O protocolo 3D Secure adiciona uma etapa de autenticação durante uma compra com cartão de crédito na internet. O titular do cartão confirma sua identidade através de um código recebido por SMS, uma notificação em seu aplicativo bancário ou uma dado biométrico. Essa verificação reduz o risco de fraude, garantindo que a pessoa que está pagando é realmente quem possui o cartão.
Nem todos os sites de comércio eletrônico acionam essa etapa, e as razões estão tanto na regulamentação quanto nas escolhas comerciais dos comerciantes.
Lire également : Casar-se aos 50 anos: por que não?
Isenções previstas pela diretiva DSP2 sobre autenticação forte
A diretiva europeia sobre serviços de pagamento (DSP2), aplicada desde 2019, impõe a autenticação forte para a maioria dos pagamentos online com cartão de crédito. Essa obrigação não cobre todos os cenários. O texto prevê isenções específicas, que os prestadores de pagamento e os bancos emissores podem ativar.
As transações de baixo valor constituem a primeira isenção. Abaixo de um certo limite, o banco pode autorizar o pagamento sem acionar o 3D Secure, desde que o total de pagamentos recentes sem autenticação também permaneça abaixo de um teto.
A lire aussi : Preço do bronze por quilo em 2026: quais as perspectivas para vender seus resíduos?
As assinaturas recorrentes recebem um tratamento especial. Uma vez que o primeiro pagamento é autenticado, os débitos seguintes, por um valor idêntico junto ao mesmo comerciante, ocorrem sem nova verificação. Um serviço de streaming ou uma assinatura de revista, portanto, não solicitará um código a cada vencimento.
Um artigo detalhado sobre o assunto do pagamento não seguro no Geekfinity aborda os diferentes casos encontrados pelos compradores.
- Transações consideradas de baixo risco pela análise do banco adquirente, com base em sua taxa de fraude global.
- Pagamentos para um beneficiário de confiança, previamente adicionado a uma lista branca pelo titular do cartão junto ao seu banco.
- Operações iniciadas pelo comerciante (pagamentos “merchant-initiated”), como ajustes de valor após reserva de hotel ou locação de veículo.
Essas isenções não são resultado de uma escolha arbitrária do site de comércio eletrônico. Elas são regulamentadas pela legislação e validadas pelo banco emissor ou pelo prestador de serviços de pagamento, que avalia o nível de risco em tempo real.
Análise de risco em tempo real e fluxo sem atrito
Os prestadores de pagamento como Stripe, Adyen ou Worldpay integram motores de análise de risco que avaliam cada transação antes de decidir se a autenticação 3D Secure deve ser acionada. Essa avaliação se baseia em dezenas de parâmetros transmitidos durante o pagamento.
O protocolo 3D Secure 2, sucessor da versão inicial, foi projetado para permitir esse tipo de decisão contextual. Ao contrário da primeira versão, que impunha sistematicamente um redirecionamento para uma página de autenticação, o 3DS2 transmite mais dados para a rede bancária: tipo de dispositivo, endereço IP, histórico de compras, comportamento de navegação.
Quando a análise conclui que o risco de fraude é muito baixo, a transação passa para o modo “frictionless”: o cliente não vê nenhuma etapa de autenticação adicional. O 3D Secure foi realmente solicitado em segundo plano, mas o banco emissor considerou a verificação desnecessária. Do ponto de vista do comprador, o pagamento parece não ter utilizado o protocolo.
Essa distinção é importante. Um site que não aciona uma tela de autenticação visível não necessariamente desativou o 3D Secure. O fluxo sem atrito é precisamente o objetivo do 3DS2: garantir segurança sem atrasar.
Taxa de abandono de carrinho e arbitragem comercial dos comerciantes
Cada etapa adicionada ao túnel de pagamento aumenta o risco de que o comprador abandone seu pedido. A autenticação forte, quando exige a mudança para um aplicativo bancário ou a espera por um SMS, gera uma fricção mensurável. Os comerciantes online conhecem essa correlação e buscam limitá-la.
Os comerciantes que possuem uma taxa de fraude baixa podem solicitar ao seu prestador de pagamento que aplique a isenção chamada “TRA” (Transaction Risk Analysis). Essa isenção permite processar mais pagamentos sem autenticação visível, desde que a taxa de fraude do comerciante permaneça abaixo dos limites estabelecidos pela regulamentação europeia.
Esse mecanismo cria uma situação em que os grandes sites de e-commerce, que investem em ferramentas antifraude eficazes, conseguem isenções mais facilmente do que os pequenos comerciantes. O paradoxo: os sites mais confiáveis são também aqueles que menos frequentemente solicitam o 3D Secure de seus clientes.
Sites baseados fora do Espaço Econômico Europeu
A DSP2 se aplica às transações em que o banco emissor e o prestador do comerciante estão ambos localizados no Espaço Econômico Europeu. Um site de comércio eletrônico baseado nos Estados Unidos ou na Ásia, utilizando um adquirente não europeu, não está sujeito às mesmas obrigações de autenticação forte.
Nesse caso, o banco emissor europeu do cliente pode ainda exigir uma autenticação, mas o comerciante estrangeiro não tem nenhuma obrigação de implementá-la. O pagamento pode então passar sem 3D Secure, com uma transferência de responsabilidade em caso de fraude que recai sobre o banco emissor ou sobre o comerciante, de acordo com os acordos em vigor.
Responsabilidade em caso de fraude sem 3D Secure
O 3D Secure altera a distribuição da responsabilidade financeira em caso de transação fraudulenta. Quando o protocolo está ativado e a autenticação é bem-sucedida, a responsabilidade muda do comerciante para o banco emissor. Esse mecanismo, chamado “liability shift”, protege o comerciante contra contestações de pagamento (chargebacks).
Quando um comerciante opta por não ativar o 3D Secure, ou quando uma isenção é aplicada, essa transferência de responsabilidade não ocorre. O comerciante assume então o risco financeiro em caso de fraude. Essa escolha é calculada: alguns comerciantes preferem absorver uma baixa taxa de fraude em vez de perder vendas devido à autenticação.
Para o comprador, a proteção permanece idêntica em ambos os casos. A regulamentação bancária europeia garante o reembolso de uma transação não autorizada, independentemente de o 3D Secure ter sido utilizado ou não. O banco do portador do cartão deve reembolsar o cliente vítima de fraude e, em seguida, se voltar contra o comerciante, se o liability shift permitir.
A ausência de autenticação visível durante uma compra online não significa, portanto, que o pagamento é menos seguro para o consumidor. Isso reflete uma isenção regulatória, um fluxo sem atrito ou uma arbitragem comercial do comerciante que assume o risco em seu lugar.