Como projetar fluxos de pagamento para a SCA

O novo regulamento conhecido como Autenticação Forte de Cliente, ou SCA, está mudando os pagamentos online na Europa. Veja como ele pode afetar os seus fluxos de pagamento e como a Stripe pode ajudar.

Introdução

Última atualização: 14 de setembro de 2019

A partir de 14 de setembro de 2019, uma nova regulamentação de pagamentos será implementada na Europa, exigindo a Autenticação Forte de Cliente (SCA) para muitos pagamentos online no Espaço Econômico Europeu (EEA). A SCA faz parte da Diretiva Revisada de Serviços de Pagamento (PSD2).

Para cumprir os requisitos da SCA, é necessário um formulário de autenticação de dois fatores para muitos pagamentos online com cartão na Europa. Sem a autenticação, diversos pagamentos podem ser recusados pelos bancos dos clientes. Projetamos novas APIs de pagamento básicas para ajudar as empresas a lidar com essa alteração e aproveitar ao máximo as isenções da SCA.

Recomendamos que você use este guia para entender as mudanças que a SCA exige em diversos tipos de fluxos de pagamento e como material de referência para reprojetar os fluxos de pagamentos.

Como os pagamentos estão mudando

Normalmente, os pagamentos com cartão envolvem duas etapas: autorização e captura. Um pagamento é autorizado quando o banco ou o emissor do cartão do cliente decide aprovar um pagamento, que é capturado no momento da cobrança do cartão.

Com a SCA, há uma etapa adicional e obrigatória antes da autorização e da captura: autenticação. Essa etapa ajuda a proteger clientes e evitar fraudes. Para autenticar um pagamento, o cliente responde a uma solicitação do banco e fornece informações adicionais. Essas informações podem ser algo que o cliente conhece, como uma senha; algo que o cliente usa, como um telefone; ou algo que é parte do cliente, como sua impressão digital.

A forma mais comum de autenticação de um pagamento é um método denominado 3D Secure. Você pode reconhecer o 3D Secure por nomes com marca como “Visa Secure” ou “Mastercard Identity Check”. Espera-se que uma nova versão, denominada 3D Secure 2, torne-se o método padrão de autenticação de pagamentos. Você pode saber mais sobre as diferenças entre esses métodos em nosso Guia do 3D Secure 2. As novas APIs de pagamento, o Stripe Billing e a nova versão do Stripe Checkout são compatíveis com o 3D Secure 2.

Qualquer que seja o método usado, os clientes devem estar na sessão para autenticar, o que significa que precisam usar o seu site ou aplicativo. A adição dessa etapa poderá ser mais simples para empresas que cobram imediatamente os clientes e mais complexa para empresas que cobram os clientes depois que eles saíram do fluxo de checkout (algumas vezes, isso é chamado fora da sessão).

Os cenários deste guia mostram exemplos de como essas três etapas (autenticação, autorização e captura) podem variar dependendo de como e quando você cobra os clientes.

  1. Autenticar
    Uma cliente autentica um pagamento online.

    Para responder a uma solicitação do 3D Secure do banco, o cliente fornece informações adicionais para autenticar o pagamento. Veja o 3D Secure do ponto de vista do cliente.

    A autenticação é exigida quando um pagamento não está qualificado para isenção ou quando o banco do cliente nega uma solicitação de isenção. As nossas novas APIs de pagamento solicitam automaticamente todas as isenções qualificadas antes de adicionar a etapa de autenticação. Isso simplifica fluxos de checkout e protege as taxas de conversão.

    Você sabia? A autenticação deve ocorrer enquanto o cliente está na sessão, ou usando o site ou o aplicativo. Portanto, essa etapa normalmente ocorre quando o cliente preenche o formulário de checkout.

  2. Autorizar
    Sua empresa solicita ao banco do cliente a aprovação do pagamento.

    O banco do cliente decide se aprova ou recusa um pagamento. Se aprovado, os fundos são retidos e garantidos por sete dias. Se o pedido de autorização for recusado, a empresa precisará de uma forma de trazer o cliente de volta à sessão para reautenticar o pagamento e depois tentar autorizá-lo novamente.

    Você sabia? Uma solicitação de autorização pode ser recusada pelo banco do cliente, mesmo após ter sido autorizada. Isso pode ocorrer se o cliente não tiver fundos suficientes ou se o cartão estiver vencido.

  3. Até 7 dias

    O período entre autorização e captura pode ser de até sete dias, mas a maioria das empresas captura o pagamento imediatamente após a autorização.

    Você sabia? O banco do cliente pode mostrar que o pagamento está “pendente” caso esse pagamento tenha sido autorizado, mas não capturado.

  4. Capturar
    A empresa altera o cartão do cliente, concluindo o pagamento.

Compreender as isenções

Há determinados tipos de pagamento, como transações de baixo risco, assinaturas de valores fixos, vendas por telefone e transações iniciadas por comerciantes, que podem estar isentas da SCA. As transações iniciadas por comerciantes são pagamentos feitos com um cartão salvo quando o clientes está fora da sessão. Alguns exemplos comuns são mensalidades de academias ou contas de serviços públicos. Para se qualificar a essa isenção, a empresa deve ter um contrato com o cliente e fazer com que ele autentique o cartão na hora de salvá-lo ou autentique o primeiro pagamento. O nosso Guia de Autenticação Forte de Cliente descreve em mais detalhes essas e outras isenções.

As APIs e produtos de pagamento prontos para SCA ajudarão as empresas a aproveitar integralmente essas oportunidades por meio da solicitação automática de isenções. Quando as isenções forem aceitas pelos bancos dos clientes, eles não precisarão se autenticar, o que reduz o impacto na conversão.

No entanto, as empresas não podem contar sempre com as isenções e devem projetar os fluxos de pagamento para autenticar clientes quando necessário. Isso é necessário porque as regras de isenção dependem dos bancos dos clientes. Cada banco tem seus próprios critérios para avaliar os pagamentos e decidir se a isenção deve ou não ser aplicada.

Cenários de negócios

Para mostrar o impacto e a aplicação da SCA, descrevemos como uma etapa de autenticação pode se encaixar em fluxos de pagamento de diferentes modelos de negócio.

Voltar para os guias