Marco Giustini

M-commerce e moneta elettronica

di Uriel Fanelli, Kein Pfusch

Torno un poco ad un post sul mio lavoro, e ne approfitto per continuare il discorso sull’m-banking, che tra 2013 e 2014 sara’ uno dei leit-motif delle nuove offerte del mondo mobile. Ho gia’ parlato in passato di m-pesa ( http://www.keinpfusch.net/2011/12/m-banking.html ) e del suo devastante (in senso positivo) impatto sulle economie di 4 paesi africani, ma le nuove proposte che vedo sono molto diverse.

Gestendo un grosso plesso per le comunicazioni M2M via SMS, ovviamente ho una visione limitata della cosa: i sistemi di m-commerce che useranno, per esempio, CAT-TP (una versione semplificata di TCP/IP) non passeranno da me, quindi non ricevero’ nessuna formazione specifica a riguardo. (design, sicurezza, usecases, troubleshooting , e cosi’ via).

Sul mio plesso stanno per passare 6-7 “propositions”, ovvero ci sono delle piccole “costellazioni” di telco e banche/carte di credito/aziende tecnologiche che costruiscono e testano i loro sistemi.

Considerata la dimensione del plesso in questione, potete considerare che solo nel mondo occidentale probabilmente tra 2013  e 2014 verranno lanciate due dozzine di servizi simili, piu’ asia (che a parte India e Cina il mio plesso non copre), e Africa. (Hai detto niente).

Facendo un passo indietro, m-pesa e’ stato il modello piu’ visibile e testato, dal momento che ha alzato di diversi punti percentuali il PIL di quattro paesi africani ( http://www.keinpfusch.net/2011/12/m-banking.html ) ma d’altro canto ha il “piccolo” difetto di non essere multitenant (lascia fuori tutti gli altri Tier-1) e di cancellare o ridurre al lumicino il sistema bancario locale.

Poiche’ le banche non africane hanno dei pregiudizi verso chi le cancella dal mercato, ma a differenza di quelle africane sono anche i finanziatori delle telco stesse, capite subito perche’ il modello m-pesa, con tutta la comodita’ di essere un modello legacy, non sara’ quello esportato nel mondo occidentale.

I giocatori piu’ grandi e piu’ cruciali in questa gara sono, con grande sorpresa, i produttori di SIM. Forse voi pensate che una SIM o una USIM, o una GUSIM, siano degli oggetti molto passivi, o delle semplici memorie, in realta’ sono piccoli calcolatori programmabili che possono svolgere funzioni molto intelligenti.

Il primo tratto comune in tutti i progetti che vedo, o quasi, e’ l’entrata in gioco della smartcard come componente separato, quasi un terminale a parte: a fare da terminale ATM per i pagamenti di fatto non e’ il cellulare, ma la SIM. Questo non dovrebbe stupirvi se pensate che anche la vostra carta di credito e’ una smartcard, ma la coppia di SIM + Cellulare fa si che la vostra carta di credito possa parlare con altri sistemi, con molta piu’ facilita’.

Questo risponde innanzitutto ad una domanda: perche’ dovrei usare il cellulare come carta di credito? la verita’ e’ che in tutte le soluzioni m-commerce che vedo, il cellulare e’ ATTORNO alla carta di credito, e serve a difenderla. Supponiamo infatti che la carta di credito venga rubata: essa verra’ usata o mossa in giro per il mondo, e non sapete dove sia. E specialmente, la vostra carta di credito non puo’ reagire.

Quando la carta di credito e’ dentro un cellulare, invece, la sua smartcard puo’ fare una cosa interessante: mandare un SMS avvisando cosi’ della propria posizione. Poiche’ la SIM necessita del cellulare e della rete mobile per pagare, ma quando entra in rete riporta la propria posizione e riceve comandi , di fatto non appena vi venisse rubata e’ possibile , a seconda del vendor, eseguire delle azioni.

Alcuni hanno sviluppato sistemi che in seguito alla denuncia mandano un SMS alla SIM, con l’ordine di cancellare ogni modulo installato dalla memoria. Non appena il malvivente mettera’ la SIM in rete per comprare con la vostra carta di credito, arrivera’ l’sms e la SIM cancellera’ le chiavi per gli acquisti. Alcuni fornitori hanno aggiunto – a seconda dei cellulari “in scope” – il rilevamento GPS (in coppia con una app ad hoc) oppure un heratbeat silenzioso, un sms binario inviato (gratis) ogni tot minuti, che dal momento del furto traccia la vostra sim. Il delinquente puo’ evitare il problema solo togliendo la sim dal telefono, il che ne esclude il pagamento.

Lavorare con le SIM ovviamente introduce delle criticita’. Innanzitutto occorre designare dei PIN allo scopo, e di PIN liberi non ce n’erano tanti. Alcuni produttori hanno reagito con sim ad hoc, altri identificando PIN non ancora usati. Purtroppo manca uno standard.

L’altro problema e’ la quantita’ piccola di memoria.

Uno dei vantaggi di tutti questi sistemi e’ quella di consolidare tante smartcard in una. Significa che voi passate dall’avere per esempio VISA, AMEX, Lufthansa Miles And More, EC card, Trenitalia card) ad una sola carta contenuta nel telefono. Questo significa che i vari fornitori di servizi (Lufthansa, Visa, Coop, – sto inventando, sia chiaro) federandosi ad una telco potranno “installare” da remoto la loro carta sulla vostra sim. Insomma, anziche’ darvi una carta di credito installano la carta di credito, o la carta servizi,  (o meglio, parte della memoria della smartcard) dentro la SIM.

Qui c’e’ la piu’ completa varieta’ di metodi di installazione: si va da CAT-TP a NFC a TCP-IP , da Bluetooth  sino ad SMS , il che richiede una piu’ o meno grande prossimita’ del vostro cellulare. In alcuni casi l’installazione puo’ avvenire da remoto, in altri casi avviene dentro la filiale dell’ente che vi fornisce il servizio. La comodita’ della mobilita’ in un caso viene poi compensata dalla sicurezza fisica dell’altro, e viceversa.

Suppongo che le banche preferiranno installarvi il bancomat con voi presenti in ufficio, almeno una banca europea sta per diventare un MVNO, ovvero vi vendera’ anche la SIM,  mentre magari servizi piu’ neutrali come Trenitalia, Deutsche Bahn o altri vendor di tessere fedelta’ come i supermercati potranno farlo da remoto.

Qui andiamo alla seconda domanda: qual’e’ il secondo motivo per il quale dovrei passare ad un servizio simile?

La risposta e’ che una sola SIM puo’ consolidare da 5-6 a due dozzine ( a seconda di memoria e modello) di smartcard al proprio interno. Quindi, il vostro cellulare , in quasi tutte le implementazioni che vedo , diventa una specie di terminale universale verso tutti i servizi che necessitano di smartcard.

Ovviamente vi verra’ in mente il problema: e la sicurezza?
Il problema e’ che stanno facendo questa cosa PROPRIO per la sicurezza.
Le banche stanno notando un crescente aumento di frodi sugli ATM, che vengono manomessi per raccogliere credenziali: la loro idea e’ che se sostituiamo l’ ATM con il vostro cellulare, molto probabilmente nessuno riuscira’ a manomettere centomila cellulari. Se invece abbiamo 300 ATM (Bancomat, insomma) in giro in una grossa citta’. e lavorando in squadra riusciamo a manometterli tutti e 300, riusciamo ad impadronirci di decine di migliaia di carte di credito.
Impadronirsi in un giorno di decine di migliaia di cellulari e’ un pochino piu’ complicato, sicuramente, e dal punto di vista della rete mobile un eventuale magazzino con dentro 15.000 cellulari e’ “abbastanza visibile”.
Insomma, se pensate ad una banca che ha in mente di trasferire il suo bancomat sul vostro cellulare, la sicurezza del vostro ‘Bancomat/POS” e’ AUMENTATA. Per avere 15.000 credenziali di carte di credito mi basta assalire 300 bancomat, mentre se lo sposto nel cellulare, devo rubare 15.000 cellulari.
Anche le agenzie di carte di credito desiderano mettere un componente elettronico attivo attorno alla carta. Attualmente, per quanto sicura sia una carta , essa e’ in un certo modo incapace di difendersi se rubata. Mettere attorno ad una carta di credito un cellulare significa che il ladro di carte deve entrare in rete per usarla, ma se entra in rete, allora conosciamo la posizione della carta.
Inoltre, trasformare la carta di credito in un terminale attivo significa che per generare un PIN non avrete piu’ bisogno di hardware dedicato, cioe’ di una chiavetta, ma solo di un software, quando non potrete semplicemente ricevere un SMS col pin stesso.
Dal punto di vista di una VISA o di una mastercard, passare da una carta di credito totalmente inattiva ad una che comunica con la rete e’ un AUMENTO di sicurezza.

Rimane il tema della sicurezza informatica, ovvero il fatto che – nelle architetture che passano per la rete telefonica – occorre garantire che la SIM non venga raggiunta da un hacker.

In questo senso, la coppia MSC/HLR+VLR funziona piuttosto bene, a patto che i messagi OTA possano venire mandati SOLO da apposite piattaforme, di proprieta’ della telco. IN questo senso, la telco lavora sempre come enabler, nella misura in cui fornisce l’ UNICA piattaforma OTA capace di interagire con la carta di credito telefonica, e qualsiasi altro segnale inviato da qualsiasi altra cosa non potra’ raggiungere la SIM stessa: nel mondo legacy SS7, questa condizione e’ facilmente ottenibile, ove “facilmente” significa che e’ MOLTO piu’ facile che da ottenere che nel mondo TCP/IP.

Di conseguenza, credo che oltre ai progetti che seguo come enabler, ci saranno in europa almeno un’altra dozzina o due di “federazioni” di servizi di m-banking , piu’ quelli che decideranno di non usare la rete e basarsi su implementazioni locali, come gia’ fanno alcune aziende di trasporti locali o alcuni supermercati.

Queste soluzioni hanno come player principali:

  1. Banche, Circuiti , in generale fornitori di servizi commerce oggi su smartcard.
  2. Fornitori di Servizi OTA, e relative piattaforme da integrare nelle reti mobili.
  3. Fornitori di interfacce tra igli (1) e gli OTA.
  4. Produttori di SIM sempre piu’ capaci.
  5. Telco, che ospitano gli OTA, distribuiscono le SIM e forniscono la rete mobile.
L’altro vero punto e’ : che genere di successo si prevede per questi servizi. Inizialmente basso, perche’ si tratta di cose che cambiano molto il modo di vivere delle persone, e come se non bastasse non ci sono standard consolidati. Questo significa che tutti sanno di trovarsi nel periodo di interregno tipico che precede la standardizzazione, ovvero quando tanti standard lottano e la fortuna di uno o dell’altro in ultima analisi e’ legata non solo a questioni tecniche, ma alla scelta del mercato, che puo’ anche derivare dalla app piu’ o meno simpatica usata da tizio piuttosto che da caio.
Perche’ lo fanno, allora? Lo fanno perche’ tutti loro sono coscienti che la loro competizione lo stia facendo. Questi enti si spiano a vicenda, alcuni hanno gia’ annunciato alla stampa le loro soluzioni ( http://techcrunch.com/2012/10/29/vodafone-to-launch-mobile-wallet-service-next-year-inks-deals-with-m-commerce-company-corfire-digital-security-firm-gemalto/ ) , e quindi devono esserci piacenti o meno. In Italia il panorama e’ un pochino desolante, e questo sara’, nei prossimi 5 anni, un altro gap tremendo : dopo una buona partenza, con una piattaforma condivisa di API per l’m-commerce (unico paese ad avere unificato le API tra gli operatori concorrenti), adesso sembra che le applicazioni scarseggino. Un prezzo che verra’ pagato carissimo entro cinque anni.

Che genere di societa’ avrete, che genere di economia avrete con un bancomat in tasca? Ho visto alcune slides con le “previsioni” di alcune grosse societa’ di consulenza (Goldman Sachs, McKinsey, et al) e devo dire che le idee sono molte e ben confuse, dandomi una sensazione tipo questa:

http://dilbert.com/strips/comic/2013-05-15/

Scherzi a parte, queste aziende di consulenza strategica puntano il dito sempre e comunque sulla facilita’ di dematerializzare il negozio, ovvero trasformare il negozio in un ente che puo’ venire a casa vostra, avendo tutto quel che serve per pagare e registrare il pagamento. In effetti, ci si chiede come mai uno non possa aprire un negozio di vestiti mobile, che su chiamata venga la sera a casa vostra a mostrarvi alcuni vestiti (tipo lo chiamate e dite “devo procurarmi un vestito da sera, ho 40 anni, donna, porto questa taglia) e arrivi a casa un tizio con un piccolo campionario a vendervelo.(1)
In pratica, cioe’, rende molto facile per qualsiasi negozio avere una rete di venditori a domicilio, e la possibilita’ di avere pagamenti semplici con chiunque abbia un cellulare e si avvicini abbastanza a voi: idraulici, parrucchieri a domicilio, eccetera.
Oltre alla smaterializzazione del negozio e alla possibilita’ di portarlo a domicilio (od ovunque sia richiesto) , l’altro punto identificato e’ l’aumento di sicurezza. Come abbiamo detto, svincolarsi dal bancomat fisico per le banche diventa sempre piu’ urgente, perche’ essi sono oggetto di assalti che possono colpire migliaia di clienti alla volta, e anche il problema delle carte di credito smarrite/rubate/contraffatte e’ molto forte.
Un brusco aumento di sicurezza nei pagamenti ha effetti ancora ignoti, e soltanto un’azienda di consulenza (attualmente produce antivirus e sistemi anti-theft per cellulari, ed e’ l’unica ad avere fatti da mostrare) e’ stata capace di fornire una visione, ovvero il fatto che il “trust” nel canale impatta poco le operazioni di basso valore, ma rende piu’ frequenti le operazioni di maggior valore.
In definitiva, l’unica azienda a mostrare dei fatti ha mostrato come una diminuzione del rischio su un canale impatta prima le transazioni assicurate, che diventano meno costose. Di conseguenza, il problema non e’ se Amazon potra’ vendervi 100 euro di cose pagando in questo modo; il costo di questa operazione non cambia molto dal punto di vista di Amazon. Il problema semmai sara’ se un negozio potra’ vendervi con piu’ sicurezza (usando la carta di credito) roba normalmente assicurata, cioe’ molto costosa.

Altre societa’ di consulenza ci hanno mostrato le loro slides riguardo al possibile forecast di questi servizi (2), ma a parte pochi qualificati che menzionavano dei fatti (cioe’, gente che in passato ha fatto cose simili su larga scala e tenta di capire cosa sia successo) gli altri mi sono sembrati dei futurologi.

Ora, il motivo per cui non ho fatto di questo blog un blog 100% tecnico e’ che ODIO i futurologi. E quindi non voglio diventarlo.

Voglio dire,  chi poteva prevedere l’exploit dei tablet? Alcuni futurologi potevano forse predirlo, e se mille persone predicono di tutto, dal pollo-velociraptor al download di prostitute, qualcuno ci azzecchera’, tantevvero che si vedono in giro polli ferocissimi alti due metri e mezzo. I quali attraversano la strada, inspiegabilmente.

A parte i futurologi, c’era qualcuno che poteva prevedere il successo dei tablet? Certo: Steve Jobs, per esempio. Indubbiamente la sua versione sarebbe stata di parte, e quindi piu’ che di una previsione si sarebbe parlato di visione, ma almeno poteva mostrarvi dei FATTI: “Alla Apple stiamo costruendo iPad e lo metteremo in commercio il tale giorno”. Ok, puo’ avere successo o meno, ma almeno c’e’ un cazzo di FATTO sotto. Quindi, se proprio volessi scegliere un futurologo, sceglierei chi FA le cose. Potra’ sbagliare o meno sul successo, ma almeno ha dalla sua il fatto di star FACENDO delle cose. Ha qualcosa da mostrare.

Ma uno stronzo che passa la vita nei suoi vigneti in california e non sa riparare un interruttore di casa, non deve venirmi a scassare la minchia solo perche’ immagina un mondo cosi’ e cosa’. Ma che cazzo credete, che agli altri manchi l’immaginazione, o che bastino una barba , una pancia e una camicia (pessima persino per gli standard bavaresi) per prevedere il futuro?

Cosi’, deve essere chiaro che – nei limiti degli NDA che firmo – sto descrivendo cose che vedo, in alcuni casi ci sono cose che faccio, ma NON sono un “futurologo”. Posso dirvi come funzionano(3) 6-7 servizi che si integrano da noi (e quindi, ce ne saranno una trentina identici su scala della singola nazione, moltiplicato per gli altri continenti) e che usano le tecnologie che usiamo noi (e quindi lasciamo fuori altre decine di idee)  , posso dirvi come la vedono le aziende che ci si stanno buttando, ma se mi chiedete come sara’ il mondo tra dieci anni vi posso dire che PROBABILMENTE, MOLTO PROBABILMENTE ci sara’ una grossa percentuale di m-commerce , ma non e’ che ci vivi con una simile “previsione”. Almeno, io non riesco a farmi pagare per questo.

Forse dovrei coltivare uva in California, o vivere in un faro al largo di Dover, usare camicie orribili, farmi crescere un barbone ed ingrassare moltissimo.

E specialmente, trovare polli disposti a pagarmi per questo.

Nel frattempo, credo che vi dovrete accontentare di quello che scrivo. Non vi parlo di come il vostro cellulare fara’ il download della vostra fidanzata dalla rete, ma cosa volete, il futuro non e’ piu’ quello di una volta.

Uriel
(1) Non prendetevela con me, questo esempio viene da un tizio che evidentemente ama comprare vestiti.
(2) Si, dobbiamo sapere come gestire la capacita’. Presto potremmo trovarci nelle condizioni di avere i saldi online, o saldi pagati con sistemi di acquisto M2M, e quindi una semplice stagione dei saldi potrebbe alzare il traffico.
(3) Nei limiti dell’ NDA significa che posso menzionare tecnologie standard, roba che si studia a scuola per chi ci arriva, e che magari e’ ignota agli altri.

Lascia un commento