EMV 3DS e autenticação forte

O protocoloEMV 3DS contribui para a autenticação forte do cliente, uma demanda cada vez mais importante, em função das diretrizes adotadas por países e entidades de segurança, como o PSD2, em função da ocorrência crescente de roubo e invasão de credenciais.

As compras realizadas pela internet e utilizando dispositivos móveis têm crescido ano a ano e ganharam um impulso ainda maior em 2020, com a pandemia do Covid-19 e a necessidade de isolamento social

Em paralelo, houve também um aumento na quantidade de tentativas de fraudes e o peso relativo delas no faturamento do segmento

O gráfico seguir foi publicado pela Konduto, uma empresa especializada em prevenção fraudes

O protocolo de autenticação EMV 3DS, atualizado e melhorado num esforço coordenado pelo consórcio EMVCo, é uma resposta à necessidade de um processo de autenticação forte e seguro.

Recentemente, Bastien Latge, diretor de tecnologia do EMVCo, publicou um Webcast, explicando como o novo protocolo 3D Secure, promovido pelo consórcio, contribui para o uso de métodos seguros nas compras online.

Em sua apresentação, ele destaca alguns elementos importantes do processo de autenticação adotado pelo EMV 3DS e que serão comentados s seguir

EMV 3DS - Autenticação forte em 3 Domínios

LOJISTA, BANDEIRA e EMISSOR participam da autenticação para garantir a segurança e ao mesmo tempo flexibilidade e facilidade ao processo.

O LOJISTA pode enviar ao EMISSOR um conjunto de aproximadamente uma centena de informações, referentes à transação, ao comprador, ao meio de pagamento, ao canal utilizado etc.

A BANDEIRA vai assegurar a identidade do LOJISTA e do EMISSOR, estabelecendo os parâmetros de confiança durante a atividade de autenticação.

O EMISSOR, ao receber as informações do LOJISTA, poderá confrontar os dados recebidos com uma base histórica de comportamento do portador do cartão, estabelecendo então um grau e confiança da identidade do cliente que está realizando a transação.

Desta forma, existe um trabalho conjunto dos participantes no sentido de estabelecer a garantia da identidade do comprador, a autenticidade da compra e o não repúdio à transação.

Autenticação forte do cliente nas operações financeiras e não financeiras

Métodos eficazes de autenticação podem ser utilizados para múltiplas funções e não apenas para realizar transações financeiras, como compras online. Existem outras atividades que podem requerer a validação das credenciais do usuário para o início de uma atividade, como a alteração de um local e entrega de mercadorias, alteração de dados pessoais etc.

Num mundo cada vez mais conectado, a autenticidade de uma credencial é o que vai determinar que ilhares de operações se realizem, como a autenticação do dispositivo usado pelo cliente para uma determinada operação. Estamos às vésperas de introduzir neste cenário a Internet das Coisas: máquinas executando operações com outras máquinas utilizando credenciais definidas por nós. Este grau e complexidade exigirá ainda mais recursos de verificação de identidade e autenticidade.

Portanto, a autenticação em múltiplos fatores veio para ficar e vai se tornar cada vez mais forte e sofisticada.

Análise de risco de autenticação

O protocolo EMV 3D Secure permite que o Lojista envie ao Emissor mais de uma centena de campos (atributos), que podem ser utilizados para analisar o grau de risco de autenticidade de uma transação de cartão não presente (CNP).

Mais recentemente, O EMVCo introduziu o conceito de extensões de dados do protocolo, que permitem acrescentar sets específicos de informações para cartões tokenizados e para transações de companhias aéreas, reservas de hotel e de aluguel de veículos.

Os Emissores podem utilizar sistemas de Análise de Risco das autenticações (RBA), com o objetivo de avaliar a autenticidade da identidade do comprador, sem a necessidade de solicitar a sua ação para efetivar a autenticação.

Autenticação silenciosa

O conjunto de dados analisados – enviados pelo lojista e confrontados com a série histórica mantida pelo emissor – permitem cálculo de um “score de risco” da autenticação. Se o “score” indicar um alto nível de probabilidade da compra estar sendo realizada pelo portador do cartão, o emissor poderá reconhecer a autenticidade da transação sem a necessidade de pedir para que o comprador comprove sua identidade

Este processo é denominado de autenticação silenciosa (ou sem atrito – “friccionless”) e aumenta os índices de conversão das transações

Desafio

Não havendo confiança de que seja de fato de que a transação esteja sendo realizada pelo portador do cartão, o EMISSOR poderá solicitar a autenticação do portador, utilizando todos dinâmicos para esta finalidade.

Alguns dos métodos mais comuns de autenticação utilizados atualmente:

Envio de um código de identificação po SMS, que o portador do cartão deverá digitar no ato da compra.
Validação da transação por QR Code na tela do Browser
Envio de uma notificação para o aplicativo do portador, no dispositivo cadastrado para operar a aplicação do Emissor

Outros métodos de autenticação utilizados no passado, como digitação de uma senha ou envio e um código de autenticação por email estão sendo abandonados e não são recomendados pela sua fragilidade ante a possibilidade de uma captura maliciosa de dados.

O EMISSOR poderá ter à sua disposição métodos diferenciados de acordo com o tipo de transação, o ramo de atividade do LOJISTA, o grau de confiança no portador etc.

Portador não identificado

Caso o EMISSOR, após a análise das informações disponíveis, decida não reconhecer a autenticidade do portador para a operação em questão, caberá ao LOJISTA decidir se seguirá ou não em frente com a transação, assumindo os riscos de um eventual repúdio do comprador.

O LOJISTA também tem o direito de decidir realizar a transação por sua conta e risco, caso avalie, pelas informações obtidas na transação e na sua base histórica, que é de fato o cliente quem está realizando a compra.