A autenticação silenciosa do cliente

A autenticação silenciosa do cliente, ou a autenticação baseada no risco da transação, procura avaliar a autenticidade de uma transação sem a necessidade de intervenção do cliente (attrition)

O objetivo do protocolo 3D Secure é executar um processo de autenticação forte de um cliente que realiza uma transação não presencial (cartão não presente).

A versão EMV do protocolo 3D Secure definiu um conjunto significativo de dados, enviado pelo iniciador da transação, que associado aos dados históricos do emissor, permitem o uso da autenticação silenciosa.

A autenticação baseada no risco da transação é uma ferramenta extremamente valiosa para lojistas e emissores para aumentar o volume de transações bem sucedidas (conversões), reduzindo a quantidade de transações completadas (abandonos) e as transações fraudulentas.

As evoluções da versões (V2.2 e V2.3) do protocolo oferecem ainda mais recursos com o objetivo de alinhar a autenticação 3D Secure aos requisitos da autenticação forte do cliente (SCA – Strong Customer Authentication).

Este recurso utiliza informações coletadas na execução da transação e dados armazenados em bases analíticas de dados, determinado um grau de probabilidade da transação ser autêntica.

O grau de probabilidade de autenticidade, também chamado “escore de risco”, determinará a decisão, de acordo com as seguinte probabilidades:

Indica a provável autenticidade do cliente, permitindo a continuidade da transação

Indica que as informações utilizadas no processo de autenticação não são suficientes para garantir a autenticidade do cliente.

A recomendação é aplicar métodos complementares de autenticação forte

Indica que existe real probabilidade de que as informações referentes ao cliente não sejam autênticas, recomendando a negativa da continuidade da transação

Definindo os parâmetros de risco

Cada organização deverá determinar os parâmetros de risco utilizados para calcular o escore e os limites de escore para a avaliação do risco.

A qualidade da decisão quanto à autenticidade de uma transação dependerá da quantidade e da qualidade dos dados considerados.

Quando considera que o escore não é conclusivo quanto à autenticidade de uma transação, a entidade poderá utilizar diversos tipos de validação com o cliente, para assegurar um processo de autenticação forte.

Os métodos de autenticação forte poderão variar segundo a política de risco definida, considerando o cenário (dispositivo, indivíduo, tipo de transação etc.) e os resultados da análise de risco.

Plataformas de RBA e autenticação forte

Estas plataformas utilizam os recursos de Análise de Dados e “Machine Learning“.

Extensas bases de informações são organizadas, traçando o perfil de comportamento dos clientes, relativo aos seus hábitos de compras, tipos de transação, localização dos estabelecimentos, dispositivos utilizados etc.

Também são organizadas bases de informações sobre os comportamentos mais frequentes, origens das transações, geolocalização etc.

Portanto, a assertividade do escore de autenticação é um processo evolutivo, que amadurece quanto mais o tempo passa e quanto mais transações são realizadas.

Os sistemas de análise de risco de autenticação são denominados genericamente no mercado como Risk Based Analysis plataforms (RBA).

Visa e MasterCard oferecem suas respectivas soluções de análise de risco, assim como empresas especializadas em soluções de gerenciamento de riscos.