5 risposte su… presente e futuro della PayTech

PROMOZIONE
Lavori con dati e software?
Vuoi essere sicuro di fare le scelte giuste?
Ci sono 4 corsi per te, scoprili e con il codice DATAX50 risparmi 50€ sull’iscrizione a: Big Data Executive, Big Data Analytics, Data governance, Strategie e modelli contrattuali per cedere e acquisire software.

Di che cosa parliamo

1. Come funzionano i pagamenti
2. Quali sono le best practice per la sicurezza dei pagamenti nel cloud
3. Dove stanno andando i pagamenti
4. Che efficacia può avere la blockchain nella PayTech
5. Perché la gestione finanziaria sarà integrata nella prossima generazione di pagamenti
6. Bonus: dove sono le opportunità per avere successo nella PayTech

1. Come funzionano i pagamenti

Le tecnologie che migliorano i pagamenti, le PayTech, sono quelle sfruttabili per consentire il trasferimento digitale di un valore. Nello spazio dei pagamenti, i pagamenti prevedono tre ruoli: transazione, abilitazione e supporto.

Per un pagamento abilitato con carta di credito, il processo di pagamento inizia quando un consumatore desidera pagare un prodotto o servizio. Una volta che il consumatore ha avviato un pagamento sull’interfaccia con il fornitore del valore (rivenditore, negozio online o altro punto di contatto con un fornitore di valore), l’importo della transazione e i dati del consumatore vengono cifrati e autenticati dal processor and payment gateway. Quando i dati sulla transazione raggiungono l’emettitore della carta esibita dal consumatore, la vendita viene approvata o rifiutata. Nel primo caso l’emettitore procederà a inviare i dati sul valore della transazione alla banca del venditore.

Per ogni ruolo svolto dai pagamenti nel percorso del cliente, vi sono anche vari attori, che sono necessari per svolgere ciascuna funzione. In particolare, vi sono tre attori principali coinvolti nel processo di pagamento: l’azienda, il consumatore e le tecnologie dei pagamenti che completano la transazione. Tradizionalmente, questo processo è stato monopolizzato dalle grandi banche, che hanno creato e dettato i termini, sia per le imprese sia per i consumatori.

Ma nel corso degli ultimi anni, le soluzioni innovative create dalle FinTech hanno sovvertito in modo significativo il rapporto fra questi tre attori. Le nuove banche hanno iniziato a offrire ai consumatori prodotti e servizi finanziari alternativi, minacciando l’autonomia delle grandi banche nel settore dei pagamenti. Poiché i consumatori optano continuamente per un’esperienza più digitale, le FinTech sono state agili nel semplificare i processi attraverso la creazione e la fornitura di soluzioni di pagamento affidabili, trasparenti e sicure, con un’esperienza utente continua e personalizzata dalla quale i consumatori si aspettano sempre di più.

Torna all’inizio.

2. Quali sono le best practice per la sicurezza dei pagamenti nel cloud

Le startup operanti nello spazio FinTech/PayTech devono adottare un modello operativo snello, con investimenti iniziali molto contenuti, che consentano loro di sottoporre a test e provare i pagamenti a mano a mano che crescono. Per fare questo hanno bisogno di ospitare i loro servizi su uno dei cloud pubblici condivisi offerti dai principali attori del mercato: Amazon Web Services, Microsoft Azure e Google Cloud.

Ma nello spazio finanziario i servizi finanziari devono affrontare molte sfide: normative rigorose e requisiti di conformità, rischi per la sicurezza, rischi di frode, protezione dei dati dei clienti, per citarne solo alcuni. Come possono i leader di società PayTech garantire la sicurezza del loro servizio finanziario, proteggere la privacy dei loro clienti e rispettare le normative pur rimanendo ospitati su un cloud pubblico condiviso?

Best practice per la sicurezza del cloud

La cosa può essere ottenuta conformandosi alle seguenti best practice nel cloud: per la sicurezza e per assicurarsi che il servizio e i suoi clienti siano sicuri e protetti.

Applicazioni sicure

Tutto inizia con un focus sulla sicurezza durante l’analisi e la progettazione dei requisiti. I team tecnici sono sotto pressione, per fornire innovazioni rapidamente, ma hanno bisogno di essere supportati nel loro tentativo di progettare applicazioni sicure e protette, proteggendo i dati anche da potenziali frodi. Questo è particolarmente importante per le PayTech, perché la fiducia è tutto in questo campo.

Aspetti progettuali importanti sono la registrazione e la verifica dell’identità dei clienti, i controlli per un accesso sicuro (per esempio autenticazioni a due fattori, se necessario, con politiche protette da password complesse), antiriciclaggio e screening delle sanzioni.

Anche la sicurezza del codice è un fattore chiave per proteggere l’azienda da future violazioni dei dati.

Le sessioni utente dovrebbero essere protette mediante una cifratura adeguata, in modo che gli hacker non possano assumere il controllo delle sessioni tramite phishing. Tutte le azioni dell’utente e del sistema devono essere tracciabili e verificabili tramite una registrazione cifrata dettagliata. Nessun dato riservato deve spostarsi come testo in chiaro da nessuna parte e i dati riservati devono essere cifrati sia a riposo sia in movimento. Inoltre, non può essere sottovalutata l’importanza di una corretta gestione delle eccezioni dell’applicazione.

DevOps sicuro

I DevOps gestiscono i rilasci dell’applicazione in varie fasi del ciclo di vita dello sviluppo, guidati dai concetti agili di integrazione continua e distribuzione continua (CI/CD). Devono disporre di un processo per l’automazione dei test di sicurezza, per scoprire eventuali vulnerabilità della versione nelle fasi preliminari del processo. Gli strumenti di test automatizzati devono essere in grado di rilevare problemi di sicurezza dell’applicazione.

Analogamente alle applicazioni, l’automazione deve garantire ai nodi del cloud i giusti controlli di sicurezza, secondo le norme di conformità e le migliori pratiche richieste per il settore.

API sicure

Nel settore dei pagamenti, le integrazioni fra gli attori sono fondamentali per la creazione del valore e molti modelli di business non si sarebbero concretizzati senza le diverse integrazioni dell’ecosistema. Le API (Application Programming Interface) rendono possibili tali integrazioni, migliorando l’agilità e l’esposizione dinamica delle capacità aziendali, che possono promuovere l’innovazione in un servizio o in un’offerta di prodotti.

Con tutti questi vantaggi, arriva anche un elevato rischio di esporre API non sicure o di integrarsi con API non sicure di sviluppatori terzi dell’ecosistema, soprattutto sotto la pressione del time to market. La protezione dell’accesso alla Rete è fondamentale, poiché richiede l’uso di VPN IPSec e altre tecnologie a tunnel sicure, limitando la raggiungibilità attraverso IP inseriti in una whitelist e imponendo l’uso di certificati digitali per l’autenticazione del client su SSL e VPN. Inoltre, tutti i livelli API dovrebbero essere adeguatamente rafforzati e i privilegi assegnati dovrebbero essere limitati ai soli ruoli necessari.

Analogamente a qualsiasi componente software di base, le API dovrebbero applicare tutti gli script di sicurezza necessari e dovrebbero superare tutti i test di sicurezza prima di qualsiasi rilascio in produzione.

Infrastruttura cloud sicura

L’infrastruttura cloud deve essere progettata e configurata per affrontare i rischi per la sicurezza tipici dei fornitori di servizi finanziari. Ogni organizzazione può avere le proprie politiche di sicurezza, ma operare in un determinato dominio, settore o regione può imporre la conformità a specifici standard di sicurezza.

Ciò è particolarmente vero per il settore delle carte di pagamento, dove i circuiti (per esempio Visa e Mastercard) e le banche partner richiedono un controllo da parte di revisori di sicurezza certificati di terze parti, per garantire la conformità con l’ultima versione di PCI-DSS.

I provider di soluzioni cloud (CSP) forniscono framework e componenti dell’infrastruttura condivisa utili per accelerare la conformità. PCI-DSS considera ogni aspetto della gestione e del funzionamento dell’infrastruttura, dalle configurazioni di rete (come le segregazioni in LAN virtuali e gli elenchi di controllo degli accessi) ai componenti di rete (come i DNS, gli switch, i firewall, i firewall col Web, il rilevamento e la protezione dalle intrusioni e i bilanciatori del carico…).

La protezione dei dati delle carte è l’obiettivo finale e tali dati dovrebbero essere sempre trasferiti in un tunnel cifrato sicuro. I dati non devono essere archiviati in memoria, file o database come testo in chiaro, ma sempre cifrati.

Questo è il motivo per cui la gestione forte dell’identità e degli accessi (IAM) è un componente chiave nella selezione del CSP. La IAM si occupa delle politiche e dei controlli di accesso, per garantire che solo chi di dovere abbia l’accesso alle risorse del servizio, e questo per i consumatori, gli amministratori e gli utenti aziendali.

Torna all’inizio.

3. Dove stanno andando i pagamenti

Il modo in cui paghiamo può essere considerato un fenomeno in sé e per sé. Tutto è alimentato dall’accettazione universale dei pagamenti mobili da parte dei consumatori, cosa che ha provocato un cambiamento comportamentale nelle nostre società. Invece di andare a comprare la cena o di chiamare un taxi, possiamo fare entrambe le cose tramite il nostro telefono. Uno dei maggiori driver di questo notevole cambiamento nel comportamento dei consumatori è la crescente necessità di metodi di pagamento comodi e privi di attriti e la proliferazione dei telefoni cellulari, in tutto il mondo.

Poiché il comportamento e l’atteggiamento dei consumatori nei confronti dei pagamenti continuano a evolversi, è necessaria la trasformazione dei mercati finanziari per accogliere tale innovazione.

Piattaforme per i pagamenti

La continua piattaformizzazione delle tecnologie dei pagamenti è uno dei modi più importanti con i quali le FinTech andranno incontro alle crescenti esigenze dei consumatori, alla ricerca di metodi di pagamento sempre più efficienti e personalizzati. Sempre più prodotti finanziari e non diverranno sempre più accessibili tramite dispositivi mobili, competendo con le offerte dei giganti tecnologici come Alipay e WeChat Pay, società che hanno già iniziato a saturare le economie finanziarie.

Oggi qui, domani… dove?

Le tecnologie dei pagamenti diverranno sempre più invisibili. Le grandi aziende tecnologiche, come Amazon, hanno già iniziato a fornire ai consumatori l’opzione di un’esperienza di pagamento di questo tipo. Con il lancio di Amazon Go, pagare gli articoli di acquisto quotidiano è ancora più facile: basta scaricare un’app e ritirare gli articoli desiderati, senza neppure estrarre il telefono o la carta per pagare. Facendo leva sul software di riconoscimento e sull’IA, il futuro dei pagamenti sarà incentrato sulla creazione della migliore esperienza utente: comoda, senza attriti e veloce. Uber è forse il più noto esempio di ciò che saranno domani i pagamenti: invisibili.

Che cosa potrebbe andare storto?

In un ecosistema finanziario trasformato da un sistema bancario aperto, per esempio, le nuove opportunità nelle tecnologie dei pagamenti potrebbero potenzialmente equivalere a nuove opportunità anche per le attività fraudolente. Soprattutto nel corso degli ultimi anni, molte aziende non sono riuscite a proteggere i dati dei consumatori.

Il problema è cresciuto fino a diventare più di una semplice potenziale crisi delle pubbliche relazioni. Procedure di sicurezza più rigorose, nonché l’introduzione di controlli sul modo in cui le aziende archiviano e utilizzano i dati dei consumatori, possono essere una risposta ai governi che implementano una dura legislazione per regolamentare e punire le aziende che non sono riuscite a proteggere i propri clienti dalle frodi e a proteggere se stesse dal riciclaggio di denaro.

Tuttavia, come in ogni economia e regione del globo, la trasformazione tecnologica è in corso ed è inarrestabile. Le normative e il coinvolgimento del governo per mitigare i rischi saranno soddisfatte con maggiori aspettative dei consumatori, con la disponibilità di alternative accessibili a livello globale e con l’adozione di nuovi metodi che diverranno la nuova norma. L’unico punto fermo è che le cose cambieranno.

Torna all’inizio.

4. Quale efficacia può avere la blockchain nella PayTech

La natura decentralizzata della blockchain è anche il suo tallone d’Achille.

Inizialmente il cripto-mining della blockchain ha attratto vari tipi di usi, con una prova di concetto alquanto inadeguata. Le società PayTech e FinTech hanno già fatto un uso massiccio delle tecnologie blockchain, alla ricerca di modi per distribuire il singolo punto di collocazione dei dati e ridurre i rischi di violazione dei dati attraverso l’elevato livello di granularità della blockchain.

PricewaterhouseCoopers, nel 2018, ha definito la blockchain il prossimo salto evolutivo nelle tecnologie dei processi aziendali. Tuttavia, in questo nuovo ambiente, il track record storico non è né abbastanza lungo né abbastanza ricco da fornire statistiche reali sul livello di rischio associato alle implementazioni a blockchain.

Ogni blockchain si basa su nodi, sia per i blocchi delle transazioni sia per i record hash aggiunti e che mantengono l’integrità della blockchain nel suo complesso. Questa natura decentralizzata della blockchain è però anche il tallone d’Achille del sistema.

I nodi della blockchain spesso operano come endpoint all’interno di uno o più ecosistemi IoT (Internet of Things). Gli endpoint sono costantemente sotto attacco e possono essere danneggiati da un malware. Tale malware può infiltrarsi nella blockchain tramite uno dei nodi e corrompere il database distribuito (per esempio il registro di una banca o quello delle transazioni dei pagamenti di un fornitore di wallet di criptovalute).

La cifratura è un buon modo per rendere illeggibili i dati violati, ma se i dati vengono danneggiati non possono essere letti nemmeno dagli utenti legittimi. Alla fine di un attacco di questo tipo, la blockchain dovrà procedere a una hard fork, dividendo la catena in due parti, una canaglia e una seconda legittima (se possibile), o, semplicemente, morire (in termini di valore o per l’enorme numero di utenti che abbandoneranno la piattaforma).

Torna all’inizio.

5. Perché la gestione finanziaria sarà integrata nella prossima generazione di pagamenti

Nel corso degli ultimi anni si sono evolute rapidamente molte soluzioni di pagamento innovative. Di conseguenza, anche lo status quo basato sulle carte deve affrontare nuove sfide. Abbiamo riscontrato che le tre tendenze seguenti sono le forze trainanti più significative alla base di questo processo.

• I player delle BigTech e delle FinTech cercano di avere un posto in prima fila nella corsa all’innovazione dei pagamenti.
• La seconda normativa dell’Unione Europea sui servizi di pagamento (PSD2) sta stimolando la concorrenza nel mercato, creando nuovi ruoli di intermediazione finanziaria. Inoltre, si stanno costruendo infrastrutture di pagamento istantaneo, che definiscono tutto un nuovo campo di gioco.
• Le nuove tecnologie, come la visione artificiale, il riconoscimento vocale, il machine learning e la biometria promettono un’esperienza di acquisto agile che rende il pagamento più semplice e perfino invisibile.

Torna all’inizio.

Bonus: dove sono le opportunità per avere successo nella PayTech

Sebbene gli ecosistemi dei pagamenti statunitensi ed europei siano già ben sviluppati, sono tutt’altro che ideali. Molte cose non sono cambiate in modo significativo nell’ultimo decennio. Per esempio, tutti i pagamenti riguardano sempre conti bancari. Un consumatore non può utilizzare PayPal, Venmo, Zelle o qualsiasi altra piattaforma di pagamento senza collegarsi a un conto bancario.

Esistono diverse aree problematiche in cui si trovano le opportunità.

• C’è sicuramente una tendenza verso processi di pagamento agili. Grandi esempi sono Uber e i negozi Amazon Go senza cassa, dove l’operazione di pagamento è completamente trasparente. Le aziende che forniscono servizi rilevanti per altri settori della vita avranno successo se usano le tecnologie per rendere i pagamenti così facili da essere quasi invisibili ai consumatori.
• L’analisi dei big data è una parola d’ordine da anni; tuttavia, poco è stato fatto in termini di elaborazione dei dati. I dati sulle transazioni contengono informazioni sui consumatori, sulla loro situazione finanziaria e sui beni e servizi che acquistano. Il machine learning consente di analizzare le esperienze dei clienti, con le preferenze e i loro comportamenti. Sulla base dei dati, le società finanziarie possono migliorare l’esperienza del cliente e fidelizzarlo. Tali iniziative possono aiutare molte aziende ad aumentare i loro ricavi e quindi sono le benvenute.
• Un’altra tendenza in crescita nelle PayTech sono gli open data. Regolamenti come la seconda direttiva europea sui servizi di pagamento obbligano le banche ad aprire i propri sistemi a fornitori terzi. Questo crea nuove opportunità per le startup. Tramite interfacce di programmazione delle applicazioni, molti sistemi bancari legacy si stanno integrando con le startup FinTech più flessibili, che si concentrano sulle attività di front-end, sull’efficienza e sulla scalabilità.
• Il cambiamento delle aspettative dei clienti rende quasi impossibile per i prodotti autonomi mostrare un’espansione significativa e redditizia. Il sovvertimento tecnologico incoraggia i consumatori a scegliere le app all-in-one, in cui possono chattare, leggere le notizie, trovare opportunità di lavoro, conoscere, acquistare, donare e investire. WeChat è un ottimo esempio di tale app.
• Gli open data, insieme all’analisi dei dati, rendono i pagamenti parte dell’identità di una persona. Pertanto, la cybersecurity è diventata fondamentale. Le aziende FinTech stanno sviluppando soluzioni per utilizzare l’IA, il machine learning e l’Internet of Things per ridurre al minimo i rischi di violazioni.
• Già nel 2016, le principali banche canadesi hanno iniziato a costruire un ecosistema di identità digitale. Durante il 2018, diversi paesi, fra cui la Thailandia, Singapore e diversi stati dell’Africa occidentale, hanno avviato programmi di identificazione digitale volti a proteggere i cittadini dalle frodi. L’innovazione, in questo settore, è estremamente necessaria.
• Nelle regioni meno sviluppate, come l’Africa, l’America Latina e alcune aree dell’Asia, vi sono opportunità di innovazione ancora maggiori. Qui l’intero ecosistema è ancora in fase di sviluppo. Considerando il contesto culturale delle regioni, i canali di pagamento e l’esperienza dei clienti possono differire in modo significativo. È qui che vale sicuramente la pena di cercare opportunità.

Torna all’inizio.

Questo articolo richiama contenuti da Il manuale della PayTech.

Immagine di apertura di Christiann Koepke su Unsplash.