In Giappone, la popolarità dei pagamenti senza contanti ha portato a un aumento delle frodi con carta di credito. Per le attività che gestiscono siti di e-commerce e utilizzano i pagamenti online, le misure di sicurezza sono un obbligo, non un'opzione. In questo articolo forniamo una spiegazione delle Linee guida sulla sicurezza delle carte di credito in Giappone, tra cui scopo, informazioni di base e passi per la conformità.
Cosa c’è in questo articolo?
- Cosa sono le Linee guida sulla sicurezza delle carte di credito?
- Perché sono necessarie le Linee guida sulla sicurezza delle carte di credito?
- Quali sono le differenze tra le versioni 5.0 e 6.0 delle Linee guida sulla sicurezza delle carte di credito?
- Passi per la conformità alle Linee guida sulla sicurezza delle carte di credito
- Quali sono le conseguenze della mancata conformità alle Linee guida sulla sicurezza delle carte di credito?
- Perché le attività devono adottare misure di sicurezza in modo continuativo?
Cosa sono le Linee guida sulla sicurezza delle carte di credito?
Le Linee guida sulla sicurezza delle carte di credito sono un insieme di politiche che stabiliscono le misure di sicurezza per l'uso delle carte di credito. Tutte le attività giapponesi devono attenersi a queste linee guida, basate su un piano del Ministero dell'economia, del commercio e dell'industria (METI) per ridurre il rischio di fughe di informazioni e di frodi, e creare un ambiente sicuro per le transazioni. La Japan Consumer Credit Association (JCA) agisce anche per sensibilizzare riguardo alla sicurezza e garantire che le attività adottino misure scrupolose in tutto il settore.
La versione 6.0, ultima versione delle linee guida, richiede standard di sicurezza più rigorosi rispetto alle versioni precedenti. È importante che le attività rimangano aggiornate sugli sviluppi più recenti e rispondano di conseguenza. Tali sviluppi includono una gestione adeguata dei dati delle carte di credito, rilevamento precoce e rapida risposta in caso di uso fraudolento o non autorizzato, la formazione dei dipendenti riguardo alla sicurezza e misure atte ad affrontare le vulnerabilità del sistema.
La conformità alle linee guida può aiutare le attività a conquistare la fiducia dei clienti e a rimanere sostenibili. Tutte le attività devono comprendere i dettagli delle linee guida più recenti e adottare misure appropriate per garantire la conformità.
Perché sono necessarie le Linee guida sulla sicurezza delle carte di credito?
Secondo un sondaggio della JCA incentrato sulle aziende giapponesi che emettono carte di credito dei circuiti internazionali, si prevede che l'importo delle perdite dovute a frodi con carta di credito raggiungerà circa 55,5 miliardi di yen nel 2024. Si tratta di un aumento significativo rispetto al 2014, quando era di poco superiore a 11 miliardi di yen. Nel 2014, le perdite causate dal furto dei numeri delle carte hanno rappresentato quasi il 60% del totale. Questa percentuale ha superato il 90% nel 2024, evidenziando la vulnerabilità delle transazioni online come quelle dei siti di e-commerce.
Queste cifre indicano perché è importante che le attività siano conformi alle Linee guida più recenti per la sicurezza delle carte di credito. Le linee guida possono aiutare le attività a proteggere i clienti, a essere conformi alla legge e a mantenere affidabili i loro marchi. Nel caso improbabile di fuga di dati o accesso non autorizzato, le conseguenze potrebbero includere perdita di clienti, storni, sanzioni amministrative o pagamento di danni.
Quali sono le differenze tra le versioni 5.0 e 6.0 delle Linee guida sulla sicurezza delle carte di credito?
Le Linee guida sulla sicurezza delle carta di credito sono state riviste più volte dalla loro pubblicazione iniziale nel 2020. Le misure sono divise in due categorie: transazioni non di persona (cioè transazioni e-commerce) e transazioni di persona. È importante che le attività seguano le linee guida indirizzate al loro tipo di business. Ad esempio, la versione 6.0 contiene nuove misure per le attività di e-commerce, quindi è importante che le attività di questo tipo siano conformo alle nuove linee guida.
Le Linee guida sulla sicurezza delle carte di credito sono molto dettagliate. Comprenderne i punti chiave può aiutare un'attività a iniziare e rispondere a ciascuna misura. La tabella seguente contiene un confronto tra le versioni 5.0 e 6.0 per aiutare a identificare le misure che sono state aggiunte a ciascuna delle linee guida.
|
Misure |
Versione 5.0 |
Versione 6.0 |
|---|---|---|
|
Protezione dei dati delle carte |
Aziende di e-commerce e con transazioni di persona
|
Attività di e-commerce
|
|
Protezione antifrode |
Attività di e-commerce
Attività di persona
|
Attività di e-commerce
|
|
Eventi frequenti di frodi/attività ad alto rischio |
Attività di e-commerce
|
Attività di e-commerce
|
|
Aziende che gestiscono transazioni di ordini per corrispondenza e telefonici |
Attività che gestiscono transazioni MO/TO
|
Attività che gestiscono transazioni MO/TO
|
|
Assistenza per l'attività |
— |
Attività di e-commerce
|
|
Inserire il numero di identificazione personale (PIN) durante il pagamento con carta |
— |
Attività di persona
|
Misure per prevenire il furto dei dati delle carte di credito
Nella versione 5.0, la JCA ha implementato misure per la protezione dei dati delle carte, come la non conservazione e la conformità alle norme PCI DSS. Queste misure si sono rivelate alquanto efficaci nel prevenire incidenti che comportano il furto di grandi volumi di dati delle carte in un breve periodo di tempo.
Tuttavia, si sono verificati incidenti in cui i dati delle carte sono fuoriusciti in seguito ad accessi esterni non autorizzati, virus o manomissione del sistema. Tali incidenti sono stati causati da contromisure insufficienti per le vulnerabilità , come misure antivirus nei sistemi e nei siti web delle attività di e-commerce, gestione dei privilegi degli amministratori e gestione dei dispositivi. Pertanto, la versione 6.0 richiede alle attività di e-commerce di implementare le contromisure elencate di seguito per le vulnerabilità del sistema e del sito web, in modo da prevenire la fuoriuscita dei dati delle carte:
- Restrizioni all'accesso alle schermate di amministrazione del sistema e alla gestione di ID e password degli amministratori
- Misure per risolvere gli errori di configurazione e le mancanze connesse all'esposizione della directory dei dati
- Contromisure per la vulnerabilità delle app web
- Introduzione e attivazione dei software antivirus come misura contro il malware
- Contromisure contro i controlli di validità dannosi e i credit master
Quando si esternalizzano la creazione, la configurazione e il funzionamento di sistemi o siti web di e-commerce, l'appaltatore deve attenersi alle contromisure per le vulnerabilità che le attività di e-commerce sono tenute a implementare.
Misure di protezione antifrode per impedire l'uso dei dati delle carte
Nel 2023, l'uso fraudolento di carte in Giappone è arrivato a oltre 54 miliardi di yen. Di questo importo, il 93% è avvenuto attraverso il furto di identità dalle attività di e-commerce. Sono state quindi aggiunte delle misure con l'obiettivo di prevenire le frodi prima e durante i pagamenti con carta.
Ecco come possono verificarsi le frodi prima, durante e dopo l'utilizzo di una carta:
- Prima di un pagamento con carta: i truffatori possono registrare un account fraudolento o utilizzare accessi fraudolenti utilizzando l'identità di un cliente.
- Durante un pagamento con carta: si sono verificati casi di uso non autorizzato dei numeri e dei dati di una carta generati da un credit master. Inoltre, sono state utilizzate truffe di phishing per rubare i dati delle carte, i numeri di conto, le password e le informazioni sugli attributi.
- Dopo un pagamento con carta: la merce può essere recapitata o rivenduta in modo fraudolento, quindi è necessario controllare i dettagli dell'ordine e l'indirizzo di spedizione.
A causa della possibilità di frodi, è necessario implementare misure che regolamentino il flusso delle transazioni con carta. Esempi includono la prevenzione degli accessi non autorizzati prima dei pagamenti con carta e l'introduzione di EMV 3D Secure durante il processo di pagamento con carta.
Misure per prevenire gli accessi non autorizzati
Nella versione 6.0, si consigliano le seguenti misure per prevenire gli accessi non autorizzati:
- Restrizioni all'accesso da indirizzi IP (Internet Protocol) sospetti
- Identificazione tramite autenticazione a due fattori o a più fattori
- Conferma delle informazioni personali durante la registrazione
- Restrizioni più severe sul numero di tentativi di accesso
- Email e notifiche tramite SMS quando i membri accedono ai loro attributi o li modificano
- Analisi degli attributi e del comportamento
- Rilevamento dell'impronta digitale sul dispositivo
Adozione di EMV 3D Secure
La versione 6.0 include misure relative all'introduzione di EMV 3D Secure. Le attività di e-commerce devono procedere come segue:
- Integrare EMV 3D Secure ed eseguire l'autenticazione per assicurarsi di verificare correttamente l'identità del titolare della carta
- Migliorare l'accuratezza dell'autenticazione basata sul rischio (RBA)
Frequenti episodi di frodi e attività ad alto rischio
Si ritiene che le attività riscontrino frequenti episodi di frodi quando incorrono continuativamente in più addebiti fraudolenti. Secondo le linee guida, si ritiene che le attività riscontrino frequenti casi di frode quando gli addebiti fraudolenti superano i 500.000 yen per tre mesi consecutivi.
Per attività ad alto rischio si intendono tutte le attività che gestiscono principalmente prodotti digitali, come giochi online, elettrodomestici, valuta elettronica, biglietti e servizi di prenotazione di alloggi. Le attività ad alto rischio e quelle con un'elevata frequenza di frodi devono adottare misure aggiuntive.
Fino alla versione 5.0, le attività con eventi passati di frodi dovevano implementare almeno due delle quattro misure descritte nelle Linee guida sulla sicurezza delle carte di credito. Le attività ad alto rischio dovevano implementarne almeno una. Queste misure includono l'autenticazione del titolare della carta, la verifica della carta, l'analisi degli attributi e del comportamento, e la verifica dell'indirizzo di spedizione.
Tuttavia, a partire dalla versione 6.0, le attività sono tenute a implementare misure aggiuntive e adeguate o misure avanzate basate su più livelli. Tale approccio dovrebbe essere personalizzato in base ai danni effettivi causati dalle frodi e ai metodi specifici utilizzati. Questa modifica delle linee guida è dovuta ai diversi prodotti e servizi che le attività possono offrire e ai molteplici metodi che i truffatori possono utilizzare per creare account o appropriarsene.
Attività che gestiscono transazioni di ordini per corrispondenza o telefonici (MO/TO)
"MO/TO" è un termine spesso utilizzato in Giappone per riferirsi alle vendite con ordini per corrispondenza (MO) e telefonici (TO). In altre parole, le attività MO/TO elaborano i pagamenti con carta al telefono o per posta.
Molte attività che gestiscono transazioni MO/TO operano anche nell'e-commerce. Sono state quindi rivedute le quattro misure per le attività MO/TO incluse nelle linee guida fino alla versione 5.0. Nella versione 6.0 continuano a essere richieste le seguenti misure per le attività MO/TO:
- Istituzione di un sistema di elaborazione delle autorizzazioni
- Obbligo di diligenza da parte di un manager qualificato, come previsto dall'accordo commerciale
- Integrazione di misure contro l'uso fraudolento non di persona, in base al rischio e ai danni subiti
Assistenza per l'attività
Le società di carte di credito e i fornitori di servizi di pagamento sono tenuti a fornire informazioni e assistenza sulle contromisure per le vulnerabilità, che le attività di e-commerce devono implementare.
Inoltre, i fornitori di sistemi e le altre attività devono attenersi alle contromisure per le vulnerabilità quando gestiscono la creazione e la configurazione dei siti di e-commerce. Nella gestione e manutenzione dei siti, devono anche fornire consulenza e assistenza alle attività di e-commerce.
Inserimento del PIN per i pagamenti con carta
Dall'aprile 2025, le attività che effettuano transazioni di persona non sono più tenute a verificare l'identità dei clienti con la firma nei pagamenti con carta, ma devono chiedere ai clienti di inserire il PIN.
Passaggi per essere conformi alle Linee guida sulla sicurezza delle carte di credito
Sono necessarie misure diverse per impedire il furto e l'utilizzo dei dati delle carte. Di seguito viene fornita la sequenza di eventi che hanno reso possibile il furto e l'uso fraudolento dei dati delle carte. Vengono quindi illustrate le misure da adottare in ogni fase.
Per essere conformi alla versione 6.0, le attività sono tenute a implementare misure multiformi, personalizzate per il tipo di settore e gli schemi di transazione. Devono inoltre stabilire una struttura organizzativa interna adeguata.
Di seguito sono riportati alcuni esempi specifici del modo in cui le attività possono rimanere conformi alle linee guida:
Valutare lo stato attuale e le lacune nella conformità
Il primo passo consiste nel valutare il livello di sicurezza dell'attività e confrontarle con le linee guida della versione 6.0. Questa valutazione può aiutare le attività a identificare le lacune tra le loro prassi effettive e le normative. Ecco alcune domande che le attività si possono porre per verificare lo stato attuale delle informazioni sulle carte e le misure di protezione antifrode:
Misure per prevenire il furto dei dati delle carte
- Ci sono limitazioni per l'accesso alle schermate di gestione?
- Gli ID e le password degli amministratori sono gestiti correttamente?
- I file importanti sono conservati fuori dalle directory pubbliche?
- Ci sono vulnerabilità nelle app web?
- Sono in atto misure antimalware?
- È stato attivato un software antivirus?
- Sono in atto misure di protezione contro i credit master (appropriazione e uso dei dati delle carte)?
Misure per impedire l'uso dei dati delle carte
- È stato implementato EMV 3D Secure?
- Sono in vigore limitazioni per l'accesso da indirizzi IP sospetti?
- È stata implementata l'autenticazione a due o più fattori per verificare l'identità del cliente?
- È stato implementato un limite al numero di tentativi di accesso? Gli account dei clienti vengono bloccati dopo un certo numero di tentativi di accesso non riusciti?
- Vengono controllate le modifiche delle informazioni sui membri (ad esempio, indirizzi email, indirizzi di residenza, numero di telefono)?
- Vengono identificate le transazioni fraudolente basate su valutazioni del rischio che utilizzano informazioni sulle transazioni precedenti (cioè un sistema di rilevamento delle frodi)?
- È possibile identificare i dispositivi che utilizzano la rilevazione delle impronte digitali?
Determinare le priorità
Le misure di sicurezza devono essere qualcosa di più della combinazione di più misure. Dovrebbero invece essere determinate in base all'attività e alla sua situazione. Le attività possono analizzare il livello di rischio per determinare quali singole misure devono essere implementate in base all'elenco precedente. Questo può aiutare le attività a mettere in atto un approccio multilivello all'utilizzo delle misure.
Revisione regolare e formazione del personale
Le frodi stanno diventando sempre più sofisticate. Man mano che le attività introducono nuove misure di sicurezza, i metodi fraudolenti si evolvono per contrastarle. Ecco perché sono necessari interventi tecnici, misure organizzative e formazione dei dipendenti. Inoltre, l'esame iniziale del rischio di frode dovrebbe essere supportato da una revisione continua.
Quali sono le conseguenze della mancata conformità alle Linee guida sulla sicurezza delle carte di credito?
La mancata conformità alle linee guida può avere gravi conseguenze sulla gestione di un'attività. Di seguito sono riportati i principali rischi della mancata conformità:
Fughe di dati e perdita di fiducia
Le fughe di informazioni personali possono minare l'affidabilità di un'attività, causando la perdita di clienti e danni al brand derivanti dalla copertura mediatica.
Perdite finanziarie e storni
Storni e pagamenti compensativi causati dalle frodi possono rappresentare un onere significativo, soprattutto per le piccole e medie imprese.
Sanzioni amministrative o sospensione dell'attività
Se l'agenzia amministrativa rileva una violazione delle linee guida, per l'attività potrebbe essere emesso un ordine di miglioramento o di sospensione.
Perché le attività devono adottare misure di sicurezza in modo continuativo?
Le Linee guida per la sicurezza delle carte di credito sono linee guida pratiche per prevenire i rischi di frode in continua evoluzione. La versione 6.0 delle linee guida richiede la conformità alle norme PCI DSS e di non conservazione, nonché l'implementazione di contromisure per le vulnerabilità, personalizzate per ogni attività. Queste contromisure sono basate su un approccio adeguato al ramo di attività.
Le attività che ritardano o evitano l'implementazione di queste misure possono rischiare la perdita della fiducia dei clienti e rischia anche di essere minacciato il futuro dell'attività. È opportuno utilizzare una piattaforma di pagamento completa e conforme alle norme PCI DSS, come Stripe Payments. In questo modo, la tua attività potrà creare gradualmente un ambiente conforme alla versione più recente delle linee guida.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.