Effettuate un ordine su Amazon, convalidate il pagamento e in nessun momento vi viene chiesto il codice di tre cifre sul retro della vostra carta. Su molti altri siti di e-commerce, questo codice (il codice di sicurezza, o CVV) è richiesto sistematicamente. Amazon funziona in modo diverso, e questa scelta si basa su meccanismi tecnici precisi.
Tokenizzazione delle carte di credito: cosa memorizza realmente Amazon
Quando registrate una carta su Amazon, il sito non conserva il numero della vostra carta così com’è. Utilizza un sistema chiamato tokenizzazione EMV, uno standard supportato dalle reti di pagamento internazionali. Il principio: il vostro numero reale viene sostituito da un token digitale unico, un “token”, che funge da riferimento per le transazioni future.
Ulteriori letture : I tumultuosi amori delle celebrità: il caso di Melissa Gilbert
Questo token è riutilizzabile. Ad ogni nuovo acquisto, Amazon trasmette questo token alla rete di pagamento senza manipolare direttamente il vostro numero di carta né il vostro codice di sicurezza. Le reti Visa e Mastercard hanno implementato programmi specifici per i grandi commercianti idonei a questa tokenizzazione. Amazon ne fa parte.
Il codice di sicurezza quindi non ha più un ruolo da svolgere dopo la prima registrazione. Può essere stato richiesto una sola volta, durante l’aggiunta della carta, per verificare che foste effettivamente il titolare. Successivamente, il token prende il sopravvento. Se vi state chiedendo perché Amazon non richiede il 3d secure ad ogni ordine, è questo meccanismo che lo spiega in gran parte.
Da scoprire anche : Come navigare in sicurezza sui siti di torrent?
Autenticazione forte e DSP2: il ruolo della vostra banca
Avrete forse notato che Amazon a volte vi reindirizza all’app della vostra banca per convalidare un acquisto. Non è un caso. Dall’implementazione della direttiva europea DSP2 (seconda direttiva sui servizi di pagamento), l’autenticazione forte è obbligatoria per i pagamenti online in Europa.
L’autenticazione forte si basa su due fattori tra tre categorie possibili:
- Qualcosa che conoscete (un codice segreto, una password)
- Qualcosa che possedete (il vostro telefono, una carta fisica)
- Qualcosa che siete (impronta digitale, riconoscimento facciale)
Il codice di sicurezza a tre cifre non rientra in nessuna di queste categorie in modo robusto. È un codice statico, stampato sulla carta, facile da copiare. La DSP2 ha spinto le banche a sviluppare validazioni più affidabili: notifica sull’app bancaria, codice SMS temporaneo, biometria.
È la vostra banca a innescare questa verifica, non Amazon. Il commerciante trasmette i dati della transazione e la banca emittente decide il livello di autenticazione richiesto. Amazon può quindi fare a meno del codice di sicurezza perché la sicurezza si basa su un altro anello della catena.
Esenzioni all’autenticazione forte: perché alcuni acquisti passano senza convalida
Avrete senza dubbio notato che non tutti i vostri acquisti su Amazon attivano una verifica bancaria. Alcuni ordini passano direttamente, senza codice SMS né notifica. La DSP2 prevede esenzioni per rendere più fluido il percorso d’acquisto.
I casi in cui l’autenticazione forte può essere elusa:
- Le transazioni di basso importo (sotto una soglia definita dalla banca)
- I pagamenti ricorrenti presso un medesimo commerciante identificato come “affidabile”
- Le transazioni considerate a basso rischio dall’analisi della banca o del fornitore di pagamento
Amazon ha un tasso di frode molto basso sulle sue transazioni. Questo basso tasso di frode le consente di beneficiare di esenzioni più ampie presso le reti di pagamento. Quando un commerciante dimostra una storia di sicurezza solida, le banche accettano di convalidare un numero maggiore di transazioni senza autenticazione aggiuntiva.
Il codice di sicurezza diventa quindi doppiamente inutile: il token sostituisce il numero della carta e l’esenzione DSP2 esonera dalla verifica bancaria classica.
Sicurezza del pagamento Amazon senza codice di sicurezza: i limiti da conoscere
Questo sistema è complessivamente affidabile, ma sposta la responsabilità. Se qualcuno accede al vostro account Amazon (password compromessa, sessione aperta su un dispositivo condiviso), può effettuare ordini senza mai aver bisogno della vostra carta fisica. La protezione del vostro account Amazon diventa il vero lucchetto di sicurezza.
Attivare la verifica in due passaggi sul vostro account Amazon è la misura più efficace. Senza di essa, una password rubata è sufficiente per ordinare con le vostre carte registrate, poiché né il numero completo né il codice di sicurezza verranno richiesti nuovamente.
Cosa potete fare concretamente
Verificate che l’autenticazione a due fattori sia attiva nelle impostazioni di accesso del vostro account. Rimuovete le carte che non utilizzate più. Controllate regolarmente l’elenco dei dispositivi connessi al vostro account Amazon per individuare eventuali sessioni sconosciute.
Il codice di sicurezza non è mai stato concepito come una barriera forte. È un codice statico, visibile da chiunque abbia la carta in mano. La tokenizzazione e l’autenticazione bancaria tramite la DSP2 offrono un livello di protezione superiore, a condizione che l’accesso al vostro account rimanga sicuro da parte vostra.
Amazon ha scelto la fluidità facendo affidamento su tecnologie di pagamento che rendono il codice di sicurezza obsoleto nel contesto di transazioni ricorrenti. Non è un’assenza né un’accorciamento della sicurezza: è un’architettura in cui ogni attore (commerciante, rete di carte, banca) gioca un ruolo distinto. La sicurezza della vostra password rimane l’unico elemento che solo voi potete garantire.