EMV e smart card , il futuro della carta di credito

Paragrafo introduttivo o caratteristiche della carta

EMV (Europay Mastercard Visa)

Lo sviluppo delle carte a microprocessore o smart card può essere visto come uno dei fondamentali cambiamenti nell’industria dei pagamenti elettronici a livello mondiale.

Tuttora, la soluzione tecnica utilizzata per conservare i dati all’interno di una carta di credito è la banda magnetica. Introdotta circa 30 anni fà e adottata da tutti i circuiti di pagamento, questa tecnologia non risulta adeguata a far fronte ai bisogni crescenti di sicurezza e all’ avanzare del fenomeno delle frodi.

Nonostante l’evoluzione di nuovi sistemi di sicurezza, due sono i limiti principali di questa tecnologia:

  • La banda magnetica non può conservare i dati relativi al proprietario della carta in modo sicuro

  • La banda magnetica, avendo una capacità di memoria limitata permette in genere una o due funzioni di pagamento: accesso diretto al conto (carta di debito, bancomat) e/o accesso ad una linea di credito (carte di credito).

Detto questo, le carte a microprocessore, rappresentano una rivoluzione; Le smart card infatti memorizzano le informazioni in modo sicuro per poi utilizzarle durante la transazione. Grazie ad una maggiore capacità di memoria e al microprocessore interno, le smart card possono essere utilizzate per accedere a più servizi (es. sulla stessa carta possono essere memorizzati dati identificativi, dati di accesso, concorsi a punti etc.) Questa caratteristica propria delle smart card è chiamata “multi-applicazione“.

Cos’è l’EMV?

EMVCO LOGO

L’EMV è uno standard nato dalla collaborazione dei principali circuiti di pagamento a livello mondiale Europay, Mastercard, Visa che nel 1993 hanno fondato una piattaforma di lavoro (EMVCo) per lo sviluppo delle specifiche che regolano le applicazioni di pagamento elettronico basate su carte a microprocessore (smart card) in particolare :

  • requisiti di carattere fisico ed elettrico (EMV Level 1)

  • aspetti applicativi, ovvero le modalità con cui devono essere condotte le transazioni (EMV Level 2)

  • struttura delle carte dal punto di vista della sicurezza

  • interoperabilità tra le carte e i terminali a livello globale

  • linee guida e tempi per la migrazione da banda magnetica ai nuovi sistemi

L’ EMV quindi stabilisce le regole che permettono alla smart card e al terminale di pagamento di interagire tra loro. Queste sono basate sull’ ISO 7816, una serie di standard per le carte a circuito integrato e i dispositivi di accettazione.

EMVCo Standard (in inglese)

EMV e applicazioni finanziarie

visa smart card

L’EMV definisce i requisiti minimi di sicurezza per le smart card, ma lascia libertà ai circuiti finanziari di stabilire ulteriori paramentri , questo ha portato allo sviluppo di differenti applicazioni finanziarie a seconda del circuito:

  • Visa implementa VSDC (Visa Smart Debit Credit)

  • Mastercard implementa M/Chip

  • JBC implementa J/Chip

Questi sistemi sono tutti compatibli con lo standard EMV ma hanno diversi paramentri di gestione del rischio per le transazioni offline.

EMV e Sicurezza

L’EMV definisce quattro elementi principali per la sicurezza delle applicazioni finanziarie delle carte a microprocessore:

  • Autenticazione della carta offline (il terminale POS deve identificare la carta come genuina)

  • Parametri di gestione del rischio (la carta registra ogni transazione e manda un’allarme in caso si verifichino certe condizioni)

  • Offline-Pin (le smart card possono conservare i dati in modo sicuro, questo permette che la verifica del PIN avvenga internamente alla carta stessa)

  • Autenticazione della carta (online)

L’EMV non specifica gli algoritmi crittografici che devono essere usati nell’autenticazione, ma definisce un elemento di 8 bit chiamato Application Cryptogram che contiene in modo sicuro i dettagli di ogni transazione.

Autenticazione: SDA,CDA,DDA

Le carte a banda magnetica, contengono un valore di verifica (CVV) che può essere verificato solo durante una transazione online. Le smart cards al contrario possono essere autenticate sia offline che online utilizzando due differenti tecniche.

SDA o Static Data Autentication : è la più semplice e meno costosa, in questo processo la carta viene identificata dal terminale attraverso l’uso della stessa firma digitale per ogni transazione.

DDA, o Dynamic Data Autentication: crea una firma digitale diversa per ogni transazione offline. Questa tecnologia è più sicura ma costa circa il 25% in più rispetto all’altra.

CDA o Combined Dynamic Data Autentication. La carta genera l’ Application Cryptogram e la firma digitale dinamica; il terminale verificando la firma digitale è in grado di determinare che l’ Application Cryptogram è generato da una carta genuina.

Gli obiettivi delle specifiche EMV

  • Riduzione delle frodi e delle attività di falsificazione tuttora esistenti nelle carte di pagamento a banda magnetica

  • Gestione di un numero crescente di transazioni; I sistemi di pagamento tradizionali, che utilizzano carte a banda magnetica, richiedono un collegamento on-line per ottenere l’autorizzazione della banca. Questo processo implica due svantaggi: il tempo richiesto per il collegamento e il suo costo. Se le smart card fossero usate per applicazioni di debito credito, la maggior parte delle operazioni potrebbero essere svolte in modalità off-line, risparmiando sia in termini di tempo che di denaro. Inoltre, la possibilità di operare off-line garantirebbe l’esecuzione dei pagamenti in ogni momento e in qualsiasi condizione, senza bisogno di una rete di telecomunicazione attiva.

  • Implementazione a livello globale delle tecnologia a microprocessore per i pagamenti elettronici e maggiore interoperabilità tra banche e circuiti di pagamento sia a livello locale che internazionale.

  • Allineamento delle applicazioni di debito e credito sotto l’unica struttura dell’ EMV

  • Sicurezza e sviluppo dell’autenticazione nelle appplicazione e-commerce in linea con l’incremento di transazioni Card Not Present e il maggiore rischio di frodi.

La situazione in Italia

In Italia, dal 1999 un ristretto gruppo di lavoro formato dall’ABI e da primari Istituti bancari da il via al Progetto Microcircuito, che si occupa della migrazione dalle carte tradizionali a banda magnetica a quelle a microprocessore per quanto riguarda il sistema Bancomat nazionale.

A partire dal 1 luglio 2007 l’associazione Progetto Microcircuito è stata incorporata in COGEBAN il sito www.microcircuito.it non è più attivo ed è possibile consultare il sito www.cogeban.it/ufficiotecnico/

Per quanto riguarda i circuiti internazionali vi sarà una progressiva adesione al circuito V-PAY o al circuito Maestro. Secondo le direttive SEPA (Single Euro Payments Area o Area Unica per i Pagamenti in Euro) la sostituzione delle vecchie carte a banda magnetica con le nuove carte dotate di chip & PIN avverrà entro il 2010.

In particolare dal 2008 le emissioni di nuove carte dovranno obbligatoriamente seguire queste direttive e quindi essere EMV compliant e dal 31 Dicembre 2010 ci sarà il divieto di transazioni che non siano effettuate attraverso lo standard EMV Chip&Pin.

EMV Faq – Domande frequenti

Cos’è una smart card ?

Una smart card è esteriormente simile ad una convenzionale carta di credito, con la differenza che al suo interno è presente un microchip che memorizza in maniera crittografata i dati dell’utente. La smart card rappresenta, ad oggi, il supporto con il più alto livello di sicurezza.

Per quale motivo verrano introdotte le smart card ?

La nuova generazione di carte viene introdotta per ridurre i rischi di frode e falsificazione e per permettere lo sviluppo di servizi più sofisticati e nuove applicazioni. Inoltre la tecnologia a microchip è molto più sicura di quella a banda magnetica finora utilizzata. Al contrario delle carte di credito tradizionali,infatti, quelle a microchip non possono essere clonate. Inoltre il microchip consente di ospitare una quantità di dati maggiori rispetto alla banda magnetica dando spazio a innumerevoli implementazioni future.

Quali sono le funzioni del microchip ?

Il chip utilizza un sistema crittografico per autenticare la carta e per assicurarsi che questa sia genuina. Al momento dell’emissione, dati, unici per ciascuna carta, vengono criptati all’interno del microprocessore. Durante transazione, il terminale POS richiederà queste informazioni dalla carta per permette l’autenticazione offline.

Le carte a microchip sono compatibili con gli attuali terminali ?

Inizialemente le carte continueranno ad avere la banda magnetica sul retro per preservare la compatibilità con i vecchi POS, fino a quando non avverrà una migrazione completa ai nuovi sistemi.

Ci sarà ancora bisogno della firma ?

No, le smart card saranno identificate univocamente dall’inserimento del PIN