# Notifiche Webhook

> Ricevi aggiornamenti in tempo reale sullo stato di pagamenti e prelievi tramite webhook firmati con HMAC.

Il sistema 2328.io invia un webhook al tuo `url_callback` ogni volta che cambia lo stato di un pagamento. Questo è il modo consigliato per essere notificati dei pagamenti andati a buon fine.

## Formato della richiesta

- **Method:** `POST`
- **Content-Type:** `application/json`
- **Signature:** campo `sign` nel body della richiesta

## Payload

Il body del webhook è identico alla risposta di `/v1/payment/info`, con in più un campo `sign` utilizzato per la verifica della firma.

### Pagamento andato a buon fine

```json
{
  "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2",
  "order_id": "ORDER-12345",
  "amount": "180.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2",
  "expires_at": "2026-05-09T16:56:58+03:00",
  "created_at": "2026-05-09T15:56:58+03:00",
  "payer_currency": "TON",
  "payer_amount": "0.95256917",
  "network": "TON",
  "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb",
  "payment_status": "paid",
  "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11",
  "payment_amount": "0.95256917",
  "merchant_amount": "0.949711462490000000",
  "amount_usd": "2.41324380",
  "exchange_rate": "0.01340691",
  "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d"
}
```

### Pagamento annullato / fallito

Quando il pagamento non si trova in uno stato terminale `paid`, `txid`, `payment_amount` e `merchant_amount` sono `null`:

```json
{
  "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f",
  "order_id": "ORDER-12345",
  "amount": "2800.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f",
  "expires_at": "2026-05-09T06:19:04+03:00",
  "created_at": "2026-05-09T05:19:04+03:00",
  "payer_currency": "ETH",
  "payer_amount": "0.01620968",
  "network": "ETH-ERC20",
  "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59",
  "payment_status": "cancel",
  "txid": null,
  "payment_amount": null,
  "merchant_amount": null,
  "amount_usd": "37.53934800",
  "exchange_rate": "0.01340691",
  "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342"
}
```

### Riferimento dei campi

| Campo | Tipo | Descrizione |
|-------|------|-------------|
| `uuid` | string | UUID del pagamento |
| `order_id` | string | Il tuo ID ordine |
| `amount` | decimal (8 dp) | Importo fiat in `currency` |
| `currency` | string | Valuta fiat richiesta dal merchant |
| `url` | string | URL del checkout ospitato |
| `expires_at` | string (ISO 8601) | Quando scade la sessione di pagamento |
| `created_at` | string (ISO 8601) | Quando è stata creata la sessione di pagamento |
| `payer_currency` | string | Crypto con cui sta pagando il pagatore |
| `payer_amount` | decimal (8 dp) | Importo crypto atteso |
| `network` | string | Rete blockchain |
| `address` | string | Indirizzo di deposito |
| `payment_status` | string | Uno tra: `pending`, `check`, `paid`, `underpaid_check`, `underpaid`, `overpaid`, `cancel`, `aml_lock` (vedi [References](/docs/references)) |
| `txid` | string \| null | Hash della transazione blockchain, presente solo dopo un pagamento confermato |
| `payment_amount` | decimal \| null | Importo effettivamente pagato, presente solo dopo il pagamento |
| `merchant_amount` | decimal (18 dp) \| null | Importo accreditato al merchant dopo le commissioni |
| `amount_usd` | decimal (8 dp) | Importo in USD al momento della creazione |
| `exchange_rate` | decimal | Tasso di cambio crypto / fiat utilizzato |
| `sign` | string (hex) | Firma HMAC-SHA256 del payload |

## Verifica della firma

Per verificare la firma di un webhook:

1. Estrai il campo `sign` dal payload
2. Rimuovi il campo `sign` dall'oggetto
3. Codifica i campi rimanenti in JSON
4. Codifica il JSON in Base64
5. Calcola HMAC-SHA256 dalla stringa Base64 utilizzando la tua API_KEY
6. Confronta la firma calcolata con il valore di `sign` utilizzando un confronto a tempo costante

<CodeSnippet name="verifyWebhookSign" langs="php,js,python,go,ruby" />

> **DANGER:** **Verifica sempre la firma** prima di accreditare qualsiasi fondo a un utente. Un webhook non firmato o firmato in modo errato potrebbe essere una richiesta contraffatta.

## Webhook dei prelievi

Quando lo `status` di un prelievo cambia, il sistema invia un webhook `POST` all'URL `url_callback` passato al momento della creazione del prelievo. Se `url_callback` non è stato fornito, non viene inviato alcun webhook per quel prelievo.

> **WARNING:** I webhook dei prelievi devono essere verificati con la tua **Payout API key** — non con l'API key normale. L'algoritmo di firma è identico a quello dei webhook di pagamento (rimuovi `sign`, codifica in JSON, base64, HMAC-SHA256), cambia solo la chiave.

### Payload

```json
{
  "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f",
  "order_id": "4dfdcc84402b1185b71cbe399321533e",
  "status": "completed",
  "currency": "TRX",
  "network": "TRX-TRC20",
  "amount": "3.00",
  "merchant_amount": "3.00",
  "network_amount": "3.00",
  "amount_usd": "1.04",
  "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x",
  "memo": null,
  "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def",
  "block_number": null,
  "error_type": null,
  "created_at": "2026-05-07T00:08:38+03:00",
  "updated_at": "2026-05-07T00:08:54+03:00",
  "from_currency": "USDT",
  "debited_amount": "1.050735",
  "debited_currency": "USDT",
  "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a"
}
```

### Riferimento dei campi

| Campo | Tipo | Descrizione |
|-------|------|-------------|
| `uuid` | string | UUID del prelievo |
| `order_id` | string | Il tuo ID di idempotenza / riferimento, se ne hai fornito uno |
| `status` | string | `pending`, `completed`, `failed`, `cancelled` (vedi [References](/docs/references)) |
| `currency` | string | Valuta del prelievo |
| `network` | string | Rete blockchain |
| `amount` | decimal | Importo del prelievo (in `currency`) |
| `merchant_amount` | decimal | Importo addebitato dal saldo merchant |
| `network_amount` | decimal | Importo effettivamente inviato on-chain |
| `amount_usd` | decimal | Valore in USD al momento del prelievo |
| `to_address` | string | Indirizzo blockchain del destinatario |
| `memo` | string \| null | Memo / destination tag, se utilizzato |
| `txid` | string \| null | Hash della transazione blockchain, valorizzato a `completed` |
| `block_number` | integer \| null | Altezza del blocco della transazione on-chain |
| `error_type` | string \| null | Motivo quando `status = failed` (es. `aml_risk`, vedi [References](/docs/references)) |
| `created_at` | string (ISO 8601) | Quando è stato creato il prelievo |
| `updated_at` | string (ISO 8601) | Quando è cambiato per l'ultima volta lo stato |
| `from_currency` | string | Saldo di origine da cui è stato addebitato il prelievo quando è stata usata la conversione automatica (es. `USDT` per un prelievo in `BTC`) |
| `debited_amount` | decimal | Importo addebitato dal saldo `from_currency` |
| `debited_currency` | string | Valuta dell'addebito |
| `sign` | string (hex) | Firma HMAC-SHA256 del payload, firmata con la **Payout API key** |

## Best practice

- **Idempotenza** — Verifica sempre se il pagamento è già stato elaborato (tramite `order_id` o `uuid`). I webhook possono arrivare più volte.
- **Risposta rapida** — Restituisci HTTP 200 il più rapidamente possibile. Delega il lavoro pesante a una coda in background.
- **Retry** — Se il sistema non riceve un HTTP 200, il webhook viene rinviato dopo 2 minuti. Massimo 5 tentativi di retry.
- **Elaborazione asincrona** — Gestisci gli eventi webhook in modo asincrono per evitare di bloccare la risposta.
- **Sicurezza** — Verifica SEMPRE la firma `sign` prima di fidarti del payload.

> **WARNING:** I webhook possono arrivare in ordine non sequenziale. Non dare per scontato che il primo webhook ricevuto sia lo stato finale — recupera sempre nuovamente tramite `/v1/payment/info` (o `/v1/payout/status/{uuid}`) se hai bisogno di certezza.