Desafios para a validação de transações de pagamentos

Transação contactless
Transação Contactless

Ao longo de anos de experiências, os autorizadores de transações vêm recebendo milhares de regras de validação e o foco principal é cada vez mais a autenticidade de uma transação, em função das brechas de oportunidades abertas com novos tipos de captura, novas tecnologias, maior sofisticação dos grupos de fraudadores e o crescimento de redes de credenciadoras, estabelecimentos comerciais e emissores.

Sistemas de prevenção foram aperfeiçoados para implantar regras de validação em tempo real, utilizando modelos de comportamento de compras, considerando parâmetros como:

  • Velocidade de realização de transações
  • Localização geográfica dos estabelecimentos
  • Uso e cartões em viagens
  • Tipos de estabelecimentos e transações mais sensíveis a fraudes
  • Canais de realização das transações.

No início dos anos 2000, grande parcela das fraudes se concentrou na clonagem de trilhas magnéticas e captura de senhas. Equipamentos de clonagem, que ficaram conhecidos como “chupa-cabras eram instalados em terminais de auto-atendimento (ATM’s) e terminais de captura adulterados foram utilizados em estabelecimentos como postos de gasolina e pequeno varejo.

A tecnologia EMV

A resposta às fraudes de clonagem foi a implantação dos cartões com chip, acompanhada dos processos de validação de criptogramas, introduzidos com a tecnologia EMV.

O criptograma passou a ser introduzido introduzido no Elemento de Dados (DE) 55 da mensagem ISO de autorização e é gerado em tempo de geração de uma transação, num processo de interação entre o processador (chip) do cartão e o kernel do terminal. Neste elemento de dados são enviadas informações (Tag’s), que permitem ao autorizador entender como foi o processo de negociação entre o cartão e o terminal. Parte destas informações são públicas (desprotegidas) e parte são protegidas pela chave criptográfica utilizada para personalizar cartão e que apenas o emissor tem acesso.

Como forma de acelerar a implantação do chip, foi utilizada uma estratégia denominada “Early EMV”. Nesta etapa de implantação, a validação dos criptogramas era parcial ou nem era realizada. Também em alguns casos, a assinatura no comprovante de vendas substituiu a digitação do PIN (Personal Identification Number) para a autenticação da transação.

Alguns emissores avaliaram erroneamente que a simples introdução do chip EMV nos cartões seria suficiente para impedir as fraudes e protelaram a implantação do processo de “Full EMV”, como a tecnologia previa. De fato, a troca da leitura a trilha pelo chip reduziu as fraudes de clonagem, mas em pouco tempo emissores que não haviam implantado forma correta e/ou completa o processo de validação de critptogramas viram suas perdas aumentar rapidamente.

A tecnologia EMV continua válida e segura é a base para a evolução de novas modalidades de transações, como o Contactless, o NFC e o QR Code.

A indústria da fraude se aproveitou das falhas na validação dos criptogramas para introduzir criptogramas falsos nas transações. Métodos de fraudes denominados “man in the middle” e “ataques de força bruta” provocaram perdas significativas e obrigaram os sistemas de autorização a melhorar os processos de validação. Ainda hoje, uma auditoria nos processos de validação de transações provavelmente vai demonstrar que algumas regras de validação EMV,importantes para autenticar uma transação, não são adequadamente implementadas pelos emissores e que não existem muitas ferramentas que permitam às equipes de prevenção a fraudes receber alertas e analisar log’s do histórico de validação dos criptogramas.

Contactless

O uso dos cartões EMV mostrou uma desvantagem operacional em relação às antigas transações baseadas em trilha magnética nos estabelecimentos de alto volume de transações, mas que possuíam um valor médio de ticket baixo. Foi o caso dos Fast Food, onde a tendência de aumento de filas foi sensível. O mesmo aconteceu com o uso de cartões EMV para o pagamento de transporte público e pedágios, por exemplo.

Nos Estados Unidos se estabeleceu uma tecnologia de contactless na qual a trilha magnética passou a ser gravada em um chip sem contato. Foi uma primeira experiência de contactless e obteve grande aceitação naqueles estabelecimentos onde a velocidade da transação era um requisito importante. Nesta modalidade, a autenticação da transação continuou sendo a assinatura na cópia do comprovante de vendas.

A prática demonstrou que esta alternativa não conseguia inibir as fraudes baseadas na clonagem dos cartões e os dados fraudulentos apenas migraram da trilha para um cartão com chip sem contato .

O Consórcio EMV (EMVco) patrocinou o desenvolvimento da variante da tecnologia EMV para cartões sem contato, que passou a ser denominada EMV Contactless. Da mesma forma que a tecnologia de contato, o padrão estabeleceu as regras específicas para a validação dos criptogramas para estas transações, ainda usando o DE 55 como veículo das informações.

O contactless iniciou a desvinculação dos pagamentos do tradicional cartão de PVC. Os chips contactless passaram a ser embarcados em sticks, chaveiros e pulseiras.

Pulseiras contactless

Esta variante das transações EMV baseada em contactless foi a resposta para a captura rápida de transações e em alguns países, passou a ser uma alternativa para pagamentos no transporte público, modalidade que agora começa a ser adotada no Brasil pela Visa, Mastercard e ELO.

Como acontece com a introdução de novas tecnologias, os benefícios foram acompanhados pelos desafios e no caso do Contactless não foi diferente. Mais uma vez, as dificuldades, a demora ou a implementação inadequada das regras de validação das transações provocaram perdas em função dos ataques de fraudes utilizando as novas tecnologias.

Transações offline

A tecnologia EMV foi a viabilizou a realização de transações offline (em situações onde os terminais de captura não conseguem se comunicar em tempo real com os autorizadores). Regras de autorização offline foram desenvolvidas, incluindo os parâmetros de quantidade (Transaction Count) e limite de valor das transações por período e tipo de comércio (MCC – Merchant Category Code). Estas modalidades de transações foram especialmente pensadas para os casos que envolvem alta velocidade, como catracas de transportes urbanos, Fast Foods, pedágios e outras atividades semelhantes.

Os sistemas dos emissores e adquirentes precisam implantar regras específicas de validação. Esta foi outra brecha explorada pela indústria da fraude, introduzindo parâmetros fraudulentos nos contadores de transações, por exemplo.

Além da validação das chaves criptográficas utilizadas para assinar os criptogramas, as rotinas de validação devem checar outros indícios de fraudes, como os valores do contador de transações chip (ATC – Application Transaction Counter), a comparação dos indicadores da transação gerados pelo cartão e pelo terminal, e assim por diante. Uma vasta lista de regras de validação é prevista na tecnologia e não pode ser desprezada.

Tokenização

A transformação do cartão físico em um cartão digital embarcado em um aplicativo (APP) instalado em um dispositivo móvel foi uma evolução importante, utilizando os conceitos de Contactless. Um token, no formato de um número de cartão e controlado pelas bandeiras passa a substituir o número real nas transações, para criar uma barreira a mais de proteção às fraudes.

Os aplicativos mais conhecidos de carteira digital são a Apple Pay, Google Pay e Samsung Pay. Eles integraram as funções de geração e uso dos tokens, substituindo os cartões físicos e os números reais do PAN (Payment Card Number). O protocolo é definido pelo EMVCo e adotado pelas principais marcas, que definiram seus padrões de implementação, como o Visa Token Service (VTS) e o Mastercard Digital Enablement Service (MDES).

Como o padrões são públicos, os emissores podem desenvolver ou licenciar carteiras digitais proprietárias, integradas aos seus aplicativos de relacionamento com clientes. São estratégias que cada emissor deve ponderar e definir em sua estratégia de negócios.

Porém, a introdução da tokenização trouxe novas mudanças na autorização das transações e no relacionamento com clientes e comércios. A mensagem ISO recebeu uma nova informação, fazendo a correlação entre o token utilizado na transação e o número real do cartão. Por este motivo, tanto os demonstrativos ao portador do cartão, as consultas por Central de Atendimento e App devem considerar a correlação PAN/Token em cada transação.

O lojista e o credenciado conhecem apenas o token utilizado na transação. Isso significa que os processos de conciliação e eventual contestação da transação no emissor precisam considerar a correlação entre token e cartão real.

A tokenização ampliou o escopo de responsabilidades das bandeiras na autenticação das transações, na medida em que cabe a elas a criação dos tokens associados aos cartões reais. Mas os emissores passaram a ter novos desafios, como gerenciar o ciclo de vida dos tokens. Esta necessidade passará a ser de grande impacto quando o Emissor chegar a alguns milhões de tokens embarcados, em diversas plataformas.

Gerenciar o ciclo de vida dos tokens significa sincronizar com as bandeiras os estímulos de atualização em situações como:

  • Conta encerrada
  • Cartão cancelado
  • Cartão vencido
  • Cartão roubado
  • Cartão perdido
QR Code

Transações QR CODE

O Quick Response Code (QR code) é uma evolução do Código de Barras, no formato de duas dimensões. Utilizado inicialmente para identificar peças, este padrão visual passou a ser indicado para diversas finalidades e foi incorporado aos pagamentos, pela sua simplicidade e facilidade de uso.

No Brasil, ao longo de 2018 e 2019, diversas entidades passaram a utilizar tipos de QR Code proprietários. Os códigos proprietários funcionavam apenas nos loops financeiros fechados e não permitiam a inteoperabilidade, um requisito fundamental para a generalização de um padrão de pagamentos. Finalmente, o Banco Central do Brasil, como parte da normatização do PIX, definiu o padrão no Brasil, utilizando para isso o padrão EMVCo.

Segundo o padrão EMV, o QR Code foi classificado como mais uma modalidade de criptograma, utilizando o DE 55 para o seu transporte. Portanto, a validação dos dados do QR Code incluir mais um conjunto de regras para os autorizadores. Vale lembrar que o QR CODE permite dois tipos de códigos: estático e dinâmico. Para efeitos de proteção contra fraudes, o QR Code dinâmico é um instrumento valioso, que pode enviar ao emissor um conjunto importante de dados para a validação da transação.

No cenário da pandemia do Covid-19, o volume de transações contactless e QR CODE teve um grande crescimento. Segundo a ABECS, as transações por meio desta modalidade movimentaram R$ 22,7 bilhões entre janeiro e setembro de 2020. As cifras expressam um aumento de 478% em relação ao mesmo período de 2019.

Em resposta a esse aumento de volumes, a ABECS aumentou o limite de transações sem autenticação de R$ 50,00 para R$ 100,00, exigindo que as funcionalidades de prevenção a fraudes na cadeia sejam melhoradas, principalmente nos emissores.

Os modelos comportamentais, baseados nos histórico de compras do cliente no estabelecimento, o uso de tokens (usando NFC ou QR CODE) e outros atributos, são fundamentais para validar a autenticidade das transações.

e-commerce

e-commerce

O comércio eletrônico é a modalidade de compras que tem apresentado o maior crescimento a cada ano. Estima-se que no Brasil, nos anos de 2018 e 2019, esta taxa de crescimento esteve por perto de 20% ano ano.

Com distanciamento social provocado pela pandemia do Coronavirus, a alternativa do comércio passou a ser a venda pela Internet. Pesquisa da Ebit/Nielsen aponta para um aumento de 41% nas vendas online no primeiro semestre de 2020, num volume aproximado de 91 milhões de compras. Centenas de estabelecimentos fizeram sua primeira venda pela Internet em 2020.

Como seria de se esperar, as tentativas de fraudes no comércio eletrônico também cresceram, obrigado lojistas, bandeiras e emissores a melhorar os processos de autenticação das transações onde o cartão não está presente.

Considerando o crescimento acelerado das transações digitais, generalização do Open Banking etc., os órgãos de regulamentação financeira se preocupam com a ocorrência de fraudes e recomendam processos de autenticação mais segura, como na Comunidade Européia, que estabeleceu a diretiva PSD2 (Payment Service Directive 2), que inclui entre suas diretrizes as regras de autenticação forte (Strong Authentication).

Os lojistas têm investido pesadamente ao longo dos últimos anos em sistemas de, gestão das relações com cliente e avaliação de risco das transações. Cada vez mais os lojistas compartilham a responsabilidade de garantir a autenticidade de uma transação com os emissores. A ferramenta para isso é um protocolo de autenticação denominado 3D Secure. Este protocolo tem recebimentos melhorias e evoluções e recentemente passou a ser padronizado a partir do Consórcio EMV (EMVco). Nesta nova versão do protocolo, denominada EMV 3D Secure, lojistas e emissores podem compartilhar mais de uma centena de campos de informações, para alimentar modelos de comportamento (Risk Engine) para determinar a autenticidade de uma transação.

Os motores de risco passam a ser essenciais para evitar que toda e qualquer transação exija a intervenção do consumidor para atestar que está realizando o procedimento.

Os sistemas de autorização precisaram implantar às novas regras de validação nas mensagens, estabelecendo critérios específicos para as transações de e-commerce. Os parâmetros mais importantes para esta validação são os campos de Electronic Commerce Indicator (ECI), que vai informar:

  • que se trata de uma transação de e-commerce,
  • se o lojista solicitou que a transação fosse autenticada pelo emissor,
  • se a autenticação foi realizada e
  • se foi bem sucedida ou não.

Quando autenticação da transação é bem sucedida, outro campo denominado CAVV ou AAV (dependendo da bandeira do cartão) conterá o código único gerado para validar o sucesso da autenticação. Este código deve ser validado em tempo de autorização, utilizando o mesmo algoritmo e chaves criptográfica utilizados na sua geração.

A adoção do protocolo tem sido lenta no Brasil, desde a sua primeira versão, mas a ameaça de aumento das fraudes tende a impulsionar a sua adoção. Uma campanha liderada pela ABECS incentivou a adoção da autenticação 3DS para as transações com cartões de débito, que logrou um êxito importante e está incentivando a implantação também para os cartões de crédito. Mas a escala que o mercado atingirá a médio prazo ainda é incerta.

Secure Remote Commerce

Click to Pay

O grande esforço das entidades que estabelecem os padrões para os pagamentos eletrônicos é proteger os dados das contas/cartões utilizados para realizar as transações.

O Secure Remote Commerce (SRC), que recebeu o nome fantasia de Click to Pay, é um passo adicional à tokenização, concentrando ainda mais nas bandeiras ou entidades centralizadoras a responsabilidade por estabelecer o relacionamento entre as pessoas e seus instrumentos de pagamento.

Como é definido em seu documento de especificações, “O SRC facilita a troca segura e interoperável de dados entre emissores de cartões e comerciantes. A facilitação de pagamentos remotos SRC ocorre entre um ou mais Sistemas SRC que participam de um ou mais Programas SRC.”

As informações referentes ao Click to Pay começaram a ser divulgadas no segundo semestre de 2019 e as primeiras previsões de implantação indicavam janeiro de 2020, porém a pandemia está forçando a revisão de prazos em toda a cadeia.

PIX

PIX

O sistema de pagamentos instantâneos adotado pelo Banco Central do Brasil e que entrou em operação no dia 16 de novembro indica a tendência dos pagamentos digitais para o próximo período, indicando uma possível ruptura com o modelo de negócios tradicional de 4 participantes (portador/emissor/adquirente/lojista). No modelo de pagamento instantâneo, as transações são realizadas diretamente entre comprador e vendedor, com o controle do Banco Central, que administra a base única de participantes.

O conceito de pagamento de conta para conta já era indicado pelas diretrizes do Banco Central, quando instituiu os Arranjos de Pagamento, com o objetivo de reduzir a concentração e aumentar a competitividade no setor financeiro.

O PIX fechou o mês de novembro de 2020 com 95,2 milhões de chaves cadastradas, sendo pouco mais de 91,0 milhões de chaves de pessoas físicas.

No dia 11 de janeiro, o PIX já havia acumulado em 2021 53,67 milhões de transações, com um valor médio de R$ 838,55 por transação.

Os conceitos de autenticidade das transações mudam significativamente em relação aos conceitos tradicionais, caminhando na direção dos conceitos de Pagamento Seguro. Toda a cadeia do ecossistema é monitorada pelo Banco Central que estabeleceu regras para que entidades não financeiras pudesse aderir como participantes indiretos.

Resumo

Os sistemas de autorização estão passando por grandes transformações para acompanhar a evolução do ecossistema de pagamentos. O desafio é construir uma arquitetura que aborde o conjunto de modalidades de pagamento, as especificidades de cada canal, mas mantenha a visão centralizada do processo, oferecendo mecanismos de alerta e monitoração avançados.

Não basta mais analisar a transação mas considerar os agentes participantes e o contexto da sua execução. A evolução das arquiteturas para o Open banking está introduzindo conceitos inovadores para este processo tão crítico em qualquer agente de pagamentos.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *