Data Share Only e o impasse do 3D Secure

Data Share Only tem potencial para desfazer o impasse que envolve comércios e emissores no uso da autenticação 3D Secure

E-commerce e a necessidade da autenticação

O lançamento dos cartões com chip EMV na segunda metade da década de 90 foi uma ferramenta importante para a derrubada das fraudes na indústria de pagamentos. Os chips adicionaram recursos de segurança muito superiores à tecnologia de tarjas magnéticas, impedindo a clonagem das trilhas magnéticas, introduzindo o uso das senhas nas transações eliminando progressivamente as assinaturas nos comprovantes de vendas.

A indústria das fraudes voltou sua atenção para as transações de Cartão não presente, aproveitando o volume crescente de transações, impulsionado pelas experiências bem sucedidas de e-commerce.

Desde o início das operações de e-commerce, o desafio tem sido assegurar a autenticidade do portador do cartão para evitar a contestação de transações não reconhecidas pelo cliente. A autenticação passou por diversas estratégias e tecnologias: o site seguro, as primeiras versões do Verified by Visa que evoluiu para a primeira versão da autenticação 3D Secure.

O 3D Secure introduziu o recuso de “Liability Shift”, que em outras palavras foi a transferência das fraudes em transações autenticadas do Comércio para o Emissor.

O objetivo era compartilhar as informações de risco de transação entre emissores e comerciantes. Para os emissores esta não foi uma boa notícia já que antes da autenticação, todos os riscos de fraude eram de responsabilidade dos comerciantes.

Para alavancar a autenticação 3DS, as bandeiras precisaram recorrer aos “mandates”, tornando a implementação obrigatória. Pode-se deduzir que emissores implementaram seus ACS com manifesta “má vontade”, criando um cenário bastante heterogêneo no mundo e entre os diversos emissores.

Em 2014, o consórcio EMVCo lança a versão 2 do protocolo 3DS, que implementa uma quantidade significativa de melhorias em relação à versão, mas que mantém o conceito de Liability Shift, o que mantém a desmotivação de emissores à sua adesão.

Apesar disso, cresce o volume de uso do protocolo, em função dos melhoramentos implementados e do fato que o protocolo passa a ser aberto a qualquer entidade ou arranjo de pagamento interessado.

Data Share Only, uma opção de challenge indicator

Nas implementações iniciais, a responsabilidade pela decisão de desafiar o portador era delegada ao emissor. Mesmo contando com uma grande quantidade de informações que poderiam ser passadas pelos emissores, em grande parte dos casos, os comércios enviavam apenas os campos obrigatórios.

Como resultado, uma pequena quantidade de autenticações passa pelo fluxo sem atrito, resultando em índices de conversão desanimadores.

Na versão 2.2 do protocolo, foi incorporado um novo conjunto de atributos, entre eles o código 06 – Data Share Only.

Esta foi a alternativa adotada pelas bandeiras para criar um tipo derivado de autenticação, onde a responsabilidade pela perda de fraude continuou com o comércio, mas a autenticação passou acontecer sem desafio ao portador.

Segundo informações da Visa em um piloto controlado realizado no Brasil, as taxas de aprovação com Visa Data Only chegaram a 74% contra 65% de aprovações na autenticação convencional.

A ABECS e o esforço conjunto para aumentar a segurança das transações

A ABECS – Associação Brasileira das Empresas de Cartões de Crédito e Serviços, publicou em 21 de agosto de 2024 o Normativo 31, que dispõe sobre a expansão da autenticação forte no mercado nacional como forma a mitigar as perdas de fraude e reversões (chargebacks), além de aumentar a conversão geral no ambiente virtual a partir de autenticações diretas e individuais.

Este normativo é um instrumento importante para patrocinar a ação coordenada de emissores, credenciadoras e comércio com o objetivo de melhorar a segurança no ambiente digital e os níveis de aprovação as transações.

Ente diversas diretrizes extremamente importantes, o Normativo dispõe sobre os índices de autenticação estabelecidos e o invcentivo ao incremento das autenticações silenciosas:

Art. 10 A Taxa de Conversão plena às requisições de autenticação com sucesso, caracterizada pela aprovação mínima na autorização de transações autenticadas sobre total de pedidos de autenticação recebidos, bem como a disponibilidade de BINs ativos nos programas para Emissores é de: I – Para 2024: 85%; II – A partir de 2025: 90%; III – BINS não ativos: não ultrapassar 3% do total de autenticações.

Art. 11 O Índice Mínimo de Autenticações Silenciosas bem-sucedidas para Emissores é de: I – Para 2024: 30%; II – A partir de 2025: 40%.

Art. 16 Os Emissores se comprometem a atingir o patamar mínimo de resposta às requisições de autenticação e de aumento gradativo dos índices de autenticação silenciosa (frictionless autentication), conforme os artigos 10 e 11.
ABECS - Normativo 31 - 21/08/2024

Autenticação silenciosa vai além do Data Share Only

Não existem dúvidas de que a implementação do Data Share Only é uma etapa fundamental para estreitar a colaboração entre comércios e emissores e aumentar a segurança das transações e melhorar significativamente a experiência do cliente. Certamente os resultados desta iniciativa aparecerão rapidamente.

Mas não se pode perder de vista que o protocolo 3D Secure, em constante evolução, oferece uma infinidade de recursos para garantir transações seguras, em escalas muito superiores às atuais.