REST v1 per gli esseri umani. MCP nativo per Claude, ChatGPT, Cursor e qualsiasi agente AI. Registrati, ricarica, emetti carte, spendi, monitora le transazioni, presenta contestazioni — completamente autonomo, senza intervento umano.
REST per le integrazioni che controlli dall'inizio alla fine. MCP per gli agenti che gestiscono l'integrazione autonomamente.
Registrati, ricarica, emetti una carta. L'intero flusso si esegue in una singola sessione shell — per esseri umani e agenti.
Le chiavi API vengono generate nel pannello su /api-settings. Il bearer token qui sotto è un bearer di sessione a breve durata restituito dalla risposta di registrazione — adatto ai test, ma in produzione sostituiscilo con una chiave ccm_live_… persistente.
# Create an account — no KYC, no documents
curl https://api.cryptocardium.com/v1/accounts \
-H "Content-Type: application/json" \
-d '{
"email": "[email protected]",
"password": "long-random-string"
}'
# → 201 Created · session bearer in the response
{
"id": "acc_8f3a91b7c4d2",
"email": "[email protected]",
"bearer": "sess_94d72b6c..."
}# Create a USDT-TRC20 deposit address
curl https://api.cryptocardium.com/v1/topups \
-H "Authorization: Bearer $CCM_KEY" \
-H "Idempotency-Key: top_97eeeefa6cdd179a" \
-d '{
"amount_usd": 500,
"asset": "USDT",
"chain": "tron"
}'
{
"id": "top_4e21a99c7b",
"status": "pending",
"amount_usd": 500,
"deposit_address": "T9zFR...kQp",
"qr_data_uri": "data:image/png;base64,...",
"expires_at": "2026-05-19T08:00:00Z"
}# Once your top-up confirms, issue a Visa Platinum
# loaded with $300, Apple/Google Pay-ready.
curl https://api.cryptocardium.com/v1/cards \
-H "Authorization: Bearer $CCM_KEY" \
-d '{
"type": "virtual",
"bin": "489517",
"load_usd": 300,
"wallet_provision": ["apple_pay", "google_pay"]
}'
{
"id": "card_8f3a91b7c4d2",
"bin": "489517",
"last4": "4218",
"status": "active",
"balance_usd": 300,
"wallet": {"apple_pay": "ready", "google_pay": "ready"}
}Account, ricariche, carte, transazioni, log, prelievi, contestazioni, webhook — l'intera superficie del pannello, esposta come endpoint REST e strumenti MCP.
/v1/accounts
Crea un nuovo account (senza KYC, senza documenti).
create_account
/v1/sessions
Accedi con email + password (restituisce il bearer).
sign_in
/v1/sessions
Chiudi la sessione corrente.
sign_out
/v1/accounts/me
Restituisce l'account corrente, il saldo e lo stato 2FA.
get_account
/v1/accounts/me
Aggiorna email, password e notifiche dell'account.
update_account
/v1/accounts/me/totp
Registra un'app di autenticazione (restituisce secret + URI).
enable_2fa
/v1/accounts/me/totp
Disabilita il 2FA (richiede password + codice valido).
disable_2fa
/v1/api_keys
Elenca le tue chiavi API (solo prefisso, mai il secret).
list_api_keys
/v1/api_keys
Crea una nuova chiave. Il testo in chiaro viene restituito UNA SOLA VOLTA.
create_api_key
/v1/api_keys/:id
Revoca immediatamente una chiave.
revoke_api_key
/v1/balance
Saldo USDT corrente.
get_balance
/v1/balance/history
Serie temporale delle variazioni di saldo.
get_balance_history
/v1/topups
Crea una ricarica: restituisce indirizzo di deposito + QR.
create_topup
/v1/topups
Elenca le tue ricariche (filtra per stato, data).
list_topups
/v1/topups/:id
Recupera una ricarica (stato, conferme, txid).
get_topup
/v1/topups/:id/cancel
Annulla una ricarica in sospeso.
cancel_topup
/v1/cards
Elenca le tue carte (filtra per stato, tipo, BIN).
list_cards
/v1/cards
Emetti una nuova carta (virtuale o fisica).
issue_card
/v1/cards/:id
Metadati della carta (stato, BIN, last4, saldo).
get_card
/v1/cards/:id/pan
PAN completo + CVV (sensibile, uso singolo, soggetto ad audit).
reveal_pan
/v1/cards/:id/replace
Sostituisci una carta (nuovo PAN, riemissione virtuale).
replace_card
/v1/cards/:id/load
Carica USDT dal saldo sulla carta.
load_card
/v1/cards/:id/unload
Sposta il saldo non speso nel tuo treasury.
unload_card
/v1/cards/:id/freeze
Blocca la carta (autorizzazioni rifiutate).
freeze_card
/v1/cards/:id/unfreeze
Riattiva una carta bloccata.
unfreeze_card
/v1/cards/:id/cancel
Cancella definitivamente la carta.
cancel_card
/v1/cards/:id/limits
Imposta massimali per transazione / giornalieri / mensili per carta.
set_card_limits
/v1/cards/:id/mcc
Consenti o nega categorie MCC (liste).
set_mcc_rules
/v1/cards/:id/geo
Limita geograficamente la carta a Paesi specifici.
set_card_geo
/v1/transactions
Elenca tutte le transazioni con carta (paginate).
list_transactions
/v1/transactions/:id
Singolo evento di autorizzazione/addebito/rimborso.
get_transaction
/v1/cards/:id/transactions
Storico transazioni per singola carta.
list_card_transactions
/v1/transactions/:id/auth
Messaggio di autorizzazione grezzo (campi ISO 8583).
get_auth_details
/v1/activity
Flusso unificato di eventi (ricariche + carte + spese).
get_activity
/v1/activity?type=error
Filtra per tipo di evento (topup/card/spend/error).
filter_activity
/v1/audit_log
Registro di audit a livello account (accessi, utilizzi chiavi).
get_audit_log
/v1/withdrawals
Preleva USDT su un wallet esterno.
withdraw
/v1/withdrawals
Elenca le tue richieste di prelievo.
list_withdrawals
/v1/withdrawals/:id
Recupera un prelievo (stato, txid on-chain).
get_withdrawal
/v1/disputes
Apri un chargeback su una transazione.
file_dispute
/v1/disputes
Elenca le tue contestazioni (aperte / con risposta / chiuse).
list_disputes
/v1/disputes/:id
Singola contestazione (stato, risposta, prove).
get_dispute
/v1/disputes/:id/evidence
Allega prove (ricevute, screenshot, note).
add_dispute_evidence
/v1/webhooks
Elenca le tue sottoscrizioni webhook.
list_webhooks
/v1/webhooks
Sottoscrivi eventi (URL + tipi di evento).
create_webhook
/v1/webhooks/:id
Aggiorna URL, eventi o ruota la chiave di firma.
update_webhook
/v1/webhooks/:id
Annulla la sottoscrizione.
delete_webhook
/v1/webhooks/:id/replay/:eid
Ripeti l'invio di un evento al tuo endpoint.
replay_webhook
/v1/tickets
Apri un ticket di supporto (richiede carta attiva).
open_ticket
/v1/tickets
Elenca i tuoi ticket.
list_tickets
/v1/system/health
Health check (stato emittente, circuiti, rete).
get_system_health
/v1/system/limits
I tuoi limiti di frequenza correnti + massimali di spesa.
get_limits
Dato un compito come "acquista 100 crediti cloud con crypto", un agente concatena le chiamate seguenti senza intervento umano. Ogni passaggio è una singola chiamata a uno strumento.
/v1/accounts · create_accountL'agente genera una coppia email-password, la invia. Nessun KYC, nessun documento. Riceve un bearer token in ~200ms.
/v1/topups · create_topupL'agente richiede una ricarica in qualsiasi crypto supportata (USDT-TRC20 è la più economica). Riceve un indirizzo di deposito. Invia crypto dal proprio wallet. Il webhook si attiva alla conferma dei fondi.
/v1/cards · issue_cardL'agente sceglie il BIN adatto al commerciante (Visa Business per la pubblicità, Visa Platinum per i wallet mobile, Visa Corporate per il SaaS), carica $X e ottiene una carta attiva.
/v1/cards/:id/pan · reveal_panL'agente acquisisce PAN + CVV + scadenza (uso singolo, soggetto ad audit). Li utilizza al checkout del commerciante. Le sfide 3-D Secure vengono approvate tramite callback webhook.
/v1/activity · get_activityL'agente effettua polling (o si iscrive via webhook) per gli eventi di autorizzazione. Conferma che la spesa è andata a buon fine. Legge nome del commerciante, MCC, importo, valuta.
/v1/cards/:id/freeze · freeze_cardLavoro completato. L'agente blocca (o cancella) la carta. Il saldo non speso può essere trasferito nuovamente al treasury. L'intero flusso ha richiesto meno di un minuto.
Aggiungi il nostro server MCP hosted alla configurazione del tuo agente. L'agente acquisisce automaticamente oltre 40 strumenti — ogni endpoint REST, mappato su un nome di strumento comprensibile dagli agenti.
~/.config/claude/claude_desktop_config.json
{
"mcpServers": {
"cryptocardium": {
"url": "https://mcp.cryptocardium.com/v1",
"transport": "http"
}
}
}# Streamable HTTP transport, OAuth 2.1 DCR
mcp-cli add cryptocardium \
--url https://mcp.cryptocardium.com/v1 \
--auth oauth
# The agent enrols itself on first connection,
# no API key needs to be pasted.Ogni endpoint REST ha un corrispondente strumento MCP, denominato per la comprensione degli agenti. Un piccolo campione:
create_account
sign_in
create_topup
get_topup
issue_card
load_card
reveal_pan
freeze_card
unfreeze_card
set_card_limits
set_mcc_rules
list_transactions
get_activity
withdraw
file_dispute
create_webhook
get_audit_log
get_balance
get_system_health
… altri 21
Bearer token per script semplici. Chiavi API per server in produzione. OAuth 2.1 con DCR per agenti che si registrano autonomamente.
Da POST /v1/sessions. A breve durata (30 giorni). Adatto per test e script interattivi.
Authorization: Bearer sess_94d72b6c…Da Impostazioni API. Persistente (fino alla revoca). Porta i permessi a livello account. Ideale per integrazioni backend.
Authorization: Bearer ccm_live_a1b2c3d4…Gli agenti si registrano autonomamente a runtime tramite Dynamic Client Registration. Concessione di permessi per singolo strumento — limita un agente alla sola lettura o a una carta specifica.
POST /oauth/register
→ client_id, client_secret
POST /oauth/token
→ access_token (scoped)Payload firmati con HMAC-SHA256. Consegna at-least-once con tentativi di ripetizione. Ripeti l'invio di qualsiasi evento dalla dashboard o tramite API.
account.created · nuova registrazioneaccount.signed_in · inizio sessionetopup.created · indirizzo di deposito emessotopup.confirmed · finalità on-chain raggiuntatopup.expired · finestra indirizzo chiusatopup.error · liquidazione fallita (kill-switch, rimborso)card.issued · nuova carta attivacard.loaded · fondi aggiunti a una cartacard.frozen · bloccata da agente o amministratorecard.cancelled · permanentemente disattivatatransaction.authorized · pre-spesatransaction.captured · regolata dal commerciantetransaction.refunded · rimborso ricevutotransaction.declined · con codice di rifiutodispute.opened · chargeback presentatodispute.resolved · vinta / persawithdrawal.broadcasted · transazione on-chain inviatasystem.maintenance · manutenzione programmata# Headers we set on every webhook
Cryptocardium-Signature: t=1718999999,
v1=4a8b2f...
Cryptocardium-Event-Id: evt_a1b2c3d4
# Verify (Node example)
const sig = req.headers['cryptocardium-signature'];
const [t, v1] = parseSig(sig);
const expected = hmac(
'sha256',
SIGNING_SECRET,
`${t}.${rawBody}`
);
if (!timingSafeEqual(v1, expected)) reject();Per chiave API. Brevi picchi sopra la frequenza sostenuta sono tollerati in finestre sub-secondo.
Per chiave API. Le richieste in eccesso ricevono 429 Too Many Requests con un header Retry-After.
Corpo di richiesta e risposta. Le prove di contestazione supportano upload in streaming fino a 100 MB.
Multi-regione active-active. Pagina di stato su status.cryptocardium.com.
Registrati, vai al pannello, genera una chiave, collegala al tuo agente. Sessanta secondi da zero alla spesa autonoma.
Everything people actually ask. Last updated .
La specifica OpenAPI 3.1 leggibile da macchina per la superficie REST v1 è pubblicata su https://cryptocardium.com/openapi.json (e il file YAML su /openapi.yaml). Importala in Postman, Insomnia, Stoplight o qualsiasi strumento AI che consuma OpenAPI.
La scheda server è pubblicata su https://cryptocardium.com/.well-known/mcp/server-card.json (formato MCP SEP-1649). I metadati di autorizzazione si trovano su /.well-known/oauth-authorization-server (RFC 8414) e /.well-known/oauth-protected-resource (RFC 9728). I client MCP rilevano il server end-to-end senza configurazione manuale.
Solo HTTP streamable (specifica MCP 2025-06-18), con upgrade SSE opzionale per operazioni di lunga durata. Il trasporto HTTP+SSE deprecato non è supportato.
Sì. La Dynamic Client Registration (RFC 7591) è supportata sul server di autorizzazione OAuth 2.1. Un agente esegue un POST dei propri metadati su /oauth/register e riceve immediatamente client_id e client_secret. Gli scope iniziali sono limitati; l'agente può richiedere scope elevati tramite il flusso standard di consenso OAuth.
Sì. Gli endpoint a pagamento possono restituire HTTP 402 con un header strutturato PAYMENT-REQUIRED (scheme=exact, network=base, asset=USDC). L'agente ritenta con PAYMENT-SIGNATURE. Allineamento nativo con Visa TAP e Mastercard Agent Pay.
Ogni evento webhook è firmato con HMAC-SHA256. La chiave di firma viene generata una volta alla sottoscrizione, ruotabile su richiesta. Le chiavi di idempotenza consentono il replay sicuro. Eventi del ciclo di vita coperti: transizioni di stato della ricarica, emissione carta, autorizzazione, cattura, rimborso, contestazione, regolamento.
Gli scope sono per tool. Puoi concedere a un agente accesso in sola lettura alle carte (card:read), o solo emissione senza rivelazione (card:issue senza card:reveal_pan), oppure limitarlo a una singola carta tramite policy di accesso granulari. I grant di scope sono revocabili in qualsiasi momento.
600 richieste al minuto per chiave API, con un burst di 100 richieste. Limiti più elevati disponibili su richiesta tramite /contact. I limiti sono esposti su /v1/system/limits.