Passkey Visa: il Servizio Visa Payment Passkey

Il settore dei servizi finanziari e quello dei pagamenti stanno puntando tutto sulle passkey. Dopo l'introduzione delle passkey da parte di banche (es. Revolut), fintech (es. Finom) o fornitori di servizi di pagamento (es. PayPal) e la presentazione del Token Authentication Service di Mastercard circa un mese fa, ad aprile 2024, ora anche Visa ha lanciato il proprio servizio di passkey, chiamato Servizio Visa Payment Passkey, in occasione del suo annuale Payments Forum.

In passato, abbiamo già discusso le implicazioni di questo cambiamento nel mondo finanziario, in particolare per quanto riguarda la Strong Customer Authentication (SCA), la PSD2 e il dynamic linking. Leggi qui i nostri articoli di approfondimento:

• Report 2025 sulle passkey nel settore bancario
• Passkey associate al dispositivo e passkey sincronizzate a confronto
• Analisi dei requisiti PSD2 e SCA
• Cosa significano i requisiti SCA per le passkey
• Implicazioni di PSD3 / PSR per le passkey
• Passkey e PSD2: MFA resistente al phishing e conforme alla PSD2
• Dynamic linking con le passkey: Secure Payment Confirmation (SPC)

Questo articolo esamina l'approccio di Visa alle passkey e le sue implicazioni per il futuro della sicurezza dei pagamenti, comprese le innovazioni nel campo delle passkey per i pagamenti che stanno definendo nuovi standard nel settore.

La diffusione delle passkey nel settore dei servizi finanziari è in gran parte guidata dalle aspettative dei consumatori. Dati recenti di Visa sottolineano questa tendenza, rivelando che il 62% dei consumatori ha abbandonato un acquisto online a causa di problemi con l'autenticazione. Inoltre, la sicurezza è una preoccupazione: il 26% dei consumatori ha ammesso di aver condiviso il proprio PIN almeno una volta, evidenziando le vulnerabilità dei metodi di autenticazione tradizionali. È allarmante notare che i tassi di frode nei pagamenti online sono sette volte superiori a quelli delle frodi di persona, sottolineando ulteriormente la necessità di metodi di transazione digitale più sicuri.

L'introduzione del Servizio Visa Payment Passkey da parte di Visa segna un passo importante per affrontare questi problemi. Sostituendo password e codici monouso con le passkey, le passkey di Visa semplificano l'esperienza di shopping online, riducendo gli attriti e aumentando la sicurezza. Le istituzioni finanziarie, specialmente quelle che integrano una passkey per i servizi finanziari, stanno riconoscendo che questa tecnologia non solo aumenta la fiducia dei consumatori, ma migliora anche l'efficienza operativa complessiva. Le passkey non sono solo facili da usare, ma anche robuste contro gli attacchi informatici, come il phishing.

Le passkey rappresentano una soluzione convincente per le istituzioni finanziarie che mirano a migliorare la sicurezza e, allo stesso tempo, l'esperienza utente. Questa tecnologia si allinea perfettamente con la Direttiva sui Servizi di Pagamento 2 (PSD2) dell'Unione Europea, che impone la Strong Customer Authentication (SCA). La PSD2 richiede che le transazioni siano autenticate utilizzando almeno due dei seguenti elementi: qualcosa che l'utente sa, qualcosa che l'utente possiede o qualcosa che l'utente è. Le passkey soddisfano questi criteri sfruttando i dati biometrici (qualcosa che l'utente è) e le chiavi private archiviate in modo sicuro (qualcosa che l'utente possiede), come quelle presenti in una secure enclave, in un Trusted Execution Environment (TEE) o in un Trusted Platform Module (TPM) del dispositivo.

Visa è stata un attore importante nell'evoluzione delle passkey, in particolare attraverso la sua adesione alla FIDO Alliance nel 2014, due anni dopo Mastercard.

Uno dei servizi precedenti di Visa, che potrebbe essere visto come un precursore delle passkey, è la Visa Biometric Authenticator App, un prodotto ad accesso limitato, la cui documentazione e le cui risorse sono purtroppo di difficile reperibilità.

Nel 2019, Visa ha condotto uno studio sulla biometria e le preferenze dei consumatori, intervistando 1.000 titolari di carte di credito in Germania. I risultati hanno rivelato una forte preferenza dei consumatori per l'autenticazione biometrica rispetto alle password tradizionali. Un impressionante 90% degli intervistati considerava le impronte digitali un metodo sicuro per la verifica dell'identità, rispetto a solo il 77% per i PIN e il 73% per le password. Inoltre, metodi come la scansione dell'iride e del volto sono stati valutati come più sicuri di PIN e password. Questo probabilmente ha indicato a Visa la direzione da seguire, spingendo sulla biometria e, di conseguenza, sulle passkey.

Al Payments Forum 2024, Visa ha annunciato ufficialmente il Servizio Visa Payment Passkey. Jack Forestell, Chief Product and Strategy Officer di Visa, ha dichiarato:

La scelta di un branding specifico come servizio Visa Payment Passkey, rispecchiata dall'approccio di Mastercard, è significativa. Inquadra deliberatamente la tecnologia nel contesto delle transazioni finanziarie. A differenza delle passkey generiche per l'accesso, l'autenticazione dei pagamenti richiede l'adesione a normative più severe, in particolare la PSD2 SCA, compreso il requisito del dynamic linking, che lega crittograficamente l'autenticazione ai dettagli specifici della transazione. Questo branding segnala che il Servizio Visa Payment Passkey è progettato non solo per la comodità, ma per soddisfare queste esigenti necessità di sicurezza e conformità specifiche per i pagamenti.

Il Servizio Visa Payment Passkey sarà inizialmente integrato nella piattaforma Click to Pay di Visa, offrendo un'esperienza di checkout fluida e sicura su larga scala. Inoltre, questo servizio apre la strada a innovazioni come il pagamento con un solo clic di Visa, riducendo ulteriormente la necessità di inserimento manuale e migliorando l'esperienza del consumatore. Visa prevede anche di collaborare con gli emittenti in vari mercati per abilitare Click to Pay e il Servizio Visa Payment Passkey sulle nuove carte Visa. Questa integrazione ridurrà la necessità di inserire manualmente i dettagli della carta e le password fin dal momento in cui la carta viene ricevuta, semplificando ulteriormente l'esperienza utente.

Il lancio del Servizio Visa Payment Passkey da parte di Visa rappresenta un progresso significativo per le passkey nel settore dei pagamenti, poiché Visa è il secondo dei tre grandi emittenti di carte di credito a offrire un servizio di passkey dedicato.

Con il Servizio Visa Payment Passkey, l'autenticazione tradizionale basata su password può essere completamente sostituita. Ci aspettiamo (in modo simile al Token Authentication Service / Mastercard Payment Passkeys di Mastercard) che il Servizio Visa Payment Passkey garantirà che, una volta che un utente ha creato una passkey con Visa, questa possa essere utilizzata per autenticare le transazioni su qualsiasi sito di un esercente partecipante, senza la necessità di creare nuove passkey ogni volta che l'utente visita un nuovo sito di un esercente. Inoltre, questa tecnologia supporta le passkey per i pagamenti destinate a ridefinire i percorsi di checkout digitali.

Un elemento strategico chiave dell'approccio di Visa è la sua infrastruttura. Visa ha costruito e gestisce il proprio server FIDO per alimentare il Servizio Visa Payment Passkey. Questo è alla base di quello che Visa definisce il suo "modello federato". In questo modello, Visa si assume la responsabilità di autenticare e verificare direttamente l'identità dei clienti utilizzando il proprio server FIDO. Si tratta di un cambiamento significativo rispetto ai modelli in cui gli esercenti o gli emittenti potrebbero dover implementare e gestire autonomamente parti del processo di autenticazione FIDO. Per gli esercenti, questo approccio federato semplifica drasticamente l'integrazione. Devono integrarsi con il Servizio Visa Payment Passkey una sola volta. Visa gestisce la complessità dell'autenticazione FIDO sottostante, eliminando la necessità per gli esercenti di costruire i propri server, gestire complesse integrazioni tecniche o integrare individualmente gli emittenti per scopi di autenticazione. Questa scelta progettuale deliberata abbassa la barriera d'ingresso e mira ad accelerare l'adozione in tutta la vasta rete di esercenti di Visa.

Per gli esercenti, l'adozione del Servizio Visa Payment Passkey offre diversi vantaggi chiave:

• Riduzione di frodi e chargeback: Il processo di autenticazione sfrutta i dati biometrici dell'utente, riducendo significativamente il rischio di frodi e chargeback.
• Attrito minimo al checkout: Un processo di transazione più fluido si traduce in tassi di approvazione e di conversione più elevati.

Per gli acquirenti, questo servizio offre:

• Esperienza di checkout fluida: Un processo di checkout semplificato su vari dispositivi e negozi di esercenti.
• Maggiore sicurezza: L'autenticazione a più fattori (MFA) resistente al phishing rafforza la difesa contro le truffe con carte di credito e gli attacchi di phishing. In alcuni casi, il servizio soddisfa persino criteri simili a quelli di un servizio di autenticazione del consumatore Visa, garantendo la massima sicurezza per le transazioni online.

Per gli emittenti, i vantaggi sono:

• Riduzione delle perdite per frode: Tassi di frode complessivamente più bassi vanno a diretto vantaggio degli emittenti, riducendo le perdite finanziarie associate a transazioni non autorizzate.
• Minori costi di autenticazione: L'abbandono degli OTP via SMS potrebbe potenzialmente ridurre i costi operativi associati all'invio di messaggi e alla gestione di tale infrastruttura.
• Migliore esperienza cliente: Un'esperienza di pagamento fluida e sicura porta a una maggiore soddisfazione e fedeltà del titolare della carta.
• Supporto all'autenticazione gestito da Visa: Gli emittenti possono beneficiare del fatto che Visa gestisca l'infrastruttura di autenticazione principale e il relativo supporto, riducendo potenzialmente il proprio carico di manutenzione.

Scriveremo un'analisi tecnica più dettagliata su come integrare il Token Authentication Service di Mastercard nei sistemi esistenti non appena Mastercard pubblicherà maggiori informazioni. Per rimanere aggiornati, iscrivetevi alla nostra Passkeys Substack o unitevi alla nostra Passkey Community su Slack per non perdere nessun aggiornamento.

Fino ad allora, vi consigliamo di dare un'occhiata al video di annuncio di Visa che spiega il concetto in modo più dettagliato.

È importante distinguere il nuovo Servizio Visa Payment Passkey dal preesistente Visa Consumer Authentication Service (VCAS).

• VCAS è la consolidata soluzione Access Control Server (ACS) ospitata da Visa e fornita agli emittenti per supportare i loro programmi EMV 3-D Secure.
• VCAS si basa principalmente sulla Risk-Based Authentication (RBA). Analizza un'ampia gamma di dati sulle transazioni (si parla di fino a 150 punti dati) utilizzando motori di punteggio di rischio proprietari per determinare se una transazione è a basso rischio (consentendo un flusso senza attriti) o ad alto rischio (richiedendo una verifica aggiuntiva, o "step-up challenge").
• Quando VCAS richiede una verifica, può supportare vari metodi, tra cui OTP (inviati via SMS o e-mail) o potenzialmente la biometria, se l'emittente utilizza l'app di autenticazione biometrica complementare di Visa.
• Il Servizio Visa Payment Passkey, al contrario, è il nuovo servizio dedicato di Visa, costruito fondamentalmente sulla tecnologia FIDO / passkey. Sfrutta direttamente le capacità FIDO native del dispositivo per l'autenticazione, utilizzando chiavi crittografiche e la biometria/PIN locale.

Sebbene entrambi i servizi mirino a migliorare la sicurezza e a ridurre l'attrito nell'autenticazione per l'e-commerce, il Servizio Visa Payment Passkey rappresenta un'evoluzione tecnologica verso standard passwordless, resistenti al phishing e basati su FIDO come metodo di autenticazione primario, piuttosto che affidarsi principalmente alla RBA con gli OTP come comune fallback per la verifica.

L'adozione delle passkey nel panorama dei fornitori di servizi di pagamento da parte del Servizio Visa Payment Passkey segna un'altra grande pietra miliare per l'intero settore. Questo approccio innovativo non solo migliora la sicurezza delle transazioni attraverso l'autenticazione biometrica, ma offre anche un'esperienza utente fluida e senza attriti, affrontando due degli aspetti più critici nel settore dei pagamenti di oggi.

Per gli esercenti, integrare le passkey di Visa significa una riduzione significativa di frodi e chargeback. Per i consumatori, promette un processo di checkout più sicuro e semplificato. Sviluppatori e product manager sono incoraggiati a esplorare questa tecnologia per rimanere all'avanguardia nella sicurezza dei pagamenti e nell'esperienza utente.

Resta una domanda aperta: con Visa (e di recente Mastercard) che hanno abbracciato le passkey, cosa ha in programma American Express per mettersi al passo con Mastercard e Visa?

Noi di Corbado ci impegniamo a fornire gli strumenti e le competenze necessarie per integrare le passkey senza sforzo, sia che si tratti di implementare passkey per i pagamenti su piattaforme digitali o di esplorare soluzioni di passkey per i servizi finanziari. Restate sintonizzati per ulteriori approfondimenti e analisi dettagliate su come le passkey stanno plasmando l'autenticazione digitale.