Skip to main content
CheckTown
Validatori

Validatore carta di credito: Come l'algoritmo di Luhn rileva numeri non validi

Pubblicato 6 min di lettura
In questo articolo

Cos'è la validazione delle carte di credito?

La validazione delle carte di credito è il processo di verifica della validità strutturale di un numero di carta prima di tentare una transazione. Questo include la verifica del formato del numero, l'applicazione dell'algoritmo di checksum di Luhn e il rilevamento della rete della carta (Visa, Mastercard, Amex, ecc.) in base alle prime cifre.

La validazione non è la stessa cosa dell'autorizzazione. Un numero di carta valido significa che il formato e il checksum sono corretti — non conferma che la carta esista, abbia fondi o appartenga alla persona che la utilizza. L'autorizzazione reale richiede il contatto con l'emittente della carta attraverso la rete di pagamento.

Come funziona l'algoritmo di Luhn

L'algoritmo di Luhn (chiamato anche algoritmo modulo 10) è una semplice formula di checksum inventata da Hans Peter Luhn nel 1954. Rileva errori accidentali nei numeri di carta — cifre trasposte, errori su singola cifra e la maggior parte degli errori di battitura comuni. Ecco come funziona passo per passo.

  • Partendo dalla cifra più a destra (cifra di controllo), raddoppia ogni seconda cifra procedendo verso sinistra
  • Se il raddoppio produce un numero maggiore di 9, sottrai 9 dal risultato (ad esempio, 8 x 2 = 16, poi 16 - 9 = 7)
  • Somma tutte le cifre — sia quelle raddoppiate/corrette che quelle invariate
  • Se il totale è divisibile per 10 (modulo 10 uguale a 0), il numero è valido secondo Luhn

Ad esempio, il numero 4532015112830366: dopo l'applicazione dell'algoritmo, la somma delle cifre è 40, che è divisibile per 10, quindi supera il controllo di Luhn. Questo algoritmo rileva circa il 95% degli errori su singola cifra e tutti gli errori di trasposizione di cifre adiacenti.

Prova gratuitamente — nessuna registrazione richiesta

Valida un numero di carta di credito →

Rilevamento del tipo di carta tramite BIN

Il numero di identificazione bancaria (BIN) — le prime 6-8 cifre di un numero di carta — identifica la rete della carta e la banca emittente. Ogni rete ha prefissi distinti e requisiti di lunghezza.

  • Visa — inizia con 4, tipicamente 16 cifre (alcune carte più vecchie ne hanno 13)
  • Mastercard — inizia con 51-55 o 2221-2720, sempre 16 cifre
  • American Express — inizia con 34 o 37, sempre 15 cifre
  • Discover — inizia con 6011, 65 o 644-649, sempre 16 cifre

Casi d'uso comuni

La validazione lato client delle carte di credito serve a diversi scopi pratici nelle applicazioni web e nei processi aziendali.

  • Checkout e-commerce — validare il formato della carta prima dell'invio al processore di pagamento per ridurre le transazioni fallite e le chiamate API
  • UX del modulo di pagamento — mostrare l'icona del tipo di carta (Visa, Mastercard, ecc.) in tempo reale durante la digitazione ed evidenziare immediatamente gli errori
  • Prevenzione frodi — intercettare numeri chiaramente non validi prima che raggiungano il gateway di pagamento, riducendo le commissioni di elaborazione per transazioni rifiutate
  • Generazione di carte di test — gli sviluppatori usano numeri di test validi secondo Luhn (come 4111 1111 1111 1111 per Visa) per testare i flussi di pagamento senza carte reali

Considerazioni sulla sicurezza

La validazione delle carte di credito è un controllo di formato, non una misura di sicurezza. Comprenderne i limiti è fondamentale per costruire sistemi di pagamento sicuri.

  • La validazione lato client rileva errori di battitura ma non può rilevare carte rubate o annullate — elabora sempre attraverso un gateway di pagamento conforme a PCI DSS
  • Non memorizzare mai i numeri di carta completi — usa i servizi di tokenizzazione del tuo fornitore di pagamento (Stripe, Braintree, Adyen) per sostituire i dati della carta con token sicuri
  • La conformità PCI DSS richiede che i dati dei titolari di carta non tocchino mai i tuoi server — usa campi di pagamento ospitati o flussi di checkout basati su reindirizzamento

Domande frequenti

L'algoritmo di Luhn può produrre falsi positivi?

Sì. L'algoritmo di Luhn valida solo il checksum — conferma che il numero è matematicamente coerente, non che una carta reale con quel numero esista. Si possono generare infiniti numeri validi secondo Luhn che non corrispondono a nessuna carta emessa. Ecco perché la validazione di Luhn deve sempre essere seguita da un'autorizzazione reale con la rete della carta.

I numeri delle carte virtuali seguono le stesse regole?

Sì. I numeri delle carte virtuali generati da banche e servizi come Apple Pay, Google Pay o Privacy.com seguono le stesse regole di prefisso BIN e checksum di Luhn delle carte fisiche. Sono numeri di carta validi emessi dalle stesse reti — l'unica differenza è che possono essere temporanei, monouso o limitati a commercianti specifici.

Quali numeri di carta di test posso usare per lo sviluppo?

I processori di pagamento forniscono numeri di test specifici: Visa 4111 1111 1111 1111, Mastercard 5500 0000 0000 0004, Amex 3782 822463 10005, Discover 6011 1111 1111 1117. Questi superano la validazione di Luhn e sono riconosciuti dagli ambienti di test/sandbox. Non usare mai numeri di carta reali per i test — anche in sviluppo, usa solo numeri di test ufficiali del tuo fornitore di pagamento.

Strumenti correlati

Validazione IBAN: Come verificare i numeri di conto bancario istantaneamenteComprendi la struttura IBAN, i formati per paese e come individuare errori prima che causino problemi di pagamento.Leggi l'articolo → Validazione email: La guida completa per verificare gli indirizzi emailScopri come funziona la validazione email, perché è importante e come verificare qualsiasi indirizzo in secondi.Leggi l'articolo → Verificatore forza password: Costruisci un'autenticazione utente sicuraLe password deboli sono una delle principali cause di violazioni. Impara a misurare la forza delle password.Leggi l'articolo →
Torna al Blog