Pagare con le carte tramite Apple Pay
Apple Pay può essere usato per pagare gli acquisti nei negozi, all’interno delle app e sui siti web.
Pagare con le carte nei negozi
Se iPhone o Apple Watch sono accesi e rilevano un campo NFC e se Apple Wallet è impostata come app di default per i pagamenti e per il contactless, il dispositivo presenta all’utente la carta richiesta (se è attivata la selezione automatica per la carta) oppure la carta di default di Apple Wallet (che viene gestita in Impostazioni). L’utente può anche aprire Apple Wallet e scegliere una carta oppure, quando il dispositivo è bloccato:
Può premere due volte il tasto laterale sui dispositivi con Face ID (se Apple Wallet è l’app di default).
Può premere due volte il tasto Home sui dispositivi con Touch ID (se Apple Wallet è l’app di default).
Può utilizzare le funzionalità di accessibilità che consentono di utilizzare Apple Pay dalla schermata di blocco.
Successivamente, prima che le informazioni vengano trasmesse, l’utente deve confermare la propria intenzione di pagare ed eseguire l’autenticazione tramite uno dei seguenti metodi:
Autenticazione biometrica
Codice o password del dispositivo
Doppia pressione del tasto laterale di un Apple Watch non bloccato
Senza l’autenticazione da parte dell’utente non viene inviata alcuna informazione di pagamento.
Una volta completata l’autenticazione, per elaborare il pagamento vengono utilizzati il numero di account del dispositivo e un codice di sicurezza dinamico specifico per la transazione. Né Apple né il dispositivo dell’utente condividono con l’esercente il numero completo della carta. Tuttavia, Apple potrebbe ottenere dati anonimi, come l’orario e il luogo della transazione. Tali informazioni aiutano a migliorare Apple Pay e altri servizi Apple.
Pagare con le carte all’interno delle app
Apple Pay può essere utilizzato anche per effettuare pagamenti nelle app per iOS, iPadOS, macOS, watchOS e visionOS. Quando gli utenti effettuano un pagamento all’interno delle app usando Apple Pay, Apple riceve le informazioni crittografate sulla transazione, per instradarle allo sviluppatore o all’esercente specifici verso cui l’utente sta effettuando il pagamento. Prima che tali informazioni siano inviate allo sviluppatore o all’esercente, Apple codifica nuovamente la transazione con una chiave specifica dello sviluppatore. Ciò aiuta a garantire che solo uno sviluppatore autorizzato con la coppia di chiavi possa decodificare le informazioni. Apple Pay conserva informazioni anonime sulla transazione, come l’importo approssimativo. Tali informazioni non permettono di risalire all’utente e non includono mai l’oggetto dell’acquisto.
Oltre che nei negozi, Apple Pay può essere utilizzato anche nelle app per iOS, iPadOS, macOS, watchOS e visionOS. Quando gli utenti pagano nelle app, Apple ottiene i dati crittografati sulla transazione. Tali dati vengono quindi inviati al corretto sviluppatore o esercente. Prima di questa operazione, Apple esegue un ulteriore passaggio crittografico sui dati con una chiave specifica per lo sviluppatore. Ciò garantisce che solo gli sviluppatori autorizzati possano accedervi. Apple Pay conserva dati anonimi, come l’importo degli acquisti. Tuttavia, tali dati non sono collegati agli utenti e non rivelano cosa è stato acquistato.
Quando un’app avvia una transazione di pagamento Apple Pay, i server di Apple Pay ricevono la transazione codificata dal dispositivo prima che questa arrivi all’esercente. I server di Apple Pay codificano nuovamente la transazione con una chiave specifica per l’esercente prima di trasmettergliela.
Quando un’app richiede un pagamento, richiama un’API per determinare se il dispositivo supporta Apple Pay e se l’utente ha carte di credito o di debito che possono essere utilizzate su un circuito di pagamento accettato dall’esercente. L’app richiede le informazioni necessarie per elaborare e completare la transazione, come ad esempio l’indirizzo di fatturazione e spedizione e i dati di contatto. Quindi l’app chiede ad iOS, iPadOS, macOS, watchOS o visionOS di mostrare Apple Pay. La schermata quindi richiede le informazioni per l’app e altri dati necessari, come la carta da utilizzare.
A questo punto, all’app vengono fornite le informazioni relative a città, stato e CAP per calcolare le spese di spedizione finali. Il set completo di informazioni viene trasmesso all’app solo quando l’utente autorizza il pagamento tramite uno dei seguenti metodi:
Autenticazione biometrica
Codice o password del dispositivo
Doppia pressione del tasto laterale di un Apple Watch non bloccato
Una volta autorizzato il pagamento, le informazioni incluse nella schermata di Apple Pay vengono trasferite all’esercente.
Pagare con le carte nelle app clip
Un’app clip è la versione ridotta di un’app che consente agli utenti di svolgere attività rapidamente (come noleggiare una bicicletta o pagare il parcheggio) senza dover scaricare l’intera app. Se l’app clip supporta i pagamenti, l’utente può utilizzare “Accedi con Apple” (se l’opzione è configurata dallo sviluppatore dell’app), quindi effettuare un pagamento con Apple Pay. Quando il pagamento viene effettuato dall’interno dell’app clip, le misure a tutela della sicurezza e della privacy sono le stesse che vengono applicate al pagamento effettuato all’interno dell’app completa.
In che modo i pagamenti nelle app vengono autorizzati dagli utenti e verificati dagli esercenti
Gli utenti e gli esercenti garantiscono la sicurezza dei pagamenti nelle app trasferendo informazioni ai server di Apple Pay, a Secure Element, al dispositivo e all’API delle app stesse. In primo luogo, l’utente autorizza un pagamento in un’app. L’app richiede quindi un valore anti-replay crittografico dai server di Apple Pay. I server inviano questo valore e altri dati sulla transazione a Secure Element, che crea delle credenziali di pagamento che vengono crittografate con una chiave Apple. Secure Element restituisce quindi le credenziali di pagamento ai server di Apple Pay, in modo tale che possano decrittografarle, verificare il valore anti-replay confrontandolo con quello inviato originariamente dai server di Apple Pay e crittografarle nuovamente con la chiave dell’esercente. I server restituiscono quindi i dati del pagamento al dispositivo, che li consegna all’API dell’app, che infine li passa al sistema dell’esercente affinché possano essere elaborati. Infine l’esercente verifica le credenziali di pagamento per confermare la transazione.
Le API richiedono un’autorizzazione che specifichi gli ID esercente supportati. Un’app può inoltre includere dati aggiuntivi (come il numero di ordine o l’identità del cliente) da inviare a Secure Element per la firma, garantendo che la transazione non possa essere assegnata a un altro cliente. Questo aspetto è gestito dallo sviluppatore dell’app, che può specificare dati specifici per l’applicazione (applicationData) sulla richiesta di pagamento. Un hash di questi dati viene incluso nelle informazioni codificate del pagamento. L’esercente sarà quindi responsabile di verificare che il proprio hash applicationData corrisponda a quanto contenuto nei dati del pagamento.
Pagare con le carte sui siti web
Apple Pay può essere utilizzato per effettuare pagamenti sui siti web con i seguenti dispositivi:
Dispositivi che utilizzano l’autenticazione biometrica
Apple Watch
Mac con chip Apple che utilizzano Magic Keyboard con Touch ID
È anche possibile iniziare una transazione di Apple Pay sul Mac e completarla su un iPhone o Apple Watch che utilizza lo stesso account iCloud ed è abilitato a effettuare acquisti con Apple Pay. Se l’utente sta trasmettendo informazioni relative a un pagamento in questo modo, la funzionalità Handoff per Apple Pay utilizza il protocollo Apple Identity Service (IDS) con codifica end‑to‑end per trasmettere le informazioni relative al pagamento dal Mac dell’utente al dispositivo. Il client IDS sul Mac utilizza le chiavi del dispositivo dell’utente per la crittografia, in modo che nessun altro dispositivo sia in grado di decrittografare tali informazioni. Le chiavi non sono rese disponibili ad Apple.
Il rilevamento del dispositivo per il passaggio da un Mac a un dispositivo iOS durante una transazione di Apple Pay contiene il tipo e l’identificatore unico delle carte di credito dell’utente, oltre alcuni metadati. Il numero di account del dispositivo associato alla carta dell’utente non viene condiviso e rimane archiviato in modo sicuro sull’iPhone o l’Apple Watch dell’utente. Apple trasferisce in modo sicuro tramite il portachiavi iCloud anche gli indirizzi di contatto, fatturazione e spedizione dell’utente usati di recente.
Una volta che l’utente ha autorizzato il pagamento, viene generato un token di pagamento codificato in modo univoco per ogni certificato di vendita del sito web, che viene trasmesso in modo sicuro da iPhone o Apple Watch al Mac dell’utente e viene quindi consegnato al sito web dell’esercente.
Nota: il pagamento può essere richiesto e completato unicamente da dispositivi tra loro vicini. La vicinanza è determinata mediante segnali Bluetooth® Low Energy (BLE).
Apple Pay sul web richiede inoltre a tutti i siti web che partecipano di registrarsi con Apple. Una volta che il dominio è registrato, la convalida del nome del dominio viene eseguita solo dopo che Apple ha emesso un certificato client TLS. Per supportare Apple Pay, i siti web devono:
Distribuire i propri contenuti tramite HTTPS.
Ottenere una sessione esercente sicura e unica (per ciascuna transazione di pagamento) con un server Apple tramite il certificato client TLS emesso da Apple.
I dati della sessione di vendita sono firmati da Apple. Dopo che è stata verificata la firma di una sessione di vendita, il sito web potrebbe inviare una richiesta per sapere se l’utente ha un dispositivo compatibile con Apple Pay e se dispone di una carta di credito, debito o prepagata attivata su tale dispositivo. Non viene condiviso nessun altro dato. Se l’utente non desidera condividere queste informazioni, può disabilitare le richieste di Apple Pay nelle impostazioni relative alla privacy di Safari su iPhone, iPad e Mac.
Se il sito web usa la versione più recente dell’SDK JS di Apple Pay, le transazioni Apple Pay possono essere avviate anche da qualsiasi browser web di terze parti su qualsiasi sistema operativo e possono essere completate su un iPhone o iPad compatibile con Apple Pay con iOS 18, iPadOS 18 o versioni successive. Per eseguire l’operazione, è necessario scansionare un codice con la fotocamera del dispositivo in modo da stabilire una connessione con il sito web. Quando il codice viene presentato sul sito web, viene stabilita una connessione sicura WebSocket tra il sito web stesso e i server Apple. Scansionando il codice, viene stabilita un’ulteriore connessione sicura WebSocket tra il dispositivo compatibile con Apple Pay e i server Apple. In questo modo viene completata la connessione bidirezionale necessaria tra il sito web e il dispositivo compatibile con Apple Pay, utilizzando i server Apple come relay. Qualsiasi comunicazione effettuata tra queste due parti seguirà quindi la procedura abituale per le transazioni web di Apple Pay.
Una volta convalidata la sessione di vendita, le misure di privacy e sicurezza sono le stesse che vengono adottate quando un utente effettua un pagamento da un’app.
Pagamenti automatici e token esercente
I dispositivi con iOS 16, iPadOS 16, macOS 13 o versioni successive possono usare i token esercente di Apple Pay, che garantiscono pagamenti sicuri sui dispositivi di un utente. La schermata di pagamento aggiornata di Apple Pay ottimizza i pagamenti preautorizzati. Inoltre, l’API di Apple Pay supporta nuovi tipi di transazione, consentendo agli sviluppatori di personalizzare la schermata di pagamento per usi specifici, come abbonamenti, pagamenti ricorrenti, rate e ricarica automatica dei saldi delle carte.
I token esercente non sono vincolati a dispositivi specifici, permettendo così la continuità dei pagamenti ricorrenti, nel caso in cui l’utente rimuova una carta di pagamento dal dispositivo.
Pagamenti verso più esercenti
In iOS 16 o versioni successive, Apple Pay offre la possibilità di specificare importi di pagamento per più esercenti in un’unica schermata di pagamento su Apple Pay. In questo modo i clienti avranno la possibilità di effettuare più pagamenti contemporaneamente, ad esempio, se acquistano un pacchetto di viaggio che include un volo, un’auto a noleggio e un hotel e potranno inviare diversi pagamenti ai singoli esercenti.