A autenticação de dois fatores (2FA) impede 100% dos ataques de Account Takeover (ATO) por bots automatizados. Por que mais bancos e provedores de serviços de pagamento (PSPs) não adotam ou aumentam o uso de 2FA?

2FA e atrito para o cliente

A 2FA não está isenta de controvérsias, principalmente porque pode causar atrito na experiência do cliente. Isso acontece porque a 2FA exige que os clientes passem por etapas adicionais para verificar o dispositivo com o qual estão tentando acessar suas contas antes de fazer login. Além disso, a 2FA pode ser aplicada em pontos da jornada do cliente que parecem arbitrários ou desconexos. Por outro lado, a 2FA pode ser implementada de forma discreta, por exemplo, por meio de biometria comportamental ou login através de aplicativos em dispositivos seguros, o que pode reduzir o atrito em padrões ou dispositivos confiáveis.

Estabelecer confiança é tão essencial quanto confirmar suspeitas

No artigo Como os PSP podem se antecipar à fraude no mundo pós-COVID-19, eu abordei medidas específicas para identificar padrões de fraude. O lado oposto disso, igualmente importante, é que precisamos identificar padrões para transações autênticas.

A autenticação em dois fatores é uma tecnologia que adiciona confiabilidade às medidas de prevenção de fraude. Grande parte da prevenção de fraudes se baseia em suspeitas, na tentativa de identificar quem são os agentes mal-intencionados e quais são suas ações. Não menos importante é a necessidade de identificar quem são os usuários legítimos e o que caracteriza as transações autênticas, para estabelecer um padrão de transações confiáveis. Focar no tipo e localização do dispositivo ajuda a estabelecer um parâmetro para transações seguras em um mundo pós-COVID-19.

Por que esse é o momento certo para implementar a 2FA?

A COVID-19 apresenta uma oportunidade real para estabelecer confiança digital com os clientes e incorporar bons hábitos comportamentais. Na minha opinião, não há momento mais propício para aumentar o uso da autenticação de dois fatores (2FA) do que agora, devido às condições favoráveis que, por diversas razões, a COVID-19 oferece para a sua implementação ou utilização mais ampla.

  • Clientes fiéis. Com as medidas de isolamento e quarentena em várias partes do mundo, as pessoas estão se locomovendo muito menos.
  • Dispositivos conhecidos. A oportunidade e a intenção de comprar um novo dispositivo diminuíram. Em geral, deveria haver uma boa disponibilidade de dispositivos.
  • Consistência entre canais. A adesão aos meios digitais aumentou significativamente em apenas dois meses, passando de 50% para 95% dos clientes. Embora o comportamento de compras possa parecer incomum em comparação com o período pré-Coronavírus, provavelmente se tornou mais restrito. Em muitos aspectos, a atual pegada digital dos clientes se tornou mais consistente.
  • Tolerância ao atrito. Com o aumento de casos de fraudes e a grande exposição na mídia, as pessoas querem se sentir seguras. Atualmente, os clientes enxergam as medidas que antes consideravam inconvenientes como uma forma de proteção. É provável que apreciem a sensação de que o banco está zelando por eles.
  • Estímulo ao crescimento na fase de recuperação. Se uma organização detecta um dispositivo dez vezes durante o período de isolamento e todos esses acessos foram feitos em um raio de 6 km, em vez de um raio aproximado de 100 km, isso significa que a organização pode confiar nesse dispositivo quando avançarmos para a fase de recuperação, o que permitirá que se estabeleça uma relação de confiança mais rapidamente. É assim que o comportamento do cliente hoje fornece dados valiosos para o futuro. À medida que nos aproximamos da recuperação, e as pessoas começam a realizar transações de forma diferente, podemos usar esses dados para projetar o futuro. Usar os dados atuais para prever o futuro pode ajudar a reduzir falsos positivos — desde que haja confiança estabelecida com o dispositivo.

Além disso, a implementação da autenticação de dois fatores (2FA) agora garantirá que os bancos e provedores de serviços de pagamento estejam preparados para atender à exigência de Autenticação Forte do Cliente (SCA). O prazo para a implementação da SCA é 31 de dezembro de 2020 e, embora o prazo possa ser adiado novamente, uma coisa é certa: a SCA será obrigatória. Aproveite o tempo que ainda resta para se preparar para o inevitável.

Principais lições

Embora seja crucial identificar padrões de fraude, entender o comportamento autêntico do cliente é igualmente essencial. Como o mundo está em algum estágio de quarentena ou isolamento social, este é o momento ideal para aumentar o uso da autenticação de dois fatores (2FA). Os clientes estão cientes de que os golpistas estão à espreita, portanto eles são mais tolerantes com o processo de autenticação, especialmente se estiverem realizando transações ou utilizando canais/dispositivos que são novos para eles. É aqui que a autenticação de dois fatores baseada em risco pode ser aplicada. No entanto, a implementação da 2FA neste momento específico reduz a quantidade normal de atrito, porque os clientes tendem a realizar transações a partir do mesmo local e têm todos os seus pontos de contato facilmente acessíveis.