Cómo funciona la tokenización de los pagos y su anonimización

samsung pay

Estos días está muy en boca de la prensa mundial la decisión de Suecia (EN) de dejar de emitir dinero físico en favor de los pagos digitales.

Hay que tener en cuenta que para muchos de los países del norte de Europa, e incluso de EEUU, la mayoría de las transacciones diarias ya se están realizando sin cash, o al menos, ofrecen esta alternativa. Hablamos de entre un 80-93% de pagos, que se dice pronto.

Enrique hablaba de los beneficios y perjuicios de un cambio de paradigma semejante (ES) el domingo pasado de una manera puramente expositiva. Un servidor no va a ser tan benevolente G.G.

La cuestión es que parece que la tendencia es prácticamente irremediable. Hay muchos poderes tácitos interesados en que este cambio acabe por trasladarse al resto del mundo, y como no, también a nosotros, como usuarios, nos interesa.

La eliminación del dinero en efectivo en favor de las tarjetas (y presumiblemente, de las tarjetas digitales y las aplicaciones de pagos móviles) tiene ventajas inherentes, como es el hecho de eliminar el papel de la cartera, y reducir el gasto (económico y ambiental) del mantenimiento y fabricación de la moneda. La inmediatez del dinero virtual y su tratamiento deberían reducir los costes (digo deberían, puesto que por ahora son artificialmente mayores que los de los bancos) y además ser universales (olvidarse del jaleo del cambio de divisa, que se haría automáticamente).

Por otro lado, esta nueva economía se saldaría con víctimas en los colectivos menos desfavorecidos. La dificultad que existe en algunos países para abrirse una cuenta en el banco es un ejemplo. La necesidad de tener un smartphone (o ya puestos, de saber utilizarlo) es otra barrera de entrada que el dinero físico no tiene. Y como ya expliqué en su momento, cualquier pago digital tiene asociado un tracking. Tracking asociado a nuestra identidad, que viene la mar de bien para que una compañía nos conozca mejor (nos ofrezca mejores productos y lance campañas específicamente diseñadas a cada potencial cliente), y para que un gobierno tenga mayor control sobre la ciudadanía.

El dinero en efectivo es muy, muy molesto para las aspiraciones de vigilancia masiva del Sistema. No deja huella, no es rastreable, y por tanto, no puede ser aprovechado por la Inteligencia del país o de la empresa oportuna.

¿Por qué digo que hay un escenario en el que el usuario preocupado por su privacidad también apostaría por este modelo? Porque hay maneras de anonimizar (ES) esas transacciones, asegurando la integridad de los datos sin exponer la información de los clientes.

Y a día de hoy la estamos viviendo, al menos en una primera fase, con la tokenización, un elemento básico del modelo de pagos digitales que usan la mayoría de estos servicios, y que me gustaría explicar en este artículo.

Las cuatro columnas en las que se asienta la tokenización de los pagos móviles

La tokenización tiene como objetivo asegurar la privacidad del cliente, que únicamente se expone ante el proveedor del servicio y el banco, y no ante el vendedor.

Es un nivel más de seguridad, en el que intervienen cuatro figuras:

  • El proveedor del servicio: Puede ser Google (Android Pay), Apple (Apple Pay), Samsung (Samsung Pay) y así un largo etcétera. Son los gestores del servicio, que habitualmente, no tienen control sobre la transacción, pero sí sobre los datos del usuario.
  • El banco: Mientras esta figura siga teniendo sentido (bien sea como gestores y almacenes de la economía, bien dependientes de un banco central), el banco es quien en verdad libera el token, y debería ser el único que puede hacer el tracking de la compra.
  • Acquirer: Es la institución financiera que ofrece la tarjeta. Habitualmente VISA o Mastercard, son los encargados de comunicarse con el banco y realizar las peticiones.
  • Vendedor: Representado por el datáfono en el vídeo que acompaña estas palabras, es el que realiza la venta, recibe el dinero, pero que gracias a la tokenización en ningún momento tiene acceso a los datos del cliente.

El proceso de compra mediante tokenización

  • El smartphone se pone en contacto con el proveedor del servicio para avisar del pago, dándole a este acceso al número de tarjeta asociada.
  • El proveedor se pone en contacto con el banco para pedir el token, que es, habitualmente, un array de números aleatorios y únicos para cada transacción, con un ciclo de vida temporal bajo.
  • Este token llega al dispositivo y de ahí se envía (habitualmente vía NFC) al datáfono del vendedor.
  • El datáfono se pone en contacto con el acquirer, y éste le envía el token, que es comprobado por el banco previa petición del acquirer.
  • Si el token es correcto, el banco da luz verde a la transacción y avisa al acquirer.
  • El acquirer a su vez avisa al datáfono, que finalmente avisa al servicio de que el pago ha sido realizado con éxito.

Está todo explicado gráficamente en este vídeo:


Ver en Youtube (EN)
 

Gracias a ello, se fuerza una anonimización de cara a la empresa que recibe el pago, pero se sigue dependiendo de la buena voluntad tanto del proveedor de servicio como del banco.

Confianza, a fin de cuentas, que siguen y seguirán siendo la cuerda floja del escenario digital.

¿Qué es lo que deberíamos temer?

La centralización de esa información. Tanto por los bancos como por los proveedores del servicio.

A día de hoy los bancos atesoran esa información, y salvando contados casos, son de los organismos más seguros y con mayores garantías que hay en toda la cadena económica.

El problema viene cuando los intereses gubernamentales frisan las maniobras de los bancos. Cuando te das cuenta que buena parte de estos organismos dependen del Estado (las cajas), y estas a su vez del gobierno de turno.

Presuponiendo que las garantías de los bancos (empresas privadas) no vayan a cambiar con el tiempo (hay acercamientos peligrosos, como el tema de los seguros bancarios), y que su modelo de negocio se mantiene alejado de la explotación directa de los mismos (indirectamente lo están haciendo, eso está claro), podría haber luz al final del túnel. Lo cual de por sí sería también un problema para la banca, que pasaría a ser cada vez más una commodity.

Por otro lado, acercamientos como el que hemos visto en Apple Pay, que intenta ofuscar ese paso inicial de envío de información por otro token que es liberado por el propio dispositivo en local, apunta maneras. Ya no solo porque Apple puede permitírselo (su negocio no es el de explotar los datos), sino porque son a fin de cuentas una pieza más con acceso a información confidencial.

El problema será ver cómo Google aplica algo parecido, habida cuenta del interés que tiene en ese tipo de información.

Eso si el carácter social, y las disyuntivas de cada país, no hacen sino postergar indefinidamente el cambio.

A bote pronto, me pregunto cómo van a conseguir eliminar el dinero físico con un porcentaje de la sociedad que ni tiene acceso a esta tecnología, ni tiene conocimientos para usarla, ni mucho menos tiene el beneplácito de los bancos para digitalizar sus transacciones.

Un tema que seguramente seguiremos tratando en los próximos años.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias