Autenticação Forte do Cliente (SCA)

O que as empresas operam online precisam saber sobre o regulamento europeu

  1. Introdução
  2. O que é a Autenticação Forte do Cliente?
    1. Quando a autenticação forte de cliente é obrigatória?
    2. Como autenticar um pagamento
    3. Isenções da autenticação forte de cliente
    4. E se a isenção falhar?
    5. Como a Stripe ajuda você a cumprir os requisitos da Autenticação Forte do Cliente

Neste guia, analisamos os novos requisitos europeus, chamados de SCA (Strong Customer Authentication, Autenticação forte de cliente), e os tipos de pagamentos afetados por eles. Também falamos das isenções disponíveis para transações de baixo risco para criar um checkout sem atritos.

Publicamos um guia para ajudar você a decidir quando incluir a autenticação na jornada do cliente. Acesse nosso site para saber mais sobre os produtos da Stripe prontos para SCA.

O que é a Autenticação Forte do Cliente?

A Autenticação Forte do Cliente (SCA) é um novo requisito regulatório da Europa para reduzir fraudes e aumentar a segurança de pagamentos online e por aproximação. Para receber pagamentos e cumprir os requisitos da SCA, você deve inserir novas autenticações em seu fluxo de checkout. A SCA exige que a autenticação use pelo menos dois dos três elementos a seguir.

Se quiser ler os requisitos originais da SCA, consulte as normas técnicas de regulamentação ou RTS (Regulatory Technical Standards). Os bancos começarão a recusar pagamentos que exigem SCA e não cumprem esses critérios.

Quando a autenticação forte de cliente é obrigatória?

A Autenticação Forte do Cliente se aplica a pagamentos online e por aproximação "iniciados pelo cliente" na Europa. Dessa forma, a maioria dos pagamentos com cartão e todas as transferências bancárias exigem SCA. Débitos automáticos recorrentes, por outro lado, são considerados "iniciados pelo comerciante" e não exigem autenticação forte.

No caso de pagamentos com cartão online, essas exigências valem para transações em que a empresa e o banco do titular do cartão estão no EEE (Espaço Econômico Europeu).

Como autenticar um pagamento

Atualmente, a forma mais comum de autenticar um pagamento online por cartão é por meio do 3D Secure, um padrão de autenticação aceito pela grande maioria dos cartões europeus. Sua aplicação geralmente exige uma etapa adicional após o checkout, quando o banco pede ao titular do cartão que forneça mais uma informação para finalizar o pagamento (como um código de uso único enviado para o seu celular ou uma autenticação por impressão digital no seu aplicativo de online banking).

O 3D Secure 2 é a principal forma de autenticação para pagamentos com cartão e atende aos novos requisitos da SCA. Essa versão oferece uma melhor experiência do usuário para ajudar a minimizar parte do atrito que essas etapas de autenticação adicionam ao fluxo de checkout.

Transações offline com cartão geralmente cumprem os requisitos de autenticação com a inserção do PIN.

Outras formas de pagamento que também envolvem cartão, como Apple Pay ou Google Pay, já suportam fluxos de pagamento com uma camada de autenticação integrada (biometria ou senha). Esses métodos podem ser uma ótima maneira para as empresas oferecerem ambientes de checkout sem atrito e, ao mesmo tempo, atenderem aos requisitos.

Espera-se também que diversas formas de pagamento comuns na Europa, como iDEAL, Bancontact e Multibanco, passem a seguir as novas regras da SCA sem grandes alterações na experiência do usuário.

Isenções da autenticação forte de cliente

Com a nova regulamentação, tipos específicos de pagamentos de baixo risco podem ser isentos da Autenticação Forte do Cliente, e provedores de pagamentos como a Stripe conseguem solicitar essas isenções. O banco do titular do cartão recebe a solicitação, avalia o risco envolvido e decide se aprova a isenção ou exige a autenticação.

Introduzir a autenticação no seu fluxo de checkout traz uma etapa extra que pode aumentar o atrito e as desistências dos clientes. O uso de isenções para pagamentos de baixo risco pode reduzir o número de autenticações necessárias e, consequentemente, o atrito. Desenvolvemos nossos novos produtos para pagamentos prontos para SCA para que você possa aproveitar as isenções e proteger sua taxa de conversões sempre que possível.

As principais isenções para empresas online são:

Transações de baixo risco

Um provedor de pagamentos (como a Stripe) pode fazer uma análise em tempo real para decidir aplicar ou não a SCA a uma transação. Isso só é possível quando a taxa geral de fraudes em pagamentos com cartão do provedor ou do banco está abaixo destes limites:

  • 0,13% para isentar transações abaixo de € 100
  • 0,06% para isentar transações abaixo de € 250
  • 0,01% para isentar transações abaixo de € 500

Esses limites serão convertidos para as moedas locais, se necessário.

Quando somente a taxa do provedor de pagamentos está abaixo do limite mas a do banco do titular do cartão está acima, espera-se que o banco recuse a isenção e exija a autenticação.

Esta é uma das isenções mais úteis para as empresas e uma das mais aceitas pelos bancos. As avaliações de risco abrangentes e em tempo real do Stripe Radar permitem aplicarmos essa isenção para nossos usuários.

Pagamentos abaixo de € 30

Esta é outra isenção que pode ser usada para pagamentos de baixo valor. Transações abaixo de € 30 são consideradas de “valor baixo” e podem ser isentas da SCA. Entretanto, os bancos precisarão solicitar autenticação se a isenção tiver sido usada cinco vezes desde a última autenticação bem-sucedida do titular ou se a soma das transações anteriores isentas exceder € 100. O banco do titular precisa monitorar o número de vezes que a isenção foi usada e decidir se a autenticação é necessária.

Considerando as limitações restritas dessa isenção, acreditamos que as isenções de transações de baixo risco sejam mais relevantes para a maioria dos pagamentos, mas continuaremos a aceitá-la para os nossos clientes.

Assinaturas com valores fixos

Esta isenção pode ser aplicada quando o cliente faz diversos pagamentos recorrentes com o mesmo valor para a mesma empresa. A SCA só é necessária no primeiro pagamento; os pagamentos seguintes podem ser isentos da SCA.

Esta isenção será muito útil para empresas com modelo de assinatura e deve contar com a ampla aceitação dos bancos europeus. Habilitamos essa isenção para os usuários da Stripe. Se você usa o Stripe Billing para criar assinaturas, aplicaremos automaticamente a isenção quando for o caso e poderemos ajudar a gerenciar solicitações de autenticação se a isenção for rejeitada pelo banco do cliente.

Transações iniciadas pelo comerciante (incluindo as assinaturas de valor variável)

Pagamentos feitos com cartões salvos quando o cliente não está presente no fluxo de checkout (também conhecidos como “off-session”, ou “fora da sessão”) podem ser considerados como transações iniciadas pelo comerciante. Tecnicamente, esses pagamentos não se enquadram no escopo da SCA. Na prática, marcar um pagamento como “transação iniciada pelo comerciante” tem um efeito similar ao de solicitar uma isenção. E, assim como em qualquer outra isenção, fica a critério do banco decidir se a autenticação é necessária para a transação.

Para adotar transações iniciadas pelo comerciante, é necessário autenticar o cartão no momento em que for armazená-lo ou ao fazer o primeiro pagamento. Por fim, você precisa de uma autorização do cliente (também chamada de “mandato”) para poder cobrar o cartão posteriormente.

Este é um caso de uso essencial para modelos de negócio que dependem de pagamentos atrasados, cobram assinaturas de valor variável ou cobram por complementos. Esperamos que seja aceito pela maioria dos bancos europeus e aprovado se a transação for considerada de baixo risco pelo banco.

A API da Stripe permite autenticar para uso posterior um cartão no momento em que é salvo e marcar os pagamentos subsequentes como "transação iniciada pelo comerciante".

Beneficiários de confiança

Ao concluir a autenticação de um pagamento, os clientes podem ter a opção de adicionar a empresa confiáveis à uma lista de permissões para evitar ter que repetir a autenticação em compras futuras. Essas empresas são incluídas em uma lista de “beneficiários de confiança”, mantidas pelo banco do cliente ou pelo provedor de serviços de pagamento.

O uso de listas de permissões é conveniente para clientes que lidam com assinaturas ou compras recorrentes, mas até agora são poucos os bancos que adotaram esse recurso. Mesmo assim, disponibilizamos essa isenção para os usuários sempre que disponível.

Vendas por telefone

Dados de cartões coletados por telefone não se enquadram no escopo da SCA e não exigem autenticação. Esse tipo de pagamento é chamado de MOTO (sigla do inglês para “pedidos por telefone ou pelo correio”). Assim como outros pagamentos isentos, as transações MOTO precisam ser marcadas nesse categoria, e o banco do titular do cartão toma a decisão final de aceitar ou recusar a transação.

Este caso de uso é importante para qualquer empresa que aceite pagamentos por telefone e, portanto, deve ser amplamente aceito pelos bancos. Os pagamentos criados no Stripe Dashboard são marcados automaticamente como MOTO.

Se sua empresa está em conformidade com o PCI e você criou seu próprio sistema para aceitar pedidos por telefone, as nossas novas APIs de pagamento permitem marcar pagamentos como MOTO. Fale conosco para habilitar esse recurso em sua conta Stripe e acessar a documentação técnica.

Pagamentos corporativos

Esta isenção pode abranger pagamentos feitos com cartões “alocados” (como os que as empresas usam para gerenciar despesas de viagem e que ficam sob posse de um agente de viagens online), além de pagamentos corporativos feitos com cartões virtuais (também usados no setor de viagens).

Esperamos que esta isenção, que tem um escopo muito restrito, tenha pouca utilidade prática fora do setor de viagens. Ela só pode ser solicitada pelo banco do titular do cartão, pois a empresa e os provedores de pagamento (como a Stripe) não conseguem detectar se um cartão pertence a essas categorias.

E se a isenção falhar?

As isenções podem ser muito úteis, mas não se esqueça de que, em última instância, é o banco do titular que decide se as aceita. Os bancos podem criar códigos de pagamento recusado por falta de autenticação. Esses pagamentos precisam ser reenviados ao cliente, com uma solicitação de autenticação forte de cliente. Os produtos prontos para SCA da Stripe acionam essa autenticação extra automaticamente quando solicitada pelo banco.

Se a sua empresa for afetada pela SCA, recomendamos preparar um plano B para o caso de recusa de isenções e necessidade de autenticação do cliente. Esse passo é muito importante, especialmente se você cobra os clientes quando não estão no fluxo de checkout (ou seja, fora da sessão), e eles precisam voltar ao site ou aplicativo para fazer a autenticação. Confira mais informações no nosso guia para criação de fluxos de pagamento com SCA.

Como a Stripe ajuda você a cumprir os requisitos da Autenticação Forte do Cliente

As mudanças da nova regulamentação devem afetar profundamente o comércio online na Europa. As empresas que não estiverem preparadas poderão sentir uma redução considerável nas conversões conforme os bancos europeus passarem a exigir a SCA.

Além de aceitar novas formas de autenticação, como o 3D Secure 2, recomendamos uma boa gestão das isenções para oferecer um ambiente com o menor atrito possível para seus clientes. Nossos novos produtos de pagamento são otimizados para cumprir diversas regras regulatórias, bancárias e de bandeiras de cartão. Em outras palavras, aplicamos isenções para pagamentos de baixo risco quando possível e exigimos o 3D Secure apenas quando necessário. Conforme as regras mudarem, poderemos manter e atualizar essa lógica de SCA em tempo real, considerando o cronograma de aplicação da normativa em cada país.

Lançamos uma nova API básica de pagamentos, que usa a lógica da Stripe para SCA para aplicar as isenções cabíveis e acionar o 3D Secure quando necessário. Tanto o Stripe Checkout como o Stripe Billing foram baseados nessa API e podem aplicar o 3D Secure de modo dinâmico quando necessário.

Saiba mais sobre os produtos da Stripe prontos para SCA. Se tiver qualquer dúvida ou feedback, fale conosco.

Vamos começar? Fale conosco ou crie uma conta.

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários ou fale conosco para criar um pacote personalizado para sua empresa.