O que queremos dizer com autenticação de não pagamento?

Para compreender este conceito, vale a pena analisar os princípios básicos do funcionamento do protocolo 3DS original.

A versão 1 do 3DS pede aos titulares de cartões (a pessoa que efectua o pagamento em linha) que provem a sua identidade ao banco emissor antes de a transação poder ser concluída. Isto acontece através de uma janela pop-up ou de uma moldura em linha na fase de checkout do pagamento.

Assim, o processo de autenticação teve sempre lugar durante o pagamento efetivo. Isto resultou em dois problemas.

Em primeiro lugar, os utilizadores nem sempre são capazes de identificar a autenticidade da janela pop-up, o que muitas vezes pode causar suspeitas e resultar no abandono da transação. Em segundo lugar, uma vez que o protocolo 3DS foi introduzido alguns anos antes de os pagamentos móveis estarem disponíveis, verificaram-se problemas de compatibilidade quando o processo de autenticação é efectuado em browsers móveis.

Embora o 3D Secure 2.0 resolva os problemas de compatibilidade e proporcione agora uma experiência mais simples em dispositivos móveis, em certos casos, também permite que os comerciantes separem o processo de autenticação do pagamento efetivo.

Isto tem um resultado direto no abandono do utilizador e na experiência do cliente.

Porquê?

Uma vez que os autores de fraudes estão a criar formas mais sofisticadas de obter acesso não autorizado aos dados dos cartões de débito e de crédito, estamos todos demasiado conscientes dos potenciais perigos de efetuar pagamentos em linha.

Isto pode tornar o processo de pagamento em linha numa situação de stress. É por isso que as pessoas desistem tão facilmente quando são confrontadas com uma janela pop-up "desconhecida" que lhes pede para introduzir algumas das suas informações pessoais.

A transferência da verificação 3D Secure do pagamento real para um ambiente menos stressante, ou seja, a autenticação sem pagamento, pode reduzir a desconfiança do comprador e, por conseguinte, o abandono da transação.

Autenticação de não-pagamento em aplicações móveis

Já vimos o impacto que o 3DS 2.0 terá no sector dos pagamentos móveis, incluindo a introdução de SDKs móveis que ajudarão os comerciantes a integrar facilmente o novo protocolo nas suas aplicações móveis já existentes.

Além disso, melhorará o processo de verificação no seu conjunto e permitirá a autenticação em caso de não pagamento.

Uma dessas aplicações é através de carteiras móveis.

A popularidade dos pagamentos móveis aumentou nos últimos anos, tal como a utilização de carteiras móveis (ou eWallets). Trata-se de uma plataforma conveniente para armazenar dinheiro de forma segura e processar rapidamente os pagamentos em linha.

De acordo com um estudo realizado pela Mastercard, em 75% de todas as conversas nas redes sociais que foram monitorizadas, as carteiras digitais foram mencionadas de alguma forma. Outro inquérito realizado pela Points revelou que quase 100% dos consumidores utilizariam uma carteira móvel com mais frequência se esta oferecesse algum tipo de recompensa de fidelidade.

Um grande fator positivo das carteiras móveis é a possibilidade de os utilizadores guardarem os dados do seu cartão de crédito ou débito na aplicação. Assim, as transacções podem ser concluídas através da plataforma sem ter de introduzir os dados do cartão de cada vez que se efectua um pagamento.

É aqui que a funcionalidade adicional do 3DS 2.0 entra em ação. Permite que o processo de autenticação seja realizado na aplicação móvel do comerciante, proporcionando uma camada extra de segurança no momento em que o utilizador introduz os dados do seu cartão na plataforma para utilização posterior.

Significa que o processo de autenticação passou do ambiente de pagamento para um ambiente de não pagamento aprovado pelo emissor.

O processo de autenticação também será coerente com o resto da experiência na aplicação, o que é menos alarmante para os utilizadores.

Os fornecedores de carteiras electrónicas móveis podem verificar a autenticidade do utilizador, obtendo a informação do banco emissor através de uma simples ligação ao servidor de directórios utilizando um servidor 3DS em conjunto com o SDK móvel de fornecedores aprovados

Autenticação de não-pagamento e PSD2

O desenvolvimento da PSD2 (a segunda diretiva relativa aos serviços de pagamento da União Europeia) registou uma forte sobreposição com determinadas funções do novo protocolo 3D Secure 2.0, especialmente no que diz respeito à SCA (autenticação forte do cliente), incluindo a TFA (autenticação de dois factores) e as OTP (palavras-passe de utilização única).

As novas regras da DSP2 estabelecem que as AFC serão exigidas para pagamentos electrónicos superiores a um determinado montante (cerca de 10 euros). Definem as AFC como "a utilização de dois ou mais elementos categorizados como conhecimento (algo que só o utilizador sabe), posse (algo que só o utilizador possui) e herança (algo que o utilizador é) que são independentes, na medida em que a violação de um não compromete a fiabilidade dos outros".

Isto é basicamente o que é a MFA (autenticação multifactor), incluindo OTPs, autenticação biométrica, como impressões digitais ou reconhecimento facial, e códigos QR que podem ser lidos por aplicações móveis.

Quando a nova diretiva relativa aos pagamentos for implementada, os bancos e outras instituições financeiras terão de cumprir os regulamentos relativos às SCA.

Assim, se o comerciante detetar que um novo cartão é utilizado no sistema por um utilizador sem histórico de transacções, o risco será provavelmente considerado elevado e será necessário o processo de autenticação.

A boa notícia para os comerciantes e emitentes é que este processo de autenticação sem pagamento já é exigido no 3DS 2.0 e, por conseguinte, está totalmente alinhado com os princípios estabelecidos na DSP2.

Se o protocolo 3DS 2.0 já estiver adotado na plataforma de um comerciante, permitirá uma fácil conformidade com o PDS2 com pouca ou nenhuma personalização, permitindo que a luta contra a fraude continue sem esforço por todas as partes envolvidas.

Os mesmos servidores ACS que os bancos utilizam nos seus controlos SCA podem ser utilizados em pagamentos online que requerem a autenticação 3D Secure. Pode até fazer sentido para os bancos mudarem para um servidor ACS 3D Secure 2.0.

Conclusão

Jonathan Main, Presidente do Conselho de Administração da EMVCo, afirmou: "Para além da segurança, a experiência do consumidor é fundamental para o trabalho da EMVCo"

Ao oferecer a opção de autenticação de não-pagamento aprovada pelo emissor, o 3DS 2.0 aproxima os comerciantes e os emissores da implementação de uma experiência do cliente sem atritos.

Além disso, permite que os comerciantes ofereçam uma camada extra de segurança para pagamentos em linha através de uma gama mais diversificada de canais, para além das transacções baseadas no browser.

E, por último, a autenticação de não pagamento no 3DS 2.0 não só ajuda os comerciantes a cumprirem sem esforço a governação dos pagamentos, como a PSD2, mas também trabalha em conjunto com os reguladores para criar um ambiente em linha ainda mais seguro para os clientes.