Ultimo aggiornamento: 29 ottobre 2024.

Il 15 marzo 2024, una serie di linee guida del settore che illustrano le misure di sicurezza per le attività che effettuano pagamenti con carta in Giappone, le "Linee guida per la sicurezza delle carte di credito", è stata sottoposta a revisione (Linee guida per la sicurezza delle carte di credito versione 5.0).

Le Linee guida per la sicurezza delle carte di credito stabiliscono che gli esercenti che effettuano vendite online (utenti Stripe) devono abilitare l'autenticazione 3D Secure entro la fine di marzo 2025 al fine di combattere le frodi.

L'autenticazione 3D Secure (3DS) è un meccanismo che fornisce un ulteriore livello di autenticazione per i pagamenti con carta di credito e protegge le attività dalla responsabilità per pagamenti con carta fraudolenti.

Tempistica di lancio del 3DS di Stripe

A partire dal 31 marzo 2025, Stripe richiederà l'autenticazione 3DS per tutti i pagamenti applicabili. In alcuni casi, potrai decidere se usare o meno il 3DS.

A gennaio 2025, Stripe ha iniziato a richiedere l'autenticazione 3DS su una piccola percentuale di pagamenti, per arrivare gradualmente al 100% dei pagamenti entro il 31 marzo 2025, a esclusione di quelli esenti dal requisito 3DS. Per evitare errori nei pagamenti, dovrai apportare tutte le modifiche necessarie alla tua integrazione Stripe entro la fine del 2024.

Se le tue preparazioni per il 3DS vanno oltre dicembre 2024, puoi richiedere l'esclusione dalla scadenza di gennaio, ma Stripe richiederà comunque l'autenticazione 3DS su tutti i pagamenti applicabili a partire dal 1° aprile 2025.

I pagamenti con carta di credito sulle API precedenti che non supportano il 3DS (API Charges e API Orders) inizieranno a richiedere il 3DS e, pertanto, non riusciranno, a partire da aprile 2025. Entro il 30 giugno 2025, tutti i pagamenti con carta di credito su queste API avranno esito negativo.

Pagamenti applicabili

Ci sono casi in cui potrai decidere se applicare o meno il 3DS. Quando un pagamento viene effettuato senza 3DS usando un'esenzione, la traslazione di responsabilità per i pagamenti fraudolenti non si applica. Consulta la nostra documentazione per capire in che modo Stripe implementa le esenzioni dell'autenticazione 3DS.

Verifica l'integrazione

Se usi già Stripe, potresti dover verificare la tua integrazione per accertarti che supporti il 3DS.

Ti consigliamo di usare i numeri di carta di test di Stripe per accertarti che la tua integrazione funzioni con il 3DS. Consulta la nostra documentazione per saperne di più sui test.

Se usi già l'API Charges o l'API Orders

Né l'API Charges né l'API Orders supportano 3D Secure 2. Di conseguenza, se il tuo account usa queste API precedenti, i pagamenti con carta di credito non andranno a buon fine. Ti consigliamo vivamente di effettuare la migrazione all'API Payment Intents appena possibile per evitare errori.

Se usi l'API Payment Intents

Dovrai assicurati che la tua integrazione riesca a gestire lo stato requires_action per chiedere ai clienti di autenticare i loro pagamenti. Potresti dover aggiornare l'integrazione per gestire l'autenticazione delle carte.

Inoltre, quando finalizzi i pagamenti sul server, dovrai prendere misure aggiuntive per mostrare il flusso di autenticazione 3DS sul client. Per saperne di più, consulta questa guida.

Se usi Billing con una versione dell'API precedente a 2019-03-04

Esegui l'upgrade alla versione 2019-03-14 o a una versione più recente dell'API, oppure utilizza il parametro payment_behavior come descritto in questa guida per assicurarti che i pagamenti iniziali degli abbonamenti dei tuoi clienti siano autenticati.

Se usi Stripe attraverso un'integrazione o una piattaforma di terze parti, dovrai verificare direttamente con loro il livello di preparazione.

Comunicazione con i clienti

Preparati a rispondere alle domande dei tuoi clienti sul 3DS. In più, se necessario, assicurati che nella documentazione dell'assistenza per i clienti sia descritto il requisito 3DS.

Usare Radar e Radar for Fraud Teams

Stripe Radar aiuta a prevenire le frodi analizzando i dati di pagamento provenienti da oltre un milione di aziende nel mondo e rilevando e bloccando i pagamenti fraudolenti. Radar si serve del machine learning per effettuare valutazioni del rischio su centinaia di segnali, tra cui tipo di carta, Paese di utilizzo, dispositivo e comportamento. Stripe offre tre regole Radar predefinite che richiedono dinamicamente il 3DS. Impostando queste regole nella Dashboard, potrebbe essere richiesta un'autenticazione aggiuntiva per i clienti qualora la società emittente della carta richieda il 3DS.

Con Radar for Fraud Teams, che permette di impostare delle regole su misura, le attività possono personalizzare le proprie impostazioni di gestione del rischio per il 3DS. Le richieste di autenticazione 3DS possono essere effettuate sulla base dei livelli di rischio o di metadati specifici, il che aiuta a impedire un blocco eccessivo di pagamenti legittimi, a ridurre il tasso di rifiuto dei pagamenti e a massimizzare i ricavi.

L'uso di Radar può aiutare a mitigare la perdita di conversione consentendo al contempo l'adozione di misure antifrode basate sul rischio. In più, Radar può essere utilizzato per effettuare l'analisi del rischio necessaria sui pagamenti disposti dai clienti rispetto alle carte salvate.

Domande frequenti

Le transazioni con carta di credito di persona sono escluse dall'ambito di applicazione?

Le transazioni in cui si utilizza una carta fisica di persona sono escluse dall'ambito di applicazione.

Gli esercenti in Giappone devono attuare delle misure di sicurezza ai sensi dell'Installment Sales Act (legge per le vendite a rate), ma è prevista una penale per gli esercenti che non rispettano questi requisiti?

Non sono previste sanzioni ma potrebbe partire un'indagine sull'esercente tramite Stripe o la banca acquirente, che può richiedere all'esercente di attuare le misure di sicurezza necessarie qualora non abbia preso i dovuti provvedimenti per impedire l'uso fraudolento e proteggere i numeri delle carte di credito. Se, nonostante le istruzioni ricevute, l'esercente non adotta le misure di sicurezza, potrebbe essere disattivato in qualità di esercente.

Il 3DS prevede delle commissioni?

Nella maggior parte dei casi, non sono previsti costi aggiuntivi per il 3DS. Tuttavia, se il tuo account ha un piano tariffario personalizzato, potresti dover sostenere dei costi per ogni tentativo di 3DS.

Cosa succede se utilizzo Stripe tramite l'integrazione di una terza parte?

Se utilizzi Stripe tramite un'integrazione o un plugin di terzi, potresti dover apportare delle modifiche per conformarti ai nuovi requisiti 3DS. La procedura esatta dipende dall'implementazione del tuo fornitore terzo. Ti consigliamo di contattare la terza parte o il fornitore del plugin appena possibile per accertarti che stia prendendo le dovute misure per conformarsi a questi regolamenti e per comprendere quali eventuali aggiornamenti potresti dover implementare.

Come faccio a testare il corretto funzionamento di 3DS?

Puoi utilizzare una chiave API di test insieme a carte di test per creare transazioni di prova. Utilizzando le carte di test che richiedono l'autenticazione, puoi convalidare l'autenticazione 3DS.

È obbligatorio anche se accetto pagamenti da clienti al di fuori del Giappone?

Per gli account in Giappone devi rispettare i nuovi requisiti 3DS sia per le carte nazionali che per quelle internazionali. Gli account fuori dal Giappone non sono soggetti a questo requisito.

Come faccio ad attivare 3DS manualmente?

Sebbene esistano eccezioni per 3DS, potrebbe essere auspicabile incorrere in una traslazione di responsabilità attivando manualmente 3DS per sospetta frode. Puoi farlo utilizzando le regole Radar nella Dashboard o l'API.

• Stripe fornisce regole Radar predefinite, a cui puoi aggiungere regole 3DS personalizzate mediante Radar for Teams.
• Per l'API, quando crei o confermi un PaymentIntent o un SetupIntent o quando crei una sessione di Checkout, puoi impostare payment_method_options[carta][request_three_d_secure] su qualsiasi o sul flusso standard a seconda del tuo obiettivo di ottimizzazione per attivare manualmente 3DS.

L'autenticazione avverrà nel flusso standard o nel flusso semplificato?

Ciò dipende fondamentalmente dalla valutazione del rischio effettuata dalla società emittente della carta.

• Il flusso standard è un'autenticazione aggiuntiva che avviene quando la transazione è considerata ad alto rischio. In genere, la società emittente della carta invia tramite email una password monouso al titolare della carta stessa, che in seguito la inserisce nella schermata di pagamento.
• Se la società emittente della carta valuta la transazione come a basso rischio, può scegliere di non richiedere un'autenticazione aggiuntiva, ovvero adottare un flusso semplificato.

Entrambi gli scenari comportano una traslazione di responsabilità. Se vuoi specificare il flusso standard nell'API Payment Intents, imposta "request_three_d_secure" su standard.

Cosa devo fare per raccogliere i dati della carta dei clienti in anticipo ed emettere la fattura in seguito?

Se la tua attività prevede il salvataggio anticipato delle carte, devi verificare che il cliente che effettua l'accesso sia effettivamente il titolare dell'account. Devi effettuare una rigorosa gestione dell'account e adottare misure contro gli accessi non autorizzati.

Puoi eseguire questa operazione utilizzando l'API Setup Intents, tramite la quale Stripe attiverà automaticamente 3DS nelle seguenti condizioni, oppure utilizzare la modalità di configurazione in Checkout per attivare 3DS per impostazione predefinita durante la registrazione della carta.

• utilizzo: off_session (predefinito)
• utilizzo: on_session e payment_method_options.card.request_three_d_secure: qualsiasi

Se l'autenticazione 3DS è stata completata durante la registrazione della carta, questa sarà esente per le transazioni successive. Tuttavia, per ciascuna transazione devi valutare il rischio di frode in base all'importo, ai beni/servizi, agli attributi e all'analisi comportamentale e, se lo ritieni necessario, eseguire nuovamente l'autenticazione 3DS. In questi casi utilizza nuovamente SetupIntent.

Cosa devo fare se il mio modello di business prevede pagamenti una tantum da parte dei clienti?

Innanzitutto, verifica che il flusso di pagamento esistente funzioni correttamente con le carte di test 3DS.

Sebbene non siano necessari ulteriori interventi di base, è consigliabile verificare che il sistema elabori 3DS.

Cosa devo fare se accetto gli abbonamenti?

Innanzitutto, verifica che il flusso di pagamento esistente funzioni correttamente con le carte di test 3DS.

• Se vuoi attivare 3DS quando inserisci i dettagli della carta, consulta la sezione "Cosa devo fare per raccogliere i dati della carta dei clienti in anticipo ed emettere la fattura in seguito?".
• Se non attivi 3DS al momento dell'inserimento dei dati della carta e vuoi attivarlo durante il primo pagamento, specifica on_session come tipo di utilizzo.

Se usi l'API Subscriptions e non crei manualmente un oggetto SetupIntent dopo l'inserimento della carta, ne verrà creato uno per te se è richiesto il 3DS. Questa operazione dovrà essere gestita nel tuo front-end per consentire all'utente di completare l'autenticazione 3DS.

Per i pagamenti ricorrenti, se l'autenticazione 3DS è stata completata al momento della registrazione della carta o del primo pagamento, la carta potrà essere esentata per i pagamenti successivi e non sarà necessario eseguire l'autenticazione 3DS. Tuttavia, in caso di interazioni con i clienti relative a modifiche contrattuali o acquisti aggiuntivi, dovrai eseguire nuovamente l'autenticazione 3DS.