Attacchi alle carte di credito in Giappone: cosa sono e come prevenirli

Radar
Radar

Prevenzione delle frodi grazie alle potenzialità della rete Stripe.

Ulteriori informazioni 
  1. Introduzione
  2. Che cos’è un attacco alle carte di credito?
    1. La tecnica di attacco
    2. Danni da attacchi alle carte di credito
  3. In che modo gli attacchi alle carte di credito influiscono sulle attività in Giappone?
    1. Aumento delle spese di elaborazione dovuto all’elevato numero di richieste di autorizzazione
    2. Perdita di opportunità di vendita e reclami da parte dei clienti
    3. Sospensione dei pagamenti con carta di credito
    4. Perdita di fiducia dei clienti e diffusione dei danni
  4. In che modo le attività in Giappone possono prevenire gli attacchi alle carte di credito?
    1. 3D Secure
    2. Soluzioni per contrastare i bot
    3. Sistemi di rilevamento delle frodi
    4. Limiti all’inserimento dei dati della carta
  5. Qual è l’impatto degli attacchi alle carte di credito sui titolari di carte?
    1. Uso fraudolento della carta non rilevato
    2. Riemissione della carta
  6. In che modo i titolari di carte possono prevenire gli attacchi?
    1. Prevenzione degli attacchi alle carte di credito
    2. Come affrontare le conseguenze di un attacco alle carte di credito
  7. Domande frequenti sugli attacchi alle carte di credito
    1. Quando viene aggiornato l’estratto conto di una carta di credito?
    2. È possibile che venga utilizzato solo il numero di carta di credito?
    3. Quando diventerà obbligatoria 3D Secure per le carte di credito?
  8. Informazioni utili sugli attacchi alle carte di credito
  9. Inizia a utilizzare Stripe 

Un attacco alle carte di credito è un atto criminale in cui qualcuno ottiene e utilizza illegalmente i dati della carta di credito di un'altra persona. Gli attacchi alle carte di credito sono in aumento in Giappone e hanno un impatto significativo su aziende e titolari di carte. Per questo motivo, è necessario utilizzare misure per prevenire gli attacchi.

In questo articolo vengono illustrati gli attacchi alle carte di credito, i danni che possono causare e le contromisure che le attività e i titolari di carte possono utilizzare per prevenirli.

Di cosa tratta questo articolo?

  • Che cos'è un attacco alle carte di credito?
  • In che modo gli attacchi alle carte di credito influiscono sulle attività in Giappone? 
  • In che modo le attività in Giappone possono prevenire gli attacchi alle carte di credito?
  • Qual è l'impatto degli attacchi alle carte di credito sui titolari di carte?
  • In che modo i titolari di carte possono prevenire gli attacchi?
  • Domande frequenti sugli attacchi alle carte di credito
  • Informazioni utili sugli attacchi alle carte di credito

Che cos'è un attacco alle carte di credito?

Un attacco alle carte di credito è una forma di frode che sfrutta la prevedibilità delle cifre dei numeri di carta per ottenerli illegalmente. In un attacco alle carte di credito, l'aggressore utilizza un programma o un software che genera automaticamente numeri casuali. Questi numeri vengono poi verificati per identificare quelli validi, inclusi i codici di sicurezza.

Gli aggressori sfruttano le pagine di pagamento degli e-commerce per verificare la validità di numeri di carta di credito generati automaticamente. Se il sistema accetta un pagamento con tali numeri, sia il numero di carta che il codice di sicurezza vengono considerati validi. Sono quindi a rischio di essere utilizzati in modo fraudolento su vari altri siti di e-commerce.

Di seguito è riportata una spiegazione dettagliata dei metodi specifici utilizzati in un attacco:

La tecnica di attacco

Gli attacchi alle carte di credito sfruttano la struttura regolare dei numeri per generarli automaticamente.

In conformità con lo standard internazionale International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 7812, i numeri di carta di credito sono costituiti da:

  • Un numero di identificazione dell'emittente (IIN): a volte è chiamato anche numero di identificazione bancaria (BIN) e comprende le prime sei cifre.

  • Un numero di conto membro: le cifre dalla settima alla penultima compongono questo numero.

  • Una cifra di controllo: è l'ultima cifra.

Utilizzando uno speciale algoritmo, la cifra di controllo determina se il numero della carta è corretto. La società emittente della carta determina l'IIN. Si tratta di informazioni pubbliche che chiunque può verificare. Ad esempio, alle carte di credito Rakuten viene assegnato l'IIN "3584-03" e alle carte di credito EPOS Visa viene assegnato l'IIN "4897-83".

Dopo aver definito un punto di partenza con alcune ipotesi, i numeri vengono generati automaticamente tramite computer. Il numero finale viene elaborato testando ripetutamente le combinazioni del codice di sicurezza e della data di scadenza, oltre all'IIN, al numero di conto membro e alla cifra di controllo.

Danni da attacchi alle carte di credito

Secondo la Japan Consumer Credit Association, l'importo totale dei danni causati dall'uso non autorizzato delle carte di credito in Giappone da gennaio a dicembre 2023 è stato di 54,1 miliardi di yen, l'importo più alto mai registrato. Rispetto ai 43,7 miliardi di yen di danni totali registrati nel 2022, si è verificato un aumento di oltre 10 miliardi di yen in un solo anno.

Suddividendo per categorie l'importo dei danni da uso fraudolento di carte di credito, si è rilevato che nel 2023 il furto di numeri ha generato perdite per 50,5 miliardi di yen. Ciò rappresenta il 93,3% dell'importo totale dei danni causati dall'uso fraudolento delle carte di credito.

Gli attacchi alle carte di credito rientrano spesso nel furto di numeri, ma non tutti i furti di numeri di carte di credito utilizzano tecniche di questo tipo. Tuttavia, le recenti tendenze mostrano che le attività fraudolente legate al furto di numeri di carta di credito, incluse le tecniche di attacco, stanno diventando sempre più complesse e sofisticate. Si teme che le perdite continuino ad aumentare.

In che modo gli attacchi alle carte di credito influiscono sulle attività in Giappone?

Ecco l'impatto di questi attacchi sulle attività giapponesi:

Aumento delle spese di elaborazione dovuto all'elevato numero di richieste di autorizzazione

L'autorizzazione della carta è il processo mediante il quale le attività commerciali verificano con il circuito della carta di credito la disponibilità di fondi o credito del cliente per completare una transazione. L'attività deve pagare alla società emittente della carta di credito una commissione di elaborazione per ogni autorizzazione, in genere compresa tra 1 e 5 ¥.

In caso di attacco alle carte di credito su un sito di e-commerce, è comune l'addebito di elevate commissioni di autorizzazione dovute ai numerosi tentativi di verifica dei numeri di carta. Nonostante il costo unitario sia esiguo, l'accumulo di queste autorizzazioni può rapidamente generare spese elevate,

danneggiando l'azienda anche in assenza di transazioni fraudolente dirette.

Perdita di opportunità di vendita e reclami da parte dei clienti

Un attacco alle carte di credito si manifesta con un elevato numero di tentativi di accesso concentrati in una singola posizione. Questo può sovraccaricare il sistema, rallentando l'elaborazione dei pagamenti e degli ordini e, in alcuni casi, impedendo ai clienti legittimi di accedere al sito di e-commerce. Un ulteriore problema è la potenziale temporanea indisponibilità dei pagamenti con carta.

Se ciò accade su un sito di e-commerce, i clienti potrebbero sentirsi insicuri, diffidenti o frustrati, con il rischio di abbandonare la piattaforma. Ciò può comportare una perdita di opportunità di vendita per l'attività. Inoltre, il sito si troverebbe sommerso da richieste e reclami di utenti legittimi preoccupati per i propri ordini e pagamenti.

Sospensione dei pagamenti con carta di credito

Le società di carte di credito monitorano costantemente le condizioni di pagamento. Per questo motivo, le società di carte di credito possono sospendere temporaneamente i pagamenti per i siti di e-commerce che sono stati bersaglio di un attacco.

La tecnica di attacco alle carte di credito utilizza un gran numero di numeri casuali che sono in conflitto tra loro. Ciò si traduce in un numero elevato di richieste di autorizzazione sopra menzionate, che possono essere contrassegnate come fraudolente. Di conseguenza, il fornitore della carta di credito potrebbe ritenere necessario interrompere completamente i pagamenti con carta di credito su un determinato sito. E mentre questi pagamenti sono sospesi, è impossibile fornire servizi di pagamento con carta di credito a clienti legittimi.

Perdita di fiducia dei clienti e diffusione dei danni

Come accennato in precedenza, i pagamenti con carta di credito potrebbero essere temporaneamente non disponibili. Se il sito di e-commerce non funziona mentre un cliente sta effettuando un ordine, potrebbe essere percepito come non sicuro o incapace di elaborare pagamenti sicuri.

Se un cliente si rivolge all'attività, potrebbe ricevere una risposta del tipo: "Al momento, i pagamenti con carta di credito sono sospesi a causa di attività esterne non autorizzate". Un messaggio come questo potrebbe aumentare il disagio o la sfiducia del cliente.

Inoltre, un attacco riuscito alle carte di credito potrebbe indurre gli aggressori a considerare il sito come poco sicuro. Pertanto, il sito potrebbe continuare a essere preso di mira in futuro. Peraltro, nel caso in cui un soggetto ostile acceda a dati validi di carte di credito dal sito di e-commerce di un'azienda, la riservatezza delle informazioni personali dei clienti viene violata. I dati della carta di credito possono essere utilizzati in modo fraudolento anche altrove, causando ulteriori danni ai clienti.

In che modo le attività in Giappone possono prevenire gli attacchi alle carte di credito?

Le attività possono implementare diverse misure per difendersi dagli attacchi alle carte di credito e ridurre la probabilità di subirne l'impatto, tra cui:

3D Secure

3D Secure è un sistema di autenticazione che mira a prevenire l'uso non autorizzato delle carte di credito durante i pagamenti effettuati su siti di e-commerce. Le password monouso e l'autenticazione biometrica stanno diventando prassi comune per verificare che chi inserisce i dati della carta di credito ne sia il legittimo titolare.

Ad esempio, in 3D Secure 2.0 (noto anche come "EMV 3-D Secure"), è possibile impedire l'uso non autorizzato, come il furto dei dati delle carte di credito. Il sistema esegue la valutazione dei rischi in base a dati dettagliati, come le informazioni sul dispositivo del cliente, l'area di accesso e l'ora del giorno. Tuttavia, 3D Secure 2.0 da solo non è sufficiente per prevenire completamente le frodi. Pertanto, è necessario implementare varie altre misure di prevenzione delle frodi oltre il 3D Secure 2.0.

Soluzioni per contrastare i bot

L'utilizzo di strumenti di rilevamento dei bot è un altro modo per prevenire l'accesso non autorizzato automatizzato, inclusi gli attacchi alle carte di credito. reCAPTCHA di Google è un noto strumento di rilevamento dei bot ed è un servizio di sicurezza che qualsiasi attività può adottare.

reCAPTCHA v2 offre due tipi di test. Uno chiede al cliente di spuntare una casella per confermare di non essere un robot, mentre l'altro gli richiede di selezionare le immagini corrette da un set. Ad esempio, le istruzioni potrebbero essere: "Seleziona le immagini che includono un attraversamento pedonale". Solitamente, queste istruzioni compaiono all'invio di un modulo di richiesta su un sito web o durante l'accesso a un account.

Inoltre, l'ultima versione, reCAPTCHA v3, utilizza l'apprendimento automatico per analizzare i modelli di attività web dei clienti e determinare automaticamente se il sito è accessibile da un essere umano o da un bot. Sebbene reCAPTCHA v3 non richieda l'inserimento del cliente come reCAPTCHA v2, offre una sicurezza superiore.

Sistemi di rilevamento delle frodi

Un sistema di rilevamento delle frodi identifica l'uso fraudolento in base alle informazioni e al comportamento dei pagamenti passati. Alcune delle informazioni analizzate sono:

  • Un indirizzo non valido o fittizio

  • Un nome del titolare della carta non corrispondente

  • Ordini effettuati da diversi terminali

  • Pagamenti ripetuti con numeri di carta diversi

Un sistema di rilevamento frodi permette alle attività di proteggere più efficacemente i propri siti e-commerce, identificando e bloccando automaticamente le transazioni sospette non verificabili con 3D Secure. I sistemi di rilevamento delle frodi, inoltre, non richiedono ai titolari legittimi delle carte di eseguire passaggi aggiuntivi per effettuare i pagamenti, come la richiesta di un'autenticazione aggiuntiva. Ciò può portare a una migliore esperienza di acquisto per i clienti.

Stripe aiuta le attività a ottimizzare l'ambiente di pagamento online affrontando la crescente minaccia di frodi su scala globale. Stripe Radar, il sistema antifrode proprietario di Stripe, sfrutta il machine learning per adattarsi alle dinamiche mutevoli delle frodi, permettendo l'implementazione di misure di prevenzione più sofisticate. Integrandosi facilmente nel flusso di pagamento senza costi o tempi di sviluppo aggiuntivi per un sistema antifrode indipendente, l'utilizzo di questo strumento può iniziare in modo semplice e immediato.

Limiti all'inserimento dei dati della carta

L'impostazione di un limite al numero di volte in cui un cliente può inserire i dati della propria carta di credito nella schermata di pagamento può prevenire attacchi su larga scala.

Un limite troppo restrittivo, tuttavia, rischia di bloccare l'uso della carta anche a un titolare legittimo che dovesse inserire per errore troppe credenziali errate. Un limite troppo rigido può aumentare il rischio di abbandono del carrello e diminuire la soddisfazione del cliente.

Qual è l'impatto degli attacchi alle carte di credito sui titolari di carte?

Ecco alcuni esempi di danni che il titolare di una carta potrebbe subire a seguito di un attacco alle carte di credito:

Uso fraudolento della carta non rilevato

Se i dati della carta di credito generati in un attacco alle carte di credito sono ritenuti validi, è probabile che vengano utilizzati da una terza parte malintenzionata. Poiché gli aggressori che effettuano attacchi alle carte di credito adottano metodi più sofisticati, molti di essi manterranno di proposito la quantità di denaro speso sufficientemente bassa da non essere immediatamente rilevata come un uso fraudolento da parte del cliente.

Riemissione della carta

Se si verificano più casi di transazioni fraudolente con carta di credito, la società emittente della carta di credito potrebbe decidere di annullare la carta. Come spiegheremo più avanti, se un titolare di carta di credito si accorge da solo di un attacco alle carte di credito, deve contattare la società emittente della carta di credito e far annullare la carta. In entrambi i casi, la carta dovrà essere riemessa e non potrà essere utilizzata fino a quando non lo sarà stata.

In che modo i titolari di carte possono prevenire gli attacchi?

L'uso fraudolento di una carta di credito in un attacco comporta un peso sia finanziario che psicologico per il cliente. Ecco cosa possono fare i titolari di carte per ridurre il rischio di essere vittime e cosa dovrebbero fare se i dati della loro carta di credito vengono utilizzati in un attacco:

Prevenzione degli attacchi alle carte di credito

Controlla attentamente e regolarmente gli estratti conto delle carte

Quando un titolare della carta controlla regolarmente il proprio estratto conto, è più probabile che noti pagamenti che non ricorda di aver effettuato. Ad esempio, rispetto a qualcuno che controlla il proprio estratto conto solo una volta al mese, qualcuno che controlla il proprio estratto conto dopo ogni spesa o pasto sarà più propenso a dire se un pagamento è insolito o meno.

Usa un servizio di notifica

Un servizio di notifica consente al titolare della carta di ricevere notifiche via email, SMS o notifiche push ogni volta che viene utilizzata una carta di credito. Dopo l'utilizzo della carta, gli vengono comunicati in tempo reale l'importo, la data, l'ora, il nome dell'azienda e altre informazioni. Ricevere una notifica in caso di inutilizzo della carta permette di identificare immediatamente eventuali attività fraudolente e di intervenire tempestivamente.

Imposta limitazioni d'uso delle carte

Stabilire limiti per diverse tipologie di utilizzo può offrire maggiore tranquillità ai titolari di carta di credito. È anche importante stabilire limiti individuali per ogni situazione. Ad esempio, se il titolare della carta non viaggia mai al di fuori del Giappone, può impostare il limite estero al minimo. Per diminuire le probabilità di essere vittima di frodi online, potrebbe impostare un limite massimo per le singole transazioni con la carta.

Come affrontare le conseguenze di un attacco alle carte di credito

Questi attacchi sono talvolta inevitabili, anche se l'attività e il titolare della carta adottano tutte le misure possibili per prevenire le frodi. Ecco cosa può fare un titolare di carta se diventa vittima di un attacco:

Contatta il circuito della carta di credito per sospendere la carta

Non appena il titolare della carta si accorge di un uso non autorizzato, deve contattare immediatamente la società emittente della carta di credito per richiedere la sospensione della carta. Se viene scoperto un uso non autorizzato, può richiedere un rimborso rifiutando il pagamento tramite una procedura chiamata storno.

Utilizza il sistema di risarcimento

Dopo che una carta di credito è stata sospesa, i titolari della carta possono utilizzare il sistema di risarcimento della società della carta di credito. I dettagli del risarcimento variano a seconda dell'azienda, ma in caso di uso non autorizzato confermato, il sistema di risarcimento può rappresentare una forma di tutela per i consumatori. Pertanto, i titolari di carta dovrebbero verificare in anticipo i dettagli del sistema di risarcimento. Questo può aiutarli ad agire con calma in caso di attacco alle carte di credito.

Domande frequenti sugli attacchi alle carte di credito

Quando viene aggiornato l'estratto conto di una carta di credito?

In termini di tempistiche, quando il negozio invia i dati di utilizzo alla società della carta di credito, questi si riflettono sull'estratto conto. Ad esempio, se il negozio invia i dati di utilizzo immediatamente dopo un pagamento con carta di credito, in genere ci vogliono due o tre giorni dal momento del pagamento al momento in cui appare sull'estratto conto. Tuttavia, i tempi di trasmissione dei dati variano a seconda del negozio. In alcuni casi, possono essere necessarie diverse settimane o mesi prima che un addebito compaia su un estratto conto.

Se il titolare della carta paga un prodotto con una carta di credito, le informazioni sulla transazione non compariranno immediatamente nell'estratto conto.

È possibile che venga utilizzato solo il numero di carta di credito?

Le carte di credito contengono dati sensibili, come il codice di sicurezza e la data di scadenza, il cui utilizzo improprio desta preoccupazione. Il timore che il proprio numero di carta sia compromesso e possa essere sfruttato è diffuso. Tuttavia, in generale, se anche solo uno di questi dettagli viene divulgato, le possibilità di successo dell'uso non autorizzato sono basse.

Questo perché per fare acquisti online in un centro commerciale di e-commerce o registrarsi a servizi digitali su Internet, il titolare della carta deve inserire il numero della carta, il codice di sicurezza e la data di scadenza. In altre parole, non è possibile effettuare un pagamento online con carta di credito solo con il numero della carta.

Tuttavia, se il codice di sicurezza e la data di scadenza vengono divulgati insieme al numero della carta, potrebbe essere utilizzato in modo fraudolento. Pertanto, ogni volta che un titolare di carta effettua un pagamento con carta di credito, sia di persona che online, è fondamentale prestare attenzione a ciò che è visibile a chi lo circonda. È consigliabile evitare acquisti online in luoghi affollati per proteggere i propri dati di pagamento da occhi indiscreti.

Quando diventerà obbligatoria 3D Secure per le carte di credito?

Come parte delle misure per prevenire l'uso non autorizzato delle carte di credito, il 3D Secure 2.0 sarà obbligatorio per i siti di e-commerce in Giappone entro la fine di marzo 2025. Man mano che il 3D Secure diventa obbligatorio, è importante che tutte le aziende del settore delle carte di credito incoraggino le attività di e-commerce a partecipare.

Informazioni utili sugli attacchi alle carte di credito

In questo articolo abbiamo approfondito le tecniche di attacco e l'impatto economico delle frodi sulle carte di credito, discutendo al contempo i danni subiti da aziende e clienti e le relative contromisure.

Gli attacchi alle carte di credito sfruttano tecniche dannose, come la generazione automatica di numeri, per ottenere fraudolentemente informazioni. Per proteggersi dagli attacchi alle carte di credito, è fondamentale supportare il 3D Secure e rafforzare la sicurezza del tuo e-commerce. Implementare sistemi di rilevamento frodi e creare un ambiente di acquisto sereno per i clienti sono passi cruciali.

Anche i titolari di carte di credito dovrebbero prestare attenzione durante l'utilizzo, controllare regolarmente gli estratti conto e gestire con cura le proprie informazioni personali.

I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.

Altri articoli

Tutto pronto per iniziare?

Crea un account e inizia ad accettare pagamenti senza la necessità di stipulare contratti o di comunicare le tue coordinate bancarie. In alternativa, contattaci per progettare un pacchetto personalizzato per la tua attività.
Radar

Radar

Previeni le frodi grazie alle potenzialità della rete Stripe.

Documentazione di Radar

Utilizza Stripe Radar per proteggere la tua azienda dalle frodi.