Autenticação Forte de Cliente

O que as empresas de Internet precisam saber sobre o regulamento europeu

  1. Introduction
  2. O que é a Autenticação Forte de Cliente?
    1. Quando a Autenticação Forte de Cliente é obrigatória?
    2. Como autenticar um pagamento
    3. Isenções da Autenticação Forte de Cliente
    4. E se a isenção falhar?
    5. Como a Stripe ajuda você a cumprir os requisitos da Autenticação Forte de Cliente

Neste guia, analisamos os novos requisitos, chamados de Autenticação Forte de Cliente (SCA), e os tipos de pagamentos afetados por eles. Também falamos das isenções disponíveis em transações de baixo risco para criar um checkout sem atritos.

Publicamos um guia para ajudar você a decidir quando incluir a autenticação na jornada do cliente. Acesse nosso site para saber mais sobre os produtos da Stripe prontos para SCA.

O que é a Autenticação Forte de Cliente?

A Autenticação Forte de Cliente (SCA) é um novo requisito regulatório da Europa para reduzir fraudes e aumentar a segurança de pagamentos online e por aproximação. Para receber pagamentos e cumprir os requisitos da SCA, você deve inserir novas autenticações em seu fluxo de checkout. A SCA exige que a autenticação use pelo menos dois dos três elementos a seguir.

Se quiser ler os requisitos originais da SCA, consulte os Regulatory Technical Standards ou RTS. Os bancos começarão a recusar pagamentos que exigem SCA e não cumprem os critérios.

Quando a Autenticação Forte de Cliente é obrigatória?

A Autenticação Forte de Cliente se aplica a pagamentos online e por aproximação iniciados pelo cliente na Europa. Dessa forma, a maioria dos pagamentos com cartão e todas as transferências bancárias exigem SCA. Débitos automáticos recorrentes, por outro lado, são considerados iniciados pelo comerciante e não exigem autenticação forte.

Para pagamentos online por cartão, os requisitos se aplicam a transações quando a empresa vendedora e o banco do titular do cartão estão localizados no Espaço Econômico Europeu (EEE).

Como autenticar um pagamento

Atualmente, a forma mais comum de autenticar um pagamento online por cartão é o 3D Secure, um padrão de autenticação aceito pela grande maioria dos cartões europeus. Sua aplicação geralmente exige uma etapa a mais depois do checkout, quando o banco pede ao titular que forneça mais uma informação para finalizar o pagamento (como um código de uso único no celular ou autenticação com impressão digital no aplicativo de online banking).

O 3D Secure 2 é a principal forma de autenticação para pagamentos com cartão e atende aos novos requisitos da SCA. Essa versão melhorará a experiência do usuário para ajudar a minimizar parte do atrito da autenticação no fluxo de checkout.

Transações offline com cartão geralmente cumprem os requisitos de autenticação com a inserção do PIN.

Outras formas de pagamento baseadas em cartões, como Apple Pay ou Google Pay, já usam fluxos de pagamento com uma camada de autenticação integrada (biometria ou senha). Elas podem ser ótimas formas para as empresas oferecerem ambientes de checkout sem atrito e cumprir os novos requisitos.

Espera-se também que diversas formas de pagamento comuns na Europa, como iDEAL, Bancontact e Multibanco, passem a seguir as novas regras da SCA sem grandes alterações na experiência de usuário.

Isenções da Autenticação Forte de Cliente

Com a nova regulamentação, tipos específicos de pagamentos de baixo risco podem ser isentos da Autenticação Forte de Cliente, e provedores de pagamentos como a Stripe conseguem solicitar essas isenções. O banco do titular do cartão recebe a solicitação, avalia o risco envolvido e decide se aprova a isenção ou exige a autenticação.

Introduzir a autenticação no seu fluxo de checkout traz uma etapa extra que pode aumentar o atrito e as desistências dos clientes. O uso de isenções para pagamentos de baixo risco pode reduzir o número de autenticações necessárias e, consequentemente, o atrito. Desenvolvemos nossos novos produtos de pagamentos preparados para SCA para que você possa aproveitar as isenções e proteger sua taxa de conversões sempre que possível.

As principais isenções para empresas online são:

Transações de baixo risco

Um provedor de pagamentos (como a Stripe) pode fazer uma análise em tempo real para decidir aplicar ou não SCA a uma transação. Isso só é possível quando a taxa geral de fraudes em pagamentos de cartão do provedor ou do banco está abaixo destes limites:

  • 0,13% para isentar transações abaixo de € 100
  • 0,06% para isentar transações abaixo de € 250
  • 0,01% para isentar transações abaixo de € 500

Esses limites serão convertidos para as moedas locais, se necessário.

Quando somente a taxa do provedor de pagamentos está abaixo do limite mas o banco do titular do cartão está acima, espera-se que o banco recuse a isenção e exija a autenticação.

Esta é uma das isenções mais úteis para as empresas e uma das mais aceitas pelos bancos. As avaliações abrangentes e em tempo real do Stripe Radar permitem aceitarmos essa isenção para os usuários.

Pagamentos abaixo de € 30

Esta é outra isenção que pode ser usada para pagamentos de baixo valor. Transações abaixo de € 30 são consideradas de “valor baixo” e podem ser isentas da SCA. Entretanto, os bancos precisarão solicitar autenticação se a isenção tiver sido usada cinco vezes desde a última autenticação do titular ou se a soma das últimas transações isentas exceder € 100. O banco do titular precisa monitorar o número de vezes que a isenção foi usada e decidir se a autenticação é necessária.

Considerando as limitações restritas dessa isenção, esperamos que as isenções de transações de baixo risco sejam mais relevantes para a maioria dos pagamentos, mas continuaremos a aceitá-la para os nossos clientes.

Assinaturas com valores fixos

Esta isenção pode ser aplicada quando o cliente faz diversos pagamentos recorrentes com o mesmo valor para a mesma empresa. A SCA só é necessária no primeiro pagamento; os pagamentos seguintes podem ser isentos da SCA.

Esta isenção deve ser muito útil para empresas de assinatura e contar com a ampla aceitação dos bancos europeus. Habilitamos essa isenção para os usuários da Stripe. Se você estiver usando o Stripe Billing para criar assinaturas, aplicaremos automaticamente a isenção quando for o caso e poderemos ajudar a gerenciar solicitações de autenticação se a isenção for rejeitada pelo banco do cliente.

Transações iniciadas pelo comerciante (inclusive assinaturas de valor variável)

Pagamentos feitos com cartões salvos quando o cliente não está presente no fluxo de checkout (chamados de “fora de sessão”) podem ser determinados como transações iniciadas pelo comerciante. Tecnicamente, esses pagamentos não se enquadram no escopo da SCA. Na prática, marcar um pagamento como “transação iniciada pelo comerciante” tem o mesmo efeito de solicitar uma isenção. E, assim como em qualquer outra isenção, fica a critério do banco decidir se a autenticação é necessária para a transação.

Para usar transações iniciadas pelo comerciante, é necessário autenticar o cartão no momento em que for armazená-lo ou ao fazer o primeiro pagamento. Por fim, você precisa de uma autorização do cliente (também chamada de “mandato”) para cobrar o cartão no futuro.

Este é um caso de uso essencial para modelos de negócio que dependem de pagamentos atrasados, cobram assinaturas de valor variável ou cobram por complementos. Esperamos que seja aceito pela maioria dos bancos europeus e aprovado se a transação for considerada de baixo risco pelo banco.

A API da Stripe permite autenticar para uso posterior um cartão no momento em que é salvo e marcar os pagamentos subsequentes como "transação iniciada pelo comerciante".

Beneficiários confiáveis

Ao fazer a autenticação para um pagamento, os clientes podem ter a opção de autorizar uma empresa confiável e evitar repetir a autenticação em compras futuras. Essas empresas ficam em uma lista de “beneficiários confiáveis”, mantidas pelo banco do cliente ou pelo provedor de pagamentos.

O uso de listas de permissões é conveniente para clientes que lidam com as compras ou assinaturas recorrentes, mas os bancos têm demorado para adotar esse recurso. Mesmo assim, aceitamos essa isenção para os usuários sempre que disponível.

Vendas por telefone

Dados de cartões coletados por telefone não se enquadram no escopo da SCA e não exigem autenticação. Esse tipo de pagamento é chamado de MOTO (sigla do inglês para “pedidos por telefone ou pelo correio”). Assim como outros pagamentos isentos, as transações MOTO precisam ser marcadas nesse categoria, e o banco do titular do cartão toma a decisão final de aceitar ou recusar a transação.

Este caso de uso é importante para qualquer empresa que aceite pagamentos por telefone e esperamos que seja amplamente aceito pelos bancos. Os pagamentos criados no Stripe Dashboard são marcados automaticamente como MOTO.

Se sua empresa está em conformidade com o PCI e você criou seu próprio sistema para aceitar pedidos por telefone, as nossas novas APIs de pagamento permitem marcar pagamentos como MOTO. Fale conosco para habilitar esse recurso em sua conta Stripe e acessar a documentação técnica.

Pagamentos corporativos

Esta isenção pode abranger pagamentos feitos com cartões “alocados” (como os que as empresas usam para gerenciar despesas de viagem e que ficam sob posse de um agente de viagens online), além de pagamentos corporativos feitos com cartões virtuais (também usados no setor de viagens).

Esperamos que esta isenção, que tem um escopo muito restrito, tenha pouca utilidade prática fora do setor de viagens. Ela só pode ser solicitada pelo banco do titular do cartão, pois a empresa e os provedores de pagamento (como a Stripe) não conseguem detectar se um cartão pertence a essas categorias.

E se a isenção falhar?

As isenções podem ser muito úteis, mas não se esqueça de que, em última instância, é o banco do titular que decide se as aceita. Os bancos podem criar códigos de recusa para pagamentos por falta de autenticação. Esses pagamentos precisam ser reenviados ao cliente, com uma solicitação de Autenticação Forte de Cliente. Os produtos prontos para SCA da Stripe acionam essa autenticação, quando solicitada pelo banco.

Se a sua empresa for afetada pela SCA, recomendamos preparar um plano B para o caso de recusa de isenções e necessidade de autenticação do cliente. Esse passo é muito importante, especialmente se você cobra os clientes quando não estão no fluxo do checkout (ou seja, fora de sessão), e eles precisam voltar ao site ou aplicativo para fazer a autenticação. Confira mais informações no nosso guia para criação de fluxos de pagamento com SCA.

Como a Stripe ajuda você a cumprir os requisitos da Autenticação Forte de Cliente


As mudanças da nova regulamentação devem afetar profundamente o comércio online na Europa. As empresas que não estiverem preparadas poderão sentir uma redução considerável nas conversões conforme os bancos europeus passarem a exigir SCA.

Além de aceitar novas formas de autenticação, como 3D Secure 2, recomendamos uma boa gestão das isenções para oferecer um ambiente como o menor atrito possível para seus clientes. Nossos novos produtos de pagamento são otimizados para cumprir diversas regras regulatórias, bancárias e de bandeiras de cartão. Em outras palavras, aplicamos isenções para pagamentos de baixo risco quando possível e exigimos o 3D Secure apenas quando necessário. Conforme as regras mudarem, poderemos manter e atualizar essa lógica da SCA em tempo real, considerando o cronograma de aplicação de cada país.

Publicamos uma nova API básica de pagamentos, que usa a lógica da Stripe para SCA para aplicar as isenções possíveis e acionar 3D Secure quando necessário. Nosso Checkout, bem como o Stripe Billing, foram baseados nessa API e podem aplicar o 3D Secure de modo dinâmico em conformidade com a legislação em vigor.

Saiba mais sobre os produtos da Stripe prontos para SCA. Se tiver qualquer dúvida ou feedback, fique à vontade para encontrar em contato conosco.

Vamos começar? Fale conosco ou crie uma conta.

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários. Ou entre em contato conosco para criar um pacote personalizado para a sua empresa.