A autenticação de dois fatores (2FA) impede 100% dos ataques de Account Takeover (ATO) por bots automatizados. Por que mais bancos e provedores de serviços de pagamento (PSPs) não adotam ou aumentam o uso de 2FA?
2FA e atrito para o cliente
A 2FA não está isenta de controvérsias, principalmente porque pode causar atrito na experiência do cliente. Isso acontece porque a 2FA exige que os clientes passem por etapas adicionais para verificar o dispositivo com o qual estão tentando acessar suas contas antes de fazer login. Além disso, a 2FA pode ser aplicada em pontos da jornada do cliente que parecem arbitrários ou desconexos. Por outro lado, a 2FA pode ser implementada de forma discreta, por exemplo, por meio de biometria comportamental ou login através de aplicativos em dispositivos seguros, o que pode reduzir o atrito em padrões ou dispositivos confiáveis.
Estabelecer confiança é tão essencial quanto confirmar suspeitas
No artigo Como os PSP podem se antecipar à fraude no mundo pós-COVID-19, eu abordei medidas específicas para identificar padrões de fraude. O lado oposto disso, igualmente importante, é que precisamos identificar padrões para transações autênticas.
A autenticação em dois fatores é uma tecnologia que adiciona confiabilidade às medidas de prevenção de fraude. Grande parte da prevenção de fraudes se baseia em suspeitas, na tentativa de identificar quem são os agentes mal-intencionados e quais são suas ações. Não menos importante é a necessidade de identificar quem são os usuários legítimos e o que caracteriza as transações autênticas, para estabelecer um padrão de transações confiáveis. Focar no tipo e localização do dispositivo ajuda a estabelecer um parâmetro para transações seguras em um mundo pós-COVID-19.
Por que esse é o momento certo para implementar a 2FA?
A COVID-19 apresenta uma oportunidade real para estabelecer confiança digital com os clientes e incorporar bons hábitos comportamentais. Na minha opinião, não há momento mais propício para aumentar o uso da autenticação de dois fatores (2FA) do que agora, devido às condições favoráveis que, por diversas razões, a COVID-19 oferece para a sua implementação ou utilização mais ampla.
- Clientes fiéis. Com as medidas de isolamento e quarentena em várias partes do mundo, as pessoas estão se locomovendo muito menos.
- Dispositivos conhecidos. A oportunidade e a intenção de comprar um novo dispositivo diminuíram. Em geral, deveria haver uma boa disponibilidade de dispositivos.
- Consistência entre canais. A adesão aos meios digitais aumentou significativamente em apenas dois meses, passando de 50% para 95% dos clientes. Embora o comportamento de compras possa parecer incomum em comparação com o período pré-Coronavírus, provavelmente se tornou mais restrito. Em muitos aspectos, a atual pegada digital dos clientes se tornou mais consistente.
- Tolerância ao atrito. Com o aumento de casos de fraudes e a grande exposição na mídia, as pessoas querem se sentir seguras. Atualmente, os clientes enxergam as medidas que antes consideravam inconvenientes como uma forma de proteção. É provável que apreciem a sensação de que o banco está zelando por eles.
- Estímulo ao crescimento na fase de recuperação. Se uma organização detecta um dispositivo dez vezes durante o período de isolamento e todos esses acessos foram feitos em um raio de 6 km, em vez de um raio aproximado de 100 km, isso significa que a organização pode confiar nesse dispositivo quando avançarmos para a fase de recuperação, o que permitirá que se estabeleça uma relação de confiança mais rapidamente. É assim que o comportamento do cliente hoje fornece dados valiosos para o futuro. À medida que nos aproximamos da recuperação, e as pessoas começam a realizar transações de forma diferente, podemos usar esses dados para projetar o futuro. Usar os dados atuais para prever o futuro pode ajudar a reduzir falsos positivos — desde que haja confiança estabelecida com o dispositivo.
Além disso, a implementação da autenticação de dois fatores (2FA) agora garantirá que os bancos e provedores de serviços de pagamento estejam preparados para atender à exigência de Autenticação Forte do Cliente (SCA). O prazo para a implementação da SCA é 31 de dezembro de 2020 e, embora o prazo possa ser adiado novamente, uma coisa é certa: a SCA será obrigatória. Aproveite o tempo que ainda resta para se preparar para o inevitável.
Principais lições
Embora seja crucial identificar padrões de fraude, entender o comportamento autêntico do cliente é igualmente essencial. Como o mundo está em algum estágio de quarentena ou isolamento social, este é o momento ideal para aumentar o uso da autenticação de dois fatores (2FA). Os clientes estão cientes de que os golpistas estão à espreita, portanto eles são mais tolerantes com o processo de autenticação, especialmente se estiverem realizando transações ou utilizando canais/dispositivos que são novos para eles. É aqui que a autenticação de dois fatores baseada em risco pode ser aplicada. No entanto, a implementação da 2FA neste momento específico reduz a quantidade normal de atrito, porque os clientes tendem a realizar transações a partir do mesmo local e têm todos os seus pontos de contato facilmente acessíveis.