Publicidade
ARTIGO | Como garantir um alto nível de segurança nas transações “one leg” de PSD2?
06 de Junho de 2023

ARTIGO | Como garantir um alto nível de segurança nas transações “one leg” de PSD2?

Assim como falar outro idioma, é preciso conhecer um pouco da cultura para não cair em situações complicadas

Publicidade
Twitter Whatsapp Facebook

por Patrick Drexler*

As empresas que realizam transações em outros países precisam lidar com as questões legais de seus países de origem e destino. Faz parte do custo operacional e exige cuidado para não ser surpreendido por aspectos que não são comuns em seus mercados de origem. Assim como falar outro idioma, é preciso conhecer um pouco da cultura para não cair em situações complicadas.

Publicidade

Na União Europeia, os últimos anos viram o desenvolvimento da diretiva PSD2 da União Europeia para transações on-line. O que a PSD2 faz é dar aos clientes o poder de compartilhar seus dados com quem eles acharem melhor, tirando das instituições financeiras o monopólio de suas informações e possibilitando, por exemplo, o uso de plataformas de iniciação de pagamentos. O espírito da PSD2 foi incorporado à Lei Geral de Proteção de Dados (LGPD) no Brasil, mas é importante ressaltar que o empoderamento do consumidor altera uma série de processos de segurança nas transações financeiras.

A PSD2 incorpora requisitos de segurança para o processamento de pagamentos eletrônicos, que não estavam anteriormente regulamentados. Por causa da diretiva, os comerciantes on-line que operam em regiões onde o PSD2 está em vigor são obrigados a realizar autenticação forte do cliente (SCA) para a maioria das transações com cartão.

Assim, se um varejista on-line brasileiro realizar transações com o mercado europeu, ele precisa realizar uma autenticação forte (no que é chamado de PSD2 one leg, já que apenas uma “leg” da transação ocorre na Europa), o que geralmente significa 3D Verificação segura, mas também pode ser obtida a partir de outros métodos de autorização. O grande problema é que a maioria dos mecanismos SCA gera mais atrito para o consumidor final, o que invariavelmente diminui a conversão do lojista e gera menos receita do que o potencial.

Para uma empresa que atua no Brasil e quer exportar para o mercado europeu, não atender a diretiva PSD2 pode mudar completamente a equação financeira do negócio, já que as premissas serão baseadas em taxas de conversão que não se concretizarão. O não cumprimento da PSD2 pode, em última análise, levar à responsabilidade por não impedir que a fraude seja aplicada à sua empresa, e com penalidades financeiras e danos à reputação. Portanto, este é um importante ponto de alerta para as empresas.

Uma abordagem mais inteligente para a segurança

A diretiva PSD2 oferece uma oportunidade interessante para os comerciantes, que passaram a ter acesso direto às contas dos seus clientes, eliminando a necessidade de lidar com outros players e criando uma ligação direta entre a plataforma de pagamento e os dados bancários dos clientes. Essa simplificação da estrutura tem impacto direto nos custos de processamento de pagamentos, fazendo com que as operadoras reduzam suas tarifas para se manterem no mercado.

Do ponto de vista da segurança, o PSD2 afirma que as transações de menor risco podem contornar a etapa de autenticação forte do cliente, mas está claro que essa é potencialmente uma nova vulnerabilidade no sistema. Afinal, uma transação fraudulenta com perfil de transação de baixo risco é uma grande oportunidade para criminosos.

O desafio, então, é como garantir que as transações de baixo risco que podem ignorar a autenticação SCA sejam realmente transações legítimas. Para isso, é necessário levar em conta dois aspectos fundamentais:

Avaliação em tempo real

Com base em regras de negócios e no uso de soluções que identificam anomalias em redes, dispositivos e comportamento do usuário (notificando imediatamente sobre sinais que identificam uma ampla possibilidade de fraude), é possível reduzir o risco de que qualquer transação fraudulenta seja representada por um legítimo transação de baixo risco. Quanto maior o número de sinais coletados (como tipo de aparelho, velocidade de digitação, conexão de outros usuários ao mesmo aparelho e até mesmo altura e ângulo de uso do aparelho), mais segura se torna essa análise.

Análise de risco

Os fatores de risco cobertos pela diretriz PSD2 podem ser analisados por regras de negócios e por uma camada adicional de insight, graças a poderosos modelos de aprendizado de máquina, de acordo com o volume de transações, o tráfego do site e as características específicas do produto vendido e a atratividade desses itens para fraudadores.

Uma vez identificado comportamento suspeito de compradores, ou dúvidas sobre a real identidade daquele usuário, é possível solicitar autenticação forte dessas transações suspeitas – ou bloqueá-las imediatamente. Dessa forma, somente transações legítimas de baixo risco são aprovadas sem a etapa do SCA, o que aumenta a confiança no sistema e proporciona uma melhor experiência de compra aos clientes.

Do ponto de vista de um trader brasileiro que quer ganhar espaço no mercado e europeu a partir do seu e-commerce, utilizar uma solução de identificação de fraudes em tempo real com esse nível de riqueza de dados e entendimento de comportamentos pode ser um grande diferencial. Como a segurança muitas vezes vem em detrimento da experiência do cliente, as empresas que podem oferecer uma experiência rápida e sem atrito com um alto nível de segurança combinam o melhor dos dois mundos – e impulsionam as vendas sem aumentar as taxas de fraude.

É importante destacar que as transações one leg PSD2 também podem ser realizadas envolvendo adquirentes e autorizadoras de cartões, o que aumenta ainda mais a importância de contar com soluções de segurança que façam avaliações em tempo real e evitem experiências lentas e difíceis para os consumidores. Quanto melhor a experiência do usuário, mais resultados o trader on-line terá.

*Patrick Drexler é vice-presidente de DACH e fraude amigável da Nethone

Publicidade
Publicidade