O protocoloEMV 3DS contribui para a autenticação forte do cliente, uma demanda cada vez mais importante, em função das diretrizes adotadas por países e entidades de segurança, como o PSD2, em função da ocorrência crescente de roubo e invasão de credenciais.
As compras realizadas pela internet e utilizando dispositivos móveis têm crescido ano a ano e ganharam um impulso ainda maior em 2020, com a pandemia do Covid-19 e a necessidade de isolamento social
Em paralelo, houve também um aumento na quantidade de tentativas de fraudes e o peso relativo delas no faturamento do segmento
O gráfico seguir foi publicado pela Konduto, uma empresa especializada em prevenção fraudes
O protocolo de autenticação EMV 3DS, atualizado e melhorado num esforço coordenado pelo consórcio EMVCo, é uma resposta à necessidade de um processo de autenticação forte e seguro.
Recentemente, Bastien Latge, diretor de tecnologia do EMVCo, publicou um Webcast, explicando como o novo protocolo 3D Secure, promovido pelo consórcio, contribui para o uso de métodos seguros nas compras online.
Em sua apresentação, ele destaca alguns elementos importantes do processo de autenticação adotado pelo EMV 3DS e que serão comentados s seguir
LOJISTA, BANDEIRA e EMISSOR participam da autenticação para garantir a segurança e ao mesmo tempo flexibilidade e facilidade ao processo.
O LOJISTA pode enviar ao EMISSOR um conjunto de aproximadamente uma centena de informações, referentes à transação, ao comprador, ao meio de pagamento, ao canal utilizado etc.
A BANDEIRA vai assegurar a identidade do LOJISTA e do EMISSOR, estabelecendo os parâmetros de confiança durante a atividade de autenticação.
O EMISSOR, ao receber as informações do LOJISTA, poderá confrontar os dados recebidos com uma base histórica de comportamento do portador do cartão, estabelecendo então um grau e confiança da identidade do cliente que está realizando a transação.
Desta forma, existe um trabalho conjunto dos participantes no sentido de estabelecer a garantia da identidade do comprador, a autenticidade da compra e o não repúdio à transação.
Métodos eficazes de autenticação podem ser utilizados para múltiplas funções e não apenas para realizar transações financeiras, como compras online. Existem outras atividades que podem requerer a validação das credenciais do usuário para o início de uma atividade, como a alteração de um local e entrega de mercadorias, alteração de dados pessoais etc.
Num mundo cada vez mais conectado, a autenticidade de uma credencial é o que vai determinar que ilhares de operações se realizem, como a autenticação do dispositivo usado pelo cliente para uma determinada operação. Estamos às vésperas de introduzir neste cenário a Internet das Coisas: máquinas executando operações com outras máquinas utilizando credenciais definidas por nós. Este grau e complexidade exigirá ainda mais recursos de verificação de identidade e autenticidade.
Portanto, a autenticação em múltiplos fatores veio para ficar e vai se tornar cada vez mais forte e sofisticada.
O protocolo EMV 3D Secure permite que o Lojista envie ao Emissor mais de uma centena de campos (atributos), que podem ser utilizados para analisar o grau de risco de autenticidade de uma transação de cartão não presente (CNP).
Mais recentemente, O EMVCo introduziu o conceito de extensões de dados do protocolo, que permitem acrescentar sets específicos de informações para cartões tokenizados e para transações de companhias aéreas, reservas de hotel e de aluguel de veículos.
Os Emissores podem utilizar sistemas de Análise de Risco das autenticações (RBA), com o objetivo de avaliar a autenticidade da identidade do comprador, sem a necessidade de solicitar a sua ação para efetivar a autenticação.
O conjunto de dados analisados – enviados pelo lojista e confrontados com a série histórica mantida pelo emissor – permitem cálculo de um “score de risco” da autenticação. Se o “score” indicar um alto nível de probabilidade da compra estar sendo realizada pelo portador do cartão, o emissor poderá reconhecer a autenticidade da transação sem a necessidade de pedir para que o comprador comprove sua identidade
Este processo é denominado de autenticação silenciosa (ou sem atrito – “friccionless”) e aumenta os índices de conversão das transações
Não havendo confiança de que seja de fato de que a transação esteja sendo realizada pelo portador do cartão, o EMISSOR poderá solicitar a autenticação do portador, utilizando todos dinâmicos para esta finalidade.
Alguns dos métodos mais comuns de autenticação utilizados atualmente:
Outros métodos de autenticação utilizados no passado, como digitação de uma senha ou envio e um código de autenticação por email estão sendo abandonados e não são recomendados pela sua fragilidade ante a possibilidade de uma captura maliciosa de dados.
O EMISSOR poderá ter à sua disposição métodos diferenciados de acordo com o tipo de transação, o ramo de atividade do LOJISTA, o grau de confiança no portador etc.
Caso o EMISSOR, após a análise das informações disponíveis, decida não reconhecer a autenticidade do portador para a operação em questão, caberá ao LOJISTA decidir se seguirá ou não em frente com a transação, assumindo os riscos de um eventual repúdio do comprador.
O LOJISTA também tem o direito de decidir realizar a transação por sua conta e risco, caso avalie, pelas informações obtidas na transação e na sua base histórica, que é de fato o cliente quem está realizando a compra.