema, richiamando i dettagli tecnici dell'implementazione.

Questo articolo analizza l'approccio di Mastercard, esplorando la tecnologia, l'esperienza utente, i vantaggi e le implicazioni per il settore delle Payment Passkey.

L'integrazione delle passkey nel settore dei servizi finanziari segna una svolta verso un'autenticazione più sicura e intuitiva.

La forza trainante di questo cambiamento sono le aspettative dei consumatori. Come Mastercard ha rivelato in precedenti dichiarazioni, i consumatori odiano le password:

• 7 consumatori su 10 si sentono sopraffatti dal numero di password che devono gestire
• Oltre l'80% delle violazioni di dati confermate è stato causato dalle password.

Mastercard ha riconosciuto che qualsiasi segreto condiviso, incluse le OTP, sta diventando un bersaglio per i criminali informatici. Ecco perché Mastercard vuole sostituire la password con fattori legati alla persona. Le passkey, sfruttando la biometria del dispositivo (ad esempio, Face ID, Touch ID), rispondono efficacemente a questa esigenza.

Inoltre, le passkey eliminano i tradizionali punti deboli della sicurezza associati alle password, come i rischi di phishing. Sostituendo le password con chiavi crittografiche semplici da usare ma difficili da sfruttare, le passkey offrono una soluzione convincente per le istituzioni finanziarie che mirano sia a migliorare la sicurezza sia a semplificare le interazioni con gli utenti.

Il modello di sicurezza delle passkey si allinea ai rigidi requisiti delle normative finanziarie come l'Autenticazione Forte del Cliente (SCA) prevista dalla PSD2. La SCA impone un'autenticazione a più fattori per la maggior parte dei pagamenti elettronici e degli accessi ai conti, richiedendo la convalida tramite almeno due elementi indipendenti appartenenti a tre categorie:

• Conoscenza (qualcosa che l'utente sa)
• Possesso (qualcosa che l'utente possiede)
• Inerenza (qualcosa che l'utente è)

Le passkey soddisfano naturalmente questi requisiti: la chiave privata sicura memorizzata sul dispositivo rappresenta il fattore di "Possesso", mentre i dati biometrici usati per sbloccarla rappresentano il fattore di "Inerenza". Se si utilizza un PIN del dispositivo, questo può soddisfare il fattore di "Conoscenza". Tuttavia, nel settore è in corso un dibattito sulla necessità che le passkey sincronizzate forniscano ulteriori garanzie riguardo all'associazione al dispositivo.

Inoltre, le normative sui pagamenti spesso richiedono il collegamento dinamico, che assicura che il processo di autenticazione leghi crittograficamente l'importo specifico della transazione e il beneficiario all'approvazione dell'utente. Le implementazioni delle passkey, in particolare se integrate con protocolli come EMV 3DS o utilizzando estensioni come la Secure Payment Confirmation (SPC), sono progettate per incorporare questi dettagli della transazione nella firma crittografica, soddisfacendo questo requisito fondamentale.

L'introduzione delle Payment Passkey da parte di Mastercard non è un evento isolato, ma il culmine di un impegno strategico a lungo termine per far progredire la sicurezza dei pagamenti e adottare standard di autenticazione senza password.

Mastercard è uno dei primi membri della FIDO Alliance, la forza trainante dietro le passkey e WebAuthn, a cui ha aderito già nel 2012.

In passato, Mastercard aveva già lanciato il Servizio di Autenticazione Biometrica di Mastercard, un primo passo nella direzione delle passkey. Questo servizio era già stato progettato per aderire agli standard FIDO.

Nel settembre 2023, Mastercard ha fornito un aggiornamento sulle passkey e sulla Secure Payment Confirmation (SPC). In quell'occasione, Mastercard ha condiviso la sua visione sui potenziali processi per le passkey standard rispetto alle passkey SPC. I mockup erano già molto dettagliati (come vedrai di seguito).

Ad agosto 2024, Mastercard ha lanciato il suo Servizio Payment Passkey in India, un mercato caratterizzato da un elevato volume di pagamenti digitali e da una significativa adozione del mobile. Questo lancio iniziale è probabilmente servito come un banco di prova su larga scala per la scalabilità e l'efficacia del servizio, in particolare in un ambiente in cui le frodi basate su OTP sono un problema noto.

Dopo il lancio in India, Mastercard ha esteso il servizio ad altre regioni chiave, tra cui l'Asia-Pacifico (inizialmente Singapore), l'America Latina (a partire dal Brasile) e il Medio Oriente e Africa (MEA), iniziando dagli Emirati Arabi Uniti. Questo approccio regione per regione consente a Mastercard di adattare l'implementazione e le partnership alle dinamiche del mercato locale e ai quadri normativi.

Un elemento cruciale di questa strategia è l'enfasi sulle partnership. In ogni regione di lancio, Mastercard ha collaborato strettamente con attori locali chiave, inclusi aggregatori di pagamento:

• Aggregatori di pagamento:
  • India: Juspay, Razorpay o PayU
  • America Latina: Yuno
  • MEA: noon Payments, Tap Payments
• Esercenti online:
  • India: bigbasket
  • America Latina: Sympla
• Banche leader: (come
  • India: Axis Bank
  • Singapore: DBS o UOB

Queste partnership sono essenziali per integrare il servizio Payment Passkey negli ecosistemi di pagamento esistenti, gestire le normative locali e raggiungere un'ampia base di consumatori. Ciò dimostra un modello flessibile e collaborativo piuttosto che un approccio top-down e universale.

A giugno 2025, Mastercard ha compiuto progressi significativi nella sua strategia di checkout sicuro in tutta Europa. L'azienda ha raggiunto risultati notevoli, spinti principalmente dalla diffusa adozione della tokenizzazione, con quasi il 50% delle transazioni e-commerce europee che ora utilizzano questa tecnologia. La tokenizzazione sostituisce i numeri sensibili delle carte di pagamento con token digitali sicuri, riducendo l'esposizione dei dati di pagamento dei clienti e migliorando notevolmente la sicurezza.

Contemporaneamente, Mastercard ha iniziato a implementare le payment passkey con importanti partnership iniziali, tra cui Dintero, Netopia e Solidgate. Sebbene le payment passkey siano ancora in una fase iniziale rispetto alla tokenizzazione, la loro introduzione si allinea alla visione più ampia di Mastercard di un e-commerce senza password e senza attriti.

Principali risultati in Europa:

• Adozione della tokenizzazione: quasi la metà dell'e-commerce europeo è ora protetto tramite tokenizzazione.
• Ampia copertura:
  • Tokenizzazione implementata in 45 paesi europei.
  • Click to Pay (checkout senza password) attivo in 26 mercati, con iscrizioni raddoppiate in un anno.
• Implementazione iniziale delle passkey: Payment passkey lanciate con alcuni fornitori di servizi di pagamento europei.

Questi sviluppi evidenziano la strategia a doppio binario di Mastercard: una solida espansione della tokenizzazione oggi, completata da un'adozione strategica e lungimirante delle payment passkey.

Le Payment Passkey di Mastercard sono abilitate dal Servizio di Autenticazione tramite Token di Mastercard (TAS). TAS è l'infrastruttura sottostante che consente a esercenti e portafogli digitali di offrire ai consumatori la possibilità di autenticare le loro transazioni online utilizzando la biometria collegata alla loro passkey Mastercard, sostituendo le tradizionali password o OTP. Questo servizio non opera in isolamento. È profondamente integrato con altre tecnologie chiave di Mastercard, in particolare la tokenizzazione e potenzialmente il framework EMV 3DS, il tutto nel rispetto degli standard globali.

Un aspetto essenziale del servizio è la sua integrazione con il Servizio di Tokenizzazione di Mastercard, spesso chiamato MDES (Mastercard Digital Enablement Service). La tokenizzazione è una misura di sicurezza critica che sostituisce il Primary Account Number (PAN) a 16 cifre del consumatore con un identificatore digitale unico o "token". Questo token è specifico per un particolare dispositivo, esercente o contesto di transazione. Quando avviene una transazione, viene trasmesso solo il token, il che significa che l'esercente non deve mai archiviare o gestire il PAN reale, riducendo significativamente il rischio associato alle violazioni dei dati. Le Payment Passkey di Mastercard fungono quindi da meccanismo per autenticare l'intenzione dell'utente legittimo di utilizzare questa credenziale tokenizzata per una transazione specifica.

L'autenticazione stessa sfrutta la passkey memorizzata sul dispositivo dell'utente, sbloccata tramite la biometria del dispositivo (impronta digitale, scansione del volto) o il PIN/codice di accesso del dispositivo. È fondamentale capire che i dati biometrici utilizzati per sbloccare la passkey rimangono al sicuro sul dispositivo dell'utente e non vengono mai condivisi con Mastercard, l'esercente o terze parti. Il meccanismo della passkey conferma semplicemente il successo dell'autenticazione locale (ad esempio, Face ID, Touch ID) prima di consentire al processo di firma crittografica di procedere.

Sebbene i dettagli specifici dell'implementazione varino, le Payment Passkey operano probabilmente all'interno o a fianco del framework EMV 3-D Secure (3DS), lo standard di settore per la protezione delle transazioni card-not-present (CNP). EMV 3DS facilita lo scambio di dati di transazione dettagliati tra l'esercente e l'emittente della carta, consentendo all'emittente di eseguire valutazioni del rischio. Se la transazione è considerata ad alto rischio, l'emittente può "sfidare" l'utente a eseguire un'autenticazione aggiuntiva (SCA). Le Payment Passkey di Mastercard forniscono un metodo sicuro e potenzialmente molto più fluido per soddisfare questa sfida SCA rispetto ai metodi tradizionali come le OTP. I servizi correlati di Mastercard, come Identity Check Express e la Delegated Authentication per gli esercenti, sfruttano esplicitamente le funzionalità FIDO / WebAuthn all'interno del flusso EMV 3DS, consentendo agli esercenti (con il permesso dell'emittente) di eseguire l'autenticazione per conto dell'emittente utilizzando questi metodi moderni.

La sinergia tra passkey e tokenizzazione crea un'architettura di sicurezza a più livelli. Le passkey proteggono la fase di autenticazione dell'utente, impedendo a persone non autorizzate di avviare transazioni. La tokenizzazione protegge la credenziale di pagamento sottostante, minimizzando il valore di qualsiasi dato potenzialmente esposto in caso di violazioni. Questo approccio combinato affronta le frodi da più angolazioni, rendendo l'intero processo di transazione significativamente più resiliente. Inoltre, integrare l'autenticazione con passkey nell'affermata infrastruttura EMV 3DS è un approccio pragmatico che ne facilita l'adozione. Consente a emittenti e acquirer di migliorare la sicurezza e l'esperienza utente sfruttando i loro investimenti esistenti nella tecnologia 3DS, invece di richiedere l'implementazione di sistemi di autenticazione completamente separati.

Un obiettivo primario delle Payment Passkey di Mastercard è rivoluzionare l'esperienza di checkout online, rendendola più veloce, semplice e sicura eliminando l'attrito associato a password e OTP. Il percorso dell'utente comprende sia la creazione iniziale della passkey sia il suo uso successivo per autenticare i pagamenti.

Agli utenti può essere richiesto di creare una Payment Passkey di Mastercard in diversi momenti della loro interazione con i servizi Mastercard. Gli scenari comuni includono:

• Durante il checkout: Spesso, l'opzione di creare una passkey viene presentata dopo che un utente ha completato con successo un passaggio di autenticazione tradizionale per una transazione, come una sfida EMV 3DS che prevede una OTP o un altro metodo. Questo onboarding contestuale sfrutta l'esperienza immediata dell'utente con metodi potenzialmente più macchinosi per evidenziare il vantaggio di un checkout futuro più fluido.
• All'interno delle applicazioni dell'emittente: Le banche che emettono Mastercard possono integrare il flusso di creazione della passkey direttamente nelle loro app di mobile banking, consentendo agli utenti di collegare proattivamente una passkey alla loro carta.
• Durante l'aggiunta di una carta: L'opzione potrebbe anche essere presentata quando un utente aggiunge la sua Mastercard a un portafoglio digitale o la salva come Card-on-File (CoF) presso un esercente o un servizio come Click to Pay.

Analizziamo brevemente l'esempio di creazione della passkey durante il checkout.

Dopo aver cliccato sul pulsante "Paga", l'utente viene reindirizzato dal negozio di esempio (https://decorshop.com) a una pagina web ospitata da Mastercard (https://verify.mastercard.com). Questo sito fa parte del processo di autenticazione EMV 3DS.

Una volta completato con successo questo processo, l'utente ha la possibilità di creare una passkey. Da notare che questa passkey verrà creata per il Relying Party ID di Mastercard (ad esempio, verify.mastercard.com o mastercard.com). Quindi, la passkey non viene registrata presso l'esercente a cui l'utente vuole trasferire il denaro. Ciò consente di utilizzare la stessa passkey presso qualsiasi esercente che adotti il servizio Payment Passkey di Mastercard, e non solo per questo specifico esercente.

Tratto da https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Dopo aver deciso di creare una passkey, viene eseguita l'autenticazione locale (in questo caso, uno smartphone Android che ha memorizzato la passkey in Google Password Manager). Al termine della creazione della passkey, l'utente viene reindirizzato dal sito di Mastercard al negozio.

Tratto da https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Una volta che un utente ha una Payment Passkey di Mastercard associata alla sua credenziale di carta, il processo di checkout presso gli esercenti partecipanti diventa notevolmente più snello:

1. Selezione della carta: L'utente avvia il checkout e seleziona la sua Mastercard. Potrebbe trattarsi di una carta memorizzata in modo sicuro tramite il servizio Click to Pay di Mastercard, salvata direttamente presso l'esercente (Secure Card on File - SCOF) o persino inserita durante un flusso di checkout come ospite.
2. Richiesta di autenticazione: Invece di richiedere una password, un CVV o una OTP, all'utente viene chiesto di autenticarsi utilizzando la sua Payment Passkey di Mastercard. Il flusso esatto può variare:
   • Flusso con passkey standard: L'utente potrebbe sperimentare un breve e fluido reindirizzamento a un dominio controllato da Mastercard (ad esempio, verify.mastercard.com). Qui, appare la richiesta WebAuthn standard, che chiede all'utente di confermare la transazione utilizzando il sensore biometrico o il PIN del proprio dispositivo. Dopo un'autenticazione locale riuscita, viene reindirizzato al sito dell'esercente per completare l'acquisto. Questo flusso avviene in un contesto di prima parte, in cui l'utente si autentica direttamente con Mastercard.
   • Flusso con Secure Payment Confirmation (SPC) (Potenziale): Un flusso alternativo, potenzialmente più fluido, coinvolge la SPC. In questo scenario, l'utente rimane sul sito web dell'esercente. Appare un pop-up nativo del browser, che mostra i dettagli chiave della transazione (nome dell'esercente, importo, informazioni parziali della carta) e richiede direttamente l'autenticazione con passkey. Ciò elimina completamente il reindirizzamento e fornisce un forte collegamento dinamico incorporando i dettagli della transazione nella richiesta di autenticazione. Si noti che le passkey SPC sono ancora in fase concettuale e non è stato deciso se raggiungeranno mai la disponibilità generale (principalmente a causa del mancato via libera da parte di Apple). Questo flusso opererebbe in un contesto di terza parte, in cui l'esercente invoca l'autenticazione per la passkey di Mastercard, probabilmente utilizzando credenziali condivise tramite EMV 3DS.

Tratto da https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

La sinergia tra Payment Passkeys di Mastercard e Click to Pay è particolarmente degna di nota. Click to Pay offre ai consumatori un modo standardizzato e sicuro per memorizzare i dettagli della loro carta tokenizzata per un checkout online più semplice presso gli esercenti partecipanti. Le Payment Passkey fungono da moderno livello di autenticazione biometrica per accedere e utilizzare queste credenziali Click to Pay memorizzate. Questa combinazione è la chiave per ottenere una vera esperienza di checkout "con un clic", eliminando sia l'inserimento manuale della carta sia le sfide con password/OTP. Il primo lancio globale di un servizio integrato Click to Pay con Payment Passkey da parte di Mastercard e Tap Payments sottolinea questa direzione strategica. Ciò sfrutta l'infrastruttura e la rete di esercenti esistenti di Click to Pay, fornendo un potente meccanismo di scalabilità per l'adozione delle Payment Passkey.

La tabella seguente riassume le caratteristiche principali dei potenziali flussi di autenticazione:

Per gli esercenti, adottare il Servizio Payment Passkey / Servizio di Autenticazione tramite Token di Mastercard significa:

• Riduzione di frodi e chargeback: questo è probabilmente il vantaggio più significativo. Legando l'autenticazione direttamente alla biometria unica dell'utente o al PIN del dispositivo tramite passkey resistenti al phishing, il rischio di transazioni non autorizzate crolla. L'uso sottostante della tokenizzazione protegge ulteriormente i dati della carta. Questa autenticazione più forte può anche portare a trasferimenti di responsabilità per alcuni tipi di frode, in modo simile ai vantaggi visti con l'adozione di EMV 3DS. Casi di studio, come quello che coinvolge noon Payments, riportano esplicitamente una diminuzione dell'incidenza delle frodi dopo l'implementazione di Payment Passkey e Click to Pay.
• Aumento dei tassi di approvazione e conversione: l'attrito durante il checkout è una delle principali cause di abbandono del carrello. Eliminare la necessità di ricordare password o inserire OTP fluidifica il flusso di pagamento, portando a tassi di completamento più elevati. Inoltre, il forte segnale di autenticazione fornito dalle passkey dà alle banche emittenti maggiore fiducia nell'approvare le transazioni, riducendo la probabilità di costosi rifiuti errati. Tassi di approvazione più alti si traducono direttamente in un aumento delle vendite e dei ricavi. Partner come Yuno hanno notato che le passkey portano a tassi di conversione più elevati.
• Miglioramento dell'esperienza cliente e dell'immagine del brand: offrire un processo di checkout all'avanguardia, sicuro e senza sforzo migliora la soddisfazione del cliente e costruisce la fiducia nel brand dell'esercente. Fornire un modo di pagare dimostrabilmente più sicuro può essere un elemento di differenziazione competitiva.

Per i consumatori, questo servizio consente:

• Checkout fluido e più veloce: il vantaggio più immediato è l'eliminazione delle seccature. Gli utenti non devono più ricordare password complesse o attendere e inserire manualmente le OTP. L'autenticazione avviene rapidamente utilizzando la stessa biometria familiare (ad esempio, Face ID, Touch ID) usata per sbloccare il telefono. La natura "registrati una volta, usa ovunque" presso gli esercenti partecipanti aggiunge una notevole comodità.
• Maggiore sicurezza e tranquillità: le Payment Passkey offrono una sicurezza fondamentalmente più forte rispetto a password o OTP. Sono resistenti al phishing e a molte forme di frode online. Sapere che le transazioni sono protette dalla biometria offre ai consumatori maggiore fiducia e tranquillità quando fanno acquisti online.
• Protezione della privacy: poiché i dati biometrici rimangono sul dispositivo e la tokenizzazione protegge il numero di carta effettivo, vengono trasmesse meno informazioni sensibili durante la transazione.

La tabella seguente riassume la proposta di valore per ogni gruppo di stakeholder:

Per gli esercenti e gli sviluppatori che desiderano sfruttare i vantaggi delle Payment Passkey di Mastercard, l'integrazione avviene tramite il Mastercard Token Authentication Service (TAS). TAS è progettato per funzionare in combinazione con le soluzioni di tokenizzazione e checkout esistenti di Mastercard, principalmente Click to Pay e Secure Card on File (SCOF). In sostanza, TAS fornisce il livello avanzato di autenticazione biometrica per le transazioni che utilizzano credenziali già tokenizzate e memorizzate tramite questi servizi.

Questo approccio di integrare l'autenticazione con passkey in servizi consolidati come Click to Pay e SCOF mira a minimizzare le interruzioni per gli esercenti. Invece di richiedere un percorso di integrazione completamente nuovo, le aziende che già utilizzano queste soluzioni Mastercard potrebbero trovare che l'aggiunta del supporto per le passkey sia un processo più snello, sfruttando la loro infrastruttura esistente.

Mastercard fornisce risorse per l'integrazione attraverso il portale Mastercard Developers (developer.mastercard.com). Queste risorse includono SDK e API progettati per facilitare l'implementazione delle funzionalità di TAS. Sebbene le specifiche tecniche dettagliate richiedano l'accesso al portale, frammenti di documentazione rivelano casi d'uso specifici e chiamate API relative alla gestione delle passkey nel contesto dei pagamenti, come "Create Passkey after ID&V" (Identità e Verifica), "Create Passkey after Transaction Authentication" e "Use Passkey for Transaction Authentication". L'esistenza di queste funzioni definite suggerisce che per gli sviluppatori è disponibile un framework di integrazione strutturato e maturo.

È disponibile anche un video ufficiale che spiega il concetto:

Gli esercenti e gli sviluppatori interessati a implementare le Payment Passkey di Mastercard dovrebbero consultare il portale Mastercard Developers per documentazione dettagliata, SDK, API e guide di integrazione specifiche pertinenti alla loro piattaforma scelta (ad esempio, Click to Pay, SCOF) e al loro ambiente tecnico.

Il lancio del Servizio Payment Passkey di Mastercard è uno sviluppo significativo, che segna un chiaro impegno da parte di una delle principali reti di pagamento a superare le password e le OTP per passare a un'autenticazione biometrica più sicura e intuitiva. Ciò si allinea con la visione più ampia di Mastercard per il futuro dell'e-commerce, che include l'eliminazione graduale dell'inserimento manuale della carta entro il 2030 in regioni come l'Europa, affidandosi invece alla tokenizzazione e a metodi di autenticazione fluidi come le passkey.

Mastercard non è sola in questa impresa. Visa ha lanciato il suo servizio, dal nome simile, Visa Payment Passkey Service. Come l'offerta di Mastercard, il servizio di Visa si basa sugli standard FIDO, utilizza la biometria del dispositivo, mira a sostituire password/OTP, si integra con la tokenizzazione e Click to Pay, e sottolinea i doppi vantaggi di una maggiore sicurezza (riduzione delle frodi) e di una migliore esperienza utente. Visa evidenzia potenziali riduzioni del tasso di frode fino al 50% rispetto alle OTP via SMS e nota un ampio supporto di sistemi operativi e browser per FIDO. Una potenziale distinzione menzionata nei materiali di Visa è il concetto di "supporto all'autenticazione gestito da Visa" o un "modello federato", in cui Visa gestisce la complessità dell'autenticazione FIDO di base, semplificando potenzialmente l'integrazione per esercenti e emittenti. Le strategie parallele e persino le convenzioni di denominazione simili adottate dalle due più grandi reti di carte suggeriscono fortemente una convergenza a livello di settore verso le passkey FIDO come standard futuro per l'autenticazione dei pagamenti online. Questa spinta coordinata avvantaggia l'intero ecosistema promuovendo l'interoperabilità e riducendo la frammentazione.

Anche American Express sta attivamente incorporando moderne tecnologie di autenticazione. Sebbene non abbiano lanciato un marchio distinto "Payment Passkey Service" come Visa e Mastercard (a maggio 2025), hanno integrato funzionalità biometriche basate su FIDO/WebAuthn (riconoscimento facciale e delle impronte digitali) direttamente nella loro piattaforma esistente SafeKey. SafeKey stessa è basata sullo standard EMV 3-D Secure. American Express, anch'essa membro del consiglio della FIDO Alliance, sta quindi sfruttando la stessa tecnologia core senza password, ma integrandola nel suo consolidato framework di sicurezza. Ciò potrebbe riflettere una diversa strategia di branding, sfruttando la notorietà di SafeKey, o potenzialmente differenze architetturali derivanti dal loro modello di rete. Tuttavia, la direzione è coerente: sfruttare la biometria on-device e gli standard FIDO per un'autenticazione online più forte e fluida.

L'introduzione del Servizio Payment Passkey di Mastercard rappresenta un momento di svolta nell'evoluzione della sicurezza e della UX dei pagamenti online. Abbracciando gli standard delle passkey FIDO e integrandoli strettamente con la tokenizzazione e le soluzioni di checkout esistenti come Click to Pay, Mastercard sta affrontando le criticità fondamentali dell'autenticazione tradizionale basata su password e OTP.

Questa iniziativa offre vantaggi sostanziali a tutto l'ecosistema dei pagamenti. Per gli esercenti, promette una significativa riduzione delle perdite per frode e dei chargeback, unita a tassi di approvazione delle transazioni più elevati e a una migliore conversione grazie a un processo di checkout senza attriti. Per i consumatori, offre un modo più veloce, comodo e dimostrabilmente più sicuro di pagare online, sfruttando la familiare biometria del dispositivo ed eliminando la necessità di gestire password o gestire OTP.

Le basi tecnologiche – che combinano un'autenticazione resistente al phishing con la minimizzazione dei dati della tokenizzazione, il tutto all'interno del quadro degli standard EMVCo consolidati – creano una difesa forte e stratificata contro le frodi. Il lancio globale strategico di Mastercard, basato su partnership, segnala ulteriormente l'importanza e l'impegno a lungo termine dietro questa tecnologia.

Mentre Visa segue un percorso parallelo con il proprio Servizio Payment Passkey e American Express integra funzionalità biometriche simili in SafeKey, la direzione è chiara: le passkey stanno rapidamente diventando il nuovo standard per la sicurezza dei pagamenti digitali.