Resumo
O padrão 3D Secure, também conhecido por marcas como Visa Secure, Mastercard Identity Check ou American Express SafeKey, pretende reduzir fraudes e aumentar a segurança dos pagamentos online.
O 3D Secure 2 (3DS2) introduz a “autenticação sem atrito” e melhora a experiência de compra em relação ao 3D Secure 1. É a principal forma de autenticação de cartões usada para cumprir os requisitos da Autenticação forte de cliente (SCA) na Europa e um mecanismo fundamental para que as empresas possam solicitar isenções da SCA.
A Stripe usa 3D Secure 2 em nossas APIs de pagamentos, SDKs móveis e no Stripe Checkout.
Breve história do 3D Secure 1
Apesar de medidas extras de segurança usadas em algumas regiões, como o sistema de verificação de endereço (AVS) ou o CVC, pagamentos com cartão de crédito e débito ainda correm grandes riscos de fraudes. Na verdade, é por causa desse risco que os clientes têm liberdade para contestar pagamentos fraudulentos feitos com seus cartões.
Tentando resolver esse problema, as bandeiras de cartão implementaram a primeira versão do 3D Secure em 2001. Quem costuma fazer compras online já sabe como funciona o fluxo do 3D Secure: você insere os detalhes do cartão para confirmar um pagamento e, em seguida, é redirecionado automaticamente para outra página, onde seu banco pede um código ou senha para aprovar a transação. Como a página de autenticação tem a marca compartilhada com as bandeiras de cartões, a nomenclatura que elas adotam (como Visa Secure, MasterCard Identity Check ou American Express SafeKey) é mais reconhecida pelos clientes do que o 3D Secure em si.
Para empresas, a vantagem do 3D Secure é clara: a solicitação de mais informações oferece uma camada adicional de proteção contra fraudes e garante a aceitação de pagamentos com cartão feitos apenas por clientes legítimos. Outro incentivo é que a autenticação 3D Secure transfere a responsabilidade pelos estornos por fraude da sua empresa para o banco do cliente. É por isso que compras de valor mais alto, como passagens aéreas, costumam passar pelo 3D Secure.
Infelizmente, o uso do 3D Secure 1 também tem desvantagens: a etapa adicional necessária para finalizar o pagamento aumenta os atritos no fluxo de checkout e pode provocar abandono de carrinho pelo cliente. Além disso, muitos bancos ainda obrigam o titular do cartão a criar e lembrar de uma senha estática para fazer a verificação 3D Secure. Fáceis de esquecer, essas senhas reforçam ainda mais o número de carrinhos abandonados.
O que muda com o 3D Secure 2
A EMVCo, uma organização formada por seis grandes bandeiras de cartão, lançou uma nova versão do 3D Secure. O 3D Secure 2 (ou EMV 3-D Secure, 3D Secure 2.0 ou 3DS2) pretende resolver vários problemas do 3D Secure 1 introduzindo uma autenticação mais conveniente e melhorando a experiência do usuário.
Autenticação sem atrito
Com o 3D Secure 2, as empresas e os provedores de pagamentos podem enviar mais dados sobre cada transação ao banco do titular do cartão. Isso inclui dados específicos relacionados ao pagamento (como endereço de entrega) ou contextuais (o ID do dispositivo do cliente ou seu histórico de transações, por exemplo).
O banco do titular do cartão pode usar esses dados para avaliar o nível de risco da transação e selecionar a resposta adequada:
Se os dados são suficientes para que o banco reconheça que o titular legítimo está fazendo a compra, a transação passa pelo fluxo “sem atrito”, e a autenticação é concluída sem necessidade de solicitar mais informações do titular.
Se o banco decide que precisa de mais evidências, a transação é enviada para o fluxo de “desafio”, e o cliente precisa enviar mais informações para autenticar o pagamento.
Embora já houvesse uma versão limitada da autenticação baseada em riscos no 3D Secure 1, a possibilidade de compartilhar mais dados com o 3D Secure 2 deve aumentar o número de transações autenticadas sem interferência do cliente.
Mesmo que uma transação siga pelo fluxo sem atrito, a empresa se beneficiará da mesma transferência de responsabilidade das transações que passam pelo fluxo de desafio.
Melhor experiência do usuário
Ao contrário do 3D Secure 1, o 3D Secure 2 foi projetado após o surgimento dos smartphones e permite que os bancos ofereçam facilmente experiências de autenticação inovadoras nos aplicativos de serviços bancários móveis (denominados, às vezes, “autenticação fora de banda”). Em vez de informar uma senha ou receber uma mensagem de texto, o titular do cartão pode autenticar o pagamento por meio do aplicativo de serviços bancários usando apenas a impressão digital ou o reconhecimento facial. Esperamos que muitos bancos aceitem essas experiências mais práticas de autenticação com o 3D Secure 2.
O segundo aprimoramento da experiência do usuário é que o 3D Secure 2 foi projetado para incorporar o fluxo de desafio diretamente nos fluxos de checkout web e móvel, sem necessidade de redirecionamentos de página completa. Se um cliente autenticar em seu site ou página web, a solicitação do 3D Secure aparecerá em uma janela restrita na página do checkout (fluxo do navegador).
Se estiver criando um aplicativo, os SDKs móveis compatíveis com o 3D Secure 2 permitirão elaborar um fluxo de autenticação dentro do aplicativo sem redirecionamentos para o navegador.
3D Secure 2 e Autenticação forte de cliente
A entrada em vigor da Autenticação forte de cliente (SCA) torna o 3D Secure 2 ainda mais importante para quem opera na Europa. Como essa regulamentação requer mais autenticações em pagamentos europeus, a experiência de usuário melhorada do 3D Secure 2 pode reduzir o prejuízo nas conversões.
O próprio protocolo 3D Secure 2 também permite que provedores de pagamentos como a Stripe solicitem isenções da SCA e pulem a autenticação em pagamentos de baixo risco. Pagamentos que exigem SCA precisam passar pelo fluxo de “desafio”, enquanto aqueles que são isentos podem passar pelo fluxo “sem atrito”. No entanto, é importante lembrar que, se o provedor de pagamentos solicitar uma isenção para pagamentos que exigem SCA e a transação passar pelo fluxo “sem atritos”, ela não será abrangida pela transferência de responsabilidade.
Como a Stripe funciona com o 3D Secure 2?
A Stripe aceita o fluxo 3D Secure 2 para navegador em nossas APIs de pagamento e no Checkout, permitindo que você aplique o 3D Secure de forma dinâmica aos pagamentos de alto risco e proteja sua empresa contra fraudes. Exigimos o 3D Secure 2 quando aceito pelo banco do titular do cartão, mas recorremos ao 3D Secure 1 quando a nova versão ainda não é aceita.
Se você estiver desenvolvendo um aplicativo para dispositivos móveis, confira nossos SDKs para iOS e Android para criar um fluxo de autenticação dentro do aplicativo e oferecer uma experiência de autenticação “nativa”, evitando que os clientes sejam redirecionados para fora do aplicativo. Mesmo que o banco do titular do cartão ainda não aceite o 3D Secure 2, nossos SDKs móveis recorrerão automaticamente ao 3D Secure 1 em uma visualização web integrada ao seu aplicativo.
Saiba mais sobre nossas APIs de pagamentos, SDKs móveis ou Stripe Checkout para começar a usar o 3D Secure 2.