日本开始强制推行EMV 3-D Secure

最近，日本信贷协会（Japan Consumer Credit Association，JCA）发布了更新版的《信用卡安全指南（Credit Card Security Guidelines）》，指出从 2025 年 3 月开始，日本的所有信用卡交易都必须遵循 EMV 3-D Secure （3DS）的规范要求。此举是日本经济产业省 （METI） 应对日益猖獗的线上信用卡欺诈浪潮采取的措施。

无卡（CNP）欺诈的兴起

在数字支付早期，欺诈的主要手段是通过伪造信用卡实现。1997年至2003年间，由于犯罪分子可以复制实体卡进行未授权的交易，导致线上交易损失急剧增加。然而，随着芯片和 PIN 等技术的发展和应用，这种欺诈手段成功率迅速降低。到去年，伪造信用卡欺诈更加罕见，几近消失。

与此同时，随着实体交易安全措施的加强，欺诈者将重点转移到无卡 （CNP） 欺诈上，即滥用被盗的卡信息进行在线购物。2014 年，CNP 欺诈造成的损失与2003年持平，之后的每年还在继续增加。到2023 年，CNP 欺诈损失总额已达到 5410 亿日元，同比增长 23.9%。这一令人担忧的趋势使得市场迫切需要更强大的安全方案，如3-D安全，来保护消费者和企业。

1997-2023年日本信用卡欺诈案（数据来源：METI）

为什么3DS很重要？

3-D Secure 或 3DS 是由 EMVCo 制定的国际标准安全协议，旨在为在线交易增加额外保护层，在交易授权前进行持卡人身份验证，从而降低欺诈风险。“3-D”即 3 Domain，是指验证流程中的三个域，发卡域、收单域、互动域，分别对应发卡行、收单行、卡组织。

3DS已被Visa、万事达、美国运通、JCB和中国银联等主流卡组织广泛采用，在减少无卡欺诈方面的作用得到了广泛认可。日本现在强制推行3DS正是顺应国际潮流，与欧洲等地区颁布PSD2/SCA法规是异曲同工。

关键时间点

经济产业省METI明确了合规3DS的时间节点:

虽然未明确写明不合规要面临的处罚，但已知METI可以有权开展调查，收单行有权暂停交易或终止商户协议。

实施3DS可获得的优势

采用3DS，你就可以获得以下优势：

• 欺诈减少：通过验证持卡人身份，3DS显著减少了未授权交易。

• 责任转移：欺诈交易的责任从商户转移到了发卡行。

• 客户信心增强：消费者发现在平台上购物更安全，对平台的信任度提高，同时潜在转换率也进一步提升。

• 结账更流畅：3DS 2之后的版本新增了“无摩擦流程”，低风险交易不需要额外步骤，直接免验就可以成功，让用户交易体验更流畅。

简而言之，采用3DS验证流程，可以提高系统安全性，提升客户满意度，在保留现有客户基础的情况下，不断吸引新客户群体，实现长期发展。

下一步：如何确保合规并维护现有平台？

1. 部署3-D Secure

日本目前要求电商平台尽快展开准备工作，做好规划，且要在2025年4月1日前完成。集成时间表可根据企业实际安排灵活变化，需要注意的是，其中：

• SaaS方案：耗时约3个月；

• 本地部署：耗时约6个月。

尽早展开工作可以更平稳地实现过渡，有效避免可能出现的交易服务中断的情况。当然，熟悉EMVCo、卡组织和监管机构的技术指导方针也至关重要。

>>更多有关3DS的信息

2. 其他相关政策

对于欺诈率高的商户（例如，连续三个月每月退款金额超50万日元），信用卡安全指南V5.0要求在3DS之外还要辅以额外措施，如：

• 要求持卡人提供安全代码（CVC、CVV等）；

• 验证帐单地址与持卡人的地址是否一致；

• 使用欺诈检测系统，如HiTRUST的Veri-id。

对欺诈率高的商户而言，这些措施是强制实施的，而其余商户则要按规定必须最晚在2025年4月之前实施3DS。

欧洲：PSD 2 / SCA

3DS和SCA的引入将欧洲地区的欺诈事件降低了40-60%。起初，因为验证流程的加入，使得弃购率上升。在3DS 2推出后，情况得到了好转，低风险交易无需验证即可完成，用户支付体验更加流畅。

展望未来，FIDO（在线快速身份验证）/ 通行密钥有望替代短信和电子邮件OTP，进一步提高交易安全性和便利性，且FIDO可与3DS集成，进一步简化身份验证流程。

结论

日本此次决定全面推行3DS，是为减少线上欺诈迈出的重要一步，无疑是对企业和消费者都有巨大益处的决定，当地企业需要尽早开展工作，确保准时合规。PSD 2/SCA 在欧洲的成功实施，是个良好案例，相信日本的CNP交易在3DS的加入后会进一步繁荣发展，更好地融入国际市场。