I terminali virtuali sono talvolta utilizzati da hotel, ristoranti, compagnie assicurative e altri tipi di attività che si servono della vendita a distanza.
Il cliente trasmette – per telefono o per posta – le informazioni relative alla sua carta di credito al commerciante; quest’ultimo inserisce manualmente tali dati in una piattaforma online nota per l’appunto come terminale virtuale o POS virtuale. In lingua inglese si parla di pagamenti MOTO (Mail order/Telephone order).
È una procedura utile, tuttavia la gestione dei dati delle carte di pagamento appartenenti ai clienti pone alcuni problemi giuridici e tecnici. Ci sono alcune regole da seguire per minimizzare i rischi e garantire la sicurezza.
Usare il POS virtuale è un rischio
Gli incassi tramite terminale virtuali vengono definiti come pagamenti card-not-present (CNP), in italiano “carta non presente”, e presentano un rischio elevato di frode, soprattutto se i suoi dati vengono rubati. Se il tasso di frode è alto, l’esercente si espone al rischio di contestazione di addebito (chargeback) e di sanzioni da parte dei circuiti di pagamento.
Del resto i dati delle carte circolano “in chiaro”, non criptati, affidati al commerciante e ai suoi impiegati che possono potenzialmente farne uso illecito o esporli al rischio furto per comportamento negligente.
Leggi di più nell’articolo Cos’è un terminale virtuale?
Prima di vedere come usare il POS virtuale in condizioni di sicurezza, affrontiamo il problema più spinoso: trattamento e conservazione dei dati.
Attenzione alla conservazione dei dati di carte di pagamento
La regola n.1 è di non memorizzare alcun dato relativo a carte di credito, carte di debito e carte prepagate. Non bisogna conservare nessuna informazione sui propri server, computer né altri spazi di archiviazione – a meno che non siate un’azienda specializzata o comunque a norma nel trattamento di questo tipo di dati.
Per farla breve, diciamo che i vincoli normativi europei (Regolamento Generale sulla Protezione dei Dati o RGPD) e quelli tecnici (norme PCI DSS) sono molto complicati da gestire. Per la cronaca, il RGPD si applica a tutte le imprese che trattano dati personali appartenenti ai residenti dell’Unione Europea.
Se vogliamo comunque memorizzare una parte delle informazioni sulla carta di pagamento, ad esempio per consentire al cliente di effettuare acquisti ricorrenti, occorre passare da un’azienda terza: preferibilmente un servizio cloud certificato PCI Livello 1 e i cui server si trovino in Europa. Attenzione a scegliere bene il fornitore del servizio, poiché sarà co-responsabile in caso di problemi di sicurezza o di proprietà dei dati.
Al massimo si può provare con la registrazione in un solo server o computer per limitare il numero di ambienti di archiviazione (Cardholder Data Environnement), ma anche in questo caso si dovrà essere conformi alle regole PCI.
Un aiuto dal regolamento PCI?
Lo standard PCI DSS è stato introdotto da circuiti come Visa e Mastercard allo scopo di fornire un quadro tecnico per il trattamento delle informazioni su carte di pagamento e transazioni. Queste norme non riguardano il diritto delle persone a disporre dei loro dati, che regolamenta il RGPD. Seguire gli standard PCI non è obbligatorio, ma aiuta a mettersi in regola con uno degli aspetti del RGPD.
Le piccole aziende che elaborano meno di 20.000 transazioni possono accontentarsi delle regole PCI di lievello 4. In questo caso è richiesto semplicemente di compilare un questionario di autocertificazione, chiamato SAQ (Self Assessment Questionnaire).
Il questionario per gli esercenti che si servono di un terminale virtuale e non trattano alcun dato sul posto è il SAQ-A. Occorre naturalmente che l’istituto che prende in carico i dati da remoto sia conforme alle norme PCI. Consulta il SAQ-A (pdf in inglese) sul sito ufficiale dello standard PCI.
Cos’altro fare per rendere sicuro il terminale virtuale?
Proteggere l’ambiente software e hardware installando un antivirus e rimuovendo i programmi malevoli che eseguono screenshots.
Usare un programma cosiddetto scanner di vulnerabilità per trovare eventuali di falle nella sicurezza, ad esempio porte aperte non corrispondenti a nessun programma da noi autorizzato.
Evitare gli spazi aperti. Nessuno deve poter passare alle spalle della persona che inserisce i dati della carta nel terminale virtuale.
Non digitare mai il numero di carta in altri programmi, bensì nel solo terminale virtuale. Non annotare i dati su carta.
Applicare una pellicola privacy sul display per impedire la visualizzazione dello schermo alle persone posizionate ai lati.
Consulta il nostro articolo Sicurezza del POS e rischio frodi
La configurazione del POS virtuale è resa disponibile da alcune banche: consiste nell’impostare un ritardo automatico o manuale tra autorizzazione della transazione e invio dei fondi. In questo modo si avrà tempo per annullare il pagamento in caso di contestazione.
Pensare alla sicurezza dei titolari di carta: implementare il 3DSecure. Si tratta di una doppia autenticazione messa in atto dalla banca del cliente, ad esempio con l’invio di un codice temporaneo via SMS).
E, infine, affidare le operazioni solo a persone fidate.
Soluzione alternativa?
Più sicuro del terminale virtuale è il link di pagamento.
Con questo sistema, si invia una richiesta di pagamento tramite e-mail o SMS al cliente. Quest’ultimo provvede in autonomia a eseguire la transazione su una pagina web (alla quale rimandava il link inviato dall’esercente).
Occorre tuttavia scegliere la soluzione più adatta, sia per quanto concerne le condizioni economiche sia per l’aspetto pratico.
Conclusione: il pagamento per telefono non è per tutti
Per sottoscrivere un servizio MO/TO bisogna avere e dimostrare una concreta necessità d’uso. Generalmente il POS virtuale è disponibile con la stessa banca o società che fornisce il POS fisico, tuttavia richiede un’attivazione e un contratto separato.
Chi necessita realmente di un terminale virtuale dovrebbe mettersi in regola con gli standard PCI di basso livello, attraverso la compilazione del questionario di autovalutazione – o seguendo semplicemente le regole del buon senso.
La più importante regola per proteggere il terminale virtuale è quella di non memorizzare o elaborare alcun dato nei locali della propria azienda o su server remoti. Meglio servirsi di società terze specializzate nel settore, dunque conformi a tutti gli standard di sicurezza PCI. È impossibile mettersi al riparo da tutte le implicazioni del MO/TO, ma rimane un pre-requisito essenziale.