Autenticação Forte de Cliente

O que as empresas de Internet precisam saber sobre o novo regulamento europeu

Última atualização em 4 de maio de 2020

Introdução

Em 14 de setembro de 2019, novos requisitos para a autenticação de pagamentos online foram introduzidos na Europa como parte da segunda Diretiva de Serviços de Pagamento (PSD2). Espera-se que tais requisitos sejam aplicados ao longo de 2020 e 2021.

Neste guia, analisaremos com mais detalhes esses novos requisitos conhecidos como Autenticação Forte de Cliente (SCA, na sigla em inglês) e os tipos de pagamento que impactam. Também abordaremos as exceções que podem ser utilizadas em transações de baixo risco para oferecer uma experiência de checkout sem atritos.

Nós publicamos uma página separada com as informações mais recentes sobre o cronograma de aplicação da SCA, além de um guia para ajudar você a identificar quando adicionar a autenticação na sua jornada do cliente. Acesse o nosso site para obter mais informações sobre os produtos da Stripe prontos para SCA.

O que é a Autenticação Forte de Cliente?

A Autenticação Forte de Cliente é um novo requisito regulatório europeu para reduzir fraudes e aumentar a segurança de pagamentos online. Para aceitar pagamentos e cumprir os requisitos da SCA, será necessário incorporar uma autenticação adicional ao fluxo de checkout. A SCA exige que a autenticação use pelo menos dois dos seguintes elementos.

Algo que o cliente SABE (por exemplo, senha ou PIN)
Algo que o cliente TEM (por exemplo, telefone ou token de hardware)
Algo que o cliente É (por exemplo, impressão digital ou reconhecimento facial)

Se quiser ler os requisitos originais da SCA, consulte as Normas Técnicas Regulatórias, ou RTS.

Os bancos começarão a recusar pagamentos com exigência de SCA que não cumprem esses critérios. Embora a regulamentação tenha sido introduzida em 14 de setembro de 2019, espera-se que os requisitos sejam aplicados pelos órgãos regulatórios ao longo de 2020 e 2021.

Quando a Autenticação Forte de Cliente é obrigatória?

A Autenticação Forte de Cliente se aplica a pagamentos online "iniciados pelo cliente" dentro da Europa. Por isso, a maioria dos pagamentos com cartão e todas as transferências bancárias exigem SCA. Por outro lado, débitos automáticos recorrentes são considerados "iniciados pelo estabelecimento comercial" e não exigem autenticação forte. Com exceção de pagamentos sem contato, pagamentos presenciais com cartão também não são impactados pela nova regulamentação.

Para pagamentos online com cartão, esses requisitos se aplicam a transações nas quais tanto a empresa e quanto o banco do titular do cartão estejam localizados no Espaço Econômico Europeu (EEE). Espera-se que a regulamentação da SCA seja aplicada no Reino Unido, independentemente do resultado do Brexit.

Como autenticar um pagamento

Atualmente, a forma mais comum de autenticar um pagamento online com cartão utiliza 3D Secure, um padrão de autenticação aceito pela ampla maioria dos cartões europeus. Aplicar o 3D Secure normalmente acrescenta uma etapa após o checkout, na qual o titular do cartão é solicitado pelo banco a fornecer informações adicionais para concluir um pagamento (ex.: um código únco enviado ao telefone ou autenticação de impressão digital no aplicativo móvel do banco).

3D Secure 2, a nova versão do protocolo de autenticação com implementação em 2019, será o principal método para autenticar pagamentos online com cartão e cumprir os novos requisitos de SCA. Essa nova versão introduz uma melhor experiência de uso que ajudará a minimizar alguns dos atritos que a autenticação acrescenta ao novo fluxo de checkout.

Outros métodos de pagamento baseados em cartão, como Apple Pay ou Google Pay, já aceitam fluxos de pagamento com uma camada de autenticação integrada (biométrica ou senha). Isso pode ser uma ótima maneira para as empresas oferecerem uma experiência de checkout sem atritos e atender aos novos requisitos.

Também esperamos que vários métodos de pagamento comuns na Europa, como iDEAL, Bancontact ou Multibanco, sigam as novas regras de SCA sem grandes alterações na experiência do usuário.

Isenções de Autenticação Forte do Usuário

Sob o novo regulamento, tipos específicos de pagamentos de baixo risco podem ser isentos de Autenticação Forte de Cliente. Provedores de pagamentos como a Stripe podem solicitar essas isenções ao processar o pagamento. O banco do titular do cartão recebe a solicitação, avalia o nível de risco da transação e, no final, decide se aprova ou não a isenção ou se a autenticação ainda é necessária.

O desenvolvimento da autenticação no seu fluxo de checkout introduz uma etapa adicional que pode acrescentar atrito e aumentar a desistência do cliente. Usar isenções para pagamentos de baixo risco pode reduzir o número de vezes que você precisará autenticar um cliente e reduzir o atrito. Nós criamos os nossos novos produtos de pagamentos prontos para SCA para que você tire proveito das isenções quando for possível ajudar a proteger sua conversão.

As isenções mais relevantes para as empresas da internet são:

Transações de baixo risco

Um provedor de pagamentos (como a Stripe) tem a permissão de fazer uma análise de riscos em tempo real para determinar se deve aplicar a SCA a uma transação. Isso só é possível se as taxas de fraude gerais do provedor de pagamentos ou do banco para pagamentos com cartão não excederem os seguintes limites:

  • 0,13% para isentar transações abaixo de € 100
  • 0,06% para isentar transações abaixo de € 250
  • 0,01% para isentar transações abaixo de € 500

Esses limites serão convertidos para valores locais equivalentes quando for relevante.

Em casos nos quais somente a taxa de fraude do provedor de pagamentos estiver abaixo do limite, mas a do banco do titular do cartão estiver acima, espera-se que o banco recuse a isenção e exija autenticação.

Pagamentos abaixo de € 30

Esta é outra isenção que pode ser utilizada para pagamentos de baixo valor. Transações abaixo de € 30 são consideradas de “baixo valor” e podem ser isentas de SCA. No entanto, os bancos precisam solicitar autenticação se a isenção tiver sido usada cinco vezes desde a última autenticação bem-sucedida do titular do cartão ou se a somatória dos pagamentos isentos anteriormente exceder € 100. O banco do titular do cartão precisa rastrear o número de vezes que essa isenção foi utilizada e decidir se a autenticação é necessária.

Assinaturas de valor fixo

Esta isenção pode se aplicar quando o cliente faz uma série de pagamentos recorrentes no mesmo valor, para as mesmas empresas. A SCA é exigida para o primeiro pagamento do cliente, no entanto, cobranças subsequentes podem ser isentas de SCA.

Transações iniciadas pelo estabelecimento comercial (incluindo assinaturas variáveis)

Pagamentos feitos com cartões salvos quando o cliente não está presente no fluxo de checkout (às vezes chamado "fora de sessão") podem se qualificar como transações iniciadas pelo estabelecimento comercial. Esses pagamentos tecnicamente se enquadram fora do âmbito da SCA. Na prática, marcar um pagamento como "transação iniciada pelo estabelecimento comercial" será similar a solicitar uma isenção. E, assim como qualquer outra isenção, ainda cabe ao banco decidir se a autenticação é necessária para a transação.

Para usar transações iniciadas pelo estabelecimento comercial, você deverá autenticar o cartão ao salvá-lo ou no primeiro pagamento. Por fim, é necessário chegar a um acordo com o cliente (também chamado de "mandato"), para cobrar o cartão em um momento posterior.

Beneficiários de confiança

Ao concluir a autenticação de um pagamento, os clientes podem ter a opção de colocar uma empresa em que realmente confiam em uma lista de permissões para evitar precisar autenticar compras futuras. Assim, essas empresas são incluídas em uma lista de "beneficiários de confiança" mantidas pelo banco do cliente ou o provedor de serviços de pagamento.

Vendas por telefone

As informações do cartão coletadas por telefone estão fora do âmbito da SCA e não exigem autenticação. Este tipo de pagamento às vezes é chamado de “Pedido por Correio e Pedidos por Telefone” (MOTO, na sigla em inglês). Assim como em pagamentos isentos, as transações MOTO precisam ser sinalizadas como tal, com o banco do titular do cartão tomando a decisão final de aceitar ou rejeitar a transação.

Pagamentos corporativos

Esta isenção poderá abranger pagamentos feitos com cartões “apresentados” (ex.: quando um cartão corporativo utilizado para administrar despesas de viagem de um funcionário for mantido diretamente com um agente de viagens online), bem como pagamentos corporativos feitos utilizando números de cartão virtual (que também são usados no setor de viagens).

O que acontece se uma isenção falhar?

Embora isenções possam ser bastante úteis, é importante lembrar que, no final das contas, caberá ao banco do cliente decidir se aceitará ou não uma isenção. Os bancos podem devolver novos códigos de recusa para pagamentos malsucedidos devido à falta de autenticação. Esses pagamentos devem ser reenviados ao cliente com uma solicitação de Autenticação Forte de Cliente. Os produtos prontos para SCA da Stripe automaticamente acionam essa autenticação adicional quando for exigido pelos bancos.

Se a sua empresa for impactada pela SCA, recomendamos que se prepare para um recuo caso uma isenção seja rejeitada e seu cliente precise autenticar. Isso é especialmente importante se você cobrar seus clientes quando eles não estiverem ativamente no seu fluxo de checkout (isto é, quando estiverem fora de sessão) e precisarem voltar ao seu site ou aplicativo para autenticar. Leia o nosso guia sobre a criação de fluxos de pagamento para SCA para obter mais informações.

Como a Stripe ajuda a cumprir os requisitos de Autenticação Forte de Cliente

As alterações introduzidas por esta nova regulamentação devem afetar profundamente o comércio pela internet na Europa. E, embora esperemos que essas exigências somente sejam aplicadas ao longo de 2020 e 2021, empresas afetadas que não se prepararem para essas novas exigências poderão ver suas taxas de conversão cair significativamente à medida que a aplicação da SCA se dissemine pelos bancos europeus.

Além de apoiar novos métodos de autenticação como 3D Secure 2, acreditamos que o tratamento bem-sucedido das isenções seja um componente essencial para criar uma experiência de pagamentos de primeira classe que minimize os atritos. Nossos novos produtos de pagamentos são otimizados para diferentes regras regulatórias, de bancos e bandeiras de cartões e aplicam isenções pertinentes para pagamentos de baixo risco, de modo que o 3D Secure somente seja acionado quando for necessário. E, à medida que essas regras mudarem, poderemos manter e atualizar essa lógica de SCA em tempo real, levando em consideração o cronograma de aplicação de cada país.

Nós lançamos uma nova API de pagamentos que usa a lógica de SCA da Stripe para aplicar a exceção certa e acionar o 3D Secure quando for necessário. Nosso novo Checkout, assim como o Stripe Billing são desenvolvidos com base nessa API e podem aplicar dinamicamente o 3D Secure quando for necessário.

Saiba mais sobre os produtos prontos para SCA da Stripe. Se tiver alguma dúvida ou feedback, fale conosco!

Voltar para os guias