SCA e 3DS2 explicados: Autenticação de pagamentos PSD2
Vender online para clientes europeus significa lidar com SCA e 3DS2, quer você queira ou não. A Autenticação Forte do Cliente (SCA) é uma exigência legal obrigatória sob a PSD2, e o 3D Secure 2 é a forma como a maioria dos comerciantes a cumpre. O que SCA e 3DS2 significam na prática, onde estão os casos extremos e o custo de errar — é isso que este guia aborda.
O que é SCA? Definição de Autenticação Forte do Cliente
A Autenticação Forte do Cliente (SCA) é um requisito de verificação da PSD2 — a Diretiva de Serviços de Pagamento 2 da UE. Ela se aplica quando um cliente inicia um pagamento eletrônico e tanto o banco emissor do cartão quanto o banco adquirente do comerciante estão localizados no Espaço Econômico Europeu.
A regra em si diz respeito a fatores. A autenticação segura deve usar pelo menos dois dos três fatores, e eles devem pertencer a categorias distintas:
- Conhecimento — algo que o titular do cartão sabe: uma senha, um PIN ou uma pergunta de segurança.
- Posse — algo que o titular do cartão possui: um celular, um dispositivo físico ou um cartão inteligente.
- Inerência — algo que o titular do cartão é: impressão digital, reconhecimento facial, identificação por voz.
Os fatores devem ser independentes entre si — comprometer um não expõe o outro. Eles também precisam estar dinamicamente vinculados ao valor específico da transação e ao beneficiário. Uma senha estática que funciona em todas as compras não atende aos requisitos.
Âmbito de aplicação: A SCA abrange compras online com cartão iniciadas pelo cliente. Não se aplica a transações iniciadas pelo comerciante (cobrança recorrente após a autorização inicial), encomendas por correio ou telefone, ou qualquer transação em que o comerciante ou o banco do titular do cartão esteja fora do Espaço Económico Europeu (EEE). Esta última categoria é designada por "one-leg-out" e é relevante para comerciantes com bases de clientes globais diversificadas.
O que é 3DS2 e qual a sua relação com a SCA?
O nome se divide da seguinte forma: 3D representa três domínios — o banco emissor que emitiu o cartão do titular, o banco adquirente que processa os pagamentos do comerciante e a rede de cartões que os interliga. A versão 2 a distingue do protocolo original, lançado pela Visa em 1999 com o nome de "Verified by Visa". A EMVCo, pertencente à Visa, Mastercard, Amex e outras bandeiras, criou e mantém o padrão 3D Secure 2.
Qual a relação com a SCA? A PSD2 exige que os pagamentos com cartão sejam autenticados com dois fatores. O 3D Secure 2 é o mecanismo que os comerciantes usam para realizar essa autenticação em transações sem a presença do cartão. Tecnicamente, os fluxos de open banking e os redirecionamentos de aplicativos bancários também podem atender aos requisitos da SCA, mas, na prática, o 3DS2 é responsável pela grande maioria dos pagamentos online com cartão.
A Visa e a Mastercard deixaram de oferecer suporte ao 3DS1 para transações na Europa em outubro de 2022. Após esse período, o roteamento de pagamentos com cartão via 3DS1 não só se tornou obsoleto, como também deixou de estar em conformidade com os padrões de segurança. O que antes era opcional tornou-se obrigatório, e a atualização para o 3D Secure 2, recomendada pelas processadoras de pagamentos há anos, tornou-se a única solução viável.
História do 3D Secure: do 3DS1 ao 3DS2
O 3DS1 foi lançado no início dos anos 2000. O mecanismo de autenticação era um pop-up de redirecionamento, geralmente hospedado pelo banco emissor do cartão. Os titulares do cartão viam uma nova janela do navegador, digitavam uma senha estática que muitas vezes esqueciam e, ou conseguiam concluir o processo, ou desistiam. O abandono nessa etapa era um problema considerável para comerciantes de todas as categorias.
| Recurso | 3DS1 | 3DS2 |
|---|---|---|
| Interface de autenticação | Redirecionar janela pop-up/nova janela | iframe incorporado ou SDK nativo |
| Dados enviados ao emissor | ~15 pontos de dados | Mais de 100 pontos de dados (dispositivo, comportamento, histórico) |
| Suporte para dispositivos móveis | Ruim — sem SDK nativo | SDK nativo completo para iOS e Android |
| Fluxo sem atrito | Não disponível | Sim — a maioria das transações |
| Método de desafio | Senha estática | OTP, notificação push, biometria |
| Transferência de responsabilidade | Sim | Sim (cobertura ampliada) |
| status da UE | Obsoleto em outubro de 2022 | Obrigatório |
O 3DS2 foi projetado para corrigir os problemas de conversão causados pelo 3DS1. Ao enviar mais de 100 sinais de risco ao emissor no início do fluxo, o protocolo fornece aos bancos dados suficientes para aprovar a maioria das transações sem exigir que o cliente faça nada. Quando um desafio é acionado, trata-se de um código SMS ou biometria, e não de uma senha que o titular do cartão definiu há três anos.
Como funciona a autenticação 3DS2: passo a passo
Cada transação 3DS2 é encaminhada por um de dois caminhos. O banco emissor escolhe qual deles com base nos dados de risco que recebe. Na maioria dos casos, os clientes nem percebem que a autenticação ocorreu.
Fluxo sem atrito (70–90% das transações):
- O cliente insere os dados do cartão no momento do pagamento.
- O gateway de pagamento ou servidor 3DS do comerciante coleta mais de 100 pontos de dados: impressão digital do dispositivo, geolocalização do IP, características do navegador, histórico de transações, sinais comportamentais.
- Essas informações são enviadas em uma Solicitação de Autenticação (AReq) para o servidor de diretório da rede de cartões e, em seguida, encaminhadas para o Servidor de Controle de Acesso (ACS) do banco emissor.
- O ACS executa avaliações de risco automatizadas — normalmente em menos de um segundo.
- Se a transação for classificada como de baixo risco, o ACS emite uma aprovação automática, sem necessidade de ação por parte do cliente.
- A transação é concluída com a transferência da responsabilidade para o banco emissor.
Fluxo de desafio (10–30% das transações):
- As etapas 1 a 3 são as mesmas: coleta de dados e submissão do AReq.
- O ACS sinaliza a transação como de alto risco: novo dispositivo, valor incomum, novo endereço de entrega ou taxa de fraude elevada para essa categoria de comerciante.
- O cliente é solicitado a fornecer um segundo fator de autenticação — código de acesso único enviado por SMS, notificação push do aplicativo bancário ou dados biométricos.
- O cliente conclui o desafio.
- Transação aprovada com transferência de responsabilidade para o emissor.
O processo descomplicado é o que diferencia o 3DS2 de seu antecessor. A maioria dos clientes conclui uma transação autenticada sem precisar fazer nada além do necessário. Quando surge um desafio, ele é resolvido por um método familiar — a mesma notificação push usada para aprovar uma transferência bancária.
Isenções da SCA e quando elas se aplicam
Nem todas as transações exigem SCA. A PSD2 define isenções que permitem que os pagamentos sejam processados sem autenticação de dois fatores. Solicitar uma isenção não é o mesmo que obtê-la. O banco emissor decide se a concederá ou não. A rejeição significa uma recusa temporária, e o comerciante precisa reenviar a solicitação com a SCA ativada.
| Tipo de isenção | Doença | Limite |
|---|---|---|
| Transação de baixo valor | Transação inferior a 30 € | Máximo de 5 transações consecutivas ou €100 acumulados desde a última autenticação forte do cliente (SCA). |
| Análise de Risco de Transação (TRA) | Taxa de fraude do adquirente ou emissor abaixo do limite | €100 com taxa de fraude ≤0,13% / €250 com taxa ≤0,06% / €500 com taxa ≤0,01% |
| Transações recorrentes (valor fixo) | Mesmo valor, mesmo beneficiário após a autenticação de crédito inicial. | Sem limite |
| Transação iniciada pelo comerciante | Cobrança por assinatura, parcelamento | A autenticação forte do usuário (SCA) é exigida apenas na primeira transação. |
| Beneficiário de confiança | O titular do cartão adicionou o estabelecimento à lista de estabelecimentos permitidos junto ao seu banco. | Específico do comerciante, controlado pelo titular do cartão |
| Pagamentos corporativos seguros | Sistemas de pagamento B2B dedicados | Somente sistemas aprovados pelo órgão regulador |
A responsabilidade recai sobre quem solicitou a isenção. Se o adquirente solicitar uma isenção TRA e o emissor a aceitar, o adquirente (e, por extensão, o comerciante) será responsável por fraudes caso algo dê errado. Se o emissor aplicou a isenção de forma independente, a responsabilidade recai sobre ele. Comerciantes que operam com um volume significativo de transações com isenções TRA devem rastrear qual caminho foi utilizado em cada transação.
Como a SCA e a 3DS2 afetam os comerciantes
A justificativa comercial para implementar corretamente o sca 3ds2 vai muito além do cumprimento das normas regulamentares:
- Transferência de responsabilidade : a autenticação 3DS2 concluída transfere a responsabilidade pelo estorno de fraudes do comerciante para o banco emissor. Sem autenticação, o comerciante absorve diretamente a fraude com cartões. A fraude com cartões na UE é 17 vezes maior em regiões onde a SCA não é exigida.
- Taxas de autorização : O 3DS2 geralmente melhora as taxas de autorização em comparação com pagamentos não autenticados. Os emissores aprovam com mais confiança quando possuem 100 pontos de dados em vez de apenas um número de cartão e um CVV.
- Conversão no checkout : o fluxo de desafio adiciona uma etapa, mas o 3DS2 sem atrito praticamente não adiciona atrito algum. Um 3DS2 bem implementado geralmente produz um impacto de conversão estável ou positivo em comparação com o 3DS1.
- Qualidade dos dados : a qualidade da carga útil do AReq determina a porcentagem de transações que ocorrem sem atrito. Comerciantes que enviam apenas os campos obrigatórios obtêm taxas de sucesso mais altas do que aqueles que preenchem os campos opcionais — impressão digital do dispositivo, histórico de transações, tempo de existência do endereço de entrega.
- Geografia : As regras de SCA variam entre os estados membros do EEE, o Reino Unido (com seu próprio cronograma de SCA pós-Brexit) e outros mercados. Um sistema de finalização de compra global precisa segmentá-los corretamente no nível da solicitação.
Lista de verificação de conformidade com a SCA para comerciantes online
Configurar corretamente o 3DS2 no SCA exige mais do que simplesmente habilitá-lo no gateway. O trabalho contínuo também é importante:
- Verifique se seu provedor de serviços de pagamento (PSP) ou gateway é compatível com 3DS2. A maioria dos principais processadores (Stripe, Adyen, Worldpay, Braintree) lida com isso automaticamente. Processadores regionais ou mais antigos podem ainda funcionar com 3DS1 ou ter implementações parciais.
- Audite os dados da sua solicitação AReq. Trabalhe com seu provedor de pagamentos para confirmar se você está enviando todos os mais de 100 campos de dados opcionais, e não apenas o mínimo obrigatório. Cada campo adicional aumenta a confiança do emissor em um processo de aprovação sem atritos.
- Mapeie seus tipos de transação. Identifique quais pagamentos são iniciados pelo comerciante (assinaturas após a configuração), pedidos por correio/telefone ou transações de saída única. Sinalize-os corretamente — eles não passam pelo 3DS2 e não devem ser roteados para lá.
- Teste a experiência do usuário (UX) do fluxo do desafio. Quando um desafio de transição for acionado, a experiência deve ser clara e otimizada para dispositivos móveis. Uma tela de senha confusa reduz as conversões. Teste em diferentes dispositivos e navegadores antes do lançamento.
- Monitore as taxas de transações sem atrito versus as taxas de contestação. Uma queda na taxa de transações sem atrito indica um problema — dados degradados, uma alteração no modelo de risco da instituição emissora ou uma taxa de fraude em uma categoria de comerciante que ultrapasse o limite de uma Taxa de Ação Regulatória (TRA).
- Acompanhe os resultados das isenções. Saiba quais isenções você solicitou, quais foram aceitas e quais foram recusadas. Recusas em isenções de baixo valor geralmente significam que o limite cumulativo de € 100 foi atingido sem uma redefinição.
- Acompanhe o cronograma da PSD3. A proposta da Comissão Europeia para a PSD3 está em processo legislativo; a implementação pelos Estados-Membros está prevista para 2026-2027. Ela amplia a SCA em vez de substituí-la — os requisitos de autenticação tornam-se mais específicos, não mais simples.
Um aspecto que muitos comerciantes desconhecem sobre o SCA 3DS2: toda a estrutura é voltada para transações de pagamento eletrônico regulamentadas pela PSD2, o que significa movimentação de moeda fiduciária por meio de bancos e redes de cartões. Pagamentos com criptomoedas estão completamente fora desse escopo.
Quando um cliente paga com Bitcoin, Ethereum ou uma stablecoin, a transação não passa por uma rede de cartões ou banco. Nenhum emissor executa um ACS (Sistema de Controle de Ativos). Não há AReq (Requisito de Acesso Autônomo), servidor de diretório ou fluxo de desafio para gerenciar. As regras de SCA (Autenticação Forte do Cliente) não se aplicam porque o tipo de pagamento está fora do perímetro regulatório.
Para os comerciantes, isso se traduz em algo concreto. Um pagamento com criptomoedas não possui etapa de autenticação 3DS2, solicitação de OTP ou fluxo de desafio. O cliente paga com sua carteira; os fundos chegam. Também não existem estornos — as transações com criptomoedas são irreversíveis, o que elimina completamente os mecanismos de responsabilidade por fraude.
Para comerciantes que desejam adicionar uma opção de pagamento completamente fora da estrutura de autenticação de cartão, o Plisio oferece suporte a mais de 20 criptomoedas sem a sobrecarga da SCA (Autenticação Forte do Cliente), sem exposição a estornos e sem dependência do modelo de risco de um banco emissor.
O que a SCA e o 3DS2 significam para sua infraestrutura de pagamentos.
A autenticação forte do cliente (SCA) não está se tornando mais simples. A PSD3 ampliará ainda mais os requisitos de autenticação, e o Reino Unido mantém seu próprio sistema de fiscalização da SCA pós-Brexit. A questão prática para os comerciantes é o quão bem a implementação da SCA 3DS2 está funcionando na prática, e não se devem implementá-la ou não.
Quando bem implementado, o framework funciona para todos os envolvidos. Os comerciantes obtêm proteção contra responsabilidade por estornos fraudulentos. Os emissores recebem sinais mais completos por meio da carga útil de dados expandida do 3D Secure 2 e aprovam mais transações com confiança. Os clientes obtêm autenticação segura que geralmente não interrompe o processo de finalização da compra. Os comerciantes que enfrentam problemas são aqueles que habilitaram o 3DS2 no nível mínimo exigido pelo gateway e nunca mais verificaram suas taxas de processamento sem atrito, a qualidade da carga útil do AReq ou as taxas de acerto de isenções.
