Pontos problemáticos do protocolo original

Embora a ameaça de crime e fraude através de pagamentos em linha seja amplamente reconhecida, a verdade é que a maioria dos compradores em linha não teve de lidar diretamente com ela.

Assim, quando são confrontados com os passos de autenticação na fase de checkout, ou acham que são desnecessários e vêem-nos como uma mera irritação, ou o contrário: podem não estar familiarizados com o processo e vêem-no como uma ameaça à segurança quando lhes é pedido que forneçam informações adicionais.

Ambas as circunstâncias têm um efeito prejudicial na experiência do cliente e podem levá-lo a abandonar a transação. Isto tem um impacto direto nas taxas de conversão e, consequentemente, os comerciantes podem não estar tão interessados em adotar o protocolo.

O problema é que a fraude em linha não vai a lado nenhum. Na verdade, está a piorar, uma vez que os autores de fraudes estão a procurar formas mais sofisticadas de desviar os nossos pagamentos em linha.

Por conseguinte, a segurança proporcionada pelo 3D Secure torna-se cada vez mais relevante com o passar do tempo.

A solução é o 3D Secure 2.0

A EMVCo está a abordar estas preocupações de frente com a especificação 3D Secure 2.0.

Isto inclui a integração móvel completa com o desenvolvimento de SDKs, permitindo aos comerciantes integrar facilmente o processo de autenticação 3D Secure nas suas aplicações móveis.

Isto melhorou consideravelmente a experiência 3DS nos dispositivos móveis e permitiu aos comerciantes protegerem os seus clientes contra a fraude numa maior variedade de plataformas.

O 3DS 2.0 também permite a autenticação sem pagamento, por exemplo, quando os utilizadores introduzem os dados do seu cartão numa carteira móvel.

Um forte enfoque em SCA como a autenticação de dois factores (por exemplo, palavras-passe de uso único e autenticação biométrica) também significa que o protocolo está em conformidade com regulamentos como o PSD2, facilitando o cumprimento por parte das instituições financeiras que adoptam o 3DS 2.0.

Por conseguinte, a segurança proporcionada pelo 3D Secure torna-se cada vez mais relevante com o passar do tempo.

O que é a autenticação baseada no risco?

A autenticação baseada no risco é simplesmente o processo de determinar o risco associado a uma determinada transação e, com base no nível de risco, se o utilizador deve ou não ser desafiado com as etapas de autenticação adicionais.

Ao suportar trocas de dados mais ricas e partilha de dados adicionais durante as transacções em linha, o 3D Secure 2.0 melhora as capacidades de autenticação baseada no risco dos comerciantes e emitentes.

Os elementos de dados adicionais no momento da transação podem ser utilizados tanto pelo emitente como pelo comerciante para tomar uma decisão mais informada sobre se devem ou não avançar com as etapas de autenticação 3D Secure.

Estes elementos baseados no risco incluem:

• O valor da transação

• Cliente novo ou existente

• Histórico transacional

• Historial comportamental

• Informações sobre o dispositivo

Assim, se o comerciante detetar que um novo cartão é utilizado no sistema por um utilizador sem histórico de transacções, o risco será provavelmente considerado elevado e será necessário o processo de autenticação.

No entanto, se o comerciante já tiver o cartão no sistema e o utilizador tiver efectuado pagamentos anteriormente através da plataforma, o risco será baixo e a autenticação 3D Secure pode ser contornada para concluir a transação.

Do mesmo modo, se o cliente tiver um historial de compras com a plataforma, mas estiver a utilizá-la num novo dispositivo que nunca utilizou anteriormente, o comerciante pode decidir exigir a autenticação através do 3DS, uma vez que existe agora uma variável desconhecida.

Como é que isto promove um fluxo sem fricção?

Graças à autenticação baseada no risco efectuada no ACS, o fluxo sem fricção permite aos emitentes aprovar uma transação sem necessidade de interagir com o titular do cartão.

Quando o cliente faz uma compra em linha, adiciona um artigo ao seu carrinho de compras, preenche as informações normais de compra e, em seguida, procede à confirmação da compra.

Os pormenores da compra, incluindo os dados do dispositivo, o artigo comprado e o valor, são enviados ao servidor ACS para determinar a autenticidade do titular do cartão.

Em seguida, o SCA analisa-o com os elementos baseados no risco. Se o risco for considerado baixo, o SCA pode autenticar o cliente de forma passiva e não o incomodar com a confirmação adicional.

Trata-se de um processo sem atritos para o cliente, uma vez que ocorre nos bastidores. O cliente é diretamente encaminhado para o ecrã de confirmação da compra, sem sequer saber que a sua transação foi analisada.

A plataforma do comerciante só exigirá autenticação adicional se o risco for elevado. Através da utilização da autenticação baseada no risco, o plano com o 3D Secure 2.0 é que isto aconteça apenas numa pequena percentagem das transacções.

Para os clientes, a vantagem é saberem que os seus pagamentos estão protegidos e continuarem a usufruir de uma experiência de compra simples e sem interrupções.

A vantagem para os comerciantes é que continuam a obter os benefícios da implementação do protocolo 3D Secure na sua plataforma, como a proteção contra estornos fraudulentos, mas, ao mesmo tempo, asseguram que os seus clientes estão protegidos contra transacções não autorizadas.

O cliente tem uma experiência mais simples através da plataforma do comerciante, uma vez que não está a ser desafiado. Isto significa que a taxa de abandono devido ao protocolo 3DS será drasticamente reduzida e o cliente regressará com prazer à plataforma do comerciante.

Conclusão

Não só as transacções serão mais seguras através da implementação de métodos de proteção reforçados, como a autenticação de dois factores, como também a experiência do utilizador será grandemente melhorada por fluxos sem atritos através da autenticação baseada no risco.

Permite que os comerciantes ofereçam proteção em várias plataformas com uma fácil integração nos seus sistemas, incluindo aplicações móveis, enquanto continuam a poder explorar os benefícios que o protocolo proporciona. Estima-se também que as taxas de abandono de carrinhos de compras irão diminuir drasticamente.

Os emitentes podem partilhar e receber mais dados com os comerciantes, dando-lhes uma maior visão dos padrões transaccionais, o que lhes permitirá determinar o risco com maior precisão e, por conseguinte, melhorar o processo de autenticação. O 3DS 2.0 também oferecerá aos bancos a oportunidade de cumprir sem esforço os requisitos da PSD2.

Para os clientes, as actualizações são talvez as mais benéficas. Podem agora beneficiar de proteção contra transacções fraudulentas na maioria das plataformas.

Não só as transacções serão mais seguras através da implementação de métodos de proteção reforçados, como a autenticação de dois factores, como também a experiência do utilizador será grandemente melhorada por fluxos sem atritos através da autenticação baseada no risco.

Mike Lemberger, Vice-Presidente Sénior da Visa, resumiu perfeitamente as melhorias;

"Ao ajudar a liderar o desenvolvimento do 3DS 2.0, estamos em condições de oferecer um serviço de autenticação melhorado que torna estes pagamentos mais rápidos e mais seguros. Para os retalhistas europeus, isto ajuda a enfrentar o desafio contínuo de reduzir o abandono do carrinho de compras num mercado de comércio eletrónico. Esta atualização também fornece todas as ferramentas necessárias para garantir a conformidade com a PSD2 para pagamentos com cartão - um benefício importante que não deve ser subestimado."