Le 14 mars 2023, les directives relatives aux mesures de sécurité à adopter par les entreprises qui traitent des transactions par carte bancaire ont été révisées (Directives de sécurité relatives aux cartes bancaires version 4.0, ci-après dénommées « Directives de sécurité relatives aux cartes bancaires »). Par la suite, le 14 novembre, une Feuille de route pour le déploiement du protocole EMV 3D Secure par les marchands (ci-après dénommée « Feuille de route ») a été publiée en complément des directives.
Le protocole 3D Secure fournit un niveau d'authentification supplémentaire pour les transactions par carte bancaire, qui décharge les entreprises de la responsabilité des paiements par carte frauduleux.
La Feuille de route et les Directives de sécurité relatives aux cartes bancaires indiquent que les marchands japonais qui réalisent des ventes en ligne (tels que les utilisateurs de Stripe) doivent activer 3D Secure 2 d'ici la fin du mois de mars 2025 afin de lutter contre la fraude.
Les marchands sont tenus d'appliquer des mesures de sécurité en vertu de la Loi relative à la vente à tempérament, et doivent s'assurer de leur conformité avec la Feuille de route et les Directives de sécurité relatives aux cartes bancaires d'ici la fin du mois de mars 2025.
Ces textes requièrent la mise en œuvre du protocole 3D Secure 2 par l'ensemble des marchands, selon l'ordre de priorité suivant.
Niveau |
Portée |
Actions requises |
Niveau 1 |
Marchands qui ont enregistré un volume de transactions frauduleuses attestées supérieur à 500 000 JPY par mois durant 3 mois consécutifs (désignés comme « Fraud Exposure Merchant », marchands exposés à la fraude) |
Mettre immédiatement en œuvre le protocole 3D Secure 2 |
Niveau 2 |
Marchands qui n'entrent pas dans la catégorie « Fraud Exposure Merchant », mais qui ont enregistré au moins cinq transactions frauduleuses attestées ou un volume de transactions frauduleuses supérieur à 100 000 JPY au cours des deux dernières années |
Planifier la mise en œuvre du protocole 3D Secure 2 dès que possible |
Niveau 3 |
Marchands de contenus numériques, d'appareils électroniques, de monnaie électronique ou de comptes préapprovisionnés, ainsi que les sites de billetterie et de location d'hébergements |
Planifier la mise en œuvre du protocole 3D Secure 2 dès que possible |
Niveau 4 |
Autres marchands |
Planifier la mise en œuvre du protocole 3D Secure 2 dès que possible |
Si vous utilisez déjà Stripe, assurez-vous que votre intégration prend en charge le protocole 3D Secure 2.
Si vous utilisez l'API Charges
L'API Charges ne prend pas en charge le protocole 3D Secure 2. Par conséquent, si vous l'utilisez dans le cadre de votre intégration, toutes les tentatives de paiement qui transiteront par cette API et pour lesquelles une authentification sera exigée par l'émetteur de cartes échoueront. Nous vous recommandons donc vivement de migrer vers l'API Payment Intents dès que possible pour éviter une hausse des refus de paiement sur votre compte.
Si vous utilisez l'API Payment Intents
Pour éviter une hausse des refus de paiement sur votre compte, veillez à ce que votre intégration prenne en charge l'état `requires_action` afin d'inviter les clients à authentifier leurs paiements. Si vous utilisez actuellement notre intégration de carte bancaire basique, vous devrez la mettre à niveau afin d'être en mesure de gérer l'authentification.
Nous vous recommandons de tester votre intégration afin de vérifier que le protocole 3D Secure 2 est correctement mis en œuvre. Si vous ne savez pas comment procéder, n'hésitez pas à consulter notre documentation relative aux tests qui vous donnera toutes les informations nécessaires.
Stripe a développé un outil de prévention de la fraude appelé Radar, qui se base sur l'analyse des données de paiement de millions d'entreprises à travers le monde pour détecter et bloquer les transactions frauduleuses. Radar tire parti de l'apprentissage automatique pour évaluer le niveau de risque des transactions en fonction de centaines de signaux, tels que le type de cartes, le pays dans lequel la transaction a lieu, l'appareil utilisé et le comportement de navigation. Stripe propose trois règles Radar par défaut qui déclenchent dynamiquement le protocole 3D Secure 2. En configurant ces règles à partir du Dashboard, l'authentification 3D Secure 2 des clients peut être exigée lorsque l'émetteur de leur carte bancaire le requiert.
Radar for Fraud Teams permet le paramétrage de règles personnalisées. Les entreprises peuvent ainsi mettre en place des mécanismes de gestion des risques sur mesure. Les demandes d'authentification 3D Secure 2 sont déclenchées en fonction du niveau de risque ou de métadonnées spécifiques. Cette approche contribue à optimiser les revenus en limitant le blocage de paiements légitimes et les taux de refus des transactions.
L'utilisation de Radar permet ainsi d'augmenter les taux de conversion, tout en appliquant des mesures de lutte contre la fraude basées sur les risques.
Les fournisseurs de services de paiement (tels que Stripe) et les acquéreurs (tels que, SMCC, JCB et American Express) sont tenus d'accompagner leurs utilisateurs dans le déploiement de 3D Secure 2 d'ici la fin du mois de mars 2025. Il leur est également demandé de collaborer avec les marchands de la catégorie « Fraud Exposure Merchants » afin de leur permettre d'adopter rapidement ce protocole.
Avec l'aide de nos partenaires, nous fournirons à nos utilisateurs toutes les informations et l'aide pertinentes. Nous contacterons ceux dont l'intégration doit être mise à jour et nous les accompagnerons dans leur mise en œuvre de 3D Secure 2.
Toutes les transactions effectuées à l'aide d'une carte bancaire de marque internationale sont concernées. Plus concrètement, les marchands devront traiter les transactions par cartes prépayées, de débit, d'entreprise et internationales de la même manière que les transactions par carte de crédit personnelle émise au Japon. Dans le cas où l'émetteur de cartes n'est pas en mesure de traiter les authentifications 3D Secure 2, il est prévu que la transaction soit validée sans déclenchement du protocole.
Non, les transactions en personne ne sont pas concernées.
Aucune amende n'est prévue, mais les régulateurs sont susceptibles de vérifier certaines informations auprès des marchands et de procéder à des inspections sur leurs sites de vente. En outre, les émetteurs peuvent demander à Stripe ou à un acquéreur d'enquêter à propos d'un marchand, et de lui imposer des mesures de sécurité s'il n'a pas pris les précautions nécessaires pour prévenir la fraude et pour protéger les informations de cartes bancaires. Dans le cas où le marchand ne mettrait pas en œuvre les mesures demandées, il pourrait voir son compte clôturé.
Des exemptions et l'exclusion de certaines catégories de transactions sont actuellement à l'étude. Les conseils pertinents du secteur devraient publier de plus amples informations à ce sujet dès qu'elles seront disponibles.