Host Card Emulation, le carte diventano software

Una tecnologia nata nel 2012 sta arrivando ora all’adozione universale: ogni tipo di carta contactless può essere esattamente emulata via software con le stesse caratteristiche di sicurezza di quelle fisiche dal software di uno smartphone, di un tablet o di un pc collegato ad un servizio di tipo cloud. Un altro ostacolo all’NFC viene rimosso. I possibili riflessi tariffari.

La tendenza potremmo dire secolare se non millenaria dei sistemi di pagamento è la progressiva smaterializzazione dello strumento; l’avvento della carta moneta e poi delle carte di credito si inserisce in un percorso progressivo e in accelerazione. I personal computer e internet hanno portato all’estremo il processo: il pagamento sui siti di e-commerce avviene totalmente via software. Dove invece la smaterializzazione non ha (ancora) preso piede è nei cosiddetti mobile proximity payments, ossia la maggior parte in numero, dal caffè al bar, al giornale in edicola al ristorante, alla spesa al supermercato.
Ciò non è avvenuto per mancanza di tecnologie. Anche una semplice ricerca in Rete e tra i brevetti fa scoprire, tra le molte “bufale” anche ben finanziate dal venture capital, delle soluzioni perfettamente candidabili al ruolo di quello che è stato lo standard MP3 per la musica. Considerazioni tariffarie a parte, , su cui ritorneremo, la mancata smaterializzazione è stata piuttosto di una conseguenza della strada presa dall’industria dei pagamenti consumer a livello mondiale alla fine degli anni ’90. Allora, per ovviare ai problemi di sicurezza delle bande magnetiche si decise di passare al microchip. Una volta effettuati gli investimenti su nuove carte e soprattutto su nuovi terminali di lettura (transizione che peraltro non è ancora terminata, specie negli Stati Uniti) , un fenomeno di inerzia tecnologica ha portato a centrare su uno strumento fisico anche il passo successivo, ossia l’effettuazione di transazioni senza contatto fisico tra carta e terminale. Sono così arrivate le carte contactless, un’evoluzione di quelle a microprocessore che aggiungono un chip radio attivato e alimentato dal terminale. Si tratta di una versione evoluta della tecnologia RFID passiva usata per identificare le merci.
Contemporaneamente alla diffusione delle carte NFC e dei relativi terminali, in tutto il mondo esplodeva il numero e le capacità degli smartphone. E’ divenuto presto naturale cercare una convergenza tra i due mondi, da una parte perché quando c’è convergenza nascono sinergie (basta pensare all’integrazione tra pagamento tradizionale, programmi fedeltà, couponing e ticketing) dall’altra perché la carta contactless andava ad aggiungersi ad un “portfolio carte” in tasca o in borsetta che già da tempo era difficilmente gestibile.
NFC sul telefonino: la strada dell’hardware
In ogni carta NFC è presente, oltre al chip radio, all’antenna e a circuiteria varia, un componente elettronico, il Secure Element (SE) che contiene le credenziali del detentore della carta, e il software conforme allo standard EMV. Quest’ultimo effettua la transazione lato cliente, di pagamento, autorizzazione o ricarica se si tratta di un carta di credito o di debito. Se si vuole fare a Mobile NFC solutionsmeno della carta, il Secure Element deve stare da qualche parte. La prima soluzione, intorno al 2010, prevedeva che il Secure Element stesse nella SIM Card del gestore telefonico di turno. E’ superfluo spiegare perché la soluzione era ed è tutt’altro che ideale, a partire dal fatto che inserisce un altro attore in una catena del valore che è già molto affollata. Per iniziativa degli operatori telefonici ono nati lo stesso servizi di NFC senza carta basati su SIM Card potenziate con SE. Per esempio, negli Stati Uniti i tre operatori cellulari più grandi, AT&T, Verizon e T.Mobile, si sono consorziati per lanciare un wallet, Softcard, che richiedeva proprio una SIM modificata. Naturalmente, il cellulare deve essere dotato di un chip radio NFC, ma questo è il minore dei problemi perché ormai la funzionalità è quasi standard. Il servizio è stato chiuso sei mesi fa e i clienti fatti migrare a Google Wallet.
Una variante “soft” della SIM Card è apparsa subito dopo, e prevede l’integrazione del SE in una schedina compatibile micro-SD. Il problema qui deriva dal fatto che la schedina è rimovibile e che comunque deve comunicare con il telefono per accedere al chip radio NFC. Tanto vale fare il passo definitivo e inserire direttamente l’SE nello smartphone. La cosa è iniziata ad avvenire un paio di anni fa ma ancora oggi il numero di modelli di smartphone dotati di SE, che nel caso si chiama embedded SE (eSE), è limitato. I più noti sono gIi iPhone Apple dopo il 6 e i Samsung dopo il Galaxy S4 e il Note 3. La situazione è molto fluida. Non passa settimana che un produttore cinese non annunci eSE nei propri futuri modelli. Inoltre, i produttori di chipset per smartphone, per esempio Qualcomm, stanno lavorando per inserire l’eSE direttamente nel chipset standard, un po’ come è successo con il chip radio NFC.
Se però l’ eSE permette di sfuggire agli operatori mobili, si finisce in bocca ai produttori di smartphone, che non sembrano limitarsi a fornire la piattaforma tecnologica via eSE per pagamenti contactless senza carta, ma vogliono una fetta della torta delle transazioni. Non è un caso che i due possessori della più ampia base utenti di smartphone con eSE, Samsung ed Apple, abbiano lanciato propri servizi di pagamento.
Dopo questa lunga premessa, veniamo all’HCE. Nel 2012 un piccola azienda americana, SimplyTapp, fondata da Doug Yeager e Ted Fifelski, inventava una tecnologia che permette di aprire un canale sicuro di comunicazione tra un terminale NFC e un “secure element” puramente software ospitato su un server remoto e contenente le credenziali della carta. I due inventori definirono la tecnologia Host Card Emulation e la realizzarono come add-on del sistema operativo Android. Google, in quel momento impegnata a cercare di lanciare il proprio Google Wallet contro l’opposizione degli operatori mobili padroni delle SIM, capì immediatamente le potenzialità e decise di inserire la tecnologia in Android a partire dalla release 4.4 (KitKat).
Come funziona HCE
Si tratta del compimento del percorso verso la smaterializzazione degli strumenti di pagamento. La app di pagamento sullo smartphone dialoga con il modulo HCE nel sistema operativo e, attraverso il controller NFC, dialoga con terminale NFC, per esempio del negoziante. In teoria i dati relativi alle credenziali della carta potrebbero risiedere sul telefonino (che sarebbe l’host) e GFX_Host Card Emulation Diagram_final_mac.pptxil terminale a quel punto si comporterebbe come di fronte ad un Secure Element fisico. Per garantire maggiore sicurezza, invece, le credenziali stanno su di un Secure Element software in cloud gestito dall’issuer della carta. L’autorizzazione al pagamento avviene quindi dopo che il possessore del telefonino, essendosi identificato e autenticato in modo “forte”, viene abbinato al suo conto carta sulla cloud dell’issuer. Tutte le comunicazioni avvengono poi su un canale cifrato. Non è necessario cambiare il terminale NFC perché questo fa solo da tramite tra lo smartphone e il cloud dell’issuer. Questo livello di sicurezza e la stessa autenticazione forte sullo smartphone, che sarebbero peraltro auspicabili anche nei pagamenti contactless con SE fisico, hanno una motivazione molto impellente.
Secondo le regole EMV, il software embedded nel Secure Element fisico, sia carta che eSE, da la massima garanzia di sicurezza. Pr questo, la transazione viene definita Card Present e gode di una tariffa MSC (Merchant Service Charge) contenuta. Se invece non c’è nè carta né eSE nè relativa applicazione embedded EMV complaint (in termini tecnici MCPA, Mobile Contactless Payment Application), scatta la condizione Card Not Present, con tariffa MSC molto più onerosa. Considerate che la tariffa CNP secondo molti analisti è il singolo fattore che ha fermato in Italia e in parte in Europa lo sviluppo dei pagamenti mobili interamente software appoggiati ai circuiti delle carte di credito. In ambienti come la GDO, dove i margini sono ridottissimi, infatti una MSC alta non è accettabile.
Per ricadere nella condizione equivalente a Card Present, è necessario attivare soluzioni di mitigazione del rischio: autenticazione forte mutua delle parti (non solo il possessore dello smartphone/titolare carta ma anche il cloud, per evitare attacchi insidiosi del tipo man in the middle) e cifratura delle comunicazioni.
Due anni fa, all’adozione di HCE da parte di Google, molti erano scettici che, anche di fronte a queste caratteristiche di sicurezza, i circuiti avrebbero accettato per le transazioni HCE la condizione Card Present. Poi, a metà 2014 sono arrivati l’endorsment prima di Amex, poi di Visa e subito dopo di Mastercard e una serie di istituzioni bancarie ha lanciato prodotti basati su questa tecnologia, per fare due nomi BBVA e Rabobank. I tre giganti delle carte offrono servizi cloud propri, piattaforme che consentono alle banche di farsi i propri cloud HCE, kit di sviluppo software per app di pagamento, insomma l’appoggio è completo. Alle caratteristiche di sicurezza che ricordavamo sopra, queste piattaforme aggiungono la generazione di token monouso per le transazioni, un ulteriore livello di blindatura.
Amici, quasi-amici e nemici
L’ostacolo maggiore alla diffusione dell’HCE, l’atteggiamento dei circuiti, sembra superato. Tra gli amici dell’HCE possiamo quindi inserire i circuiti di carte, al limite non solo di pagamento. I vantaggi sono evidenti: considerate solo il risparmio nella distribuzione delle nuove carte e di quelle rinnovate, che con l’HCE può avvenire on-air. I merchant hanno solo vantaggi dall’HCE: non devono cambiare terminali, e le tariffe sono basse. Sicuramente amici per definizione sono gli sviluppatori di sistemi operativi, in primis Google con Android, ma ora anche Microsoft, che ha integrato HCE in Windows 10 e Windows Mobile. Apple con iOS ha una posizione più defilata: avendo il controllo anche dell’hardware è meno incentivata a inserire HCE nei suoi sistemi operativi, a meno che in futuro non decida di lanciare Apple Pay anche su piattaforme diverse dall’iPhone .
MasterCard-PayPassTra i quasi amici di HCE, quindi, oltre a Apple possiamo inserire Samsung, per lo stesso motivo. Il gigante coreano sta cercando di differenziare i suoi smartphone con servizi a valore aggiunto per i clienti top, di cui Samsung Pay è il più evidente, per resistere alla concorrenza di casa (leggi LG) ma soprattutto cinese (i vari HTC, ZTE, Huawey, Lenovo) . Già i cinesi stanno lanciando smartphone con eSE a prezzi più bassi dei top di gamma Samsung così dotati. Samsung può seguirli, mettendo eSE anche sui modelli di fascia più bassa, ma questo toglierebbe a Samsung Pay l’immagine di servizio di elite su terminali costosi. Oppure, potrebbe optare per versione di Samsung Pay basata su HCE? Sarebbe il trionfo di Google. Vedremo.
E i nemici? In prima fila, produttori di SE fisici ed eSE, che hanno il nome e cognome collettivo di SIMalliance, sono direttamente toccati, e infatti l’alleanza non lascia passare occasione per perorare la causa dell’SE fisico come più sicuro dell’HCE. Più defilati, i carrier cellulari. La parabola già ricordata di Softcard e dei tre operatori americani è istruttiva ed è stata ricordata sopra. Ora quei tre sono alleati con Google, il che significa HCE. Potremmo inserirli nella categoria di quasi-nemici.