Conferma di pagamento sicura su Android con Chrome: cos'è e come funziona

Con l’arrivo di Chrome 109, release più recente del browser Microsoft, la versione per Android si arricchisce di un’importante novità: Secure Payment Confirmation (SPC).

La conferma di pagamento sicura è una nuova funzionalità che i tecnici di Google avevano presentato a inizio dicembre 2022.
Si tratta di una caratteristica implementabile sia su desktop che su Chrome per Android: rende possibile l’autorizzazione di qualunque genere di pagamento o transazione usando il riconoscimento biometrico, ad esempio la verifica dell’impronta digitale.

Quando il sistema SPC è supportato dalla banca o dal fornitore dei servizi di pagamento, l’utente diventa in grado di saltare le tipiche schermate di conferma e autorizzare la transazione usando semplicemente la scansione dell’impronta digitale.
Google presenta questo approccio come molto più sicuro rispetto all’inserimento delle informazioni correlate con il conto corrente o la carta di credito.

Al momento SPC appare ancora agli inizi perché si tratta di un meccanismo che deve ancora diventare uno standard: Google ne ha comunque proposto l’approvazione al World Wide Web Consortium (W3C).

La comparsa della richiesta di SPC (una dimostrazione in questo video), che in Chrome per Android invita a scansionare l’impronta digitale, al momento appare quando vengono usati protocolli di autenticazione come EMV 3-D Secure od Open Banking.

L’autenticazione degli utenti svolge un ruolo importante nella prevenzione delle frodi. Oggi, tuttavia, vengono ancora utilizzati strumenti di verifica deboli o inadeguati come l’inserimento del codice CVC nel caso delle carte di credito oppure codici di controllo inviati tramite SMS. Questi metodi di autenticazione possono esporre gli utenti a truffe e raggiri di vario genere: basti pensare ai fenomeni di SMS spoofing e smishing in continua crescita o alle app malevole come GodFather progettate per rubare denaro dai conti di centinaia di banche, anche italiane.

SPC si basa sull’autenticazione Web WebAuthn per introdurre un’autenticazione forte per i pagamenti online.
La parte autenticante (nota come relying party in WebAuthn) registra l’utente con un processo univoco, sul proprio sito Web o durante una transazione. Le informazioni raccolte possono quindi essere recuperate e riutilizzate in modo sicuro nei successivi flussi di pagamento. Fintanto che la relying party è la stessa (ad esempio, la stessa banca), l’utente non deve compiere passaggi aggiuntivi se non confermare la propria identità con l’apposizione dell’impronta digitale.

A beneficio degli sviluppatori, Google ha realizzato una guida tecnica per l’implementazione di Secure Payment Confirmation.