Descubra o que é SCA (Strong Customer Authentication, autenticação forte do cliente), quando necessário, e como garantir que sua empresa esteja em conformidade.

Em 14 de setembro de 2019, a Strong Customer Authentication (SCA) tornou-se uma exigência para as empresas que processam pagamentos online na Europa. Esses requisitos faziam parte da Diretiva de Serviços de Pagamento Revisado (PSD2).

Neste artigo, discutiremos tudo o que você precisa saber para estar em conformidade com a SCA. Abordaremos exatamente o que é SCA, quais transações são isentas ou fora de escopo e como a SCA se aplica ao seu negócio.

O que é a autenticação forte do cliente (SCA)?

A SCA é uma exigência europeia introduzida para tornar os pagamentos on-line mais seguros e reduzir o risco de fraude. Essa exigência se aplica aos pagamentos on-line feitos na Área Econômica Europeia (EEE), Mônaco e Reino Unido.

Em suma, a SCA significa que os compradores na Europa podem precisar completar níveis extras de autenticação quando pagam online.

Esses níveis de autenticação envolvem pedir aos clientes dois dos três seguintes: algo que eles sabem, algo que possuem e algo que eles são.

Você pode descobrir quais tipos de informações estão incluídas nessas categorias na imagem abaixo.

image

Antes da SCA, os bancos emissores só podiam desafiar os clientes com uma única senha estática. Esses novos pontos de dados dinâmicos verificam as identidades dos usuários com mais precisão.

Saiba mais sobre o SCA e como ele se encaixa no PSD2 neste resumo do vídeo:

Exemplos de forte autenticação do cliente

Com o SCA, há mais maneiras de autenticar os compradores do que o tradicional “algo que eles conhecem” (como uma senha). Agora você pode combinar outros pontos de dados, desde que sejam de pelo menos duas categorias diferentes.

Por exemplo:

Reconhecimento facial ou impressão digital (algo que eles são) com seu smartphone (algo que eles possuem) Um código enviado para seu smartphone (algo que eles possuem) com uma senha pessoal (algo que eles sabem)

image

Exemplos de SCA: combinando uma impressão digital ou um código de autenticação único enviado para um smartphone com seu login de conta

Embora o aumento da autenticação seja agora necessário, mais pontos de dados estão disponíveis para escolher. Isso deve tornar mais fácil para o cliente autenticar um pagamento e, em última análise, levar a menos drop-offs.

Datas-chave: quando a autenticação forte do cliente entrou em vigor?

Os requisitos de Autenticação forte do Cliente (SCA), como parte do PSD2,foram oficialmente apresentados em 14 de setembro de 2019. Mais tarde, a Autoridade Bancária Europeia prorrogou este prazo para 31 de dezembro de 2020 devido à falta de prontidão do setor.

Até o momento, todos os países da EEE estão aplicando os requisitos do PSD2 SCA. No Reino Unido, a data final de implementação foi adiada para 14 de março de 2022.

Desde a aplicação plena do PSD2, todos os comerciantes dentro do EEE devem estar prontos para a SCA.

Como funciona a autenticação forte do cliente na prática?

A implementação do SCA difere dependendo do método de pagamento.

Para cartões de crédito e débito, o 3D Secure geralmente é aplicado. Carteiras eletrônicas e outros métodos de pagamento locais geralmente fornecem sua própria etapa de autenticação compatível com SCA. Saiba mais sobre esses dois tipos abaixo.

3D Secure

O protocolo 3D Secure fornece uma camada extra de autenticação para verificar a identidade do cliente. É apoiado pela maioria das empresas europeias de cartões de débito e crédito.

Uma vez que o cliente complete a etapa SCA, o banco emissor, não o negócio, torna-se responsável por quaisquer chargebacks fraudulentos.

O 3D Secure 2 (3DS2) oferece uma experiência mais fácil de usar do que o 3D Secure 1 (3DS1). Cada versão é compatível com SCA, mas recomendamos que você suporte tanto o 3D Secure 1 quanto o 3D Secure 2.

Métodos de pagamento locais e carteiras eletrônicas

Além do 3D Secure, você também pode garantir que você atenda aos requisitos de SCA com métodos de pagamento locais e carteiras móveis. Estes têm a vantagem adicional de aumentar as taxas de conversão em certos mercados e casos de uso.

Em todo o EEE, vemos métodos de pagamento locais convertendo bem, por exemplo:

  • Bancontact Mobile na Bélgica
  • iDEAL na Holanda
  • MobilePay, Vipps e Swish na Noruega, Suécia, Dinamarca e Finlândia
  • EPS na Áustria
  • Blik na Polônia
  • MBWay em Portugal

Carteiras eletrônicas internacionais como Apple Pay e Google Pay™ também fornecem fluxos de checkout que atendem aos novos requisitos de SCA. Para obter mais detalhes, visite nossa página de documentação do SCA.

Quando é aplicada a autenticação do cliente Strong?

SCA é necessário para pagamentos europeus on-line. Isso significa que tanto o negócio quanto o banco do titular do cartão estão na Europa. Também estamos vendo mais regiões, como a Índia, começarem a introduzir a SCA como uma exigência.

Mas existem algumas transações isentas de SCA ou fora do escopo PSD2 SCA. Abaixo você pode encontrar uma extensa lista das transações específicas onde este é o caso.

SCA: transações isentas ou fora de escopo

As isenções da SCA visam manter a jornada do cliente sem atritos para cenários específicos de pagamento. As transações fora de escopo não são cobertas pelo mandato do PSD2 e não exigem SCA.

Abaixo está uma lista das transações isentas ou fora do escopo mais relevantes.

Observe se você ou seu adquirente solicitar uma isenção e a solicitação for aceita pelo emissor, a responsabilidade permanece com você. Se a isenção for aplicada pelo emissor, a responsabilidade passa para o emissor.

Isenções de SCA

Transações de baixo risco - Análise de Risco de Transação (TRA)

Transações através de adquirente ou emissor cujo nível de fraude está abaixo de um certo limite.

Certos adquirentes, como a Adyen, analisam o risco envolvido em cada transação “no escopo”, para cumprir os requisitos da TRA. Se o adquirente achar que uma transação é de baixo risco, pode solicitar uma ‘isenção tra’ para tentar pular o SCA.

Mas, isso só é possível se as taxas de fraude do adquirente ou emissor estiverem abaixo dos seguintes limites:

  • 0,13% para valores entre €0 e €100 EUR
  • 0,06% para valores entre €100 e €250 EUR
  • 0,01% para valores entre €250 e €500 EUR

No final, o emissor decide se aceita ou se aplica a SCA.

Transações de baixo valor

Transações abaixo de €30 e pagamentos acumulados acima de €100 no mesmo cartão.

As transações abaixo de €30 EUR são isentas da SCA. Mas o banco emissor acompanhará quantos pagamentos são feitos usando essa isenção.

SCA é necessário se o valor total tentado no cartão for superior a €100 EUR, e a cada cinco transações.

Beneficiários confiáveis

Certos comerciantes confiáveis escolhidos pelo titular do cartão.

Os clientes podem atribuir empresas a uma lista branca de ‘Beneficiários Confiáveis’. Esta lista é mantida pelo banco deles. Os comerciantes da lista branca, qualquer que seja o valor da transação, podem ser isentos da SCA.

Isso permite que os clientes regulares pulem principalmente o SCA com as empresas que escolheram para a lista branca.

Transações recorrentes

Transações recorrentes de valor fixo após o primeiro pagamento.

As transações recorrentes de valor fixo serão isentas da segunda transação em diante. Apenas a transação inicial requer SCA. Mas, se o valor da transação mudar, o SCA será necessário para cada novo valor.

Ou, você também pode sinalizar esses tipos de pagamentos como uma Transação Iniciada por Comerciante (MIT) que estão fora do escopo dos requisitos do PSD2 SCA. Saiba mais sobre os MITs abaixo.

Transações B2B

Pagamentos entre corporações.

Os pagamentos feitos entre duas corporações podem ser isentos da SCA. Mas, isso só é possível quando o método de pagamento é um instrumento de pagamento dedicado a fazer tais pagamentos B2B.

image

SCA fora de transações de escopo

Transações MOTO

Pagamentos via telefone ou email.

As Ordens de Encomendas e Telefone (MOTO - Mail Order and Telephone Orders) estão isentas da SCA em todos os casos. As transações MOTO não são consideradas pagamentos ‘eletrônicos’, por isso estão fora do escopo.

Transações iniciadas pelo Comerciante (MITs)

Transações sem envolvimento direto do cliente.

As transações iniciadas pelo Comerciante (MITs) são transações que não envolvem diretamente o cliente. O pagamento é retirado de um cartão salvo com o consentimento prévio do cliente em uma data agendada.

Por exemplo, alguns produtos têm um custo variável baseado no uso, como contratos de energia. O primeiro pagamento, ou a primeira vez que o cartão é salvo, sempre precisa ser autenticado. Mas os seguintes pagamentos podem pular o SCA se marcados como uma “Transação Iniciada pelo Comerciante”.

Transações inter-regionais

Pagamentos envolvendo empresas ou clientes não europeus.

Transações inter-regionais, também conhecidas como transações de uma perna,são pagamentos onde o emissor ou o adquirente do cartão não está sediado no EEE, Mônaco ou no Reino Unido.

Esses tipos de transações também são consideradas fora de escopo. O que significa que as empresas europeias podem aceitar pagamentos de compradores não europeus sem os requisitos do PSD2 SCA.

Lista completa de transações isentas e fora de escopo

Muitas isenções e cenários fora do escopo que dependem fortemente do banco, do esquema e da interpretação regulatória.

Você pode encontrar uma lista de todas as isenções nas normas técnicas oficiais de regulação sobre autenticação forte do cliente e comunicação segura sob PSD2.

image

O que acontece se você não estiver em conformidade com a SCA?

As regulamentações do PSD2 SCA são para bancos, não para comerciantes. A emissão de bancos que aprovam transações não conformes está violando a lei em seu país de origem.

O risco para o comerciante é o banco recusar suas transações, o que causa taxas de autorização mais baixas.

Como garantir o cumprimento do SCA com a Adyen

Com a Adyen, você pode escolher o nosso Mecanismo de Autenticação para lidar com a conformidade PSD2 SCA para você, ou você mesmo pode gerenciá-lo.

Com o Mecanismo de Autenticação Adyen, não acionaremos o 3D Secure para transações ou isenções fora do escopo. Também pularemos o 3D Secure se o banco emissor não aplicar o 3D Secure.

Se você quiser gerenciar a conformidade PSD2 SCA você mesmo, a Adyen oferece duas opções. Você pode:

  • configurar regras com Adyen Dynamic 3D Secure
  • especificar preferências em sua solicitação de API.

Para obter mais informações sobre como implementar qualquer uma dessas opções, confira nossa página de documentos de conformidade do SCA.

Artigo Original