Quali sono i modelli di integrazione per un gateway di pagamento?

Esistono tre modelli comuni. Il checkout hosted reindirizza il cliente alla pagina del provider (ambito PCI minimo, minimo controllo dell'interfaccia). I campi incorporati / SDK (es. Stripe Elements, drop-in UI) rendono gli input sicuri del provider all'interno della tua pagina, così i dati della carta vanno direttamente al provider (ambito PCI basso, buon controllo UI) — questo è il modello predefinito per la maggior parte delle app. L'API diretta / server-side significa che il backend gestisce i dati grezzi della carta (massimo controllo, ma piena conformità PCI-DSS Livello 1 / SAQ D) ed è raramente giustificata per nuovi prodotti.

Come scelgo un provider di pagamento?

Confronta: copertura geografica e metodi di pagamento (carte più metodi locali come SEPA, iDEAL, Bancontact, Apple Pay, Google Pay); modello di prezzo (fisso vs interchange-plus); velocità di accredito e valute; esperienza per sviluppatori e qualità degli SDK; supporto per il tuo modello (abbonamenti, marketplace, piattaforme); e strumenti integrati per le frodi e 3-D Secure. Stripe, Adyen, Braintree e Checkout.com sono le scelte più comuni per prodotti US/EU; quello giusto dipende dai tuoi mercati, metodi e se gestisci un marketplace.

Cos'è la tokenizzazione e perché è importante?

La tokenizzazione sostituisce il numero di carta con un token non sensibile che i tuoi sistemi possono conservare e riutilizzare senza detenere i dati reali della carta. L'SDK del provider acquisisce la carta e restituisce un token; il tuo backend conserva il token, non il PAN. Questo è ciò che ti mantiene fuori dall'ambito PCI e consente carte salvate, abbonamenti e checkout con un clic senza mai memorizzare numeri di carta. Non conservare mai dati grezzi di carta — tokenizza sempre.

Perché i webhook e l'idempotenza sono importanti nelle integrazioni di pagamento?

I risultati dei pagamenti sono asincroni: un addebito può riuscire, fallire o restare in sospeso, e l'aggiornamento definitivo arriva tramite un webhook del provider, non dalla risposta API originale. Devi verificare le firme dei webhook, gestire gli eventi in modo idempotente (lo stesso evento può essere recapitato più di una volta) e riconciliare affinché una richiesta ripetuta non generi mai doppi addebiti o doppie esecuzioni. Le chiavi di idempotenza sulle richieste di addebito e i webhook handler idempotenti sono imprescindibili — prevengono i bug di doppio addebito che erodono la fiducia più rapidamente.

Cos'è 3-D Secure e SCA, e ne ho bisogno?

3-D Secure (3DS2) è un passaggio di autenticazione che trasferisce la responsabilità per le frodi all'emittente ed è necessario per soddisfare la Strong Customer Authentication (SCA) ai sensi della PSD2 dell'UE per la maggior parte dei pagamenti online con carta a titolari europei. Se servi clienti UE, la tua integrazione deve attivare 3-D Secure dove richiesto; i provider moderni gestiscono la maggior parte di questo per te, ma il flusso di checkout deve supportare il passaggio di verifica. Per i flussi solo US è opzionale, ma viene utilizzato sempre più spesso per ridurre le frodi.

Quanto tempo richiede l'integrazione di un gateway di pagamento?

Un'integrazione di base per pagamenti una tantum con un SDK moderno può essere operativa in 1-3 settimane. Un'integrazione di livello produzione con abbonamenti, carte salvate, webhook, riconciliazione, rimborsi, gestione delle contestazioni, SCA e test adeguati richiede tipicamente 4-10 settimane. L'onboarding e la verifica del provider (controlli KYB prima di poter ricevere pagamenti live) avvengono in parallelo e possono richiedere giorni o settimane aggiuntivi, quindi avvia la richiesta di account il prima possibile.

Posso gestire la fatturazione ricorrente e gli abbonamenti tramite un gateway?

Sì. I provider offrono prodotti di abbonamento/fatturazione (es. Stripe Billing, Adyen subscriptions) che gestiscono addebiti ricorrenti, tentativi su pagamenti falliti (dunning), prorazione e fatture. Puoi anche costruire la tua logica di fatturazione sui token salvati, ma il livello di fatturazione del provider gestisce di solito i casi limite difficili — tentativi su pagamenti falliti, SCA per addebiti ricorrenti, modifiche al piano — in modo più affidabile di una soluzione personalizzata.

Come gestisco i chargeback e le contestazioni?

Un chargeback avviene quando un titolare di carta contesta un addebito presso la propria banca. La tua integrazione dovrebbe ricevere i webhook di contestazione, presentarli al team operativo e supportare l'invio di prove tramite l'API per le contestazioni del provider. Ridurre le contestazioni è principalmente un problema operativo e di prevenzione delle frodi (descrittori di fatturazione chiari, 3-D Secure, buone regole antifrode), ma l'integrazione deve acquisire e rispondere agli eventi di contestazione in modo programmatico anziché affidarsi ad avvisi email.

Posso cambiare provider di pagamento in seguito?

Sì, ma pianificalo. Poiché le carte salvate sono tokenizzate per un provider specifico, il cambio richiede una migrazione dei token (la maggior parte dei provider supporta l'importazione di token da un altro tramite un processo sicuro e conforme a PCI) oltre alla reimplementazione dell'integrazione con la nuova API. Astrarre la logica di pagamento dietro un'interfaccia interna fin dal primo giorno rende una futura migrazione molto meno costosa rispetto all'uso diretto dell'SDK di un unico provider in tutto il codice.

Integrazione Gateway di Pagamento: Modelli, Costi e PCI

Q: Qual è la differenza tra un gateway di pagamento e un payment processor?

Il gateway di pagamento è il livello tecnico con cui comunica la tua applicazione: acquisisce in modo sicuro i dati di pagamento e li trasmette. Il payment processor sposta il denaro tra la banca del titolare della carta (l'emittente) e la tua banca (l'acquirer) attraverso i circuiti di pagamento. Molti provider moderni (Stripe, Adyen, Braintree) riuniscono gateway, processor e acquiring in un'unica API, quindi come sviluppatore integri un singolo servizio anche se dietro operano più ruoli.

Q: Usare Stripe o Adyen elimina gli obblighi PCI-DSS?

Li riduce drasticamente, ma non li elimina del tutto. Se utilizzi il checkout hosted del provider o il suo SDK lato client in modo che i numeri di carta grezzi non raggiungano mai i tuoi server, l'obbligo si riduce tipicamente all'auto-valutazione leggera SAQ A. Se accetti dati di carta sulle tue pagine o server, passi a SAQ A-EP o SAQ D, molto più impegnativi. La strategia è mantenere i dati di carta interamente nei componenti del provider per restare a SAQ A.

Q: Quanto costa integrare un gateway di pagamento?

Un'integrazione semplice tramite SDK del provider (pagamenti una tantum, rimborsi di base, webhook) costa tipicamente $8.000–$25.000 in sviluppo. L'aggiunta di abbonamenti/fatturazione ricorrente, multi-valuta, carte salvate, pagamenti suddivisi per marketplace, gestione delle frodi e riconciliazione completa porta un'integrazione in produzione a $30.000–$80.000+. Oltre al costo di sviluppo, i provider applicano commissioni per transazione (comunemente circa il 2,9% più una quota fissa, ridotta al volume o con prezzi interchange-plus). Il costo di sviluppo è dominato dai casi limite — webhook, tentativi ripetuti, riconciliazione — non dal flusso principale.

Marcus Chen Staff Engineer (Backend & Cloud), YuSMP Group · Sviluppo di backend per pagamenti, banking e integrazioni complesse per clienti US ed EU

TL;DR — i fatti chiave in sintesi

L'integrazione di un gateway di pagamento sembra semplice dall'esterno — acquisire una carta, addebitarla — ma le decisioni che contano riguardano l'ambito di conformità e i casi limite asincroni. L'essenziale:

Una decisione domina tutto: il modello di integrazione definisce l'ambito PCI-DSS. Mantieni i dati della carta nella pagina hosted del provider o nell'SDK e resti al livello leggero SAQ A; gestisci tu stesso i dati grezzi della carta e passi a SAQ A-EP o SAQ D.
Scelta predefinita: campi del provider incorporati / SDK (es. Stripe Elements, Adyen Drop-in) — i dati della carta vanno direttamente al provider, mantieni il controllo dell'interfaccia, l'ambito PCI resta minimo.
Costo: un'integrazione SDK di base richiede $8.000–$25.000; un'integrazione in produzione con abbonamenti, carte salvate, webhook, riconciliazione e SCA richiede $30.000–$80.000+.
La parte difficile è asincrona: webhook, verifica delle firme, idempotenza e riconciliazione — non il flusso principale di addebito.
Per i clienti UE: 3-D Secure / SCA (PSD2) è obbligatorio per la maggior parte dei pagamenti online con carta.
Non conservare mai i dati grezzi della carta — tokenizza tramite il provider.

Gateway, processor, acquirer: chi fa cosa

Tre ruoli operano dietro ogni pagamento con carta, e i provider moderni li fondono insieme — ma comprenderli aiuta a ragionare su costi e modalità di guasto.

Gateway di pagamento — il punto di ingresso tecnico con cui comunica la tua app. Acquisisce in modo sicuro i dati di pagamento e li trasmette. È ciò che integri.
Payment processor — sposta la transazione attraverso i circuiti di pagamento (Visa, Mastercard) tra la banca emittente e la tua banca.
Acquirer — la banca o istituto finanziario che detiene il tuo conto merchant e riceve i fondi.

Provider come Stripe, Adyen e Braintree riuniscono tutti e tre in un'unica API, motivo per cui, come sviluppatore, integri un singolo servizio. Questo raggruppamento spiega anche l'esistenza delle commissioni per transazione: stai pagando per gateway, processing e acquiring contemporaneamente. Per lavori di integrazione più approfonditi tra sistemi, questa è la stessa disciplina dei nostri servizi di integrazione API.

Modelli di integrazione e ambito PCI

Questa è la sezione più importante. Il modello di integrazione decide quanta parte dell'onere PCI-DSS ricade su di te. Ne esistono tre.

1. Checkout hosted (redirect)

Il cliente viene reindirizzato alla pagina di pagamento del provider, paga lì e viene restituito alla tua app. I dati della carta non ti raggiungono mai. Ambito PCI: minimo (SAQ A). Compromesso: minimo controllo sull'interfaccia di checkout e un redirect nel flusso. Adatto a negozi semplici e lanci rapidi.

2. Campi incorporati / SDK (la scelta predefinita)

I componenti di input sicuro del provider (Stripe Elements, Adyen Drop-in, Braintree Hosted Fields) si renderizzano all'interno della tua pagina o app. I dati della carta vanno direttamente dal browser/dispositivo al provider; il tuo server riceve solo un token. Ambito PCI: basso (SAQ A nella maggior parte delle configurazioni). Mantieni il pieno controllo dell'interfaccia circostante. Questa è la scelta predefinita giusta per quasi ogni prodotto web e mobile.

3. API diretta / server-side

Il tuo backend riceve e trasmette dati grezzi della carta al provider. Ambito PCI: massimo (SAQ D / audit di Livello 1). Questo comporta un ambiente per i dati dei titolari di carta, valutazioni annuali, segmentazione di rete e un pesante programma di conformità. È raramente giustificato — solo casi specifici (alcune piattaforme, determinati flussi telefonici o di terminale) ne hanno bisogno. Per la maggior parte dei team, scegliere questo modello è un errore costoso. Il nostro servizio di sviluppo software PCI-DSS esiste per mantenerti nei modelli a scope minimo per progettazione.

Scegliere un provider di pagamento

Una volta definito il modello, scegli il provider in base ai tuoi requisiti reali, non alla notorietà del brand.

Copertura: le carte e i metodi locali usati dai tuoi clienti — SEPA, iDEAL, Bancontact, Apple Pay, Google Pay e wallet regionali. Mancare un metodo locale chiave costa conversioni.
Modello di prezzo: tariffa fissa (semplice, es. ~2,9% + commissione fissa) vs interchange-plus (più conveniente a volumi, più complesso). Modella il tuo volume reale prima di impegnarti.
Accrediti: velocità di liquidazione e valute in cui puoi detenere e accreditare fondi.
Supporto al modello: abbonamenti, marketplace/piattaforme (pagamenti suddivisi, account collegati) e carte salvate.
Esperienza sviluppatori: qualità degli SDK, sandbox, documentazione e affidabilità dei webhook — questo influisce direttamente sul costo di sviluppo.
Strumenti antifrode e 3-D Secure: scoring del rischio integrato e gestione della SCA.

Per prodotti US/EU la lista corta comune è Stripe, Adyen, Braintree e Checkout.com. Stripe eccelle per esperienza degli sviluppatori e ampiezza; Adyen è forte per volumi elevati e acquiring globale unificato; la scelta giusta dipende dai tuoi mercati, metodi e se gestisci un marketplace.

Costi e tempi

Due costi contano: il build di integrazione una tantum e le commissioni ricorrenti per transazione.

Ambito	Costo di sviluppo	Tempi
Pagamenti una tantum di base (SDK, rimborsi, webhook)	$8k–$25k	1–3 settimane
+ Abbonamenti, carte salvate, multi-valuta	$25k–$50k	4–7 settimane
Marketplace / pagamenti suddivisi + antifrode + riconciliazione completa	$50k–$80k+	8–12 settimane

Le commissioni per transazione sono separate e stabilite dal provider (comunemente circa il 2,9% più una quota fissa sul modello flat, più basse con interchange-plus a volumi). Il costo di sviluppo è guidato dai casi limite asincroni descritti di seguito, non dall'addebito nel flusso principale.

Tokenizzazione, webhook, idempotenza, riconciliazione

Qui si vince o si perde un'integrazione di pagamento.

Tokenizzazione: l'SDK del provider restituisce un token; il tuo backend conserva il token, mai il numero di carta. Questo abilita carte salvate, abbonamenti e checkout con un clic mantenendoti fuori dall'ambito PCI.
Webhook: il risultato definitivo del pagamento arriva in modo asincrono tramite un webhook firmato, non dalla risposta API iniziale. Verifica la firma e non fidarti mai del solo "successo" lato client.
Idempotenza: usa chiavi di idempotenza nelle richieste di addebito e rendi i webhook handler idempotenti — gli eventi possono essere recapitati più di una volta. Questo previene gli addebiti duplicati e le doppie esecuzioni, il modo più rapido per perdere la fiducia dei clienti.
Riconciliazione: confronta gli accrediti del provider con il tuo registro interno in modo che ogni transazione sia contabilizzata. Un registro corretto trasforma "questo addebito è avvenuto?" in una domanda con una risposta certa.

3-D Secure e SCA (PSD2)

Se servi clienti UE, la PSD2 dell'UE impone la Strong Customer Authentication (SCA) per la maggior parte dei pagamenti online con carta, soddisfatta tramite 3-D Secure (3DS2). Il passaggio di autenticazione riduce le frodi e trasferisce la responsabilità all'emittente. I provider moderni gestiscono il lavoro pesante, ma il tuo checkout deve supportare il flusso di verifica (una schermata aggiuntiva che il cliente potrebbe vedere). Per i flussi solo US il 3-D Secure è opzionale, anche se viene utilizzato sempre più spesso per ridurre le frodi. Il contesto di conformità è lo stesso trattato nella nostra guida allo sviluppo di app fintech.

Definire il progetto con un partner

Che tu costruisca internamente o con un partner, definisci l'integrazione in modo deliberato:

Decidi il modello di integrazione (e quindi l'ambito PCI) prima di scrivere codice.
Elenca i metodi di pagamento e i mercati fin dall'inizio — guidano la scelta del provider.
Tratta webhook, idempotenza e riconciliazione come requisiti di primo livello, non come considerazioni secondarie.
Avvia l'onboarding e la verifica del provider in anticipo; avviene in parallelo con lo sviluppo.
Astrarre la logica di pagamento dietro un'interfaccia interna in modo che un futuro cambio di provider sia economico.

Se stai costruendo anche il prodotto circostante, questo rientra nel più ampio lavoro di sviluppo software su misura e fintech che realizziamo.

FAQ

Qual è la differenza tra un gateway di pagamento e un payment processor?

Il gateway è il livello con cui comunica la tua app — acquisisce i dati di pagamento e li trasmette. Il processor sposta il denaro tra la banca del titolare della carta e la tua attraverso i circuiti di pagamento. I provider moderni (Stripe, Adyen, Braintree) riuniscono gateway, processing e acquiring in un'unica API, quindi integri un singolo servizio.

Usare Stripe o Adyen elimina gli obblighi PCI-DSS?

Li riduce drasticamente, ma non del tutto. Mantieni i dati grezzi della carta nella pagina hosted del provider o nell'SDK e il tuo obbligo si riduce tipicamente all'auto-valutazione leggera SAQ A. Accetta i dati della carta sulle tue pagine o server e passi a SAQ A-EP o SAQ D, molto più impegnativi.

Quale modello di integrazione dovrei scegliere?

Campi incorporati / SDK (Stripe Elements, Adyen Drop-in) è la scelta predefinita giusta per quasi ogni prodotto: i dati della carta vanno direttamente al provider, l'ambito PCI resta a SAQ A e mantieni il controllo dell'interfaccia. Usa il checkout hosted per il lancio più semplice e l'API diretta/server-side solo quando un requisito specifico lo impone.

Quanto costa integrare un gateway di pagamento?

Un'integrazione SDK di base richiede $8.000–$25.000; aggiungendo abbonamenti, carte salvate, multi-valuta, pagamenti suddivisi per marketplace, gestione delle frodi e riconciliazione completa si arriva a $30.000–$80.000+. Le commissioni per transazione del provider (comunemente ~2,9% più una quota fissa) sono separate.

Cos'è 3-D Secure e ne ho bisogno?

3-D Secure (3DS2) è un passaggio di autenticazione necessario per soddisfare la Strong Customer Authentication (SCA) ai sensi della PSD2 per la maggior parte dei pagamenti online con carta a titolari UE. Se servi clienti UE, il tuo checkout deve supportarlo; i provider moderni gestiscono la maggior parte del lavoro. Per i flussi solo US è opzionale ma viene utilizzato sempre più spesso per ridurre le frodi.

Ultimo aggiornamento: 16 giugno 2026. I range di costi e commissioni riflettono integrazioni tipiche US/EU e variano per provider, modello e ambito. I riferimenti normativi e di conformità sono indicazioni generali, non consulenza legale — consulta un Qualified Security Assessor e un consulente qualificato per la tua situazione. Richiedi una proposta dettagliata per la tua specifica integrazione.

Servizi correlati

PCI-DSS Software Development service cover

Richiedi una proposta

Condividi alcuni dettagli e un consulente senior risponderà entro un giorno lavorativo.

Preferisci parlare direttamente? ☎ Call +374 44 871 811 ✉ sales@yusmpgroup.com