Autenticação Forte do Cliente (SCA)

O que as empresas operam online precisam saber sobre o regulamento europeu

  1. Introdução
  2. O que é a Autenticação Forte do Cliente?
    1. Quando a autenticação forte de cliente é obrigatória?
    2. Como autenticar um pagamento com cartão
    3. Como funciona a responsabilidade por disputas por fraude no contexto da 3DS
    4. Isenções da autenticação forte de cliente
    5. E se a isenção falhar?
    6. Como a Stripe ajuda você a cumprir os requisitos da Autenticação Forte do Cliente
    7. Próximas mudanças

Neste guia, analisamos os requisitos europeus de SCA (Strong Customer Authentication, autenticação forte de cliente), introduzidos pela Segunda Diretiva de Serviços de Pagamento (PSD2), e os tipos de pagamentos afetados por eles. Também abordamos as isenções disponíveis que podem ser solicitadas pela empresa para oferecer uma experiência de checkout sem complicações.

Também publicamos um guia para ajudar você a identificar quando precisa incluir a autenticação na jornada do cliente e um guia sobre como se preparar para a Terceira Diretiva de Serviços de Pagamento (PSD3), que será lançada em breve. Acesse nosso site para saber mais sobre os produtos da Stripe prontos para SCA.

O que é a Autenticação Forte do Cliente?

A Autenticação Forte do Cliente (SCA) é um novo requisito regulatório da Europa para reduzir fraudes e aumentar a segurança de pagamentos online e por aproximação. Para receber pagamentos e cumprir os requisitos da SCA, você deve inserir novas autenticações em seu fluxo de checkout. A SCA exige que a autenticação use pelo menos dois dos três elementos a seguir.

Se quiser ler os requisitos originais da SCA, consulte as normas técnicas de regulamentação ou RTS (Regulatory Technical Standards). Os bancos começarão a recusar pagamentos que exigem SCA e não cumprem esses critérios.

Quando a autenticação forte de cliente é obrigatória?

A autenticação forte de cliente se aplica a pagamentos online e por aproximação "iniciados pelo cliente" na Europa ou no Reino Unido. Todos os pagamentos eletrônicos (isto é, pagamentos com cartão e transferências bancárias) exigem SCA, a menos que uma isenção possa ser aplicada ou que a transação seja considerada fora do escopo, como é o caso de transações iniciadas pelo comerciante (por exemplo, débito automático).

No caso de pagamentos com cartão online, essas exigências valem para transações em que a empresa e o banco do titular do cartão estão no EEE (Espaço Econômico Europeu).

Como autenticar um pagamento com cartão

A forma mais comum de autenticar um pagamento online com cartão é por meio do 3D Secure, um padrão de autenticação aceito pela grande maioria dos cartões europeus. A aplicação do 3D Secure geralmente exige uma etapa adicional após o checkout, quando o banco pede ao titular do cartão que forneça mais uma informação para finalizar o pagamento (como um código de uso avulso enviado para o celular dele ou uma autenticação por impressão digital no aplicativo bancário).

O 3D Secure 2 é a principal forma de autenticação para pagamentos online com cartão e atende aos requisitos SCA.

Transações offline com cartão geralmente cumprem os requisitos de autenticação com a inserção do PIN. Outras formas de pagamento que também envolvem cartão, como Apple Pay ou Google Pay, já permitem fluxos de pagamento com uma camada de autenticação integrada (biometria ou senha). Esses métodos podem ser uma ótima forma de as empresas oferecerem ambientes de checkout sem complicações e, ao mesmo tempo, atenderem aos requisitos.

Como funciona a responsabilidade por disputas por fraude no contexto da 3DS

Uma das vantagens de aplicar SCA nos casos em que a autenticação multifator é bem-sucedida é que as empresas podem ter proteção de responsabilidade por disputas por fraude.

Isenções da autenticação forte de cliente

A autenticação multifator não é uma exigência da SCA para todos os pagamentos. Alguns deles podem se qualificar para uma isenção provida na regulação, e outros podem estar fora do escopo de aplicação da SCA. Quando uma isenção é solicitada e aceita pelo banco do titular do cartão, a responsabilidade por disputas por fraude recai sobre a empresa.

Provedores de pagamentos como a Stripe conseguem solicitar isenções ao processar os pagamentos. O banco do titular do cartão recebe a solicitação, avalia o risco envolvido e decide se aprova a isenção ou exige a autenticação. O uso de isenções para pagamentos de baixo risco pode reduzir o número de autenticações necessárias e, consequentemente, o atrito e desistências dos clientes.

A Stripe usa machine learning para definir a isenção ideal em cada caso, com o intuito de ajudar você a fornecer aos seus clientes a experiência de checkout mais descomplicada possível. Desenvolvemos nossos novos produtos de pagamento prontos para SCA para que você possa aproveitar as isenções e proteger sua taxa de conversões sempre que possível.

As isenções mais relevantes para as empresas que aceitam pagamentos online são:

Transações de baixo risco

Um provedor de pagamento (como a Stripe) pode fazer uma análise em tempo real, conhecida como TRA (Transaction Risk Analysis, análise de risco da transação), para decidir aplicar ou não a SCA a uma transação. Essa isenção só é possível quando a taxa geral de fraudes em pagamentos com cartão do provedor está abaixo destes limites:

  • 0,13% para transações isentas abaixo de € 100/£ 85
  • 0,06% para transações isentas abaixo de € 250/£ 220
  • 0,01% para transações isentas abaixo de € 500/£ 440

Esses limites serão convertidos para as moedas locais, se necessário.

Esta é uma das isenções mais úteis para as empresas e uma das mais aceitas pelos bancos. As avaliações de risco abrangentes e em tempo real do Stripe Radar permitem aplicarmos essa isenção para nossos usuários.

Pagamentos abaixo de € 30/£ 25

Pagamentos de baixo valor também podem estar isentos. Transações abaixo de € 30 ou £ 25 são consideradas de "valor baixo" e podem ser isentas da SCA. Entretanto, os bancos precisarão solicitar autenticação se a isenção tiver sido usada cinco vezes desde a última autenticação bem-sucedida do titular do cartão ou se a soma das transações anteriores isentas exceder € 100/£ 85. O banco do titular do cartão precisa monitorar o número de vezes que a isenção foi usada e decidir se a autenticação é necessária.

Devido às limitações desta isenção, talvez ela não seja relevante para muitos pagamentos. Mesmo assim, disponibilizamos essa isenção para nossos usuários.

Transações recorrentes

Esta isenção pode ser aplicada quando o cliente faz diversos pagamentos recorrentes com o mesmo valor para a mesma empresa. A SCA só é necessária no primeiro pagamento. Os pagamentos seguintes podem ser isentos da SCA.

Esta isenção é muito útil para empresas com modelo de assinatura e conta com a ampla aceitação dos bancos europeus. Se você usa o Stripe Billing para criar assinaturas, aplicaremos automaticamente a isenção quando for o caso e poderemos ajudar a gerenciar solicitações de autenticação se a isenção for rejeitada pelo banco do cliente.

Transações iniciadas pelo comerciante (incluindo assinaturas de valor variável)

Pagamentos feitos com cartões salvos quando o cliente não está presente no fluxo de checkout (também conhecidos como "off-session" ou "fora da sessão") podem ser considerados como transações iniciadas pelo comerciante. Tecnicamente, esses pagamentos não se enquadram no escopo da SCA. Na prática, marcar um pagamento como "transação iniciada pelo comerciante" tem um efeito similar ao de solicitar uma isenção. E, assim como em qualquer outra isenção, fica a critério do banco decidir se a autenticação é necessária para a transação.

Para adotar transações iniciadas pelo comerciante, é necessário autenticar o cartão no momento em que ele for armazenado pela primeira vez ou no primeiro pagamento. Por fim, você precisa de uma autorização do cliente (também chamada de "mandato") para poder cobrar o cartão posteriormente.

Este é um caso de uso essencial para modelos de negócio que dependem de pagamentos atrasados, cobram assinaturas de valor variável ou cobram por complementos. Esse uso é aceito pela maioria dos bancos europeus e aprovado quando a transação é considerada de baixo risco pelo banco.

A API da Stripe permite autenticar um cartão no momento em que ele é salvo para uso posterior e marcar os pagamentos subsequentes como "transação iniciada pelo comerciante". É importante que as empresas usem as APIs mais recentes da Stripe para garantir que os produtos estejam prontos para SCA.

Vendas por telefone (MOTO)

Dados de cartões coletados por telefone não se enquadram no escopo da SCA e não exigem autenticação. Esse tipo de pagamento é chamado de MOTO (sigla do inglês para "pedidos por telefone ou pelo correio"). Assim como outros pagamentos isentos, as transações MOTO precisam ser marcadas nesse categoria, e o banco do titular do cartão toma a decisão final de aceitar ou recusar a transação.

Este é um caso de uso importante para empresas que aceitam pagamentos por telefone e, portanto, é amplamente aceito pelos bancos. Os pagamentos criados no Dashboard da Stripe são marcados automaticamente como MOTO.

Se sua empresa está em conformidade com o PCI e você criou seu próprio sistema para aceitar pedidos por telefone, as nossas novas APIs de pagamento permitem marcar pagamentos como MOTO. Fale conosco para habilitar esse recurso em sua conta Stripe e acessar a documentação técnica.

Pagamentos corporativos

Esta isenção pode abranger pagamentos feitos com cartões “alocados” (como os que as empresas usam para gerenciar despesas de viagem e que ficam sob posse de um agente de viagens online), além de pagamentos corporativos feitos com cartões virtuais (também usados no setor de viagens).

Esta isenção tem um escopo muito restrito devido à sua pouca utilidade prática fora do setor de viagens. Ela só pode ser solicitada pelo banco do titular do cartão, pois a empresa e os provedores de pagamento (como a Stripe) não conseguem detectar se um cartão pertence a essas categorias.

Beneficiários de confiança

Ao concluir a autenticação de um pagamento, os clientes podem ter a opção de adicionar a empresa confiável à uma lista de permissões para evitar ter que repetir a autenticação em compras futuras. Essas empresas são incluídas em uma lista de "beneficiários de confiança", mantida pelo banco do cliente ou pelo provedor de serviços de pagamento.

O uso de listas de permissões é conveniente para clientes que lidam com assinaturas ou compras recorrentes, mas até agora são poucos os bancos que adotaram esse recurso.

E se a isenção falhar?

As isenções podem ser muito úteis, mas não se esqueça de que é o banco do titular do cartão que decide se vai aceitá-las. Os bancos podem retornar códigos específicos de pagamento recusado em casos nos quais a isenção não foi aceita e, como resultado, não houve autenticação. Então, esses pagamentos precisam ser reenviados ao cliente com uma solicitação para autenticação forte de cliente. Produtos da Stripe prontos para SCA acionam automaticamente essa autenticação extra quando exigido pelos bancos.

Se a sua empresa for afetada pela SCA, recomendamos preparar um plano B para o caso de recusa de isenções e necessidade de autenticação do cliente. Esse passo é muito importante, especialmente se você cobra os clientes quando não estão no fluxo de checkout (ou seja, fora da sessão), e eles precisam voltar ao site ou aplicativo para fazer a autenticação. Confira mais informações no nosso guia para criação de fluxos de pagamento com SCA.

Como a Stripe ajuda você a cumprir os requisitos da Autenticação Forte do Cliente

As mudanças dessa regulamentação impactam de forma significativa o comércio online na Europa. As empresas que não aderirem a essas exigências poderão sentir um impacto nas taxas de conversão conforme os bancos europeus continuam a impor cada vez mais as regras de SCA.

Além de aceitar novas formas de autenticação, como o 3D Secure 2, recomendamos uma boa gestão das isenções para oferecer uma experiência de pagamentos otimizada que reduz fraudes e, ao mesmo tempo, minimiza o atrito para seus clientes. Nossos novos produtos de pagamento são otimizados para cumprir diversas regras regulatórias, bancárias e de bandeiras de cartão. Em outras palavras, aplicamos isenções para pagamentos de baixo risco quando possível e exigimos o 3D Secure apenas quando necessário. Nossos modelos avançados de machine learning também ajudam na adaptação às mudanças nas regras de SCA.

Próximas mudanças

Órgãos reguladores na UE e no Reino Unido também pretendem revisar as regras que moldarão o futuro da SCA nessas regiões. A Comissão Europeia revisou a estrutura atual da PSD2 e apresentou propostas para estabelecer a Terceira Diretiva de Serviços de Pagamento e o Regulamento de Serviços de Pagamento. A Stripe publicou este guia, que explora em detalhes o que as empresas podem esperar com as novas regras. Nós estamos monitorando de perto o progresso de regras parecidas no mercado do Reino Unido.

Saiba mais sobre os produtos da Stripe prontos para SCA. Se tiver dúvidas ou feedback, fale conosco.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Payments

Payments

Aceite pagamentos online, presenciais e em todo o mundo com uma solução desenvolvida para todos os tipos de empresas.

Documentação do Payments

Encontre guias sobre como integrar as APIs de pagamento da Stripe.