O protocolo 3D Secure adiciona uma etapa de autenticação durante uma compra online com cartão de crédito. Desde a implementação completa da diretiva europeia DSP2, essa autenticação forte se tornou a norma para a maioria das transações. Alguns sites de comércio eletrônico não ativam esse dispositivo, por escolha técnica ou porque se beneficiam de isenções regulatórias. Comprar nessas plataformas expõe a riscos específicos, tanto para o portador do cartão quanto para o comerciante.
Transferência de responsabilidade em caso de fraude sem autenticação forte
O mecanismo menos visível para o comprador é também o mais estruturante. Quando um pagamento passa pelo 3D Secure, a responsabilidade por uma transação fraudulenta se transfere do comerciante para o banco emissor do cartão. Sem essa autenticação, o esquema se inverte.
Leitura recomendada : As chaves para ter sucesso e impulsionar seu negócio em 2024
O Banco da França lembra em seu Panorama da fraude nos meios de pagamento 2024 que as regras do Código Monetário e Financeiro continuam a se aplicar: o emissor deve reembolsar imediatamente o pagador, exceto em caso de suspeita de fraude por parte deste. A responsabilidade pelo reembolso recai sobre o prestador de serviços de pagamento quando um pagamento foi realizado sem autenticação forte, embora esta fosse exigível.
Na prática, isso significa que o consumidor continua protegido pela lei. A situação é muito mais arriscada para o comerciante que opta por não ativar o 3D Secure: em caso de contestação, é ele quem arca com a perda financeira. Para entender por que alguns comerciantes fazem essa escolha, uma lista de sites sem 3D Secure no Geekfinity detalha as motivações comerciais por trás dessa decisão.
Leitura recomendada : Dicas e estratégias para impulsionar o crescimento da sua empresa em 2024
Fraude com cartão de crédito em sites sem 3D Secure: uma taxa mais alta
O último relatório do Observatório da Segurança dos Meios de Pagamento (OSMP) confirma uma tendência clara: o taxa de fraude nos pagamentos com cartão online está em queda contínua no período de 2023-2024, graças à generalização da autenticação forte e do 3D Secure 2.
O relatório especifica que as transações realizadas sem autenticação forte, mesmo quando autorizadas por uma isenção regulatória, concentram uma parte significativamente maior da fraude do que as transações autenticadas. Comprar em um site que não ativa essa verificação coloca, portanto, a transação na categoria estatisticamente mais exposta.
Como um fraudador explora a ausência de 3D Secure
Sem autenticação forte, uma compra fraudulenta requer apenas três informações: o número do cartão, sua data de validade e o código de segurança de três dígitos localizado no verso. Pesquisadores demonstraram que esses dados podem ser adivinhados por força bruta explorando as respostas dos sistemas de pagamento de alguns sites, como relata o site Korben.
O cenário típico se desenrola assim:
- Um fraudador obtém um número de cartão através de um site de phishing ou uma violação de dados.
- Ele testa o cartão em um site sem 3D Secure, onde nenhum código por SMS ou validação biométrica é solicitado.
- A transação é validada em poucos segundos, sem que o titular do cartão seja alertado antes de receber seu extrato bancário.
Esse tipo de ataque se torna muito mais difícil, senão impossível, quando a autenticação forte exige um fator adicional que o fraudador não possui (acesso ao telefone, impressão digital).
Isenções DSP2: por que alguns pagamentos passam sem autenticação
Nem todos os pagamentos online sem 3D Secure são ilegítimos. A DSP2 prevê isenções à autenticação forte em casos específicos:
- Transações de baixo valor, abaixo de um limite definido pela regulamentação.
- Operações recorrentes com um mesmo comerciante após uma primeira autenticação bem-sucedida.
- Transações consideradas de baixo risco pela análise em tempo real do prestador de pagamento (abordagem chamada “frictionless” do 3D Secure 2).
- Compras com beneficiários de confiança previamente registrados pelo portador do cartão junto ao seu banco.
O modo “frictionless” do 3D Secure 2 merece atenção especial. A autenticação realmente ocorre, mas é silenciosa: o sistema analisa em segundo plano dezenas de parâmetros (dispositivo utilizado, localização, histórico de compras) para decidir se uma verificação ativa do portador é necessária. A ausência de pop-up não significa a ausência de proteção.
A distinção é importante. Um site que se beneficia de uma isenção DSP2 permanece dentro de um quadro regulatório controlado. Um site que simplesmente não oferece 3D Secure, muitas vezes hospedado fora do Espaço Econômico Europeu, não se beneficia de nenhuma dessas salvaguardas.
Verificar a segurança de um site antes de uma compra com cartão online
Antes de inserir informações bancárias em um site que não ativa autenticação, vários pontos permitem avaliar o nível de risco real.
A presença do cadeado HTTPS na barra de endereços garante a criptografia dos dados em trânsito, mas não diz nada sobre a confiabilidade do comerciante. Um site fraudulento pode muito bem ter um certificado SSL.
Os meios de pagamento alternativos oferecem uma camada de proteção adicional. Os cartões de crédito virtuais, oferecidos pela maioria dos bancos e fintechs, geram um número de cartão de uso único que se torna inutilizável após a transação. Mesmo em caso de violação de dados, as informações recuperadas não permitem nenhuma compra posterior.
O site do Ministério da Economia também recomenda nunca registrar suas informações bancárias em um site de comércio eletrônico e evitar redes Wi-Fi públicas para realizar transações.
A tendência regulatória vai em direção ao fortalecimento da autenticação, não ao afrouxamento. A futura diretiva DSP3 prevê um controle ainda mais rigoroso das isenções e uma extensão do escopo da autenticação forte. Os sites que hoje contornam o 3D Secure por conveniência comercial terão que adaptar suas práticas ou aceitar suportar um risco financeiro crescente a cada contestação de transação.