voltarVoltar

3DS, 2FA, OCR, SCA: estas siglas podem acabar com fraudes digitais?

Redação AllowMe
Siga no Linkedin

2FA, MFA, SCA, 3DS, OCR… Algumas siglas se tornaram parte do vocabulário quando falamos de vendas e pagamentos digitais – e geram expectativa sobre a capacidade de identificar e mitigar fraudes.

Entenda neste artigo como isso pode ocorrer e o que essas siglas significam:

2FA

Os fatores de autenticação (FA) têm se tornado uma importante ferramenta de prevenção a golpes cibernéticos, pois solicitam mais credenciais de um cliente para a realização de ações (como login ou transações financeiras, por exemplo) e, consequentemente, dificultam a vida de um atacante.

2FA nada mais é do que um duplo fator de autenticação, ou seja, para proteger sua conta, você coloca um passo a mais que vai dificultar que o ataque seja concluído. Assim, o 2FA exige que você apresente duas credenciais, sendo uma delas algo que você sabe (a senha) e a outra algo que você tem, que é seu aparelho celular (quando o segundo fator vem de um código enviado por SMS, por exemplo).

Você já deve ter se deparado com isso e até mesmo utiliza este processo, como para acessar o Whatsapp.

MFA

A sigla MFA significa Múltiplos Fatores de Autenticação. Todo aplicativo que possui 2FA tem um múltiplo fator de autenticação (MFA). No entanto, enquanto no 2FA são solicitadas duas credenciais, no MFA são solicitadas três ou mais. Ou seja, além de o acesso exigir algo que você sabe (a senha) e algo que você tem (o aparelho celular), ele ainda pede algo que você é (um reconhecimento facial, por exemplo).

No fim, os dois têm o mesmo objetivo: deixar a conta mais segura e a proteger de ataques e acessos não autorizados. Quem vai definir se serão necessários dois ou mais fatores de autenticação é a plataforma, pensando no bem-estar do cliente.

O AllowMe possui esse recurso, deixando o ambiente digital de nossos clientes seguro e, ao mesmo tempo, trazendo comodidade ao usuário, já que ele não precisa ficar fazendo diversos passos para conseguir a autenticação.

Em vez de pedir para o usuário colocar as credenciais toda vez que for acessar a plataforma, o AllowMe analisa os dados, verificando o dispositivo, a geolocalização, o IP, a rede WI-FI utilizada, entre outros, e, após casar as informações, libera ou não o acesso, lançando um desafio de MFA. A ideia é manter o ambiente o mais seguro possível e, de quebra, melhorar a experiência do usuário.

SCA

Essa é uma sigla importante e se trata de um pacote de medidas de segurança adotadas para proteger de fraude os e-commerces da União Europeia. Ela significa “Strong Customer Authentication”, ou, em uma tradução livre, “Autenticação Forte do Cliente” e começou a ser implantada em setembro de 2019.

Aprovado pelo parlamento europeu em 2015, o SCA está totalmente ligado à autenticação de dois fatores. A ideia do projeto é não permitir que qualquer transação on-line feita no continente seja concluída sem o uso da autenticação de dois fatores.

Isso significa que, em toda compra, por exemplo, o consumidor vai precisar de um outro elemento para validar. É como se você entrasse no site de um grande varejista para comprar uma geladeira e, antes de finalizar, recebesse um SMS com um código que deverá ser colocado no site para confirmar a autenticidade da transação.

Mas o processo ainda está em implantação e teve vários atrasos. O prazo inicial havia sido estipulado para 2019, foi postergado para 31 de dezembro de 2020 para maior parte, sendo que a Inglaterra tinha como meta colocar até março de 2021.

Isso significa que ainda não dá para se saber realmente o impacto que o SCA trouxe para a Europa. Contudo, logo que a ideia foi lançada, alguns problemas foram previstos por especialistas. Primeiro que, por não compreender corretamente as regras, provavelmente alguns consumidores vão abandonar seus carrinhos.

Além do mais, a União Europeia possui cerca de 6 mil bancos, e há o risco de nem todos interpretarem as regras da mesma forma. Isso faria com que nem todos os bancos utilizassem os mesmos métodos para fazer a autenticação, trazendo uma experiência ruim para o usuário final.

Ou seja, o SCA faz parte de um processo bastante desafiador, mas a intenção é a de que reduza, e muito, o número de fraudes.

3DS

Esta é uma das siglas que mais vem ganhando espaço entre os especialistas antifraude. “3 Dynamics Authentication” (3DS) não é exatamente uma novidade no mercado, mas promete revolucionar as transações on-line – especialmente com a introdução da versão 2.0 deste protocolo: o 3DS 2.0.

Alguma vez você já foi transferido para o site do banco na hora de finalizar uma compra e teve de colocar, por exemplo, a senha do seu cartão? É algo que pode ter causado até uma desconfiança naquele momento – e muita) pessoas até desistem da compra -, mas isso é apenas uma parte do processo original do 3DS.

O 3DS envolve o banco, o comércio e o usuário. Nesse procedimento, quando o usuário realiza uma compra no site do lojista, ele é direcionado para a página do banco, que vai tentar autenticar que aquela pessoa é mesmo o usuário (não necessariamente solicitando a senha). O banco pode tentar qualquer tipo de autenticação – alguns pedem senha, outros solicitam a instalação de um Guardião, outros enviam SMS.

Esse é um dos problemas do protocolo 1 do 3DS. Imagine, por exemplo, um usuário tentando realizar a compra de um ingresso para um show e, de repente, lhe seja solicitado que baixe um aplicativo para confirmar a compra. Pode ser que nesse meio tempo ele saia da fila e perca o tão esperado concerto do seu artista favorito.

Mas você pode se perguntar: mas isso não pode trazer uma baixa taxa de conversão? Qual a vantagem? Bom, de certa forma, você está certo. A taxa de conversão dentro do 3DS costuma ser baixa, na casa dos 48%, segundo o Global Payment Regulation & Authentication Report, publicado pela Ravelin, em 2019, mas não necessariamente isso é algo ruim para o e-commerce.

Tudo vai depender de como a implantação do 3DS se dá. Primeiramente, a vantagem é que as compras autenticadas por meio desse método são de responsabilidade do banco, ou seja, o lojista fica isento de qualquer responsabilidade quanto a chargebacks.

Portanto, se utilizado da maneira estratégica, o 3DS, além de proteger o e-commerce, pode também fazer com que o lojista recupere algumas vendas que seriam perdidas. A ideia principal é a de que o 3DS seja utilizado apenas para um público específico, como por exemplo um usuário que por algum motivo não seria aceito pelo seu sistema antifraude.

Caso isso ocorresse, o lojista perderia a venda, mas não necessariamente estaria evitando uma fraude – pode ser que seja apenas um problema do usuário. Para casos como esses o 3DS seria fundamental, já que o lojista não teria o risco do chargeback e teria o pagamento aprovado pelo próprio banco.

Desse modo, a visão muda. Em vez de o lojista pensar que o 3DS bloqueia cerca de 52% de suas vendas, ele passaria a ver que, na verdade, ele está recuperando 48% das vendas que seriam perdidas por algum problema que poderia ser resolvido.

Nos últimos anos, as operadoras de cartão de crédito estão trabalhando arduamente para modernizar este protocolo. No 3DS 2.0, a promessa é de que a jornada de autenticação do cliente se dê de maneira mais fluida e sutil, sem aquele pop-up que muitas vezes é barrado por bloqueadores de pop-up.

Há risco de fraudes aos bancos?

Você pode pensar que, ao fazer isso, os lojistas mandariam todas as fraudes para o banco e se contentaria com aqueles consumidores que estivessem apenas com alguns problemas. Mas acaba que isso não é real.

As bandeiras de cartão possuem uma espécie de acordo de score, que estipulam uma quantidade máxima de fraudes que cada e-commerce pode ter. Portanto, mesmo que a fraude não recaia financeiramente sobre a loja, já que o banco assume os chargebacks, o problema entraria como estatística de fraude para o lojista, o que pode ocasionar alguns problemas futuros, como o bloqueio de vendas com determinada bandeira.

Experiência do usuário

Voltemos agora ao ponto inicial, o momento da autenticação do usuário. Esse é um dos piores pontos, já que prejudica muito a experiência do usuário. E foi percebendo este movimento que foi pensado numa espécie de protocolo 2 do 3DS.

A ideia desse protocolo era criar um método único onde os desafios dos bancos fossem semelhantes e não tivesse que fazer o usuário sair da plataforma do e-commerce para fazer a validação.

Em termos práticos, o lojista continua enviando para o banco os dados do usuário para que a compra seja validada, mas o cliente nem percebe que este movimento ocorreu.

OCR

O OCR (Optical Character Recognition, ou Reconhecimento Ótico de Caracteres) é uma tecnologia que permite o mapeamento e o reconhecimento de letras e palavras em imagens. Esta funcionalidade possui diversos casos de uso, mas, no nosso cenário, aplica-se diretamente na validação de documentos.

Quando um cliente envia a imagem do RH ou da CNH para realizar um cadastro ou abrir uma conta digital, é a tecnologia de OCR que é responsável por extrair as informações da foto do documento e realizar uma análise prévia daquele documento – combinado a uma poderosa inteligência artificial para realizar este processo com mais eficácia e em menos tempo.

O que estas siglas têm a ver com o AllowMe?

Nossa plataforma, além de já possuir nativamente a funcionalidade de múltiplo fator de autenticação (MFA), pode ajudar empresas (sejam elas e-commerces, bancos digitais, super apps, meios de pagamento ou qualquer serviço digital) a otimizar o fluxo de proteção de identidades digitais, análise de pagamentos e prevenção à fraude.

Se você possui uma estratégia de aquisição de clientes, será que faz sentido você solicitar um documento de identificação a cada cadastro – sem nem saber se a pessoa utilizará a sua plataforma, ou se a usará para realizar transações de baixo valor e sem risco aparente?

Ou, se você está em um período de alta sazonalidade e quer fomentar vendas on-line, faz sentido enviar desafios de MFA ou de 3DS para 100% das suas transações? Mesmo para aqueles clientes super leais?

O AllowMe ajuda negócios digitais a proteger as identidades de seus usuários a partir de uma poderosa análise de biometria comportamental do cliente, com foco no dispositivo utilizado para navegação e transação. Este tipo de validação verifica não só as redes de wi-fi que utiliza, a geolocalização, o tipo de aparelho, mas também o histórico de compra naquela plataforma.

Além disso, trazemos a expertise de cibersegurança da Tempest, com mais de 20 anos de experiência e referência no mercado, ou seja, muito mais do que a já precisa análise de dispositivos, nossos clientes contam com uma incomparável inteligência de ameaças (threat intelligence) da maior empresa do setor na América Latina.

Para completar, contamos com o os benefícios do efeito rede – o comportamento de um possível golpista que tentou fraudar uma das empresas que fazem parte de nossa rede de usuários será registrado, impedindo que ele tente também o ataque em outros clientes.

Quer saber como podemos te ajudar? Entre em contato conosco, é só preencher este formulário!

Acompanhe as novidades