A diretiva europeia sobre serviços de pagamento (DSP2) impõe há vários anos uma autenticação forte para transações online com cartão de crédito. O protocolo 3D Secure, em sua versão 2, constitui o mecanismo principal dessa verificação. Apesar desse quadro regulatório, um número significativo de pagamentos na internet ainda é finalizado sem nenhuma etapa de autenticação. As razões se devem tanto a escolhas técnicas dos comerciantes quanto a mecanismos de isenção previstos pela própria regulamentação.
Isenções DSP2 e análise de risco transacional: o quadro que permite o pagamento sem 3D Secure
O fato de um pagamento ser concluído sem autenticação não significa automaticamente uma infração. A DSP2 prevê vários casos de isenção, e é aí que o assunto se complica.
Leitura complementar : Os melhores mantras e orações para purificar efetivamente sua casa
Desde o final de 2023, vários emissores europeus reforçaram o uso das isenções chamadas de baixo risco, no âmbito do protocolo 3D Secure 2. Concretamente, quando o escore de risco de uma transação (avaliado pela metodologia TRA, para Transaction Risk Analysis) é considerado muito baixo, o pagamento pode ser processado sem autenticação forte, mesmo além dos pequenos montantes normalmente isentos.
O Banco Central Europeu lembrou em dezembro de 2023 que essas isenções são regulamentadas, mas incentivadas para facilitar o comércio online. Um artigo detalhado aborda o tema do pagamento sem 3D Secure no Geekfinity, explicando os diferentes casos enfrentados pelos consumidores.
Para descobrir também : Descubra onde são fabricados os pneus Kleber e seu processo de produção
As isenções mais comuns incluem:
- Transações de baixo valor, geralmente abaixo de um limite definido pela regulamentação, que podem ser processadas sem verificação adicional, desde que um teto acumulado não seja atingido.
- Pagamentos recorrentes a um mesmo comerciante (assinaturas), onde apenas a primeira transação requer uma autenticação completa.
- Transações avaliadas como de muito baixo risco pelo adquirente ou emissor, com base no TRA, quando sua taxa de fraude global permanece abaixo dos limites estabelecidos pela DSP2.
- Beneficiários de confiança, adicionados manualmente pelo portador do cartão em seu espaço bancário, que permitem contornar a autenticação para as compras seguintes.
Esses mecanismos explicam por que um site perfeitamente legítimo pode finalizar sua compra sem nunca acionar uma janela 3D Secure.
Comerciantes fora do EEE e roteamento de pagamento: as zonas cinzentas da evasão
Todas as transações sem autenticação não se enquadram em isenções legítimas. A Autoridade Bancária Europeia esclareceu em suas atualizações sobre a DSP2 que alguns comerciantes contornam sistematicamente a autenticação forte. Duas métodos são frequentemente utilizados.
A primeira passa por prestadores de serviços de pagamento (PSP) localizados fora do Espaço Econômico Europeu. Quando o adquirente da transação está baseado fora do EEE, as regras da DSP2 não se aplicam da mesma forma. O comerciante, então, escapa à obrigação de autenticação forte, mesmo que o portador do cartão resida na Europa.
A segunda método baseia-se em roteadores de pagamento configurados para encaminhar as transações por circuitos que evitam o acionamento do 3D Secure. Essa prática, mais opaca, diz respeito especialmente a sites de jogos online ou plataformas cujo modelo de negócios depende de uma conversão rápida, onde cada etapa adicional no túnel de pagamento resulta em perda de clientes.
Transferência de responsabilidade em caso de fraude
O ponto técnico a ser lembrado diz respeito ao liability shift, a transferência de responsabilidade. Quando um pagamento passa pelo protocolo 3D Secure e ocorre uma fraude, a responsabilidade financeira recai sobre o banco emissor. Em contrapartida, sem 3D Secure, é o comerciante que assume o custo da fraude. Alguns comerciantes aceitam esse risco deliberadamente, considerando que a redução da taxa de abandono de carrinho compensa as perdas relacionadas a contestações.
Os dados disponíveis não permitem quantificar precisamente o volume de transações intencionalmente roteadas fora do 3DS na Europa. Os retornos de campo divergem nesse ponto entre os PSP, que minimizam o fenômeno, e os reguladores nacionais, que o monitoram de perto.
Fraude em pagamentos sem autenticação: o que mostram os dados franceses
O Observatório da Segurança dos Meios de Pagamento, em seu relatório de 2024, fornece uma visão direta sobre a realidade do risco. A fraude em pagamentos com cartão à distância diminuiu desde a generalização da autenticação forte. O constatado é claro.
O ponto saliente do relatório reside em uma assimetria: as transações sem 3D Secure concentram a maioria dos valores fraudulentos na internet, enquanto representam apenas uma minoria do volume total de pagamentos online. O Observatório fala de uma “forte diferenciação da taxa de fraude” entre transações autenticadas e não autenticadas.
Para o consumidor, esse dado tem uma implicação concreta. Uma compra realizada sem autenticação em um site desconhecido expõe mais a um uso fraudulento dos dados do cartão. Mesmo que o banco geralmente reembolse o portador em caso de fraude comprovada (obrigação legal na França), o processo de contestação leva tempo e envolve trâmites.
Sinais de alerta para o consumidor
Alguns elementos permitem avaliar o nível de risco durante uma compra sem autenticação:
- A ausência total de protocolo seguro (sem cadeado HTTPS, sem menção a PSP reconhecido) constitui um sinal negativo forte, distinto da simples ausência de 3D Secure.
- Um site que não exibe nenhuma menção legal, nenhum endereço físico ou nenhum número de serviço ao cliente aumenta a probabilidade de um comércio não conforme.
- As plataformas hospedadas fora do EEE, identificáveis às vezes por sua extensão de domínio ou seus termos gerais, raramente aplicam os padrões europeus de autenticação.
Evolução regulatória e pagamentos sem 3D Secure: o que se desenha
A Comissão Europeia está trabalhando na DSP3, que deve reforçar os requisitos em matéria de autenticação enquanto aprimora as isenções existentes. O desafio é duplo: reduzir a fraude residual em transações não autenticadas sem degradar a experiência de compra.
As isenções TRA provavelmente permanecerão em vigor, pois atendem a uma necessidade real de fluidez comercial. Em contrapartida, os mecanismos de evasão via PSP fora do EEE estão sob crescente atenção dos reguladores. A Autoridade Bancária Europeia sinalizou que os comerciantes que recorrem sistematicamente a essas práticas estão expostos a sanções e restrições de acesso às redes de pagamento europeias.
O pagamento sem 3D Secure, portanto, não está em vias de extinção. Continuará a existir para transações de baixo risco avaliadas pelos algoritmos bancários. A fronteira entre isenção legítima e evasão problemática permanece o verdadeiro tema de vigilância, tanto para os reguladores quanto para os compradores.