Google Pay è il sistema di pagamento per smartphone più utilizzato al mondo (in Italia sempre più banche lo supportano), essendo compatibile con la maggior parte dei dispositivi Android dotati di chip NFC. Ma qual è la tecnologia alla base e come fa a sostituirsi al chip della carta di credito/debito quando si effettuano le transazioni con i POS dei negozianti? Scopriamone la tecnologia che rende possibile l’uso di Google Pay.
Google Pay e la tecnologia HCE
La tecnologia alla base del servizio e della sua diffusione in tutti gli smartphone Android con NFC è chiamata HCE o Host Card Emulation.
HCE consente alle applicazioni mobili in esecuzione su sistemi operativi supportati di offrire carte di pagamento e soluzioni di carte di accesso indipendentemente da terze parti, sfruttando al contempo i processi crittografici tradizionalmente utilizzati da elementi sicuri basati su hardware senza la necessità di un elemento fisico sicuro.
In altre parole, i dati delle carte registrate in Google Pay non sono archiviate nel Secure Element degli smartphone (perché non tutti lo hanno) ma sul cloud di Google, che ne emula la presenza in maniera astratta.
Numeri di carta tokenizzati
Google Pay utilizza la specifica di tokenizzazione dei pagamenti EMV. Il servizio mantiene private le informazioni di pagamento del cliente dal rivenditore sostituendo il numero di conto primario (FPAN) della carta del cliente con un numero di conto primario del dispositivo (DPAN) tokenizzato e crea un “codice di sicurezza dinamico […] generato per ogni transazione”.
In altre parole, Google Pay e la banca che emette la carta creano una serie di “numeri di carta fittizzi” che vengono comunicati di volta in volta al POS dei negozianti: non appena quest’ultimo, attraverso i circuiti di pagamento VISA, Mastercard ecc. fa richiesta alla banca di verifica della disponibilità di soldi nel conto, solo la banca sa che quel numero di carta è associato a un altro conto.
I numeri di conto fittizzi che vengono creati di volta in volta sono una decina, motivo per cui è possibile effettuare diversi pagamenti con Google Pay senza mai connettersi a internet.
Il “codice di sicurezza dinamico” è il crittogramma in una transazione in modalità EMV e il valore di verifica della carta dinamica (dCVV) in una transazione in modalità di emulazione dati su banda magnetica. Gli utenti possono anche interrompere in remoto il servizio su un telefono smarrito tramite il servizio Trova il mio dispositivo di Google.
Come avviene la verifica
Per pagare nei punti vendita, gli utenti avvicinano il proprio dispositivo Android autenticato al lettore NFC del sistema del punto vendita. Gli utenti Android si autenticano sbloccando il proprio telefono utilizzando dati biometrici, una sequenza o un passcode, mentre gli utenti Wear OS si autenticano aprendo l’app prima del pagamento.
Nelle transazioni in modalità EMV, Google Pay supporta l’uso del metodo di verifica del titolare della carta del dispositivo consumer (CDCVM) utilizzando dati biometrici, pattern o passcode del telefono o dell’orologio. L’uso di CDCVM consente al dispositivo stesso di fornire la verifica per la transazione e non richiede al titolare della carta di firmare una ricevuta o inserire il PIN.
