I takt med att marknaden för e-handelswebbplatser expanderar och e-handel blir allt vanligare fortsätter antalet fall av kreditkortsbedrägerier att öka. För att bekämpa detta har departementet för ekonomi, handel och industri (METI) meddelat att det kommer att göra 3D Secure 2.0 (även kallat "EMV 3-D Secure") obligatoriskt i slutet av mars 2025. Detta innebär att alla e-handelsföretag måste vidta omedelbara åtgärder för att införa det nya systemet.
3D Secure 2.0 har flera förbättringar jämfört med tidigare 3D Secure 1.0, inklusive uppdateringar av autentiseringsmetoden och funktionerna. Det är dock troligt att enbart införandet av 3D Secure 2.0 inte helt kommer att förhindra bedrägerier. Därför måste företag implementera andra säkerhetsåtgärder för att säkerställa att deras kunder kan använda e-handelswebbplatser utan att behöva oroa sig.
I den här artikeln går vi igenom den aktuella situationen gällande kreditkortsbedrägerier i Japan, orsakerna till att 3D Secure inte räcker för att hantera bedrägerier och andra åtgärder för att förhindra bedrägerier utöver 3D Secure.
Vad innehåller den här artikeln?
- Skador orsakade av obehörig användning av kreditkort i Japan
- Varför enbart 3D Secure 2.0 inte helt kan förhindra obehörig användning
- Hur bär e-handelsföretag kostnaderna för bedräglig kreditkortsanvändning?
- Bedrägeribekämpningsåtgärder utöver 3D Secure
- Förstå den aktuella bedrägerisituationen och de bakomliggande orsakerna
Skador orsakade av obehörig användning av kreditkort i Japan
Enligt Japan Consumer Credit Association (JCA) uppgick skadorna från kreditkortsbedrägerier mellan januari och december 2023 till 54,1 miljarder JPY. Detta är den högsta siffran som registrerats, långt över föregående års siffra på 43,6 miljarder JPY 2022. Skadorna som orsakas av kreditkortsbedrägerier ökar för varje år. Dessutom blir de metoder som används för att begå bedrägeri allt mer komplexa och sofistikerade, och de är svåra att helt förebygga, vilket gör detta till en viktig fråga att ta itu med.

Referenser:
“Status of credit card fraud (september, 2024)”
“Situation of credit card fraud (december 2023)”
Efter att METI hade reviderat säkerhetsriktlinjerna flera gånger beslutade de att 3D Secure 2.0 skulle bli obligatoriskt för alla e-handelsföretag, som en grundläggande åtgärd för att förhindra obehörig användning. Förhoppningen är att det kommer att förbättra penetrationsgraden för 3D Secure i Japan.
Varför enbart 3D Secure 2.0 inte helt kan förhindra obehörig användning
När du gör kreditkortsbetalningar över internet är 3D Secure-autentiseringsprocessen i viss utsträckning effektiv som en bedrägeriförebyggande åtgärd. Dessutom gör kreditkortsföretag och betaltjänstleverantörer stora framsteg med införandet av 3D Secure 2.0, delvis på grund av deras ökade ansträngningar att uppmuntra e-handelsföretag att införa det. Det är dock inte möjligt att på ett tillförlitligt sätt upptäcka alla bedrägerier enbart med hjälp av 3D Secure 2.0.
Anledningarna till att enbart 3D Secure 2.0 inte räcker för att förhindra bedrägerier är bland annat:
Riskbaserad autentisering och nya bedrägerimetoder
Först och främst är det viktigt att förstå att införandet av enbart 3D Secure 2.0 inte är tillräckligt som ett svar på bedrägerier. Många kreditkortsföretag och betaltjänstleverantörer förväntar sig att 3D Secure 2.0-autentiseringssystemet ska ersätta 3D Secure 1.0 och förhindra mer bedräglig användning. De metoder som kriminella grupper som medvetet försöker begå bedrägerier använder utvecklas dock ständigt, så det finns en möjlighet att dessa så småningom hittar ett sätt att kringgå autentiseringen.
Stulna mobiltelefoner och bruten autentisering
Vid första anblicken kan 3D Secure 2.0 verka som ett tillräckligt autentiseringssystem. Med 3D Secure 2.0 tillhandahåller systemet en tillfällig lösenordskod för autentisering. Den skickas till din mobiltelefon eller e-postadress och ersätter ett unikt lösenord som registrerats i förväg, precis som med 3D Secure 1.0. Det innebär att kunderna inte längre behöver komma ihåg lösenord. Eftersom systemet använder olika lösenord och koder varje gång är autentiseringsmetoden smidigare och säkrare.
Det finns dock risker förknippade med övergången från 3D Secure 1.0 – som var en "kunskapsbaserad" autentisering med memorerade lösenord – till den nuvarande 3D Secure 2.0 – som är en "besittningsbaserad autentisering" med lösenord som skickas som SMS eller till e-postadresser. Om någon till exempel stjäl din mobiltelefon och bryter upp låset kan de enkelt se ditt engångslösenord. Då kan de göra kreditkortsbetalningar från alla appar du redan är inloggad på.
För att minska risken för att detta händer är det viktigt att vara uppmärksam på dina tillhörigheter när du är borta från hemmet. Försök också att undvika att köpa varor från e-handelswebbplatser på offentliga platser där ett stort antal människor samlas. Det finns en ökad risk för incidenter, till exempel att någon stjäl dina betalningsuppgifter eller ditt kreditkort.
Hur bär e-handelsföretag kostnaderna för bedräglig kreditkortsanvändning?
Ett av de allvarligaste problemen för ägare av e-handelswebbplatser är återbetalningar på grund av bedräglig användning. En återkreditering (chargeback) sker när kreditkortsföretaget avbryter betalningen och återbetalar pengarna till kortinnehavaren om de inte godkände betalningen. Om det till exempel finns en transaktion på kontoutdraget som kortinnehavaren inte känner igen kan han eller hon göra en återkreditering. Om produkten inte kommer fram eller anländer skadad kan de också göra en reklamation.
Återkrediteringar är ett viktigt sätt att skydda kortinnehavare genom att tillhandahålla ett sätt att lösa problem som orsakas av bedräglig aktivitet. Men om en återkreditering inträffar måste säljaren av produkten (dvs. e-handelsföretaget) återbetala transaktionsbeloppet till kreditkortsföretaget. I vissa fall kan säljaren också behöva betala en avgift för återkrediteringen. Eftersom skickade varor inte kan returneras kan återbetalningar också leda till betydande skada för e-handelsföretag.
Den största orsaken till återkrediteringar är den fortsatta ökningen av kreditkortsbedrägerier. Som tidigare förklarats är 3D Secure 2.0 inte en universallösning och kan inte vara den enda åtgärden för att helt förhindra bedrägerier. För att minimera förekomsten av återkrediteringar är det, förutom införandet av 3D Secure 2.0, nödvändigt att vidta olika åtgärder för att förhindra obehörig användning av tredje part, till exempel förfalskning ("spoofing”).
Bedrägeribekämpningsåtgärder utöver 3D Secure
Säkerhetskoder
Säkerhetskoder kan förhindra obehörig användning av kreditkort av tredje part, och de spelar samma roll som återkrediteringar för att skydda kortinnehavare. När du väljer att betala med kreditkort när du köper en vara på en e-handelswebbplats måste du ofta ange din säkerhetskod. Genom att göra det kan du bevisa att du – personen som har kreditkortet – gör betalningen. Om du anger en felaktig säkerhetskod kommer webbplatsen inte att behandla betalningen eller slutföra transaktionen.
Säkerhetskoder är åtgärder för att förhindra skimning – en metod för att på ett bedrägligt sätt erhålla kreditkortsnummer, utgångsdatum osv. Till skillnad från kortnummer och utgångsdatum finns säkerhetskoden inte i magnetiska data på själva kortet. Även om någon stjäl namn, kortnummer och utgångsdatum är obehörig användning omöjlig om de inte känner till säkerhetskoden.
Att ange säkerhetskoden krävs dock inte enligt lag, så det finns många e-handelswebbplatser som låter dig slutföra betalningen utan att ange den. Säkerhetskoden kan förhindra obehörig användning genom skimning, men om någon stjäl själva kreditkortet och en tredje part får reda på säkerhetskoden fungerar det inte som en bedrägeriförebyggande åtgärd. Av denna anledning är det viktigt att kunderna är mycket försiktiga när de hanterar och hanterar kreditkort och att ägare av e-handelswebbplatser också implementerar säkerhetsåtgärder för att skydda kunderna.
System för identifiering av bedrägerier
För att skapa en e-handelswebbplats som kunderna kan använda med tillförsikt är det en bra idé att använda 3D Secure tillsammans med ett system för identifiering av bedrägerier. Med ett system för identifiering av bedrägerier kan du mer effektivt förhindra skador på din egen e-handelswebbplats genom att upptäcka och automatiskt blockera bedrägliga transaktioner som inte kan verifieras med 3D Secure. När man har system för att upptäcka bedrägerier kan dessutom legitima kortinnehavare göra betalningar utan att behöva gå igenom några extra procedurer, som att tillhandahålla ytterligare autentisering. Detta bidrar också till att minska risken för att kunderna överger sina varukorgar i samband med 3D Secure.
För att förhindra att illvilliga användare missbrukar din webbplats är det viktigt att stärka dess säkerhet så att du kan hantera eventuella bedrägliga försök och ha en miljö där kunderna kan handla tryggt.
Observera att det unika bedrägeribekämpningsverktyg som tillhandahålls av Stripe, Stripe Radar, har mer avancerade åtgärder för att förhindra bedrägerier, bl.a. med maskininlärning som kan anpassa sig till de ständigt föränderliga bedrägerimönstren. Du kommer igång på nolltid eftersom du kan integrera Radar i betalningsflödet utan att behöva lägga tid eller pengar på att utveckla ett internt system för identifiering av bedrägerier.
Förstå den aktuella bedrägerisituationen och de bakomliggande orsakerna
I och med att 3D Secure 2.0 nu är obligatoriskt för e-handelsföretag finns det en växande förväntan om att risken för bedräglig användning och återkrediteringar kommer att fortsätta att minska. 3D Secure är dock inte perfekt och kan inte förhindra all bedräglig användning. Därför är det nödvändigt att vidta åtgärder för att förhindra bedrägerier som inte enbart förlitar sig på 3D Secure.
För att hantera de sofistikerade metoder som används av kriminella grupper som utför bedrägerier kan du börja med att kontrollera om bedrägerier faktiskt förekommer. När du bekräftar bedrägeri är det viktigt att förstå vilka orderuppgifter och kundsegment som ofta är inblandade i bedrägerier, noggrant undersöka orsakerna och sedan vidta åtgärder för att förhindra bedrägerier.
I och med den obligatoriska implementeringen av 3D Secure arbetar Stripe för närvarande med en metod som införs i etapper, i linje med tidsfristen för implementering. Utöver det tidigare nämnda Radar-systemet använder vi noggranna säkerhetsåtgärder för personuppgifter och transaktionsdata, till exempel för att förhindra obehörig åtkomst genom datakryptering (Secure Sockets Layer/Transport Layer Security [SSL/TLS]-teknik).
Dessutom har Stripe ett stort antal verktyg och funktioner som hjälper till att effektivisera betalningar, inklusive införande av betalningsmetoder, informationsbehandling och intäktshantering. Om du till exempel överväger att skapa en e-handelswebbplats kan du skapa en betalningsmiljö som passar din affärsmetod utan att utveckla ditt eget system genom att introducera Stripe Payments, som flexibelt täcker olika onlinebetalningsbehov.
Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.