Adyen 3D Secure: Como funciona a autenticação 3DS2
O 3D Secure é a camada de autenticação que fica entre um pagamento com cartão e sua aprovação. O Adyen 3DS é uma das implementações mais utilizadas desse padrão, integrada à plataforma de pagamentos da Adyen e responsável pelo processamento de bilhões de transações anualmente na Europa, América do Norte e Ásia.
A forma como a Adyen lida com o 3D Secure é crucial para qualquer desenvolvedor que integre pagamentos com cartão e para qualquer lojista que busque equilibrar a prevenção de fraudes com a conversão no checkout. Os dois aspectos estão em conflito direto: mais autenticação significa menos fraudes, mas também mais atrito, e atrito custa vendas. Os dados regionais sobre isso — particularmente dos EUA e do Brasil — são mais alarmantes do que a maioria dos lojistas imagina.
O que é o Adyen 3D Secure?
Quando alguém paga online com um cartão Visa, a Visa pode exigir que o comprador comprove sua identidade. O mecanismo para isso é o 3D Secure — um protocolo de autenticação que as redes de cartões (a Visa chama de Verified by Visa, a Mastercard chama de SecureCode) desenvolveram especificamente para transações sem a presença do cartão. O Adyen 3DS é a forma como a Adyen implementa esse protocolo em sua plataforma de pagamentos.
Existem duas versões. A primeira geração — 3DS1 — redirecionava o comprador para a página de autenticação da própria emissora do cartão, interrompendo completamente o fluxo de finalização da compra. A conversão caiu. Os comerciantes detestaram. A maioria abandonou o 3DS1 sempre que possível.
O 3D Secure 2 substituiu esse método por uma abordagem mais inteligente. Em vez de redirecionar, ele coleta silenciosamente dados do dispositivo e do navegador em segundo plano — resolução da tela, fuso horário, endereço IP, histórico da sessão — e envia tudo isso para o banco emissor. O sistema de análise de risco do banco recebe mais de 150 pontos de dados para avaliar. Com essa quantidade de informações, muitas vezes ele pode simplesmente aprovar a transação sem que o cliente perceba que o 3D Secure foi executado.
Comerciantes da UE e do EEE não têm muitas opções. As regras de Autenticação Forte do Cliente (SCA) da PSD2 tornaram obrigatório o uso do 3D Secure 2 para pagamentos com cartão acima de € 30. Qualquer método de pagamento que envolva uma transação com cartão está sujeito a essa exigência. Fora da UE, o 3D Secure 2 é fortemente recomendado pela proteção contra fraudes que oferece, mas não é legalmente obrigatório.
Como funciona a autenticação Adyen 3DS2
O fluxo 3DS2 passa por três fases: coleta de dados, autenticação e autorização. Ele é concluído em segundos quando tudo ocorre sem problemas.
- O comprador inicia o pagamento — insere os dados do cartão na página de finalização da compra do comerciante.
- A Adyen coleta dados do dispositivo — um pequeno componente JavaScript (a impressão digital 3DS2) é executado em segundo plano, coletando sinais do navegador e do dispositivo: resolução da tela, fuso horário, idioma, tipo de dispositivo, endereço IP.
- A Adyen envia uma solicitação de autenticação — a impressão digital do dispositivo e os dados da transação são agrupados e enviados à emissora do cartão por meio da rede de cartões.
- A instituição emissora avalia a solicitação — o sistema de análise de risco da instituição avalia mais de 150 pontos de dados em relação ao histórico de comportamento do titular do cartão e a sinais de fraude.
- O emissor decide: autenticação sem atrito ou com desafio — se o risco for baixo, o emissor autentica silenciosamente (autenticação sem atrito); se houver sinais de risco, o emissor solicita um desafio.
- O fluxo de desafio é executado se acionado — o comprador completa uma verificação adicional: senha de uso único, biometria ou confirmação do aplicativo bancário.
- Resultado da autenticação retornado — A Adyen recebe o resultado da autenticação (autenticado, não autenticado ou tentativa de autenticação).
- A Adyen submete a autorização — com o resultado da autenticação em anexo, o pagamento segue para autorização através da rede de cartões.
- A responsabilidade é transferida — se a autenticação for bem-sucedida, a responsabilidade pelo estorno relacionado a fraudes passa do comerciante para o banco emissor.
A principal diferença entre o 3DS1 e o 3D Secure 2 está na etapa 2. No 3DS1, o emissor praticamente não dispunha de dados, o que tornava os desafios frequentes. No 3D Secure 2, a impressão digital mais completa do dispositivo permite que os emissores aprovem muito mais transações de forma silenciosa, independentemente do método de pagamento utilizado pelo comprador, desde que seja um cartão.
Fluxo sem atrito versus fluxo com desafio no Adyen
Os resultados da autenticação sem atrito e da autenticação com desafio são determinados pela emissora, não pela Adyen ou pelo comerciante. Dito isso, a qualidade da coleta de dados da Adyen afeta diretamente a frequência com que as emissoras podem optar pela autenticação sem atrito — dados de identificação de dispositivos mais precisos significam que menos emissoras precisam recorrer à autenticação com desafio.
| Fator | Fluxo sem atrito | Fluxo de desafio |
|---|---|---|
| Experiência do comprador | Invisível — sem etapas adicionais | Requer confirmação por OTP, biometria ou aplicativo. |
| Impacto da conversão | Minimalista — o mesmo que não ter 3DS. | Queda significativa (varia conforme o mercado) |
| Quem decide? | Motor de risco do banco emissor | Motor de risco do banco emissor |
| Acionar | Os sinais de risco são baixos e os dados são suficientes. | Sinais de risco elevados ou dados incompletos |
| Transferência de responsabilidade | Sim — o emissor assume o risco de fraude. | Sim — o emissor assume o risco de fraude. |
| Ações típicas | 40%–93% das transações (dependendo do mercado) | 7%–60% (dependendo do mercado) |
O Japão demonstra o lado positivo da facilidade de uso: aproximadamente 60% das transações 3DS são concluídas sem atritos, e a taxa de conversão geral permanece em 93%. O Brasil apresenta o cenário oposto — os fluxos de desafio generalizados resultaram em uma queda de 55% na conversão. Nos EUA, o impacto médio dos fluxos de desafio na conversão é de 43%, segundo pesquisa da Stripe sobre padrões de adoção do 3DS.
A proteção contra fraudes é consistente, independentemente do fluxo concluído. Tanto a autenticação sem atrito quanto a autenticação por desafio acionam a transferência de responsabilidade. Um estorno relacionado a fraude após uma autenticação 3DS bem-sucedida é um problema financeiro do emissor, não do comerciante.
Regras Adyen Dynamic 3D Secure
A maioria das implementações de 3DS aplica autenticação universalmente: em todas as transações, sempre. O mecanismo de regras Dynamic 3D Secure da Adyen permite que os comerciantes sejam mais precisos nesse processo.
O Dynamic 3DS permite que os comerciantes configurem o roteamento baseado em regras que aplica o 3DS seletivamente, com base em sinais de risco, isenções e características da transação. O objetivo é maximizar a autenticação em transações de risco, usando isenções para reduzir o atrito em transações de baixo risco.
Principais tipos de regras disponíveis na configuração Dynamic 3DS da Adyen:
- Regras de isenção — encaminhar transações de baixo risco por meio de isenções de SCA (análise de risco de transação, isenções de baixo valor abaixo de € 30, listas de comerciantes confiáveis) para evitar completamente a verificação 3DS, quando permitido por lei.
- Tratamento de recusas suaves — redirecionamento automático de transações recusadas pelos emissores sem autenticação 3DS, acionando a autenticação 3DS na segunda tentativa.
- Regras de velocidade — aplicam o 3DS com base na frequência de transações de um determinado cartão ou dispositivo dentro de um período de tempo.
- Limites de valor — acionam o 3DS acima de um valor de transação especificado, isentando compras menores.
- Regras baseadas no país — aplicam lógica de autenticação diferente dependendo do país do comprador, levando em consideração os mandatos regionais de SCA e o comportamento do emissor.
- Regras de tipo de cartão — direcione cartões corporativos ou premium pelo 3DS, permitindo que cartões de débito padrão do consumidor sejam processados por meio de fluxos de isenção.
Comerciantes que configuram o Dynamic 3DS de forma inteligente podem reduzir significativamente a exposição ao fluxo de desafios em comparação com a aplicação universal do 3DS, mantendo ao mesmo tempo a proteção total contra fraudes em segmentos de alto risco.
Métodos de integração Adyen 3DS
A forma como os comerciantes integram o 3DS por meio da Adyen depende do método de integração de pagamentos utilizado. A Adyen oferece suporte a três abordagens principais:
- Sessões (recomendado) — A integração pré-configurada da Adyen lida com o 3DS nativamente, sem necessidade de configuração adicional. O fluxo de Sessões coleta automaticamente as impressões digitais dos dispositivos e gerencia o roteamento sem atrito/com desafio de forma transparente. O caminho mais simples para a maioria dos lojistas.
- Drop-in — O componente de interface do usuário hospedado da Adyen se integra à página de finalização de compra do lojista e gerencia os fluxos 3DS, incluindo pop-ups de desafio e tratamento de resultados. Menos configuração do que uma integração completa de API, mais personalização do que sessões.
- Integração de API — controle total sobre o fluxo 3DS. O código do comerciante gerencia a coleta de impressões digitais, solicitações de autenticação, análise de resultados e envio de autorização. Necessário para finalizações de compra altamente personalizadas ou aplicativos móveis nativos que precisam de 3DS2 nativo na interface do aplicativo.
Para a maioria dos lojistas de e-commerce, as sessões ou o recurso Drop-in oferecem o melhor equilíbrio entre esforço de integração e conformidade com o 3DS. A integração nativa por API é normalmente utilizada por empresas com equipes dedicadas à engenharia de pagamentos.
Um detalhe específico da Adyen: o 3DS2 nativo em aplicativos móveis requer os SDKs da Adyen para iOS e Android, que incluem os componentes de impressão digital e a interface de desafio. As integrações web que utilizam Sessões ou Drop-in lidam com isso automaticamente.
Impacto da conversão para 3D Secure: Dados regionais
A manchete "3DS prejudica a conversão" é parcialmente verdadeira, mas o impacto real depende quase inteiramente de fatores específicos do mercado — o quão familiarizados os consumidores estão com os fluxos de autenticação bancária e se a experiência do usuário no aplicativo de banco móvel é fluida.
| Mercado | Taxa de desafio | Impacto da conversão | Notas |
|---|---|---|---|
| Japão | Desafio de aproximadamente 40% | queda mínima | A autenticação em aplicativos bancários é familiar; alta taxa de sucesso sem atritos |
| Reino Unido | Desafio de aproximadamente 25% | Baixo a moderado | O aplicativo bancário (biométrico) oferece uma experiência padrão e rápida. |
| França | Desafio de aproximadamente 50% | Moderado | As taxas de desafio dobraram, mas os usuários familiarizados com o OTP (senha de uso único) também. |
| NÓS | Desafio de aproximadamente 45% | -43% em transações contestadas | O 3DS ainda é uma novidade; usuários não estão familiarizados com o fluxo de OTP bancário. |
| Brasil | Desafio de aproximadamente 60% ou mais | -55% | Altas taxas de contestação; fluxos de autenticação bancária inconsistentes. |
| Média global | — | Mercado de US$ 1,72 bilhão (2026) | Prevê-se que atinja USD 4,66 bilhões até 2034. |
Os números sobre a redução de fraudes são mais claros: a autenticação 3DS reduz as contestações de fraude em até 80%, e a Europa estima que ela previne cerca de € 900 milhões em perdas anuais por fraude. Essas são economias para o comerciante. Os estornos são caros além do valor da transação — eles aumentam os custos operacionais, as penalidades de avaliação de risco e, em alguns casos, o risco no relacionamento com a processadora de pagamentos.
O paradoxo da conversão se resolve quando separamos dois fatores: se o 3DS foi aplicado e se o desafio foi tranquilo. Mercados com bons aplicativos de mobile banking e compradores experientes absorvem bem a fricção do desafio. Mercados onde os compradores se deparam com o OTP via SMS ou aplicativos bancários inconsistentes perdem muitas vendas.
3DS e pagamentos com criptomoedas
O 3D Secure aplica-se apenas a pagamentos com cartão. As transações com criptomoedas não passam pelas redes de cartões, portanto não há fluxo 3DS a ser acionado.
Isso tem dois lados. Os gateways de pagamento em criptomoedas não podem contar com a transferência de responsabilidade 3DS — não há um banco emissor para o qual transferir o risco de fraude. A segurança depende de outros mecanismos: monitoramento de transações, verificação de carteiras, avaliação de risco em tempo real no nível do gateway.
A outra vantagem: sem a fricção do 3DS. Sem coleta de dados do dispositivo em segundo plano, sem desafio do emissor, sem espera por código OTP. O pagamento é tão simples quanto escanear um endereço de carteira ou confirmar em um aplicativo de carteira. Para comerciantes que viram o impacto negativo do fluxo de desafios na conversão de dados nos EUA ou no Brasil, essa simplicidade vale muito dinheiro.
Para comerciantes que desejam oferecer criptomoedas como opção de pagamento juntamente com os cartões tradicionais, a Plisio fornece um gateway de pagamento em criptomoedas que lida com a aceitação de criptomoedas sem adicionar a complexidade da conformidade com o 3DS à infraestrutura do comerciante.
