A diretiva europeia sobre serviços de pagamento (DSP2) impõe há vários anos a autenticação forte para transações online com cartão. Em 2025, o quadro regulatório se torna ainda mais restrito. Os comerciantes que continuam a operar sem 3D Secure aproveitam isenções previstas por lei, mas essas margens de manobra estão diminuindo trimestre após trimestre sob a pressão dos reguladores e das redes de cartões.
Transferência de responsabilidade por fraude: o que os comerciantes subestimam
O mecanismo menos visível para um e-comerciante que recusa o 3D Secure diz respeito à transferência de responsabilidade. Desde que Visa e Mastercard atualizaram seus programas de responsabilidade entre 2023 e 2025, um comerciante sem 3D Secure arca sozinho com o custo dos chargebacks fraudulentos. O adquirente e o emissor do cartão não cobrem mais a fraude se a autenticação forte não foi acionada.
Leitura recomendada : Dicas e truques essenciais para ter sucesso em todos os seus projetos de casa
Na prática, um site que processa um volume significativo de transações sem autenticação acumula inadimplências que seu banco adquirente não cobre mais. Além de um certo limite de chargebacks, as redes de cartões aplicam programas de monitoramento acompanhados de penalidades financeiras crescentes. Vários comerciantes europeus viram suas taxas de processamento aumentarem significativamente após serem colocados sob monitoramento pela Visa ou Mastercard.
A situação dos sites sem 3D Secure em 2025 permanece legal desde que as isenções sejam devidamente documentadas, mas o custo financeiro real muitas vezes supera a economia suposta na taxa de conversão.
Veja também : Descubra as melhores soluções para assistir filmes e séries em streaming em 2024
Isenções SCA em 2025: um quadro cada vez mais monitorado
A regulamentação europeia prevê vários casos em que a autenticação forte pode ser contornada: transações de baixo valor, análise de risco em tempo real (TRA), beneficiários de confiança listados em uma lista branca, ou ainda pagamentos recorrentes após uma primeira autenticação. Essas isenções existem para preservar a fluidez do processo de compra.
A Autoridade Bancária Europeia (EBA) publicou no final de 2024 várias atualizações de suas perguntas e respostas sobre a DSP2. A mensagem é direta: as isenções devem permanecer minoritárias, documentadas e monitoradas. Os prestadores de serviços de pagamento (PSP) que permitem um volume muito alto de transações isentas estão sujeitos a controles reforçados e a ordens de limitar o uso de processos sem autenticação.
Para um comerciante, isso significa que mesmo que seu PSP aceite hoje rotear certas transações sem 3D Secure através da isenção TRA, nada garante que essa possibilidade será mantida em seis meses. Os PSP ajustam seus limites de acordo com a pressão regulatória.
As isenções ainda utilizáveis e suas condições
- As transações de baixo valor (geralmente abaixo de um limite fixado pela rede) permanecem isentas, mas um teto acumulado se aplica. Além disso, a autenticação forte torna-se obrigatória novamente.
- A análise de risco em tempo real (TRA) permite ao PSP contornar o 3D Secure se sua taxa de fraude global permanecer abaixo de um certo patamar. Um PSP cuja taxa de fraude aumenta perde essa capacidade.
- A lista branca (beneficiários de confiança) baseia-se em uma decisão do portador do cartão junto ao seu banco. O comerciante não tem controle direto sobre essa inscrição.
Fraude em pagamentos pela internet sem autenticação forte: os dados de campo
O Banco da França, no relatório anual de 2024 do Observatório da Segurança dos Meios de Pagamento, destaca uma tendência clara. A fraude em pagamentos pela internet com cartão aumenta onde a autenticação forte não é aplicada sistematicamente. As transações protegidas pelo 3D Secure 2.x apresentam uma taxa de fraude significativamente inferior ao restante.
Esse constatado leva os reguladores franceses a desaconselhar configurações sem 3DS além de casos de uso muito específicos. Os retornos de campo divergem sobre a magnitude exata da diferença de fraude entre os setores, mas a direção é clara: menos autenticação gera mais fraude.
Para os comerciantes, o risco não é apenas financeiro. Uma alta taxa de fraude degrada a reputação do site junto aos emissores de cartões, que podem decidir recusar sistematicamente as transações provenientes desse comerciante, mesmo aquelas com autenticação. O círculo torna-se então difícil de inverter.
DSP3 e pagamento online: o que se prepara após 2025
A Comissão Europeia está trabalhando na DSP3, que deve substituir a DSP2 nos próximos anos. As discussões em andamento tratam do endurecimento das obrigações de autenticação e da redução do escopo das isenções.
Várias orientações estão se delineando:
- Um enquadramento mais rígido da isenção TRA, com limites de fraude mais baixos para os PSP que desejam se beneficiar dela.
- Uma harmonização europeia das práticas de isenção, que varia hoje de um país para outro de acordo com a interpretação dos reguladores nacionais.
- A integração de novos métodos de autenticação (biometria comportamental, tokens de sessão) que poderiam tornar o 3D Secure menos visível para o usuário, mantendo o nível de segurança.
Se a DSP3 seguir a trajetória atual, os sites que funcionam sem qualquer forma de autenticação forte se tornarão uma anomalia regulatória em vez de uma simples estratégia comercial. Os comerciantes que não antecipam essa mudança correm o risco de ter que adaptar sua infraestrutura de pagamento com urgência.
Conversão e segurança: a falsa oposição
O argumento histórico contra o 3D Secure baseava-se na fricção que ele adicionava ao processo de compra. Com a versão 2.x do protocolo, essa fricção diminuiu consideravelmente. A autenticação agora é frequentemente feita de maneira passiva, através da análise do terminal e do comportamento do comprador, sem intervenção visível.
Os dados disponíveis não permitem concluir que o 3D Secure 2.x degrade significativamente a conversão em comparação a um processo sem autenticação. Por outro lado, a ausência de 3D Secure gera chargebacks que, por sua vez, têm um impacto mensurável na margem.
O cálculo econômico mudou. Em 2025, a questão para um comerciante não é mais saber se pode abrir mão do 3D Secure, mas quanto tempo ainda pode fazê-lo antes que os custos indiretos superem o benefício suposto na taxa de conversão.