As perdas globais com fraudes em pagamentos on-line no setor de e-commerce foram estimadas em cerca de US$ 44 bilhões em 2024. Contudo, quem paga quando uma transação se revela fraudulenta? Isso depende de como o pagamento foi processado, quais ferramentas de segurança foram usadas e quais regras se aplicam nos bastidores. Essa passagem de responsabilidade é chamada de transferência de responsabilidade e é uma parte importante do sistema de pagamento. Infelizmente, muitas empresas não pensam nisso até que estejam no lado errado da questão.
A seguir, explicaremos exatamente como funciona a transferência de responsabilidade, quando ela ocorre e como usá-la a seu favor.
O que há neste artigo?
- O que é uma transferência de responsabilidade no contexto dos pagamentos com cartão?
- Quando ocorre uma transferência de responsabilidade e quem se torna responsável?
- Como a transferência de responsabilidade afeta sua estratégia de prevenção contra fraudes?
O que é uma transferência de responsabilidade no contexto de pagamentos com cartão?
A transferência de responsabilidade define quem é o responsável quando um pagamento é identificado como fraudulento. Essa responsabilidade pode mudar dependendo de quem na cadeia de pagamento usou as ferramentas de segurança corretas. Isso se resume a qual parte falhou em proteger a transação.
Se uma empresa usar protocolos de segurança atualizados, como leitores de chip EMV (Europay, Mastercard e Visa) e 3D Secure (3DS), e ainda assim ocorrerem fraudes, a responsabilidade normalmente é transferida para o emissor do cartão. Se a empresa ignorar essas proteções, o emissor não será mais responsável. A empresa (ou seu banco adquirente) torna-se financeiramente responsável pelo estorno.
Essa mudança de responsabilidade é intencional. As bandeiras de cartões a utilizam para estimular a adoção de uma segurança melhor. A mensagem é clara: implemente uma autenticação mais forte e você não será o único a cobrir as perdas por fraude.
As regras da bandeira de cartões seguem uma lógica rigorosa para avaliar a responsabilidade:
A empresa implementou o método de autenticação disponível?
A transação foi processada pelo canal adequado?
Se as respostas a ambas forem "sim", a empresa está protegida. Caso contrário, ela está exposta.
Quando ocorre uma transferência de responsabilidade e quem se torna responsável?
A transferência de responsabilidade não se aplica a todas as transações. Ela ocorre somente quando determinadas tecnologias ou protocolos são (ou não são) usados para detectar e evitar fraudes. Se essas condições forem atendidas, o risco de fraude é transferido da empresa para o emissor. Se não forem, a empresa é responsável.
Veja a seguir quando e por que ocorre a transferência de responsabilidade para diferentes tipos de transações.
Transações com cartão com chip EMV
Se um cliente apresentar um cartão com chip EMV para pagamento, mas a empresa não o processar usando um leitor de chip, a empresa se torna responsável por qualquer fraude relacionada a essa transação. Isso significa que:
Se a empresa não aceitar EMV, mas o cartão tiver um chip, a empresa (ou seu adquirente) arcará com o prejuízo
Se a empresa usar um leitor EMV no cartão com chip, o emissor provavelmente será responsável
Isso não afeta contestações não relacionadas à fraude de cartão, como reclamações de "produtos danificados". A empresa ainda é responsável por elas.
Transações on-line
A transferência de responsabilidade para pagamentos on-line ou móveis geralmente depende do uso de 3DS e do sucesso da autenticação:
Se uma transação for autenticada por 3DS, a responsabilidade será transferida para o banco do titular do cartão.
Se o 3DS não for usado, falhar ou não estiver disponível, a empresa será responsável.
Se o titular do cartão alegar posteriormente que não autorizou a cobrança, o emissor será responsável somente se a autenticação tiver sido concluída. Mesmo que a transação não tenha sido autenticada porque o emissor não participa do 3DS ou porque ocorreu um erro, a responsabilidade normalmente não será transferida para o emissor.
Transações sem contato e com carteira digital
Muitas carteiras digitais (por exemplo, Apple Pay, Google Pay) se qualificam para a transferência de responsabilidade devido à forma como são tokenizadas e autenticadas. Essas transações geralmente incluem comprovação criptográfica de que o titular do cartão foi verificado usando biometria ou credenciais baseadas em dispositivos. Quando essa comprovação está presente, a responsabilidade normalmente é transferida para o emissor.
Transações sem opções de autenticação
Nem todos os canais permitem a autenticação, inclusive os pagamentos por pedido por correio/pedido telefônico (MOTO). Nesses casos, a responsabilidade geralmente fica com a empresa porque a transação não pode ser verificada em tempo real.
Como a transferência de responsabilidade afeta sua estratégia de prevenção contra fraudes?
A transferência de responsabilidade é uma ferramenta decisões. Ela define como você lida com o risco, quais medidas de segurança toma no checkout e como equilibra a prevenção de fraudes com a experiência do cliente.
Ajuda você a decidir quando adicionar a autenticação
O 3DS oferece a você algo que a maioria das ferramentas antifraude não consegue: proteção contra responsabilidade financeira. Isso o torna um recurso poderoso, especialmente para transações que acionam sinais de risco, como pedidos de alto valor, cartões internacionais e clientes de primeira viagem.
Algumas empresas usam o 3DS de forma seletiva. Por exemplo, elas usam o 3DS em transações de risco para afastar a responsabilidade de si mesmas, mas não o usam em transações de baixo risco para minimizar o atrito no caixa e preservar as taxas de conversão. Elas não estão tratando cada cliente como uma ameaça, mas usando a transferência de responsabilidade onde é mais importante.
Porém, em algumas regiões, a conformidade normativa exige o uso do 3DS em todas as transações on-line.
Isso muda a forma como você interpreta as pontuações de risco
Quando você sabe que uma transação tem transferência de responsabilidade (porque o 3DS foi bem-sucedido ou o chip foi usado), pode decidir aprová-la mesmo que haja indicadores de fraude. Por outro lado, se uma transação não se qualificar para a transferência de responsabilidade, você talvez queira aumentar o escrutínio. Isso pode significar exigir mais verificação, enviá-la para análise manual ou bloqueá-la.
Reformula o custo da fraude
Uma transferência de responsabilidade bem-sucedida significa que o emissor, e não a sua empresa, absorve a perda. Isso reduz sua exposição financeira direta, mas a fraude ainda tem custos indiretos, como
Perda de estoque
Tratamento de escalada de contestações
Receber sinalizações por redes sobre altas taxas de fraude
Embora a transferência de responsabilidade diminua o impacto da fraude, ela não elimina os danos. Você ainda quer evitá-la quando puder.
Sua estratégia geral depende do seu modelo de negócios, do perfil de risco e da região geográfica. A UE, por exemplo, exige Autenticação forte de cliente (SCA) para todos os pagamentos on-line, e a autenticação de 3DS atualizada atende a esse requisito. Nos EUA e em outras regiões, o 3DS é opcional. Isso oferece a você mais flexibilidade, mas também outras decisões a serem tomadas. Se você opera globalmente, provavelmente acabará usando uma estratégia híbrida: 3DS em todos os lugares em que é exigido e uma abordagem baseada em risco em outros lugares.
O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.