Convegno ABI Carte 2003 Roma, 6 e 7 novembre Oltre i pagamenti: carte a microprocessore e servizi a valore aggiunto intervento a cura di Marco Torri Direzione Vendite Oberthur Card Systems Italia
AGENDA Parte I Parte II Parte III Una breve introduzione a Oberthur Card Systems Le carte a microprocessore per l emigrazione l EMV Oltre i pagamenti: alcuni semplici servizi a valore aggiunto da implementare sulle attuali carte a microprocessore
Oberthur Card Systems: alcuni dati di sintesi 1/2 OCS NEL MONDO 3000 Impiegati 440 Meuro di fatturato nel 2002: 36% carte bancarie 29% carte sim per la telefonia mobile 18% servizi di personalizzazione di carte bancarie 8% carte di identità e sicurezza 9% altri prodotti e servizi EBITDA pari a 37,7 Meuro Uffici commerciali e siti produttivi in 21 Paesi OCS IN ITALIA Dati finanziari 140 Impiegati 49 Meuro di fatturato nel 2002: 59% smart card (= sim + carte bancarie) 41% produzione locale (= prod + perso) EBITDA pari a 7,2 Meuro Sito di produzione e personalizzazione certificato da VISA e Mastercard sia per la banda magnetica che il microchip EMV-ABI Certificazione SQS ISO 9001:2000
Oberthur Card Systems: alcuni dati di sintesi 2/2 OCS IN EUROPA 12 Uffici commerciali 5 Siti produttivi 6 Centri di personalizzazione (di cui 5 dedicati specificatamente alle carte bancarie) OCS IN ITALIA - Produzione 73 ML di carte plastiche prodotte nel 2002: 30 ML di carte privative e scratch card 23 ML di carte bancarie 10 ML di smart card (= 7 con microprocessore) Produce il 60% delle plastiche relative alle carte di pagamento distribuite annualmente in Italia Tewkesbury (UK) Sittard (Netherlands) Warsaw (Poland) Moscow (CIC) Personallizza il 22% delle carte di pagamento distribuite annualmente in Italia Ha prodotto e personalizzato la 1 carta EMV utilizzata in Italia per una transazione di pagamento (Aprile 2002) Vitre (France) Caen (France) Paris (France) Dijon (France) Zurich (Switzerland) Budapest (Hungary) È stato il 1 produttore ad ottenere la certificazione ABI per una carta EMV da utilizzare nella fase di roll-out del Progetto Microcircuito Madrid (Spain) Milano (Italy) Istanbul (Turkey) Lisboa (Portugal) Barcelona (Spain)
Al centro c è la carta Oberthur Card Systems Italia è in grado di gestire in maniera del tutto autonoma l intero processo produttivo di una carta bancaria a microprocessore: Progettazione del Sistema Operativo Microprocessore Micro-elettronica Artwork grafico & Stampa plastica Embedding Test & Pre-personalizzazione del chip Personalizzazione grafica ed elettrica, codifica banda magnetica Abbinamento carta+modulo, confezionamento, postalizzazione, creazione file di audit OCS France (Vitré) e OCS UK (Tekwsbury) OCS Italia (Milano) dalla definizione dell artwork grafico alla stampa del supporto plastico, dalla microelettronica all embedding del chip, dalla personalizzazione di plastica, banda magnetica e microprocessore alla postalizzazione finale della carta
ed intorno alla carta i 4 punti cardinali dell offerta Oberthur PRODOTTI PROJECT MANAGEMENT PARTNER TECNOLOGICI PERSONALIZZAZIONE
Le carte a microprocessore EMV: lo scenario di riferimento 1. Ci sono e ci saranno: 1 più fornitori di chip 2 chip di dimensioni e caratteristiche diverse 3 più versioni dello stesso chip (EMV 2000) 2. Il prodotto carta raddoppia il numero di componenti così come il potenziale numero di fornitori. Si dovranno infatti acquistare: 1 plastiche tempo medio di consegna: 3-4 settimane 2 chip tempo medio di consegna: 10-12 settimane 3 embedding tempo medio di consegna: 2-3 settimane 4 personalizzazione tempo medio di consegna in base ai livelli di servizio concordati 3. Dal punto di vista dei prodotti (plastiche e chip) saranno i VOLUMI a determinare il prezzo finale unitario. 4. Dal punto di vista dei servizi (embedding e personalizzazione) il prezzo finale unitario sarà determinato dalle DIMENSIONI DEI LOTTI per entrambe le attività,, dalla loro COMPOSIZIONE nonché dai LIVELLI DI SERVIZIO richiesti per la sola personalizzazione.
Le carte a microprocessore: l offerta per i prodotti ABI-EMV
Le carte a microprocessore: l offerta per i prodotti EMV
Utilizzare il chip per dare valore alle proprie carte di pagamento (1) Le due applicazioni di pagamento (credito/debito internazionale + bancomat) occupano complessivamente 3,2 kbyte. Sia sulla 8k che sulla 4k restano a disposizione per una o più applicazioni aggiuntive da 4,8 a 1,8 kbyte. Credito Internazionale? Debito Domestico OCS Basic Operating System Philips P8WE6008/4 (2) Le applicazioni aggiuntive possono: limitarsi a sfruttare il motore EMV usato dalle due applicazioni di pagamento al fine di gestire una struttura di dati EMV compliant finalizzata all esecuzione di un applicazione alternativa oppure utilizzare una versione personalizzata del motore EMV secondo necessità al fine di gestire una struttura di dati proprietaria finalizzata all esecuzione di un applicazione alternativa. (3) Aggiungere una nuova applicazione significa modificare in fase di prepersonalizzazione della carta la struttura, il numero e le condizioni di accesso dei suoi file. Tutto ciò richiede di norma la certificazione della nuova file structure da parte del circuito internazionale interessato e questo passaggio obbligatorio nel processo di emissione della carta può richiedere qualche settimana.
La file structure di una carta di pagamento EMV MF PSE EF_1 EF_2 EF_3 DF Bancomat DF International EF_1 EF_2 EF_3 EF_4 EF_1 EF_3 EF_11 EF_5 EF_5 EF_6 EF_n EF_7 EF_13 EF_n DF Non-Payment EF_1 EF_n EF_5
Data storage 1/2 Credito Internazionale OCS Basic Operating System Philips P8WE6008/4 Fornitore di carte Fornitore di terminali Debito Domestico Data Storage System Integrator ISSUER Gestore del Network (1) Una semplice applicazione di data storage può permettere di arricchire la propria carta di pagamento con una funzionalità molto semplice e banale da destinare ad utilizzi correnti (accesso allo sportello) o a segmenti di mercato verticali (memorizzazione di dati e punteggi o graduatorie per gli aderenti ad una associazione di categoria o sportiva). (2) Accanto all applicazione di pagamento classica, senza interferire in alcun modo con la medesima, è possibile inserire in fase di pre-personalizzazione una nuova struttura di file contenente sia informazioni non riscrivibili che dati ed informazioni aggiornabili ad emissione avvenuta: alcuni dei dati inseriti nella carta (ad esempio il nome ed il cognome dell associato oppure il suo codice fiscale o qualsiasi altro codice univoco identificativo) saranno collocati in file non riscrivibili altri dati saranno invece inseriti in file riscrivibili e modificabili solo dopo l autenticazione del processo di modifica / aggiornamento tramite una chiave 3DES specifica: tale chiave sarà inserita nella carta al momento della sua personalizzazione (lo stesso avverrà per tutte o una parte delle informazioni inserite nei file riscrivibili e non). (3) La dimensione complessiva dei dati da memorizzare dipende dalla disponibilità di memoria del chip utilizzato (4k o 8k) e dalle applicazioni di pagamento attivate (internazionale, domestica, internazionale+domestica).
Data storage 2/2 MF PSE EF_1 EF_2 EF_3 DF Data Storage DF Visa EF_Data Storage 1 (Leggibile Riscrivibile) EF_Data Storage 2 (Leggibile Riscrivibile) EF_Data Storage 3 (Leggibile Riscrivibile) EF_1 EF_7 EF_3 EF_13 EF_11 EF_n EF_5 EF_Data Storage (Leggibile NON riscrivibile) EF_Chiavi (NON leggibile NON riscrivibile)
Generazione dinamica di password 1/3 Credito Internazionale Debito Domestico OCS Basic Operating System Philips P8WE6008/4 Autenticazione (1) È possibile dotare una normale carta di pagamento EMV della capacità di generare password usa-e-getta con cui autenticarsi presso un sito online (= home banking) o con cui firmare in maniera virtuale un messaggio o una transazione effettuate sempre tramite il medesimo sito o direttamente allo sportello della singola agenzia bancaria. (2) Anche in questo caso, accanto all applicazione di pagamento classica (ma senza interferire con la medesima), è possibile inserire in fase di pre-personalizzazione una nuova struttura di file in grado di gestire un PIN (che può coincidere o meno con quello dell applicazione di pagamento) ed una chiave 3DES di autenticazione. Fornitore di carte Fornitore di terminali System Integrator BANCA Servizio online ISSUER Carte di credito Questa chiave 3DES, alloggiata in un file non leggibile dall esterno né aggiornabile durante la fase di utilizzo, serve a calcolare un crittogramma di autenticazione: tale crittogramma è dato da un operazione di MAC su alcuni dati presenti all interno della carta (tra questi l ATC ed il Card Verification Result). (3) Questa soluzione permette di autenticare un cardholder anche nell ambito di transazioni virtuali in base a due elementi: il possesso della carta (che va inserita in un terminale apposito per il calcolo e la visualizzazione della password usa-e-getta ) e la conoscenza del PIN (che permette di accedere alla funzionalità di creazione del crittogramma).
Generazione dinamica di password 2/3 MF PSE EF_1 EF_2 EF_3 DF Password DF International EF_Data (Leggibile NON riscrivibile) EF_Chiavi (NON leggibile NON riscrivibile) EF_1 EF_3 EF_11 EF_5 EF_7 EF_13 EF_n EF_PIN (NON leggibile NON riscrivibile)
Generazione dinamica di password 3/3 PIN 1. password 2. challenge 1. password 2. challenge 3. response Server Database 3. response Internet / Intranet / Extranet Soluzione mobile, non richiede alcun collegamento fisico al PC Basata sulle funzioni crittografiche e di sicurezza standard delle smart card (= 3DES) Genera una password «usa e getta» non replicabile e basata sul PIN della carta (che può essere diverso da quello di pagamento) Permette di «firmare» una transazione in modalità «challenge / response» 2 fattori diversi di autenticazione Firma della transazione Utilizzabile per l autenticazione locale o remota in ambiente Internet / Intranet / Extranet Authentication Signature
Applicazioni di loyalty 1/2 Credito Internazionale Debito Domestico OCS Basic Operating System Philips P8WE6008/4 Fornitore di carte Fornitore di terminali Loyalty System Integrator ISSUER Carte di credito Loyalty Provider (1) Le applicazioni loyalty sono da sempre uno dei servizi a valore aggiunto più diffusi da parte di banche ed istituti finanziari per incentivare l utilizzo delle proprie carte di credito. In Italia sino ad oggi si sono avute poche esperienze di questo genere mentre sono diverse le case-history di successo in altri Paesi: in tutti questi casi, il chip si è rivelato una condizione sine qua non per il successo dell iniziativa. (2) L organizzazione dei file è simile a quella utilizzata per il data storage : la chiave di autenticazione è contenuta in un file non leggibile dall esterno né aggiornabile; vi sono file leggibili e riscrivibili (dopo essersi autenticati) e file non riscrivibili; alcuni file contengono, anziché semplici informazioni da leggere e/o aggiornare, dei contatori che il terminale POS (su cui deve essere installato un SAM) aggiorna in base alle specifiche richieste dei vari Loyalty Provider oppure in accordo con quanto stabilito dall istituto finanziario proprietario della carta di pagamento su cui l applicazione di loyalty gira. (3) Nel caso di applicazioni loyalty multi-programma il numero di iniziative attivabili contemporaneamente dipende dalla dimensione di memoria disponibile sulla carta: nel caso di Welcome Real Time, la carta OCS da 4k utilizzata da AK Bank (Turchia) nella prima emissione di 1,5 ML di carte è in grado di supportare oltre all applicazione VISA 43 programmi di raccolta punti, 20 di raccolta coupon elettronici e 20 di gestione sconti.
Applicazioni di loyalty 2/2 MF PSE EF_1 EF_2 EF_3 DF WRT Loyalty DF International EF_Loyalty Coupon (Leggibile Riscrivibile) EF_Loyalty Frequenza (Leggibile Riscrivibile) EF_Loyalty Punti (Leggibile Riscrivibile) EF_1 EF_7 EF_3 EF_13 EF_11 EF_n EF_5 EF_Info Cliente (Leggibile NON riscrivibile) EF_Chiavi (NON leggibile NON riscrivibile)
Applicazioni di loyalty: Welcome Real Time 1/2 Un organizzazione a livello mondiale 3 organizzazioni regionali di vendita Europa (Aix-en-Provence) Asia (Singapore) US (Phoenix) 2 laboratori R&D Device Lab (Aix-en-Provence) Server Lab (Singapore) Una tecnologia comprovata Partner strategici 50+ implementazioni 120+ anni uomo di Ricerca e Sviluppo 18 brevetti in 10 Paesi www.welcome-rt.com
Applicazioni di loyalty: Welcome Real Time 2/2 Infrastruttura del Card Issuer Infrastruttura del Merchant XLS Card Applets (Dynamic data mgmt) XLS Card Mgmt Software (Manage card contents) XLS Terminal Software (Offline recognition & reward) XLS Server Software (Program definition & reporting) www.welcome-rt.com
Conclusioni 1/2 Alle attuali carte di pagamento a microprocessore è possibile aggiungere da subito servizi a valore aggiunto semplicemente modificandone in modo opportuno la file structure Sia sulla 8k ABI EMV (già certificata) che la 4k ABI EMV (in corso di certificazione) sono state testate applicazioni di data storage, autenticazione online, loyalty, borsellino elettronico, micropagamenti Le attuali carte ABI EMV disponibili sul mercato hanno molti meno limiti di quanto si pensi, è possibile senza intervenire sul core della carta stessa (= maschera) configurare applicazioni e servizi a valore aggiunto di grande impatto
Conclusioni 2/2 La smart card è un prodotto tecnologico di grandi potenzialità ed è anche un imbattibile strumento di marketing portatile, di semplice utilizzo, low cost, multiapplicativo come ogni prodotto tecnologico è un prodotto costoso che richiede competenze tecniche e di business specifiche ed è anche un prodotto complesso, in sé e per il processo produttivo che richiede ma è un prodotto che oggi offre un range di applicazioni e possibili utilizzi che pochissimi altri prodotti offrono.
Noi ci occupiamo di ciò che è CRITICO, voi occupatevi di ciò che è STRATEGICO Grazie dell attenzione. Per qualsiasi informazione o dettaglio potete contattarmi all indirizzo email m.torri@oberthurcs.com