Autenticação Forte do Cliente: o que os negócios de ecommerce precisam saber

A Autenticação Forte do Cliente é um requisito de segurança da União Europeia para pagamentos sem contato, online e móveis. Saiba mais com a Mollie.

A Autenticação Forte do Cliente é um requisito de segurança da União Europeia para pagamentos sem contato, online e móveis. Saiba mais com a Mollie.

Iryna Agieieva

Chefe de produto - pagamentos

A Strong Customer Authentication (SCA) é um requisito de segurança da União Europeia para pagamentos sem contacto, online e móveis. A Strong Customer Authentication faz parte da Diretiva de Serviços de Pagamento revista (PSD2/PSD3), desenvolvida para melhorar o sistema existente de notificação de palavra-passe única (OTP). Pedir aos clientes para autenticarem a sua compra com uma confirmação por TAN ou SMS fazia sentido há 10 anos, mas a tecnologia de pagamentos eletrónicos evoluiu. E os defraudadores encontraram lacunas. A diretiva PSD2 exige uma identificação de dois fatores no Checkout. O ónus da autenticação cabe ao banco do cliente, mas é sua responsabilidade, enquanto negócio online, integrar os processos para estas verificações. Então, como é que este novo requisito de autenticação vai afetar o seu negócio? Será que a redução da fraude vai compensar a maior fricção no Checkout? Vamos analisar.


Quando é que a Autenticação Forte do Cliente entrou em vigor?

A Autoridade Bancária Europeia aprovou a SCA em 2019; no entanto, a nova regulamentação só foi aplicada ao comércio eletrônico na UE em 1 de janeiro de 2021. No Reino Unido, a regulamentação foi aplicada aos pagamentos presenciais em 15 de setembro de 2021.


O que é a identificação em duas etapas no checkout?

A Autenticação Forte do Cliente exige que a autenticação do cliente inclua pelo menos dois dos seguintes elementos:

  1. Algo que só o cliente sabe

  2. Algo que só o cliente possui

  3. Algo que só o cliente tem

Algo que só o cliente sabe

Este pode ser uma senha, pin, ou a resposta a uma pergunta específica. Isso geralmente é feito por uma senha já existente ou um número de 4 a 6 dígitos enviado por mensagem de texto. 

Algo que só o cliente possui

Os exemplos incluem um telemóvel, gerador de tokens, leitor de cartões, computador de secretária, tablet, ou qualquer outro dispositivo autorizado. Esta parte da verificação é feita sem a intervenção ativa do cliente. 

Algo que só o cliente tem

Em essência, isto refere-se a algum tipo de dado biométrico. O Face ID ou impressões digitais são bons exemplos. A Autenticação Forte do Cliente exige que cumpra as condições de autenticação de dois fatores para ajudar a reduzir a probabilidade de atividades fraudulentas. Por exemplo, ajuda a manter os dados sensíveis do cliente seguros e privados de partes externas. 

Quando é que a Strong Customer Authentication se aplica?

A Autenticação Forte do Cliente (SCA) é ativada quando um cliente inicia uma transação online, e tanto o banco do cliente quanto o seu banco estão localizados na UE ou no Reino Unido. Se estiver a reembolsar dinheiro a um cliente, por exemplo, a SCA não se aplica porque a transação foi iniciada pela empresa. Se o banco do seu cliente estiver localizado nos EUA e o seu banco estiver na UE (ou vice-versa), então a SCA também não se aplica.

Quais transações estão isentas de Strong Customer Authentication?

A UE sabe que exigir passos adicionais numa compra online introduz fricção durante uma fase sensível do processo de vendas. Para ajudar a reduzir esta fricção, foram criadas algumas exceções às regras do SCA. As seguintes transações estão isentas de SCA:

Transações de baixo risco 

Um fornecedor de pagamentos bem estabelecido pode ter permissão para calcular o risco de fraude de uma transação e determinar se deve ou não ativar o SCA. Em termos gerais, a isenção exige que o nível de fraude comunicado pelo fornecedor de serviços de pagamento seja inferior às taxas de fraude de referência em toda a UE para o mesmo tipo de transações. Outros fatores de cálculo incluem o facto de o valor da transação ser inferior a 500 € e o comportamento e a localização geográfica do cliente relativamente ao comportamento normal para esse método de pagamento online.

É importante que saibas que esta avaliação é feita pelo fornecedor de serviços de pagamento e não tem qualquer relação com a saúde ou o perfil do teu negócio.

Pagamentos de baixo valor

Se o cliente tiver feito menos de cinco pagamentos nas últimas 24 horas ou se a soma dos pagamentos nas últimas 24 horas for inferior a 100 €, a transação é normalmente considerada isenta.

Pagamentos recorrentes

Quando faturas o teu cliente mensalmente através de cartão de crédito ou débito, o SCA só é aplicado no primeiro pagamento. Se o valor mudar todos os meses, o SCA poderá ser aplicado. Os pagamentos recorrentes correspondem habitualmente a faturas de serviços regulares, subscrições ou prestações. Os pagamentos recorrentes geridos através de débito direto SEPA têm os seus próprios procedimentos de segurança e estão completamente separados das proteções do SCA.

Membros da lista de permissões

Se o teu cliente utilizar um cartão de crédito comercial, ou seja, um cartão emitido pela conta empresarial de outra empresa, qualquer transação estará provavelmente isenta, uma vez que a PSD2 não se aplica a compras B2B.

Como funciona a SCA com carteiras digitais?

A Autenticação Forte de Cliente permite pagamentos rápidos e seguros com opções de carteiras digitais como Apple Pay e Google Pay. Lembre-se, uma transação precisa atender a apenas dois dos três requisitos da SCA para funcionar. Como as carteiras digitais são geralmente usadas em telemóveis ou tablets, que também têm algum tipo de FaceID ou capacidade de impressão digital, dois dos três requisitos já são cumpridos. Não importa se o cliente escolhe um cartão de crédito ou um cartão de débito para pagar. Desde que o banco deles permita que esse cartão seja registado no ApplePay ou Google Wallet, eles estão prontos para prosseguir.

Como implementas SCA?

Você é obrigado a cumprir os novos requisitos SCA se estes critérios se aplicarem:

  • O seu negócio está localizado na Área Económica Europeia, ou você realiza pagamentos em nome de contas conectadas baseadas na AEE

  • Os seus clientes estão na AEE

  • Você aceita cartões de crédito ou débito

A maneira mais fácil de fazer isso é usar um gateway de pagamento compatível com SCA, como a Mollie.

Se você estiver trabalhando com um gateway de pagamento personalizado, os seus desenvolvedores precisarão certificar-se de que adicionaram as camadas adicionais de autenticação ao fluxo de checkout do seu site. As verificações extras permitem que os bancos verifiquem as informações dos clientes através do processo de identificação em duas etapas. 

Para descobrir mais dicas relevantes para manter os pagamentos do seu ecommerce seguros e em conformidade, entre em contato com a Mollie. Cadastre-se hoje e comece a oferecer métodos de pagamento seguros na sua loja online.

Mais atualizações

Fica atualizado

Nunca percas uma atualização. Recebe atualizações de produtos, notícias e histórias de clientes diretamente na tua caixa de entrada.

Form fields

Índice

Índice

MollieCrescimentoAutenticação Forte do Cliente: o que os negócios de ecommerce precisam saber
MollieCrescimentoAutenticação Forte do Cliente: o que os negócios de ecommerce precisam saber
MollieCrescimentoAutenticação Forte do Cliente: o que os negócios de ecommerce precisam saber
MollieCrescimentoAutenticação Forte do Cliente: o que os negócios de ecommerce precisam saber