Torna alle guide SECURITY

Network Tokenization: Come Riduce le Frodi e Migliora i Tassi di Autorizzazione

La network tokenization è una tecnologia sviluppata da Visa, Mastercard e altri circuiti che sostituisce il numero principale di conto di una carta (PAN) con un token univoco a livello di rete. A differenza della tokenizzazione a livello di gateway, dove il token è gestito dal processore di pagamento, i network token vengono emessi e validati dal circuito stesso, creando una rappresentazione più sicura e affidabile della credenziale della carta che segue la carta attraverso aggiornamenti, sostituzioni e modifiche dell'account. I merchant e le piattaforme che implementano la network tokenization riscontrano miglioramenti misurabili nei tassi di autorizzazione, riduzioni nelle perdite per frode e una conformità PCI DSS semplificata.

Network Tokenization nei Pagamenti | RoxPay

Cos'è la Network Tokenization e Come Differisce dalla Tokenizzazione del Gateway

La tokenizzazione nei pagamenti sostituisce un numero di carta sensibile (il Primary Account Number, o PAN) con un valore surrogato non sensibile (il token) che può essere utilizzato nei flussi di pagamento senza esporre i dati della carta sottostanti. Se un token viene intercettato da un attaccante, non ha valore al di fuori del suo contesto originale.

Tokenizzazione del gateway: Il gateway di pagamento genera un token e mantiene una mappatura tra il token e il numero di carta effettivo nel proprio vault. Il token è univoco per quel gateway. Se il merchant si trasferisce a un processore diverso, i token devono essere migrati o raccolti nuovamente perché i token del vecchio gateway non hanno significato per il nuovo processore. Se il titolare della carta ottiene un nuovo numero di carta, il token del gateway deve essere aggiornato, il che richiede tipicamente una nuova raccolta di pagamento dal cliente.

Network tokenization: Il token viene emesso dal circuito stesso (Visa Token Service, Mastercard Digital Enablement Service). Il token è legato alla credenziale della carta a livello di emittente, non solo al numero di carta. Quando il titolare della carta ottiene una carta sostitutiva dopo la scadenza o la perdita, la credenziale sottostante (e quindi il network token) può rimanere valida perché il token si mappa sull'account, non sul numero fisico della carta. Il network token segue l'account piuttosto che essere abbandonato quando il numero di carta cambia.

Questa differenza fondamentale crea diversi vantaggi per i merchant che usano i network token rispetto ai token del gateway, in particolare per la fatturazione ricorrente, le transazioni con credenziali memorizzate e le aziende in abbonamento dove le credenziali della carta vengono memorizzate e riutilizzate per periodi prolungati.

Per i merchant che operano in categorie ad alto rischio che già lavorano con un gateway di pagamento high risk, la network tokenization aggiunge un ulteriore livello di protezione dalle frodi e può migliorare i tassi di autorizzazione con le banche emittenti che prioritizzano le credenziali basate su token nelle loro decisioni di autorizzazione.

Come Funzionano i Network Token in una Transazione di Pagamento

Il ciclo di vita del network token prevede diversi passaggi distinti che nel complesso garantiscono una credenziale di pagamento più sicura e affidabile.

Provisioning del token: Quando un titolare di carta aggiunge una carta al sistema di metodi di pagamento memorizzati di un merchant, il gateway del merchant richiede un network token dal token service del circuito rilevante. La richiesta include il numero di carta, la scadenza e l'ID del richiedente token del merchant. Il circuito valida la carta con l'emittente e restituisce un token (tipicamente 16 cifre nello stesso formato di un PAN) e una chiave crittografica.

Utilizzo nelle transazioni: Quando una transazione successiva usa la credenziale memorizzata, il gateway genera un crittogramma specifico per la transazione usando il network token e la chiave crittografica. La transazione viene inviata all'acquirente con il network token più il crittogramma. L'acquirente lo trasmette al circuito, che de-tokenizza al PAN reale e valida il crittogramma prima di passarlo all'emittente per l'autorizzazione.

Gestione del ciclo di vita del token: Il circuito gestisce la validità del token. Quando la carta di un titolare viene rinnovata, segnalata come smarrita o aggiornata, il circuito può aggiornare automaticamente la mappatura del token senza richiedere al merchant di raccogliere nuovi dettagli della carta dal cliente. Questa funzionalità di aggiornamento dell'account a livello di rete riduce direttamente le transazioni rifiutate causate da numeri di carta scaduti o sostituiti.

Unicità del crittogramma: Ogni transazione genera un crittogramma univoco. Anche se un attore malintenzionato intercetta il token e il crittogramma da una transazione, non può riutilizzarlo perché il crittogramma è monouso e verificato dal circuito. Questo è un standard di sicurezza significativamente più elevato rispetto a un numero di carta statico, che può essere riprodotto su diversi merchant se rubato.

Benefici: Tassi di Autorizzazione più Elevati, Meno Frodi, Migliore Esperienza Cliente

I benefici pratici della network tokenization per i merchant sono misurabili e commercialmente significativi.

Tassi di autorizzazione più elevati: Le banche emittenti trattano le transazioni tokenizzate con maggiore fiducia rispetto alle transazioni card-not-present basate su PAN. Il crittogramma unico per transazione dimostra che il merchant ha un token legittimo emesso dal circuito, il che riduce la probabilità che l'emittente applichi ulteriori frizioni o rifiuti la transazione come precauzione. I merchant che implementano la network tokenization vedono tipicamente miglioramenti nel tasso di autorizzazione dell'1-3%, che su volumi elevati si traduce direttamente in un recupero di fatturato significativo.

Riduzione delle frodi card-not-present: I network token sono inutili al di fuori del loro contesto merchant autorizzato e vengono validati da un crittogramma specifico per transazione che non può essere riprodotto. Un attaccante che ottiene un network token da una violazione dei dati non può usarlo per elaborare transazioni non autorizzate presso altri merchant, a differenza di un PAN grezzo. Questo riduce significativamente l'esposizione alle frodi card-not-present derivanti dal furto di credenziali.

Riduzione dei fallimenti di pagamento dagli aggiornamenti della carta: Per le aziende con fatturazione in abbonamento e ricorrente, la scadenza e la sostituzione della carta sono una fonte costante di fallimenti di pagamento. I network token legati alla credenziale dell'account piuttosto che al numero di carta specifico sono intrinsecamente più resistenti alle modifiche della carta, riducendo il churn involontario da addebiti ricorrenti falliti.

Miglioramento dell'esperienza cliente: I clienti non hanno bisogno di aggiornare i propri dati di pagamento ad ogni rinnovo della carta quando il merchant usa correttamente la network tokenization. La credenziale memorizzata rimane valida attraverso le sostituzioni della carta, riducendo le frizioni nell'aggiornamento delle informazioni di pagamento e i messaggi di notifica che chiedono ai clienti di reinserire i dati della carta.

Spostamento della responsabilità per le dispute fraudolente: Le transazioni tokenizzate possono qualificarsi per protezioni di responsabilità migliorate in determinate categorie di dispute fraudolente, a seconda delle regole specifiche del circuito e del metodo di autenticazione usato insieme al token.

Implementazione: Cosa Serve ai Merchant per Abilitare la Network Tokenization

L'implementazione della network tokenization richiede supporto a livello di gateway e un piccolo numero di modifiche all'integrazione sul lato merchant. La complessità dell'implementazione dipende dall'architettura di integrazione attuale del merchant.

Requisito di capacità del gateway: La network tokenization è disponibile solo tramite gateway che sono richiedenti token registrati con Visa e Mastercard. Non tutti i gateway supportano la network tokenization. Il gateway deve detenere la certificazione appropriata da ciascun circuito per richiedere e gestire network token per conto dei merchant.

Modifiche all'integrazione: Per i merchant che usano un gateway che supporta la network tokenization, la modifica principale riguarda il modo in cui vengono salvate le credenziali memorizzate. Invece di memorizzare un token del gateway, il sistema del merchant memorizza il network token restituito durante il passaggio di provisioning, insieme ai metadati associati. L'invio della transazione cambia per includere il network token e il crittogramma generato dinamicamente anziché un token statico del gateway.

Framework delle credenziali memorizzate: La network tokenization è più preziosa quando combinata con il framework delle credenziali memorizzate del circuito, che definisce come le transazioni successive avviate dal merchant e dal cliente che usano credenziali memorizzate vengono segnalate nella richiesta di autorizzazione. Questo framework, combinato con i network token, fornisce agli emittenti il massimo segnale di fiducia per l'approvazione.

Test in sandbox: L'ambiente sandbox di RoxPay consente ai merchant di testare il provisioning del network token, l'invio di transazioni con token e crittogramma e gli scenari di aggiornamento dell'account usando i numeri di carta di test forniti. La documentazione API completa è disponibile su app.roxpay.eu/api/v4/docs.

Per avviare la tua domanda RoxPay e discutere della capacità di network tokenization per la tua integrazione, il team di onboarding può confermare lo stato attuale del richiedente token e guidare l'implementazione tecnica per il tuo account merchant.

Network Tokenization e Conformità PCI DSS

Il PCI DSS (Payment Card Industry Data Security Standard) richiede ai merchant e ai processori di proteggere i dati del titolare della carta, principalmente il Primary Account Number. La network tokenization ha un impatto diretto sul perimetro PCI DSS del merchant e sugli obblighi di conformità.

Riduzione del perimetro: Quando un merchant usa i network token invece di memorizzare PAN grezzi, il token stesso non è considerato dati del titolare della carta ai sensi del PCI DSS perché non può essere usato per effettuare pagamenti al di fuori del contesto merchant autorizzato senza il crittogramma. Ciò significa che i sistemi che memorizzano i network token possono essere esclusi dal perimetro PCI DSS, riducendo il numero di sistemi, processi e controlli che devono essere inclusi nel programma di conformità.

Non sostituzione completa della conformità PCI: La network tokenization riduce il perimetro ma non elimina tutti gli obblighi PCI. Il gateway e l'infrastruttura di elaborazione dei pagamenti devono ancora mantenere la conformità PCI DSS. I sistemi del merchant coinvolti nei flussi di pagamento rimangono nel perimetro nella misura in cui interagiscono con i dati di pagamento. Il beneficio della riduzione del perimetro è più significativo per i merchant che memorizzano un gran numero di credenziali di carte per la fatturazione in abbonamento.

Certificazione a livello di gateway: Usare un gateway certificato PCI DSS Level 1 è la base. RoxPay detiene la certificazione PCI DSS Level 1 (numero certificato QS83A47X629), il livello di certificazione più elevato, che copre l'intera infrastruttura di elaborazione dei pagamenti. I merchant che usano la drop-in UI o la hosted page di RoxPay non gestiscono dati grezzi della carta sui propri sistemi, riducendo ulteriormente il loro perimetro PCI.

Documentazione per i QSA: Quando un merchant implementa la network tokenization, deve documentare il flusso del token nella documentazione del perimetro PCI DSS per il proprio Qualified Security Assessor. Dimostrare chiaramente che le credenziali tokenizzate piuttosto che i PAN sono memorizzate, e che la generazione del crittogramma avviene nel gateway anziché sull'infrastruttura del merchant, supporta l'argomento per la riduzione del perimetro.

Domande Frequenti

La network tokenization è uguale al 3D Secure?

No. La network tokenization e il 3D Secure sono tecnologie separate che possono essere utilizzate indipendentemente o insieme. La network tokenization sostituisce il numero di carta con un token sicuro per ridurre le frodi sulle credenziali memorizzate. Il 3D Secure è un protocollo di autenticazione che verifica l'identità del titolare della carta durante una transazione. Entrambi migliorano la sicurezza e possono integrarsi reciprocamente, ma affrontano diversi punti nel flusso di pagamento.

I clienti notano qualche differenza quando la network tokenization è abilitata?

Nella maggior parte dei casi, no. L'esperienza di checkout rimane invariata. Il cliente inserisce i propri dati della carta una volta e il gateway fornisce il network token in background. Per i clienti con fatturazione ricorrente, la principale differenza percepibile è che il loro metodo di pagamento ha meno probabilità di rifiutarsi a causa di una carta scaduta e ricevono meno richieste di aggiornare i propri dati di pagamento.

I network token possono essere usati su più merchant?

No. I network token vengono emessi per il contesto d'uso di un merchant specifico. Un token fornito per il Merchant A non può essere usato per elaborare un pagamento presso il Merchant B. Questo legame al dominio è una delle proprietà di sicurezza chiave dei network token: anche se il token viene compromesso, può essere usato solo nel contesto per cui è stato emesso, e solo con il crittogramma corretto specifico per la transazione.

Approfondimenti

Ottimizza i tuoi pagamenti oggi

RoxPay supporta la network tokenization, il 3DS2 e le credenziali memorizzate tokenizzate all'interno di una piattaforma certificata PCI DSS Level 1. Prezzi IC++ da 0,45%, settlement su qualsiasi banca SEPA in 24-48 ore.

Attiva gratuitamente → Parla con un esperto

✓ Nessun costo fisso mensile · ✓ Attivazione in 24 ore · ✓ Supporto tecnico dedicato