Os dados são a força que move a próxima geração de gestão de risco de fraude de cartão e a experiência do usuário

Há mais de 15 anos, o protocolo de segurança 3D Secure trabalha para proteger transações online, reduzir fraudes de cartão de crédito e cancelamentos de compras, mas o número de relações cortadas os com clientes (drop-offs) aumentou. A mais recente atualização usa uma gama maior de dados e autenticações biométricas para tornar os pagamentos online integrados e mais seguros do que nunca.

Os consumidores esperam que pagamentos online com cartão decorram sem incidentes, mas o anonimato tornou as transações via internet um alvo fácil para fraudadores. As pesquisas realizadas pelo The Nilson Report revelaram que mais da metade dos prejuízos causados por fraudes no Estados Unidos em 2016 estavam associadas a fraudes do tipo CNP (card-not-present), superando a falsificação, antes a maior categoria. Na Europa, menos de 0,01% das fraudes são cometidas nas lojas físicas e cerca de 0,20% são fraudes do tipo CNP. É um problema dispendioso tanto para os comerciantes como para as emissoras de cartão. A projeção é que em 2025 os prejuízos acarretados pelas fraudes com cartão cheguem a $43,78 bilhões em todo o mundo.

Em 2001, a Visa desenvolveu o protocolo de segurança 3D Secure como um meio para proteger o comerciante, a emissora e as transações com cartão. O sistema pede aos comerciantes que introduzam uma nova camada de autenticação de pagamento, como códigos enviados por SMS, transferindo, assim, o ônus da responsabilidade pela fraude para a emissora do cartão. Os cartões concorrentes — Mastercard, Amex, etc. – logo viram o benefício e as vantagens da interoperabilidade da padronização e se uniram para formar o EMVCo, um órgão técnico global para facilitar a aceitação universal de pagamentos seguros e continuar a desenvolver protocolos de segurança.

Mas as inovações vêm sempre acompanhadas de problemas. Os consumidores não confiavam na janela pop-up adicional e reclamavam quando eram solicitados a gerar novas senhas. Do outro lado, os comerciantes se queixavam das taxas de conversão.
A partir de 2008 e com o advento dos pagamentos móveis, mais problemas surgiram para os consumidores com páginas da web não responsivas, que impossibilitavam o uso dos smartphones.

Surge, então, a versão 2.1, lançada pelo EMVCo em outubro de 2016, concebida para amenizar alguns desses pontos de atrito. Essa versão usa mais dados de bastidores para eliminar passos da autenticação, aperfeiçoar a experiência do consumidor e reduzir o drop-off.

Conversamos com Sasha Pons, Diretor de Produto da Ingenico, que nos falou dos desafios do ecossistema de pagamento online e como o mais recente protocolo lida com eles.

Quais eram os desafios do 3DS v1.0?

Há oito anos, o EMVCo introduziu a RBA (Risk-Based Approach - Abordagem Baseada em Risco), segundo a qual as emissoras introduziam esse componente como uma segunda camada de autenticação somente quando um risco maior era percebido. No entanto, a decisão se baseava em um conjunto limitado de dados, o que tornava sua adoção restritiva e bastante sem sentido.

Os consumidores, por sua vez, com frequência enfrentavam problemas com a autenticação de dois fatores: as senhas enviadas por SMS não chegavam, o consumidor não era redirecionado para a loja na web do comerciante, bloqueadores de pop-up impediam a execução do script de segurança ou as páginas da web das emissoras não podiam ser acessadas e nem usadas no smartphone. Esses problemas degradavam a experiência do usuário e levavam a drop-offs.

A versão 2.1, que é a mais recente, será obrigatória na Europa a partir de 13 de abril de 2019. Ela usa algoritmos modernos mais complexos e uma autenticação biométrica sofisticada para combater esses problemas. A maior mudança é que os comerciantes são solicitados a compartilhar mais dados: as emissoras estão ávidas por pontos de dados para melhorar a precisão das suas decisões, o que, em última instância, leva a um cenário sem atritos, mas são os comerciantes que estão na linha de frente na captura de dados. A abordagem do 3DS v2 da avaliação de risco é mais eficaz, mas requer a mudança de todo o ecossistema, permitindo que os comerciantes enviem os dados para a emissora. 

Como afeta todo o ecossistema – esquemas de cartão, adquirentes, comerciantes, emissores e PSPs (payment service providers - fornecedores de serviço de pagamento), todos necessitam iniciar as mudanças –, o ritmo dos upgrades do protocolo está agora acelerando para permitir upgrades iterativos (agora v2.1, v2.2 em breve, v2.3 etc.).

Saiba mais sobre o 3D-Secure

Quem é mais impactado pelo 3DS v2.1?

É uma mudança de paradigma para os comerciantes. Agora eles vão ter de reunir e compartilhar dados significativos, de alta qualidade (endereço de e-mail ou dados de dispositivos, por exemplo) para processar transações em que, antes, apenas o número do cartão, a data de expiração e o código CVC eram necessários. Embora os PSPs possam ajudar na gestão do ônus – e isso é parte da abordagem focada no comerciante da Ingenico –, o ônus recai sobre os comerciantes.

No entanto, é importante ver isso como o fundamento do uso da análise comportamental contra as fraudes de pagamento. Isso faz parte da mudança geral: por exemplo, a Autoridade Bancária Europeia (EBA) compartilhou em junho a opinião de que os números CVC não podem ser um segundo fator de autenticação na categoria “conhecimento” (visível no cartão), passando para a categoria “posse”. A orientação da EBA e dos bancos centrais da UE é necessária sobre quais métodos SCA (Strong Customer Authentication - Autenticação Forte dos Consumidores) estão em conformidade com as RTS (Regulatory Technical Standards - Normas Técnicas Regulatórias). Poderá haver uma mudança drástica da página de pagamento.

Como essa mudança vem sendo recebida pelos stakeholders e quais são os benefícios?

De modo geral, vem sendo bem recebida. As emissoras se beneficiam da retomada do controle dos seus custos com o 3DS v2. Geralmente a autenticação custa 25 centavos por transação e é paga pela emissora do cartão, impactando seus resultados financeiros. Com o 3DS v1, a decisão de autenticar era tomada pelo comerciante, que decidia se queria passar a responsabilidade para a emissora. Com a divulgação do novo protocolo, a palavra final é da emissora, um grande avanço para elas e um pequeno recuo para os comerciantes.

O benefício para os PSPs é evidente porque mais transações equivalem a mais receita. Para os consumidores, é algo simples: um conjunto maior de dados permite que a emissora aumente a precisão da análise baseada em risco, o que, em 90% dos casos, resultará em uma decisão sem atritos quando aceitarem a responsabilidade sem envio de uma solicitação de autenticação. Isso equivale a uma experiência de usuário mais suave na maior parte dos casos.

Para os comerciantes, a resposta variou de país para país, mas quanto mais dados forem compartilhados, maior será a taxa de autorização (até 10% de acordo com a rede de cartões). E mais: se os comerciantes realmente compartilharem dados e as taxas de autenticação das emissoras permanecerem baixas, então os esquemas de cartão poderão impor multas, o que pressionará as emissoras a se movimentarem. Elas têm a obrigação de obter resultados.

A verdade está nos números: os benefícios serão medidos em 2019.

Descubra as nossas Soluções de Gestão de Fraudes

Sasha Pons, Diretor de Produto da Ingenico

Sasha Pons começou a trabalhar na Ingenico ePayments em setembro de 2016 como Diretor de Fraude. Sasha trabalhou por mais de 10 anos na área de segurança cibernética, prevenção de fraude, infraestrutura, privacidade e compliance com o eCommerce internacional. Possui expertise nas indústrias de viagens, varejista, farmacêutica e de tecnologia. Sasha acredita firmemente que a confiança é a pedra angular das FinTechs e que ser capaz de articular uma segurança cibernética pragmática e eficiente bem como uma estratégia para evitar fraudes é o principal diferenciador competitivo. Por esse motivo, o foco de Sasha é a criação de um produto que explore ao máximo a reunião de dados e desempenho, entregando a melhor UX (user experience – experiência de usuário) possível para os comerciantes da Ingenico ePayments e seus consumidores. Antes de se juntar à Ingenico ePayments, Sasha trabalhou na  Booking.com. Ele nasceu na França e mora nos Países Baixos há cinco anos.