Pagare con le carte tramite Apple Pay
Apple Pay può essere usato per pagare gli acquisti nei negozi, all'interno delle app e sui siti web.
Pagare con le carte nei negozi
Se iPhone o Apple Watch sono accesi e rilevano un campo NFC, presentano all'utente la carta richiesta (se è attivata la selezione automatica per la carta) oppure la carta di default, che viene gestita in Impostazioni. L'utente può anche aprire Apple Wallet e scegliere una carta oppure, quando il dispositivo è bloccato:
Può premere due volte il tasto laterale sui dispositivi con Face ID.
Può premere due volte il tasto Home sui dispositivi con Touch ID.
Può utilizzare le funzionalità di accessibilità che consentono di utilizzare Apple Pay dalla schermata di blocco.
Quindi, prima che le informazioni di pagamento vengano trasmesse, l'utente dovrà autenticarsi utilizzando Face ID, Touch ID o il proprio codice. Quando Apple Watch è sbloccato, premendo due volte il tasto laterale si attiva la carta di default per il pagamento. Senza l'autenticazione da parte dell'utente non viene inviata alcuna informazione di pagamento.
Una volta completata l'autenticazione, per elaborare il pagamento vengono utilizzati il numero identificativo del dispositivo e un codice di sicurezza dinamico specifico per la transazione. Né Apple né il dispositivo invieranno all'esercente i numeri completi della carta di credito o di debito. Apple potrebbe ricevere informazioni anonime, per esempio ora e posizione approssimative della transazione, che serviranno a migliorare Apple Pay e altri prodotti e servizi Apple.
Pagare con le carte all'interno delle app
Apple Pay può essere utilizzato anche per effettuare pagamenti nelle app su iPhone e iPad, Mac e Apple Watch. Quando gli utenti effettuano un pagamento all'interno delle app usando Apple Pay, Apple riceve le informazioni codificate sulla transazione. Prima che tali informazioni siano inviate allo sviluppatore o all'esercente, Apple codifica nuovamente la transazione con una chiave specifica dello sviluppatore. Apple Pay conserva informazioni anonime sulla transazione, come l'importo approssimativo. Tali informazioni non permettono di risalire all'utente e non includono mai l'oggetto dell'acquisto.
Quando un'app avvia una transazione di pagamento Apple Pay, i server di Apple Pay ricevono la transazione codificata dal dispositivo prima che questa arrivi all'esercente. I server di Apple Pay codificano nuovamente la transazione con una chiave specifica per l'esercente prima di trasmettergliela.
Quando un'app richiede un pagamento, richiama un'API per determinare se il dispositivo supporta Apple Pay e se l'utente ha carte di credito o di debito che possono essere utilizzate su un circuito di pagamento accettato dall'esercente. L'app richiede le informazioni necessarie per elaborare e completare la transazione, come ad esempio l'indirizzo di fatturazione e spedizione e i dati di contatto. Quindi l'app chiede a iOS, iPadOS o watchOS di mostrare la schermata di Apple Pay, che richiede informazioni per l'app e altre informazioni necessarie, come ad esempio la carta da utilizzare.
A questo punto vengono fornite all'app le informazioni relative a città, stato e CAP per calcolare le spese di spedizione finali. Il set completo di informazioni viene trasmesso all'app solo quando l'utente autorizza il pagamento con Face ID, Touch ID o con il codice del dispositivo. Una volta autorizzato il pagamento, le informazioni incluse nella schermata di Apple Pay vengono trasferite all'esercente.
Autorizzare i pagamenti nelle app
Quando l'utente autorizza il pagamento, viene inviata una richiesta ai server di Apple Pay per ottenere un nonce di crittografia, che è simile al valore restituito dal terminale NFC durante le transazioni in negozio. Il nonce viene trasmesso a Secure Element insieme ad altri dati sulla transazione, così da calcolare una credenziale di pagamento che viene codificata con una chiave Apple. La credenziale di pagamento crittografata viene inoltrata ai server Apple Pay, che la decrittografano e confrontano il nonce al suo interno con il nonce originariamente inviato dai server di Apple Pay; la credenziale viene quindi crittografata nuovamente con la chiave associata all'ID esercente. A questo punto il pagamento viene restituito al dispositivo, che lo trasferisce all'app attraverso l'API. L'app comunica quindi la credenziale al sistema dell'esercente per l'elaborazione. L'esercente potrà decrittografare la credenziale di pagamento con la propria chiave privata. Unitamente alla firma ricevuta dai server Apple, ciò permette all'esercente di verificare che la transazione non fosse destinata ad altri.
Le API richiedono un'autorizzazione che specifichi gli ID esercente supportati. Un'app può inoltre includere dati aggiuntivi (come il numero di ordine o l'identità del cliente) da inviare a Secure Element per la firma, garantendo che la transazione non possa essere assegnata a un altro cliente. Questo aspetto è gestito dallo sviluppatore dell'app, che può specificare applicationData per PKPaymentRequest. Un hash di questi dati viene incluso nelle informazioni codificate del pagamento. L'esercente sarà quindi responsabile di verificare che il proprio hash applicationData corrisponda a quanto contenuto nei dati del pagamento.
Pagare con le carte sui siti web
Apple Pay può essere utilizzato per effettuare pagamenti sui siti web su iPhone, iPad, Apple Watch e computer Mac con Touch ID. È anche possibile iniziare una transazione di Apple Pay sul Mac e completarla su un iPhone o Apple Watch che utilizza lo stesso account iCloud ed è abilitato a effettuare acquisti con Apple Pay.
Apple Pay sul web richiede a tutti i siti web che partecipano di registrarsi con Apple. Una volta che il dominio è registrato, la convalida del nome del dominio viene eseguita solo dopo che Apple ha emesso un certificato client TLS. Per potere essere compatibili con Apple Pay, i siti web devono offrire i propri contenuti via HTTPS. Per ogni transazione di pagamento, i siti web devono ottenere una sessione di vendita sicura e unica con un server di Apple tramite il certificato client TLS rilasciato da Apple. I dati della sessione di vendita sono firmati da Apple. Dopo che è stata verificata la firma di una sessione di vendita, il sito web potrebbe inviare una richiesta per sapere se l'utente ha un dispositivo compatibile con Apple Pay e se dispone di una carta di credito, debito o prepagata attivata su tale dispositivo. Non viene condiviso nessun altro dato. Se l'utente non desidera condividere queste informazioni, può disabilitare le richieste di Apple Pay nelle impostazioni relative alla privacy di Safari su iPhone, iPad e Mac.
Una volta convalidata la sessione di vendita, le misure di privacy e sicurezza sono le stesse che vengono adottate quando un utente effettua un pagamento dall'interno di un'app.
Se l'utente sta trasmettendo informazioni relative a un pagamento da un Mac a un iPhone o Apple Watch, Apple Pay utilizza il protocollo di Apple Identity Service (IDS) con codifica end‑to‑end per trasmettere le informazioni relative al pagamento dal Mac dell'utente al dispositivo. Il client IDS sul Mac utilizza le chiavi del dispositivo dell'utente per la crittografia, in modo che nessun altro dispositivo sia in grado di decrittografare tali informazioni e che le chiavi non siano disponibili per Apple. Il rilevamento del dispositivo per il passaggio da un Mac a un dispositivo iOS durante una transazione di Apple Pay contiene il tipo e l'identificatore unico delle carte di credito dell'utente, oltre alcuni metadati. Il numero di conto associato alla carta dell'utente specifico del dispositivo non viene condiviso e rimane archiviato in modo sicuro sull'iPhone o l'Apple Watch dell'utente. Apple trasferisce in modo sicuro tramite il portachiavi iCloud anche gli indirizzi di contatto, fatturazione e spedizione dell'utente usati di recente.
Una volta che l'utente ha autorizzato il pagamento tramite Face ID, Touch ID, un codice oppure premendo due volte il tasto laterale di Apple Watch, viene generato un token di pagamento codificato in modo univoco per ogni certificato di vendita del sito web, che viene trasmesso in modo sicuro da iPhone o Apple Watch al Mac dell'utente e viene quindi consegnato al sito web dell'esercente.
Il pagamento può essere richiesto e completato unicamente da dispositivi tra loro vicini. La vicinanza è determinata mediante segnali Bluetooth Low Energy (BLE).