A diretiva DSP2 impõe a autenticação forte nos pagamentos online no Espaço Econômico Europeu. No entanto, em 2025, uma proporção não negligenciável de transações com cartão de crédito ainda ocorre sem nenhum desafio 3D Secure visível para o portador. Compreender o porquê e em quais condições exige distinguir as isenções legítimas das verdadeiras falhas de conformidade.
Isenções DSP2 e análise de risco de transação: o mecanismo técnico por trás dos pagamentos sem 3D Secure
Um site que aceita um pagamento por cartão sem exibir uma página de autenticação não está necessariamente fora da lei. Os PSPs (prestadores de serviços de pagamento) têm alavancas regulatórias previstas pela própria DSP2 para contornar o desafio.
Leitura complementar : Quais soluções para os horários do tram em Grenoble à noite e de manhã cedo?
A mais utilizada continua sendo a análise de risco de transação (TRA), uma análise de risco em tempo real realizada pelo adquirente ou pelo emissor. Se a taxa de fraude do PSP permanecer abaixo dos limites definidos pelos RTS (Regulatory Technical Standards), ele pode solicitar uma isenção para valores limitados. Resultado: o portador não vê nenhuma tela 3D Secure, mas a transação permanece coberta por um quadro legal.
Outras isenções frequentes:
Leitura complementar : Descubra os carros usados e novos imperdíveis perto de você
- As transações de baixo valor, geralmente abaixo de um limite acumulado, desde que o número de operações consecutivas sem autenticação não ultrapasse o limite estabelecido pelo banco emissor.
- Os pagamentos recorrentes (assinaturas): apenas a primeira transação requer autenticação forte, as seguintes estão isentas.
- Os beneficiários de confiança (trusted beneficiaries): o portador pode inscrever um comerciante em uma lista branca junto ao seu banco, eliminando o desafio para compras futuras.
- As transações iniciadas pelo comerciante (MIT), tipicamente os débitos em cartão registrado, que escapam ao escopo da SCA.
Observamos que a maioria dos sites apresentados como “sem 3D Secure” explora na verdade uma dessas isenções. Consultar uma lista de sites sem 3D Secure em 2025 permite medir a extensão do fenômeno, mas a triagem entre isenção legítima e não conformidade real exige uma leitura técnica.
Responsabilidade em caso de fraude em um pagamento sem autenticação forte
Sem autenticação forte e sem isenção válida, a responsabilidade pela fraude recai sobre o PSP, não sobre o portador do cartão. O Banco da França, no âmbito do Observatório da Segurança dos Meios de Pagamento (relatório 2024), lembra essa divisão.
Concretamente, se um comerciante processa um pagamento sem SCA enquanto nenhuma isenção se aplica, é o banco do pagador (ou o adquirente, conforme o acordo) que suporta o risco de chargeback. O portador fraudado tem direito a um reembolso quase automático.
Para o comerciante, o impacto é indireto, mas real. As redes Visa e Mastercard aplicam programas de monitoramento aos comerciantes cujo índice de chargebacks ultrapassa certos limites. Um volume anormal de contestações em transações não autenticadas pode resultar em:
- Um aumento das taxas de intercâmbio aplicadas pelo adquirente.
- Um posicionamento em programa de monitoramento com obrigação de plano corretivo.
- Nos casos extremos, uma rescisão do contrato de aquisição de cartão.
A transferência de responsabilidade (liability shift) continua sendo o ponto estruturante. Com 3D Secure ativado e um desafio bem-sucedido, a responsabilidade se desloca para o emissor. Sem 3D Secure, ela permanece do lado do adquirente ou comerciante, exceto em caso de isenção documentada.
Controles regulatórios e endurecimento previsto com a DSP3
A Autoridade Bancária Europeia (ABE) intensificou seus controles sobre os PSPs que abusam das isenções TRA. Recomendamos aos comerciantes que verifiquem se seu prestador de pagamento documenta cada isenção utilizada, pois os reguladores europeus agora visam os atores com fricção reduzida cujas taxas de isenção parecem desproporcionais.
As plataformas localizadas fora do EEE apresentam um problema distinto. Um site baseado fora da União não está diretamente sujeito à DSP2, mas o emissor europeu do cartão do portador ainda é obrigado a aplicar a SCA. Na prática, alguns adquirentes extra-europeus não acionam o protocolo, o que explica por que sites internacionais ainda aceitam pagamentos sem qualquer verificação.
A futura DSP3, cujos trabalhos legislativos estão em andamento, prevê um endurecimento do quadro. Entre as orientações discutidas: uma harmonização mais rigorosa da aplicação das isenções, um enquadramento reforçado das transações transfronteiriças fora do EEE, e uma extensão do escopo para novos meios de pagamento (carteiras, pagamentos por link).
Pontos de atenção para os portadores de cartão em sites sem 3D Secure
A ausência de 3D Secure em um site comercial não é um sinal de fraude em si. No entanto, ela modifica o perfil de risco da transação. Uma compra realizada sem autenticação forte em um site desconhecido acumula dois fatores de vulnerabilidade: nenhuma verificação de identidade do lado do pagamento e nenhuma garantia sobre a confiabilidade do comerciante.
O cartão virtual de uso único continua sendo a defesa mais eficaz para compras em plataformas sem autenticação. A maioria dos bancos franceses oferece esse serviço, que limita a exposição em caso de comprometimento dos dados do cartão.
Outro reflexo: verificar se o comerciante aparece na lista de beneficiários de confiança do seu espaço bancário. Se não for o caso e o pagamento passar sem desafio, é provavelmente uma isenção TRA aplicada pelo PSP. O portador mantém seu direito ao reembolso em caso de operação não autorizada, independentemente de o 3D Secure ter sido acionado ou não.
A desaparecimento progressivo dos sites realmente não conformes é uma tendência de fundo. Os comerciantes que contornam voluntariamente a SCA sem base legal se expõem a sanções crescentes, e os emissores endurecem suas regras de filtragem. Até a entrada em vigor da DSP3, o número de transações sem qualquer forma de autenticação deve continuar a diminuir significativamente.