Um guia para a autenticação segura e contínua dos usuários em pagamentos

Pagamentos online exigem um equilíbrio delicado entre segurança e experiência do usuário. Os consumidores almejam um processo de autenticação tranquilo e sem atritos. Os comerciantes, por sua vez, precisam garantir que transações e métodos de pagamento online estejam protegidos contra fraudes.

James Hunt, da Feedzai, uniu-se recentemente a Tom Pilling, diretor de risco da Trust Payments. A dupla discutiu como empresas e comerciantes podem oferecer uma experiência de pagamento online que alcance o delicado equilíbrio entre segurança e uma experiência de autenticação de usuário sem complicações.

Leia abaixo um trecho da conversa. Encontre as perguntas e respostas completas aqui.

Tom Pilling (TP), Trust Payments: É possível ter segurança robusta e uma experiência amigável ao usuário quanto falamos em pagamentos online?

James Hunt (JH), Feedzai: Ter segurança não deve ser equivalente a passar por obstáculos desnecessários ao finalizar compras. Em vez disso, trata-se de aplicar os controles certos no momento certo, com base no nível de risco da transação.

Verificações de segurança extras podem ser desnecessárias se você compra uma nova skin de avatar do Fortnite em seu dispositivo habitual em um local conhecido. No entanto, ao comprar uma TV em um novo site e com um endereço de entrega diferente, um nível adicional de segurança, como a autenticação de dois fatores (2FA), é adequado.

TP: É impossível atingir 100% de harmonia. Entretanto, certamente há formas e meios de garantir que os comerciantes atinjam um equilíbrio mais do que satisfatório por meio do uso de dados dos consumidores. A chave para o sucesso dos comerciantes está na compreensão de seus dados transacionais, trabalhando em conjunto com o adquirente ou o processador de pagamentos. Bons adquirentes contam com soluções robustas para obter uma visão mais clara de seus dados de transação.

Às vezes, é desafiador ter uma visão do todo. Dar um passo para trás, analisar os dados de transações e dedicar tempo a entender onde pode haver falsos positivos é um exercício muito valioso para otimizar os pagamentos.

TP: A autenticação de dois fatores (2FA) é complicada?

JH: Diferentes métodos de autenticação do usuário se enquadram na categoria de 2FA, podendo ser ativos ou passivos.  Por exemplo, pedir ao usuário para inserir um nome de usuário e uma senha ou código é um exemplo de autenticação do usuário ativa.

Um exemplo de autenticação do usuário passiva seria algo tão simples quanto reconhecer que o dispositivo, seja um laptop ou telefone, é o mesmo que o consumidor sempre usa. A autenticação do usuário ativa é a que costuma receber críticas por ser complicada. Se eu esquecer a senha que cadastrei no 3D Secure para meu banco ou, por algum motivo, não receber a mensagem de texto com o código necessário para concluir minha transação, isso pode causar frustração.

Além disso, considere se a 2FA é necessária. Na Europa, onde a autenticação forçada do cliente (SCA) é obrigatória, os comerciantes ou adquirentes podem solicitar ativamente diversas isenções.

Embora o banco do cliente possa recusar uma solicitação de remoção da 2FA, é útil compreender as isenções da análise de risco de transações (TRA). Essas isenções eliminam a necessidade de 2FA em transações de baixo risco, simplificando o processo para esse tipo de compra.

TP: O 3DS original permitia que os titulares de cartões adicionassem os comerciantes a um “lista positiva” para simplificar o processo para certos comerciantes “aprovados”. Mas esse elemento de “autocertificação” parece ter desaparecido. Por exemplo, se você comprasse em uma loja confiável, poderia configurá-la para que não fosse necessário usar 2FA para compras futuras.

Os usuários deveriam ter mais liberdade para decidir quais transações exigem mais segurança e quais não. Acredito que seja necessário um melhor equilíbrio entre esses dois aspectos. Atualmente, ou você usa 2FA, ou simplesmente não consegue concluir a operação. No final das contas, isso não é bom para ninguém no ecossistema de pagamentos.

A combinação ideal de segurança avançada e autenticação forçada do usuário

JH: De acordo com o Relatório de Fraude Financeira do Reino Unido mais recente, as fraudes de compra remota (cartão não presente, ou CNP) continuaram caindo desde a implementação da autenticação forçada do cliente no Reino Unido, com as perdas atingindo o nível mais baixo desde 2014.

Infelizmente, as fraudes não vão desaparecer. As fraudes de compra remota ainda representam uma parcela significativa das fraudes no ecossistema do Reino Unido, chegando a £ 360 milhões. Os números também mostram que as fraudes estão migrando para outros canais, como o roubo de identidade, que aumentou 53% no último ano.

Embora seja uma ferramenta útil para prevenir fraudes, a 2FA deve ser complementada por outras medidas para que haja uma estratégia eficaz de combate a fraudes que equilibre a mitigação de riscos e uma experiência positiva para o cliente.

Ter mais segurança não significa necessariamente tornar a experiência do cliente negativa. Trata-se de usar os métodos de verificação certos no momento certo, de modo adequado ao risco envolvido.

A 2FA não precisa ser complicada, mas sua implementação muitas vezes depende disso. Novamente, é fundamental usar os métodos certos na hora certa, de modo adequado ao risco envolvido.

Embora a 2FA seja eficaz, ela não significa o fim das fraudes. Considere o aumento das fraudes de APP (especificamente, golpes) após o lançamento da SCA.

Em resumo, a 2FA é capaz de impedir fraudes efetivamente. No entanto, ela deve ser uma de muitas camadas de segurança para ajudar a maximizar a experiência do consumidor.