Le regole per la sicurezza dei pagamenti con terminale virtuale

Emmanuel Charpentier

Emmanuel Charpentier è il redattore di MobileTransaction France. Lavoratore autonomo un po' nerd, è sempre alla ricerca di soluzioni di incasso e pagamento semplici ed efficienti per ogni tipo di attività.

Altro su Emmanuel

Emmanuel Charpentier2023-09-30T10:28:34+02:00Pubblicato: 30 Settembre 2023|Tags: Terminali di pagamento|

I terminali virtuali sono talvolta utilizzati da hotel, ristoranti, compagnie assicurative e altri tipi di attività che si servono della vendita a distanza.

Il cliente trasmette – per telefono o per posta – le informazioni relative alla sua carta di credito al commerciante; quest’ultimo inserisce manualmente tali dati in una piattaforma online nota per l’appunto come terminale virtuale o POS virtuale. In lingua inglese si parla di pagamenti MOTO (Mail order/Telephone order).

È una procedura utile, tuttavia la gestione dei dati delle carte di pagamento appartenenti ai clienti pone alcuni problemi giuridici e tecnici. Ci sono alcune regole da seguire per minimizzare i rischi e garantire la sicurezza.

Usare il POS virtuale è un rischio

Gli incassi tramite terminale virtuali vengono definiti come pagamenti card-not-present (CNP), in italiano “carta non presente”, e presentano un rischio elevato di frode, soprattutto se i suoi dati vengono rubati. Se il tasso di frode è alto, l’esercente si espone al rischio di contestazione di addebito (chargeback) e di sanzioni da parte dei circuiti di pagamento.

Del resto i dati delle carte circolano “in chiaro”, non criptati, affidati al commerciante e ai suoi impiegati che possono potenzialmente farne uso illecito o esporli al rischio furto per comportamento negligente.

Leggi di più nell’articolo Cos’è un terminale virtuale?

Prima di vedere come usare il POS virtuale in condizioni di sicurezza, affrontiamo il problema più spinoso: trattamento e conservazione dei dati.

Attenzione alla conservazione dei dati di carte di pagamento

La regola n.1 è di non memorizzare alcun dato relativo a carte di credito, carte di debito e carte prepagate. Non bisogna conservare nessuna informazione sui propri server, computer né altri spazi di archiviazione – a meno che non siate un’azienda specializzata o comunque a norma nel trattamento di questo tipo di dati.

Per farla breve, diciamo che i vincoli normativi europei (Regolamento Generale sulla Protezione dei Dati o RGPD) e quelli tecnici (norme PCI DSS) sono molto complicati da gestire. Per la cronaca, il RGPD si applica a tutte le imprese che trattano dati personali appartenenti ai residenti dell’Unione Europea.

Se vogliamo comunque memorizzare una parte delle informazioni sulla carta di pagamento, ad esempio per consentire al cliente di effettuare acquisti ricorrenti, occorre passare da un’azienda terza: preferibilmente un servizio cloud certificato PCI Livello 1 e i cui server si trovino in Europa. Attenzione a scegliere bene il fornitore del servizio, poiché sarà co-responsabile in caso di problemi di sicurezza o di proprietà dei dati.

Al massimo si può provare con la registrazione in un solo server o computer per limitare il numero di ambienti di archiviazione (Cardholder Data Environnement), ma anche in questo caso si dovrà essere conformi alle regole PCI.

Un aiuto dal regolamento PCI?

Lo standard PCI DSS è stato introdotto da circuiti come Visa e Mastercard allo scopo di fornire un quadro tecnico per il trattamento delle informazioni su carte di pagamento e transazioni. Queste norme non riguardano il diritto delle persone a disporre dei loro dati, che regolamenta il RGPD. Seguire gli standard PCI non è obbligatorio, ma aiuta a mettersi in regola con uno degli aspetti del RGPD.

Le piccole aziende che elaborano meno di 20.000 transazioni possono accontentarsi delle regole PCI di lievello 4. In questo caso è richiesto semplicemente di compilare un questionario di autocertificazione, chiamato SAQ (Self Assessment Questionnaire).

Il questionario per gli esercenti che si servono di un terminale virtuale e non trattano alcun dato sul posto è il SAQ-A. Occorre naturalmente che l’istituto che prende in carico i dati da remoto sia conforme alle norme PCI. Consulta il SAQ-A (pdf in inglese) sul sito ufficiale dello standard PCI.

Cos’altro fare per rendere sicuro il terminale virtuale?

Proteggere l’ambiente software e hardware installando un antivirus e rimuovendo i programmi malevoli che eseguono screenshots.

Usare un programma cosiddetto scanner di vulnerabilità per trovare eventuali di falle nella sicurezza, ad esempio porte aperte non corrispondenti a nessun programma da noi autorizzato.

Evitare gli spazi aperti. Nessuno deve poter passare alle spalle della persona che inserisce i dati della carta nel terminale virtuale.

Non digitare mai il numero di carta in altri programmi, bensì nel solo terminale virtuale. Non annotare i dati su carta.

Applicare una pellicola privacy sul display per impedire la visualizzazione dello schermo alle persone posizionate ai lati.

Consulta il nostro articolo Sicurezza del POS e rischio frodi

La configurazione del POS virtuale è resa disponibile da alcune banche: consiste nell’impostare un ritardo automatico o manuale tra autorizzazione della transazione e invio dei fondi. In questo modo si avrà tempo per annullare il pagamento in caso di contestazione.

Pensare alla sicurezza dei titolari di carta: implementare il 3DSecure. Si tratta di una doppia autenticazione messa in atto dalla banca del cliente, ad esempio con l’invio di un codice temporaneo via SMS).

E, infine, affidare le operazioni solo a persone fidate.

Soluzione alternativa?

Più sicuro del terminale virtuale è il link di pagamento.

Con questo sistema, si invia una richiesta di pagamento tramite e-mail o SMS al cliente. Quest’ultimo provvede in autonomia a eseguire la transazione su una pagina web (alla quale rimandava il link inviato dall’esercente).

Occorre tuttavia scegliere la soluzione più adatta, sia per quanto concerne le condizioni economiche sia per l’aspetto pratico.

Conclusione: il pagamento per telefono non è per tutti

Per sottoscrivere un servizio MO/TO bisogna avere e dimostrare una concreta necessità d’uso. Generalmente il POS virtuale è disponibile con la stessa banca o società che fornisce il POS fisico, tuttavia richiede un’attivazione e un contratto separato.

Chi necessita realmente di un terminale virtuale dovrebbe mettersi in regola con gli standard PCI di basso livello, attraverso la compilazione del questionario di autovalutazione – o seguendo semplicemente le regole del buon senso.

La più importante regola per proteggere il terminale virtuale è quella di non memorizzare o elaborare alcun dato nei locali della propria azienda o su server remoti. Meglio servirsi di società terze specializzate nel settore, dunque conformi a tutti gli standard di sicurezza PCI. È impossibile mettersi al riparo da tutte le implicazioni del MO/TO, ma rimane un pre-requisito essenziale.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Pubblicità".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è installato dal plugin GDPR Cookie Consent. È utilizzato per conservare il consenso dell'utente per i cookie della categoria "Analitici".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checkbox-necessary	11 months	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è installato dal plugin GDPR Cookie Consent. È utilizzato per conservare il consenso dell'utente per i cookie della categoria "Altro".
cookielawinfo-checkbox-performance	11 months	Questo cookie è installato dal plugin GDPR Cookie Consent. È utilizzato per conservare il consenso dell'utente per i cookie della categoria "Prestazioni".
CookieLawInfoConsent	1 year	Registra lo stato del pulsante predefinito della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie principale.
viewed_cookie_policy	11 months	Installato dal plugin GDPR Cookie Consent. È utilizzato per conservare la preferenza dell'utente sul consenso o il rifiuto all'uso dei cookie. Non conserva dati personali.

Cookie	Durata	Descrizione
_ce.cch	session	Utilizzato per verificare se è possibile aggiungere cookie.
_ce.gtld	session	Utilizzato per identificare il dominio di primo livello.
_CEFT	1 year	Questo cookie memorizza le varianti di pagina assegnate ai visitatori per il test delle prestazioni A/B.
_ga	2 years	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il rapporto di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gid	1 day	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.

Le regole per la sicurezza dei pagamenti con terminale virtuale

Usare il POS virtuale è un rischio

Attenzione alla conservazione dei dati di carte di pagamento

Un aiuto dal regolamento PCI?

Cos’altro fare per rendere sicuro il terminale virtuale?

Soluzione alternativa?

Conclusione: il pagamento per telefono non è per tutti

Condividi questo articolo!

Emmanuel Charpentier

Articoli simili

Bonifico per e-commerce: cos’è, come funziona, come implementare

Come aprire un negozio online: gli step da seguire nell’e-commerce

Guida alle app di delivery: impatto sulle vendite, costi e alternative