Há quem não acredite no 3DS até hoje, e há a Lyra, quem acredita e defende desde o início.

3DS é a solução das bandeiras para proteger os pagamentos online do risco de fraude

Sendo honesto, essa aposta demorou para trazer retorno à Lyra no Brasil! 

Desde 2013 no Brasil, quando a Lyra realizou a primeira transação autenticada no país (com a finada Elavon, hoje Stone Pagamentos) a Lyra vem apostando nesta solução, divulgando para seus clientes seu principal benefício: a garantia irrevogável contra chargebacks que ela propicia aos estabelecimentos comerciais.

Pelo fato do Brasil ser o vice-campeão de fraude nos pagamentos on-line, (perdendo apenas pelo México), há de se convencer que o mercado nacional seria receptivo.

Porém alguns players do mercado faziam pouco caso e não estavam tão motivados a transferir o risco da fraude dos estabelecimentos comerciais (ECs) para os bancos emissores.

Na União Europeia, o poder público adotou um approach radical: criou uma regulamentação regional de pagamento cujo pilar de luta contra a fraude reside na obrigatoriedade da autenticação: a DSP2 (Diretiva sobre Serviços de Pagamento 2) torna a autenticação obrigatória na maioria dos pagamentos online. 

No país, não houve envolvimento do governo em defesa de maior segurança nas transações online. Apenas as bandeiras advogam pela solução. Sua contribuição foi disponibilizar para o mundo todo uma atualização completa do 3DS.

Se o 3DS ainda não se popularizou no país, as próprias bandeiras têm parte da responsabilidade pela divulgação tímida da solução para o grande público. Para quem ainda não conhece o processo de autenticação 3DS (faz meu ponto que muita gente ainda não é familiarizado com esta solução), consiste na intervenção do banco emissor durante o processo da compra para confirmar que se trata do portador de cartão quem está usando aquele cartão. Isto significa para o consumidor que logo após ter digitado seus dados de cartão e clicar em pagar, uma interação com o seu banco é apresentada para digitar um código de segurança (token) que confirma sua identidade. Quando a vida toda, o usuário é sensibilizado sobre os riscos de roubo de dados e senhas, em particular com a técnica de phishing (quando sites criminosos que se fazem passar pelo seu banco solicitam senhas – um risco real, aliás!), só uma ampla campanha de divulgação iria evitar que muitos compradores levem um susto e demonstrem relutância a seguir ao se deparar com uma repentina solicitação de senha. 

Com falta de popularização e uma experiência de usuário sofrida na maioria dos emissores até recentemente, os índices de sucesso na etapa da autenticação ficaram aquém do desejável e desqualificaram este método de pagamento na avaliação de muitos varejistas e fintechs.

É preciso ter em mente que no online, a taxa de conversão já é tão pequena (cerca de 2% em média no e-commerce em média) que há pouca margem de manobra para sacrifício de vendas, mesmo em troca de proteção contra fraude. A avaliação dos players é que é melhor administrar o risco de chargebacks, com apoio de especialistas em antifraude do que diminuir o ROI de suas campanhas e o crescimento de suas vendas de maneira geral, sem falar de prejudicar a UX e a fidelização de clientes.

O tempo passou, até o século 21 chegou!

No intervalo, um processo de autenticação novinho em folha foi desenvolvido e implementado mundialmente sob o guidance das principais bandeiras internacionais e nacionais. Embora nossa resiliência continua sendo testada, há motivos para ser otimistas: 

No mês de março 2022, o serviço de autenticação da Lyra registrou um recorde importante. o consumo de seu serviço foi multiplicado por 4 em 12 meses.

Em relação ao mês anterior, o crescimento foi de 100%.

E o horizonte é mais encorajador: neste final de 2022, em outubro mais exatamente, a versão original do 3DS será extinta, para dar espaço apenas à versão mais moderna, a qual traz índices de sucesso empolgantes com os emissores.

O crescimento acelerado do e-commerce no país, o aumento de tíquete médio e infelizmente o surto de tentativas de fraude que acompanhou a digitalização em marcha forçada durante o COVID, todos estes elementos constituem um terreno fertil para uma adoção maior do 3DS pelo mercado.

Neste ano, a Lyra celebra 10 anos de experiência do 3DS no país e mais do que nunca, acreditamos que agora é hora!

O setor de pagamento observa com muita atenção o absoluto sucesso do PIX desde seu lançamento e consequentemente a mudança de cenários que vem causando. Entre eles, especialistas apontam a probabilidade que o cartão de crédito venha a sofrer perda de marketshare com a chegada iminente do PIX garantido: a versão do PIX que se aproxima da experiência do parcelamento.

Certamente o PIX traz vantagens para o Estabelecimento Comercial, o qual pode optar por promover este meio de pagamento através de condições comerciais diferenciadas.

Em condições de preço igual, entretanto, o consumidor deve manter sua preferência para o cartão, pelos benefícios dos programas de fidelidade, mas em particular pela experiência do usuário: O pagamento por PIX requer uma quantidade de etapas para concluir o processo que o deixa muito atrás do pagamento por cartão e mesmo autenticado.

Pagamento com PIX: No checkout, é preciso copiar uma chave, abrir seu app do banco, colar a chave, digitar sua senha e então voltar para o site do varejista para concluir a compra ao verificar que o pedido está devidamente registrado.

Pagamento autenticado com cartão: O processo de compra tem continuidade: um iframe (código que é inserido dentro das páginas do seu site que abre outra página em determinado bloco) exibido logo após ter preenchido os dados de cartão e clicado em pagar: no frame, o emissor avisa o envio de uma push notification no app do banco. Apenas um OK no aplicativo basta para atualizar o iframe e finalizar a compra.

Até que o open finance ganhe o mercado e os iniciadores de pagamento* invadam os checkouts dos varejos online, o pagamento com PIX nas transações online continuará sendo um método de pagar com um atrito significativo no funil de compra.

*iniciadores de pagamento conseguirão simplificar o processo de compra, reduzindo a quantidade de etapas necessárias para concluir um pagamento via PIX.

Há algumas semanas realizamos a primeira transação 3DS 2.0 na América Latina com a última versão de Safekey 2.0 para os titulares de um cartão AMEX.

Safekey 2.0 segue o protocolo 3DS2.x definido pela EMVCO. Para nossa equipe de desenvolvimento foi um orgulho ver como os esforços de tanto tempo dão frutos quando estão em produção, desta vez no Peru. Foi uma transação realizada por meio do nosso parceiro peruano Izipay.

Hoje em dia os estabelecimentos comerciais têm a segurança de que as compras ou pagamentos feitos por seus clientes com cartão de crédito ou de débito com a nossa intermediação têm, em sua maioria, garantia de pagamento. Quer dizer que o banco dono do cartão com que o cliente paga se faz responsável por qualquer fraude que possa acontecer, justamente e principalmente pela autenticação prévia que ele realiza antes de autorizar a transação.

Esse protocolo não só aumenta a segurança das transações mas também a tranquilidade e satisfação dos estabelecimentos comerciais: tudo isso graças a que as compras que fazem seus clientes com cartão por meio da nossa solução estã sendo autenticadas com VISA, Mastercard, CB (França), ELO (Brasil), DINERS/DISCOVER e agora também com American Express. CUP será nossa próxima certificação com o 3DS2.

Uma promissora primeira transação 3DS 2.0

Esperamos poder dar essa notícia nos outros países da América Latina como fizemos agora no Peru logo. Confiamos que as redes/adquirentes e subadquirentes do mercado desta região avancem significativamente em suas tecnologias para facilitar e tornar realidade transações autenticadas por 3DS 2.0 com esse passo da American Express.

Na Colômbia, por exemplo, o Credibanco deve facilitar esse fluxo transacional, do nosso lado já temos tudo pronto para que eles se somem a oferta de segurança para os estabelecimentos comerciais

Uma vez mais e graças ao ritmo incansável da nossa equipe, somos os primeiros a satisfazer as expectativas do mercado. Não nos detemos, evoluímos com as necessidades de nossos clientes e do mercado.

Fale com a Lyra. Queremos mostrar a você tudo o que podemos fazer para ajudar a sua empresa a crescer com segurança.

[Foto: Jonas Leupe @ unsplash]

Comprometida com inovação no mercado de pagamentos, a Lyra Network desenvolveu e acaba de lançar seu MPI (graças ao seu Merchant PlugIn), nova funcionalidade exclusiva para sua plataforma de pagamentos on-line PayZen: a partir de agora, os lojistas que usam PayZen poderão cobrar suas vendas no cartão de débito.

As transações por cartão de débito exigem conexão em tempo real com o banco emissor e o ambiente de internet banking do consumidor para conferir o limite e a senha do cartão. A tecnologia utilizada pelo PayZen para verificar esses dados é chamada de 3DSecure e consiste em autenticar o pagador do pedido. Este processo de autenticação do comprador já tinha sido liberado para os clientes do PayZen no final de 2013, tornando o gateway o único no mercado com esta funcionalidade –  até então limitada a pagamentos por cartão de crédito.

O uso do cartão de débito cresce a taxas entusiasmantes para o setor de meios de pagamento. Segundo dados da Associação Brasileira das Empresas de Cartões de Crédito e Serviços (Abecs), as transações por cartão de débito cresceram 22% no primeiro trimestre de 2014 em relação ao mesmo período de 2013. Para efeito de comparação, os valores de transação por cartão de crédito aumentaram 13%. A soma dos valores transacionados por estes dois meios de pagamento deve atingir um trilhão de reais, marco histórico para o Brasil.

Benefícios comprovados para lojistas

A cobrança no cartão de débito traz vantagens tangíveis para o lojista:

  • Risco de fraude zero: o banco emissor tem que autenticar o comprador durante o processo 3DSecure, por isso fica com responsabilidade em caso de fraude (chargeback)
  • Recebimento à vista em D+1, contra D+30 nas cobranças por cartão de crédito
  • Custo de adquirência reduzido em relação ao cartão de crédito
  • Processo de compensação em tempo real, ao contrário de pagamentos por boleto, permitindo que a cadeia logística do e-commerce flua 100%.

Como o foco do varejo on-line é a rentabilidade, essas vantagens devem fazer com que o pagamento com cartão de débito ganhe cada dia mais espaço no mercado de e-commerce, onde o chargeback e as margens apertadas são uma preocupação constante.

Tudo indica que o processo de cobrança por cartão de débito se torne uma das principais alavancas para popularização do pagamento 3DSecure, que assegura também as transações por cartão de crédito.

Quer saber como aceitar pagamentos por cartão de débito no seu e-commerce? Fale com a gente.

 

O portal O Globo, em seu caderno Economia com tema Defesa do Consumidor, listou cinco dicas para evitar fraudes e a Lyra Network foi consultada para a matéria.

Jerome Pays falou em nome da empresa – que tem expertise em segurança de transações eletrônicas no setor cartão presente e não presente (televendas e e-commerce, atuando com a plataforma PayZen).

“Dados da Serasa apontam que o Brasil teve prejuízo de R$ 2,3 bilhões em 2013, causado por fraudes, sendo cerca de R$ 500 milhões em e-commerce e mais de R$ 600 milhões em operações bancárias. O país é o quinto no ranking mundial de golpes com cartão de crédito, atrás apenas dos Estados Unidos, de México, dos Emirados Árabes e do Reino Unido.”

[Clique aqui para ler o conteúdo completo]

O comércio de produtos e serviços pela internet avança batendo recordes a cada mês. Entre os principais motivadores dessa modalidade de compra estão a facilidade em pesquisar preços, a comodidade de realizá-la de qualquer lugar e a possibilidade de pagamento com cartão.

Para entender o processo de autorização de uma transação de crédito ou débito é necessário conhecer os players envolvidos nessa operação:

  • Emissor do cartão: geralmente um banco, é quem tem o relacionamento com o portador do cartão, no caso, o comprador.
  • Adquirente : é a empresa que tem o relacionamento com o estabelecimento comercial, como Cielo, Rede, Elavon, Global Payments, Santander/Getnet, Banrisul.
  • Bandeira : São as empresas administradoras das marcas Visa, Mastercard, Diners etc.

Num pagamento pela internet, o seguinte fluxo é realizado:

  1. Os dados do cartão são solicitados. Esse ponto é extremamente importante e sensível. O comprador deve prestar atenção a sites não confiáveis que possam eventualmente coletar seus dados de cartão para operações fraudulentas. O ideal é verificar se o site possui o certificado PCI-DSS ou se utiliza um gateway de pagamento com esse certificado – como a plataforma PayZen, da Lyra Network;
  2. Os dados do cartão, assim como o valor da transação, código do estabelecimento e outras informações são encaminhados ao adquirente;
  3. O adquirente realiza uma série de verificações e, após a validação das informações, esses dados são repassados ao banco emissor;
  4. O banco emissor revalida alguns dados e verifica a disponibilidade de saldo/crédito para aprovar ou não a transação;
  5. A resposta (Autorizado ou Não) é transmitida ao comprador para confirmar a compra, seguindo o caminho inverso (banco > adquirente > gateway > loja > comprador).

Diminuindo a taxa de chargeback e aumentando a rentabilidade

Um dos grandes riscos das empresas que operam com vendas pela internet é de não receber o valor devido de uma transação previamente aprovada, pois o portador do cartão não reconheceu o lançamento em sua fatura e solicitou ao banco, emissor do seu cartão, o estorno do valor. Esse é o famoso processo de chargeback, onde quem assume o prejuízo, por se tratar de uma transação de cartão não presente, é o estabelecimento comercial.

Na maioria dos casos, o comprador é honesto e foi vitima de roubo dos dados do seu cartão, Mas em certos casos, sobretudo quando o produto adquirido é um serviço, o comprador pode agir de má fé e solicitar o cancelamento da compra depois de ter consumido o serviço. Em ambos, o prejuízo é assumido pelo lojista, o que pode pesar na rentabilidade da loja e até inviabilizar certos negócios quando são muito expostos a esse tipo de fraude.

As lojas podem se proteger desse tipo de fraude graças a um sistema de autenticação do portador do cartão, chamado MPI (Merchant Plug In). O MPI deve ser certificado pela Visa e pela Mastercard e é executado antes do envio da transação ao adquirente. Ele viabiliza a execução do processo de autenticação chamado 3DSecure adotado pela Visa e pela Mastercard (denominado por estes respectivamente como Verified By Visa e Mastercard SecureCode).

Garanta sua segurança ao comprar online

Com a utilização do processo 3DSecure, realizado com um sistema MPI, o fluxo transacional muda:

  1. Os dados do cartão são solicitados, conforme o fluxo normal descrito anteriormente;
  2. Antes de solicitar a autorização da transação para o Adquirente, os dados do cartão são encaminhados ao DS (Directory Server) da Visa ou da Mastercard que verifica se o estabelecimento e o cartão estão cadastrados no programa de autenticação 3DSecure. O cadastro do cartão do usuário e do estabelecimento no programa 3DSecure é conhecido como enrolment e é realizado em duas etapas distintas e independentes, são elas:
  • O estabelecimento será cadastrado no DS da Visa e da Mastercard por um processo automático que envolve a abertura de um canal de comunicação seguro e criptografado entre o MPI e o DS da VISA e da Mastercard para o envio de um arquivo específico, chamado “MAF file” (Merchant. Authentication File). Esse cadastro também poderá ser realizado pelo adquirente através de uma ferramenta específica fornecida pela Visa e pela Mastercard;
  • O cartão do usuário será cadastrado através do site do banco emissor ou através do próprio ACS (Access Control Server) do banco. O processo de enrollment do cartão pode ser diferente para cada banco, pois dependerá do ACS utilizado e das regras de segurança pré-definidas. Alguns bancos permitem o cadastramento do cartão no momento da autenticação do mesmo, outros solicitam que o usuário realize o cadastro antes de uma tentativa de compra.

3.  Se a condição acima for satisfeita, a Visa ou a Mastercard retornam ao MPI utilizado pelo site da loja o endereço eletrônico (URL) do banco emissor do cartão, onde o usuário será autenticado.

4.  O usuário será direcionado para o processo de autenticação do seu banco, que é realizado por uma ferramenta chamada ACS (Access Control Server). A autenticação do usuário pode ser diferente para cada banco, alguns bancos solicitam ao usuário o número gerado pelo seu token físico, outros solicitam a resposta à perguntas previamente cadastradas, e outros encaminham um código via SMS para o celular do comprador, código esse que será solicitado na página de autenticação. O importante é que o comprador utiliza um processo rápido e conhecido por ele, muitas vezes o mesmo utilizado para acessar ao seu internet banking.

5.  Feita a autenticação, o MPI recebe do banco emissor um código (criptograma) indicando o sucesso ou não da autenticação e outro código que indicará o liability shift, ou seja, de quem será o risco da transação.

  • O liability shift dependerá do sucesso ou não da autenticação, se o cartão é local ou internacional, pessoal ou corporativo e das regras definidas no país pelos bancos, adquirentes e bandeiras;
  • Em linhas gerais, sempre que a autenticação ocorrer com sucesso, o código de liability shift indicará que o risco da transação será do banco emissor.

6.  O processo de autenticação realizado pelo MPI é totalmente independente do processo de autorização da transação. Isso significa que o lojista pode utilizar um MPI independente, desde que este seja homologado pela Visa e pela Mastercard e que esteja autorizado por um ou mais adquirentes a realizar o processo 3DSecure. A vantagem em utilizar um gateway de pagamentos, que possui um MPI independente, é o fato de realizar uma única integração entre o gateway e o site do estabelecimento e ter o controle para a apresentação ou não de transações que não foram autenticadas com sucesso. O risco e a taxa de perda de vendas passam a ser de controle da loja, o que não ocorre quando a loja contrata o serviço de um facilitador, por exemplo.

7. Se a autenticação ocorreu com sucesso, o gateway de pagamento (ou a loja) retoma o fluxo normal de transação e encaminha ao adquirente todos os dados do cartão, do estabelecimento, valor da compra e a assinatura digital recebida do banco, para solicitar a autorização.

8. O adquirente realiza o processo normal de autorização da transação, porém indica que se trata de uma transação autenticada, desta maneira o estabelecimento corre o risco de chargeback na transação.

Vantagens para a cadeia do negócio

Embora essa operação adicione uma etapa ao fluxo transacional, agrega vantagem em toda a cadeia do negócio:

  • O banco, que assumirá o risco da transação, terá a oportunidade de autenticar o comprador antes que a transação seja encaminhada ao adquirente, minimizando consideravelmente o risco de fraude;
  • O estabelecimento terá a certeza de que receberá pela venda realizada e não terá que aguardar por longos processos manuais de análise de risco;
  • O comprador terá a garantia fornecer seus dados de cartão a um ambiente seguro;
  • adquirente aumentará o volume de negócios em função do aumento da confiança de toda a cadeia e da abertura de novas possibilidades de venda de serviços pela internet, que atualmente não são realizadas, devido ao risco de chargeback.

Mudança de cenário para o comércio eletrônico

Esse processo de autenticação representa uma evolução importante no cenário atual do e-commerce no Brasil e, como toda novidade, deve passar por um período de adaptação cultural que certamente gerará críticas e dúvidas com relação ao passo adicional necessário para a autenticação, mas que será um diferencial para as empresas que o adotarem.

A partir de 2014, Visa e Mastercard incentivarão os portadores de cartão no Brasil a fazer a ativação dos seus cartões no programa 3DSecure. Esse movimento, promovido pelas bandeiras e os bancos, deve contribuir de forma significativa para o crescimento desse mercado e para a redução de fraudes.

verified-visa-securecode

 

A Lyra Network é a primeira empresa no Brasil a fornecer um gateway de pagamento com o certificado PCI-DSS e um MPI próprio homologado pela Visa e pela Mastercard para a realização dos processos Verify By Visa e Mastercard SecureCode, o que garante à empresa vantagem competitiva, aos estabelecimentos comerciais a possibilidade de realizar transações garantidas sem pagar um percentual adicional pela transação e ao comprador a certeza de que seus dados serão adquiridos por um ambiente seguro.