Ultimo aggiornamento: 29 ottobre 2024.
Il 15 marzo 2024, una serie di linee guida del settore che illustrano le misure di sicurezza per le attività che effettuano pagamenti con carta in Giappone, le "Linee guida per la sicurezza delle carte di credito", è stata sottoposta a revisione (Linee guida per la sicurezza delle carte di credito versione 5.0).
Le Linee guida per la sicurezza delle carte di credito stabiliscono che gli esercenti che effettuano vendite online (utenti Stripe) devono abilitare l'autenticazione 3D Secure entro la fine di marzo 2025 al fine di combattere le frodi.
3D Secure (3DS) è un meccanismo che fornisce un ulteriore livello di autenticazione per i pagamenti con carta di credito e protegge le attività dalla responsabilità per pagamenti con carta fraudolenti.
A partire dal 31 marzo 2025, Stripe richiederà l'autenticazione 3DS per tutti i pagamenti applicabili. In alcuni casi, potrai decidere se usare o meno il 3DS.
A gennaio 2025, Stripe inizierà a richiedere il 3DS su una piccola percentuale di pagamenti e, entro il 31 marzo 2025, arriverà gradualmente al 100% dei pagamenti, a esclusione di quelli esenti dal requisito 3DS. Per evitare errori nei pagamenti, dovrai apportare tutte le modifiche necessarie alla tua integrazione Stripe entro la fine del 2024.
Se le tue preparazioni per il 3DS vanno oltre dicembre 2024, puoi richiedere l'esclusione dalla scadenza di gennaio, ma Stripe richiederà comunque l'autenticazione 3DS su tutti i pagamenti applicabili a partire dal 1° aprile 2025.
I pagamenti con carta di credito sulle API precedenti che non supportano il 3DS (API Charges e API Orders) inizieranno a richiedere il 3DS e, pertanto, non riusciranno, a partire da aprile 2025. Entro il 30 giugno 2025, tutti i pagamenti con carta di credito su queste API avranno esito negativo.
Ci sono casi in cui potrai decidere se applicare o meno il 3DS. Quando un pagamento viene effettuato senza 3DS usando un'esenzione, la traslazione di responsabilità per i pagamenti fraudolenti non si applica. Consulta la nostra documentazione per capire in che modo Stripe implementa le esenzioni dell'autenticazione 3DS.
Se usi già Stripe, potresti dover verificare la tua integrazione per accertarti che supporti il 3DS.
Ti consigliamo di usare i numeri di carta di test di Stripe per accertarti che la tua integrazione funzioni con il 3DS. Consulta la nostra documentazione per saperne di più sui test.
Né l'API Charges né l'API Orders supportano 3D Secure 2. Di conseguenza, se il account usa queste API precedenti, i pagamenti con carta di credito non andranno a buon fine. Ti consigliamo vivamente di effettuare la migrazione all'API Payment Intents appena possibile per evitare errori.
Dovrai assicurati che la tua integrazione riesca a gestire lo stato requires_action per chiedere ai clienti di autenticare i loro pagamenti. Potresti dover aggiornare l'integrazione per gestire l'autenticazione delle carte.
Inoltre, quando finalizzi i pagamenti sul server, dovrai prendere misure aggiuntive per mostrare il flusso di autenticazione 3DS sul client. Per saperne di più, consulta questa guida.
Esegui l'upgrade alla versione 2019-03-14 o a una versione più recente dell'API, oppure utilizza il parametro payment_behavior come descritto in questa guida per assicurarti che i pagamenti iniziali degli abbonamenti dei tuoi clienti siano autenticati.
Se usi Stripe attraverso un'integrazione o una piattaforma di terze parti, dovrai verificare direttamente con loro il livello di preparazione.
Preparati a rispondere alle domande dei tuoi clienti sul 3DS. In più, se necessario, assicurati che nella documentazione dell'assistenza per i clienti sia descritto il requisito 3DS.
Stripe Radar aiuta a prevenire le frodi analizzando i dati di pagamento provenienti da oltre un milione di aziende nel mondo e rilevando e bloccando i pagamenti fraudolenti. Radar si serve del machine learning per effettuare valutazioni del rischio su centinaia di segnali, tra cui tipo di carta, Paese di utilizzo, dispositivo e comportamento. Stripe offre tre regole Radar predefinite che richiedono dinamicamente il 3DS. Impostando queste regole nella Dashboard, potrebbe essere richiesta un'autenticazione aggiuntiva per i clienti qualora la società emittente della carta richieda il 3DS.
Con Radar for Fraud Teams, che permette di impostare delle regole su misura, le attività possono personalizzare le proprie impostazioni di gestione del rischio per il 3DS. Le richieste di autenticazione 3DS possono essere effettuate sulla base dei livelli di rischio o di metadati specifici, il che aiuta a impedire un blocco eccessivo di pagamenti legittimi, a ridurre il tasso di rifiuto dei pagamenti e a massimizzare i ricavi.
L'uso di Radar può aiutare a mitigare la perdita di conversione consentendo al contempo l'adozione di misure antifrode basate sul rischio. In più, Radar può essere utilizzato per effettuare l'analisi del rischio necessaria sui pagamenti disposti dai clienti rispetto alle carte salvate.
Le transazioni in cui si utilizza una carta fisica di persona sono escluse dall'ambito di applicazione.
Non sono previste sanzioni ma potrebbe partire un'indagine sull'esercente tramite Stripe o la banca acquirente, che può richiedere all'esercente di attuare le misure di sicurezza necessarie qualora non abbia preso i dovuti provvedimenti per impedire l'uso fraudolento e proteggere i numeri delle carte di credito. Se, nonostante le istruzioni ricevute, l'esercente non adotta le misure di sicurezza, potrebbe essere disattivato in qualità di esercente.
Nella maggior parte dei casi, non sono previsti costi aggiuntivi per il 3DS. Tuttavia, se il tuo account ha un piano tariffario personalizzato, potresti dover sostenere dei costi per ogni tentativo di 3DS.
Se utilizzi Stripe tramite un'integrazione o un plugin di terzi, potresti dover apportare delle modifiche per conformarti ai nuovi requisiti 3DS. La procedura esatta dipende dall'implementazione del tuo fornitore terzo. Ti consigliamo di contattare la terza parte o il fornitore del plugin appena possibile per accertarti che stia prendendo le dovute misure per conformarsi a questi regolamenti e per comprendere quali eventuali aggiornamenti potresti dover implementare.