Pagare con le carte tramite Apple Pay
Apple Pay può essere usato per pagare gli acquisti nei negozi, all’interno delle app e sui siti web.
Pagare con le carte nei negozi
Se iPhone o Apple Watch sono accesi e rilevano un campo NFC, presentano all’utente la carta richiesta (se è attivata la selezione automatica per la carta) oppure la carta di default, che viene gestita in Impostazioni. L’utente può anche aprire Apple Wallet e scegliere una carta oppure, quando il dispositivo è bloccato:
Può premere due volte il tasto laterale sui dispositivi con Face ID.
Può premere due volte il tasto Home sui dispositivi con Touch ID.
Può utilizzare le funzionalità di accessibilità che consentono di utilizzare Apple Pay dalla schermata di blocco.
Quindi, prima che le informazioni di pagamento vengano trasmesse, l’utente dovrà autenticarsi utilizzando Face ID, Touch ID o il proprio codice. Quando Apple Watch è sbloccato, premendo due volte il tasto laterale si attiva la carta di default per il pagamento. Senza l’autenticazione da parte dell’utente non viene inviata alcuna informazione di pagamento.
Una volta completata l’autenticazione, per elaborare il pagamento vengono utilizzati il numero identificativo del dispositivo e un codice di sicurezza dinamico specifico per la transazione. Né Apple né il dispositivo invieranno all’esercente i numeri completi della carta di credito o di debito. Apple potrebbe ricevere informazioni anonime, per esempio ora e posizione approssimative della transazione, che serviranno a migliorare Apple Pay e altri prodotti e servizi Apple.
Pagare con le carte all’interno delle app
Apple Pay può essere utilizzato anche per effettuare pagamenti nelle app per iOS iPadOS, macOS e watchOS. Quando gli utenti effettuano un pagamento all’interno delle app usando Apple Pay, Apple riceve le informazioni codificate sulla transazione, per instradarle allo sviluppatore o all’esercente. Prima che tali informazioni siano inviate allo sviluppatore o all’esercente, Apple codifica nuovamente la transazione con una chiave specifica dello sviluppatore. Apple Pay conserva informazioni anonime sulla transazione, come l’importo approssimativo. Tali informazioni non permettono di risalire all’utente e non includono mai l’oggetto dell’acquisto.
Quando un’app avvia una transazione di pagamento Apple Pay, i server di Apple Pay ricevono la transazione codificata dal dispositivo prima che questa arrivi all’esercente. I server di Apple Pay codificano nuovamente la transazione con una chiave specifica per l’esercente prima di trasmettergliela.
Quando un’app richiede un pagamento, richiama un’API per determinare se il dispositivo supporta Apple Pay e se l’utente ha carte di credito o di debito che possono essere utilizzate su un circuito di pagamento accettato dall’esercente. L’app richiede le informazioni necessarie per elaborare e completare la transazione, come ad esempio l’indirizzo di fatturazione e spedizione e i dati di contatto. Quindi l’app chiede a iOS, iPadOS, macOS o watchOS di mostrare la schermata di Apple Pay, che richiede informazioni per l’app e altre informazioni necessarie, come ad esempio la carta da utilizzare.
A questo punto vengono fornite all’app le informazioni relative a città, stato e CAP per calcolare le spese di spedizione finali. Il set completo di informazioni viene trasmesso all’app solo quando l’utente autorizza il pagamento con Face ID, Touch ID o con il codice del dispositivo. Una volta autorizzato il pagamento, le informazioni incluse nella schermata di Apple Pay vengono trasferite all’esercente.
Pagare con le carte nelle app clip
Un’app clip è la versione ridotta di un’app che consente agli utenti di svolgere attività rapidamente (come noleggiare una bicicletta o pagare il parcheggio) senza dover scaricare l’intera app. Se un’app clip supporta i pagamento, l’utente può utilizzare “Accedi con Apple”, quindi effettuare un pagamento con Apple Pay. Quando il pagamento viene effettuato dall’interno dell’app clip, le misure a tutela della sicurezza e della privacy sono le stesse che vengono applicate al pagamento effettuato all’interno dell’app completa.
In che modo i pagamenti nelle app vengono autorizzati dagli utenti e verificati dagli esercenti
Gli utenti e gli esercenti garantiscono la sicurezza dei pagamenti nelle app trasferendo informazioni ai server Apple, a Secure Element, al dispositivo e all’API delle app stesse. Per iniziare, quando l’utente autorizza un pagamento in un’app, questa ottiene un valore anti-replay crittografico contattando i server di Apple Pay. I server inviano questo valore e altri dati sulla transazione a Secure Element per calcolare delle credenziali di pagamento, che vengono crittografate con una chiave di Apple. Quindi Secure Element restituisce le credenziali di pagamento ai server di Apple Pay, in modo tale che possano decrittografarlo, verificare il valore anti-replay confrontandolo con quello inviato originariamente dai server di Apple Pay e crittografarlo nuovamente con la chiave dell’esercente associata dell’ID esercente. I server Apple, dunque, restituiscono i dati del pagamento al dispositivo, che li consegna all’API dell’app, che infine li passa al sistema dell’esercente perché possano essere elaborati. L’esercente esegue la decrittografia delle credenziali di pagamento per verificare di essere il destinatario corretto della transazione.
Le API richiedono un’autorizzazione che specifichi gli ID esercente supportati. Un’app può inoltre includere dati aggiuntivi (come il numero di ordine o l’identità del cliente) da inviare a Secure Element per la firma, garantendo che la transazione non possa essere assegnata a un altro cliente. Questo aspetto è gestito dallo sviluppatore dell’app, che può specificare i dati della stringa applicationData per l’oggetto PKPaymentRequest. Un hash di questi dati viene incluso nelle informazioni codificate del pagamento. L’esercente sarà quindi responsabile di verificare che il proprio hash applicationData corrisponda a quanto contenuto nei dati del pagamento.
Pagare con le carte sui siti web
Apple Pay può essere utilizzato per effettuare pagamenti sui siti web su iPhone, iPad, Apple Watch e computer Mac con Touch ID. È anche possibile iniziare una transazione di Apple Pay sul Mac e completarla su un iPhone o Apple Watch che utilizza lo stesso account iCloud ed è abilitato a effettuare acquisti con Apple Pay.
Apple Pay sul web richiede a tutti i siti web che partecipano di registrarsi con Apple. Una volta che il dominio è registrato, la convalida del nome del dominio viene eseguita solo dopo che Apple ha emesso un certificato client TLS. Per potere essere compatibili con Apple Pay, i siti web devono offrire i propri contenuti via HTTPS. Per ogni transazione di pagamento, i siti web devono ottenere una sessione di vendita sicura e unica con un server di Apple tramite il certificato client TLS rilasciato da Apple. I dati della sessione di vendita sono firmati da Apple. Dopo che è stata verificata la firma di una sessione di vendita, il sito web potrebbe inviare una richiesta per sapere se l’utente ha un dispositivo compatibile con Apple Pay e se dispone di una carta di credito, debito o prepagata attivata su tale dispositivo. Non viene condiviso nessun altro dato. Se l’utente non desidera condividere queste informazioni, può disabilitare le richieste di Apple Pay nelle impostazioni relative alla privacy di Safari su iPhone, iPad e Mac.
Una volta convalidata la sessione di vendita, le misure di privacy e sicurezza sono le stesse che vengono adottate quando un utente effettua un pagamento dall’interno di un’app.
Se l’utente sta trasmettendo informazioni relative a un pagamento da un Mac a un iPhone o Apple Watch, Apple Pay utilizza il protocollo di Apple Identity Service (IDS) con codifica end‑to‑end per trasmettere le informazioni relative al pagamento dal Mac dell’utente al dispositivo. Il client IDS sul Mac utilizza le chiavi del dispositivo dell’utente per la crittografia, in modo che nessun altro dispositivo sia in grado di decrittografare tali informazioni e che le chiavi non siano disponibili per Apple. Il rilevamento del dispositivo per il passaggio da un Mac a un dispositivo iOS durante una transazione di Apple Pay contiene il tipo e l’identificatore unico delle carte di credito dell’utente, oltre alcuni metadati. Il numero di conto associato alla carta dell’utente specifico del dispositivo non viene condiviso e rimane archiviato in modo sicuro sull’iPhone o l’Apple Watch dell’utente. Apple trasferisce in modo sicuro tramite il portachiavi iCloud anche gli indirizzi di contatto, fatturazione e spedizione dell’utente usati di recente.
Una volta che l’utente ha autorizzato il pagamento tramite Face ID, Touch ID, un codice oppure premendo due volte il tasto laterale di Apple Watch, viene generato un token di pagamento codificato in modo univoco per ogni certificato di vendita del sito web, che viene trasmesso in modo sicuro da iPhone o Apple Watch al Mac dell’utente e viene quindi consegnato al sito web dell’esercente.
Il pagamento può essere richiesto e completato unicamente da dispositivi tra loro vicini. La vicinanza è determinata mediante segnali Bluetooth Low Energy (BLE).
Pagamenti automatici e token esercente
In iOS 16 o versioni successive, le app e i siti web che supportano Apple Pay possono sfruttare i token esercente di Apple Pay, che consentono di effettuare pagamenti sicuri su tutti i dispositivi dell’utente. La schermata di pagamento aggiornata di Apple Pay su iOS 16 offre anche un’esperienza ottimizzata per i pagamenti preautorizzati. I nuovi tipi di transazioni disponibili nell’API di Apple Pay consentono agli sviluppatori di app e siti web di perfezionare l’esperienza della pagina di pagamento per abbonamenti, bollette ricorrenti, rate e caricamento automatico del saldo delle carte.
I token esercente non sono vincolati a dispositivi specifici, permettendo così la continuità dei pagamenti ricorrenti, nel caso in cui l’utente rimuova una carta di pagamento dal dispositivo.
Pagamenti verso più esercenti
In iOS 16 o versioni successive, Apple Pay offre la possibilità di specificare importi di pagamento per più esercenti in un’unica schermata di pagamento su Apple Pay. In questo modo i clienti avranno la possibilità di effettuare più pagamenti contemporaneamente, ad esempio, se acquistano un pacchetto di viaggio che include un volo, un’auto a noleggio e un hotel e potranno inviare diversi pagamenti ai singoli esercenti.