3D Secure & PSD2

Se você já confirmou um pagamento online digitando um código, aprovando uma notificação push ou usando Face ID, você já interagiu com 3D Secure, também conhecido como 3DS. É a camada extra de verificação que ajuda a confirmar a identidade de um comprador e a proteger tanto o lojista quanto o banco contra fraudes.

3DS em poucas palavras

O nome significa Three-Domain Secure, referindo-se às três partes envolvidas:

  • O domínio do adquirente (lojista e PSP)
  • O domínio do emissor (banco do titular do cartão)
  • O domínio de interoperabilidade (a rede de cartões que conecta ambos os lados)

Quando um pagamento é feito, o lojista envia uma solicitação de autenticação por meio desses três domínios. Em seguida, o emissor decide se permite que a transação siga de forma "frictionlessly" — com base em dados como dispositivo, IP e histórico da transação — ou se desafia o cliente com uma solicitação (SMS, aprovação no app, biometria etc.). O resultado é retornado ao gateway em segundos e, se for bem-sucedido, o pagamento continua para autorização.

Por que existe

A fraude em cartões online costumava ser desenfreada. A primeira versão, 3DS1, lançada pela Visa em 2001 como "Verified by Visa", introduziu verificações baseadas em senha. Funcionava, mas a experiência era ruim e muitas vezes causava abandono no checkout. Lembro do meu pai clicando em "Vou configurar isso da próxima vez" toda vez que via aquela página. O moderno 3DS2 corrigiu isso. Sem mais pop-ups, suporte completo para mobile e fluxos frictionless quando o risco é baixo. Ele também introduziu autenticação biométrica e uma troca de dados muito mais rica entre lojista e emissor, tornando as aprovações mais rápidas e inteligentes.

Para os lojistas, o principal benefício é a transferência de responsabilidade. Se uma transação é autenticada por meio de 3D Secure, o risco de chargebacks relacionados a fraude passa do lojista para o emissor do cartão. Essa proteção, por si só, já torna a implementação valiosa, especialmente em mercados onde a fraude online é alta.

PSD2 & 3DS2

Na Europa, o 3D Secure evoluiu de uma camada de segurança de boas práticas para uma obrigação legal. A Diretiva de Serviços de Pagamento revisada (PSD2) introduziu a Strong Customer Authentication (SCA), que exige dois fatores independentes para a maioria dos pagamentos eletrônicos:

  • algo que o cliente sabe (PIN ou senha)
  • algo que o cliente tem (telefone ou token de hardware)
  • algo que o cliente é (impressão digital ou reconhecimento facial)

O 3D Secure 2 se tornou o principal meio para pagamentos com cartão cumprirem essa regra. Em essência, a PSD2 não inventou a autenticação forte. Ela a tornou obrigatória. E o 3DS2 ofereceu uma forma de atender à regulamentação sem prejudicar a experiência do usuário.

Mas, por trás do momento fluido de "Aprove no app do seu banco", existe um ecossistema técnico complexo. Todo payment service provider (PSP) precisa manter integrações certificadas com os servidores 3DS das redes de cartões e permanecer em conformidade com seus protocolos e formatos de mensagem em evolução. Visa, Mastercard, Amex e outras atualizam regularmente suas especificações de 3DS, o que significa que os PSPs precisam recertificar continuamente seus sistemas e garantir que seus gateways consigam falar os dialetos mais recentes da mensagem 3DS. Não é uma integração de "configurar e esquecer" — é um sistema vivo que precisa de atenção constante para manter as transações autenticando com sucesso.

Do lado do emissor, os bancos dependem de Access Control Servers (ACS). São sistemas especializados, fornecidos por vendors como Thales, Broadcom, GPayments ou Netcetera, que lidam com o processo de autenticação. Quando o titular do cartão inicia uma transação 3DS, o ACS do emissor verifica a solicitação, determina se a transação pode prosseguir de forma frictionless e, se não puder, aciona um challenge pelo método escolhido pelo banco (notificação push, SMS ou verificação biométrica). O ACS então retorna um resultado de autenticação pela rede de cartões até o PSP, que o usa para continuar com a autorização.

Esse handshake em várias camadas depende da coordenação perfeita de vários sistemas: o gateway do lojista, o adquirente, o directory server da bandeira do cartão e o ACS do emissor. Quando qualquer uma dessas camadas atrasa ou falha na certificação, as transações podem começar a cair.

Isenções

Embora a PSD2 tenha tornado a SCA a regra, ela também incorporou flexibilidade. Certos pagamentos podem dispensar a autenticação ativa sob isenções de SCA definidas, permitindo checkouts mais fluidos sem violar a lei. Essas isenções foram criadas para manter altas as taxas de conversão enquanto preservam níveis aceitáveis de risco:

  • Transações de baixo valor — normalmente abaixo de €30, embora limites cumulativos se apliquem.
  • Pagamentos recorrentes ou por assinatura — após o primeiro pagamento totalmente autenticado, cobranças subsequentes do mesmo valor e para o mesmo beneficiário podem ser isentas.
  • Beneficiários confiáveis — clientes podem colocar lojistas em whitelist junto ao banco para transações futuras.
  • Análise de risco da transação (TRA) — se tanto o adquirente quanto o emissor empregarem sistemas certificados de fraude de baixo risco, a SCA pode ser contornada para transações elegíveis.

A troca: transferência de responsabilidade

Quando uma transação é autenticada via 3D Secure e aprovada, a responsabilidade por chargebacks relacionados a fraude passa do lojista para o emissor. Mas, quando isenções são usadas, essa proteção pode não se aplicar. Isso se torna um equilíbrio estratégico: usar 3DS e ganhar proteção ao custo de possível fricção, ou reivindicar uma isenção e aproveitar um checkout mais fluido, mas aceitar o risco de fraude.

É aqui que os PSPs modernos se destacam. Eles atuam como motores de orquestração, escolhendo dinamicamente se devem acionar o 3DS, aplicar uma isenção ou tentar novamente por outro caminho, dependendo dos dados da transação, do comportamento do emissor e dos perfis de risco. Uma boa orquestração faz a diferença entre uma etapa 3DS desajeitada e uma experiência fluida.

3DS na prática

Para os consumidores, o 3D Secure agora faz parte do dia a dia do checkout — uma proteção invisível que ocasionalmente toca no seu ombro. Para lojistas e PSPs, é um alvo em constante movimento de conformidade, certificação e otimização. Cada atualização do protocolo 3DS, cada mudança no comportamento do emissor e cada novo padrão de fraude exige ajustes em todo o ecossistema.

Em resumo, o 3D Secure trouxe confiança para a era digital dos pagamentos. A PSD2 tornou essa confiança obrigatória. Juntas, elas transformaram o comércio online não apenas ao impedir fraudes, mas ao codificar o princípio de que toda transação digital deve saber quem realmente está pagando.

Anterior
Tópicos importantes de pagamento sobre cartões
Fundamentos
Próximo
Produtos de moeda — DCC & MCP
Fundamentos
Buy Me a Coffee
undefined