A segurança é vital para os meios eletrônicos de pagamento. Ao fazer um pagamento com cartão, usuários não têm dúvidas de que a transação se concretizará: o lojista receberá o valor da venda e o consumidor arcará com a quantia devida. Essa confiança é um dos pilares que trouxeram a indústria de cartões ao patamar que tem hoje: responsável pela movimentação de pelo menos um terço do produto interno bruto brasileiro.
Para que essa convicção seja tão firme que o cidadão nem se dê mais conta dela, o setor trabalha ininterruptamente. Prevenção a fraude, Cibersegurança e Riscos são áreas de intensa atividade dentro das empresas que integram o ecossistema de pagamentos, dedicadas a iniciativas e tecnologias que garantem que, seja lá onde, quando e como um pagamento seja feito com cartão, ele seja seguro.
As ferramentas para tal são inúmeras – e estão em constante evolução, tanto para os pagamentos presenciais como para o ambiente online. E os profissionais da área são unânimes em afirmar: não existe uma bala de prata que assegure todas as transações; para proteger de qualquer risco essas movimentações financeiras, tecnologias e protocolos precisam se sobrepor. Eles funcionam juntos, como um arsenal de segurança.
Panorama Abecs conversou com alguns dos mais destacados profissionais de segurança e prevenção a fraude em meios eletrônicos de pagamento, para entender em quais tecnologia se baseia, atualmente, esse arsenal.
“A criação de uma nova tecnologia de proteção e o aperfeiçoamento das já existentes são processos dinâmicos: conforme uma nova fraude aparece, trabalhamos para entender seus métodos e a melhor forma de combatê-lo. A evolução do arsenal de segurança das transações é constante”, afirma Glauco Sampaio, superintendente executivo de Segurança e Privacidade da Cielo
Transações presenciais
Nas compras que acontecem presencialmente, a principal ferramenta de segurança hoje é o chip que está dentro do cartão. Esse dispositivo armazena informações e as faz trafegar pelo ecossistema de processamento da transação, tanto nos pagamentos “tradicionais”, em que o cartão é inserido no terminal de pagamento, como por aproximação.
O armazenamento e o tráfego das informações acontecem de forma criptografada. “A criptografia é a base da proteção das informações que uma empresa ou indústria deseja manter em segredo. Ela encapsula informações, mantendo-as em segredo. Apenas as empresas envolvidas no processamento daquela transação têm a chave para acessá-las”, esclarece Adriana Umeda, head de Risco da Visa do Brasil.
Chip
Na evolução da segurança dos pagamentos com cartão, nem sempre os dados trafegaram de forma criptografada. Ulisses Okamoto, superintendente de Prevenção a Fraudes do Itaú, explica que o chip contém os mesmos dados anteriormente gravados na tarja magnética do cartão, mas “com um sistema de proteção muito mais sofisticado, porque utiliza criptografia como alicerce para impedir o acesso e a cópia das informações”.
E essa criptografia é dinâmica. “Os dados de uma transação nunca são exatamente iguais aos de outra transação. Informações como valor, estabelecimento, data e hora mudam, entregando dados precisos ao emissor, a entidade responsável por aprovar as transações”, explica Lori Grandin, head Latam de Risco e Prevenção a Fraudes da SumUp.
“Desde que o chip foi implementado, os níveis de fraude diminuíram sensivelmente. Ouso dizer que, de todas as tecnologias usadas em prevenção a fraude no mundo, o chip é a que vem se perpetuando com mais efetividade ao longo do tempo”, afirma Ulisses Okamoto, superintendente de Prevenção a Fraudes do Itaú
Aproximação
Nas transações realizadas por aproximação, a leitura do chip e o tráfego de dados criptografados também estão presentes, tal qual em uma transação em que o cartão é inserido no POS. A proteção assegurada pelo chip é, portanto, a mesma, seja em uma transação “tradicional” ou em um pagamento por aproximação.
“Ambas as modalidades são seguras, com uma troca criptografada de informações que é basicamente a mesma”, conta José Santana, head de Cibersegurança do C6 Bank.
Mesmo sem senha? Mesmo sem senha! Isso porque, antes de aprovar um pagamento, o emissor opera um avançado motor de análise (detalhado mais a frente nesta reportagem), que determina o risco de cada transação e, assim, decide por aprová-la, negá-la ou solicitar a senha ao portador (em geral, para valores acima de R$ 200 e/ou em transações consideradas fora do padrão de consumo daquele usuário). Com pagamentos mais rápidos, filas mais ágeis e a mesma segurança, os pagamentos por aproximação conquistam cada vez mais brasileiros e já respondem por mais da metade das transações presenciais com cartão no Brasil.
Ainda assim, há quem tenha receio de que transações sejam realizadas por aproximação sem que o portador perceba, como em shows, transportes públicos ou outros locais de aglomeração. Glauco Sampaio, superintendente de Segurança e Privacidade da Cielo, reforça que violar o protocolo de processamento e aprovação de uma transação contactless não é trivial, já que, além das análises de risco, a aprovação da transação depende também de uma forma certa de aproximar o cartão e de um tempo mínimo para processamento. “As tecnologias são efetivas na identificação de tentativas de fraude, tanto é que o índice de golpes bem-sucedidos por aproximação é tão baixo quanto o de transações com inserção do cartão na máquina”, diz o especialista.
Transações remotas
Este relato de Panorama Abecs poderia terminar aqui, explicando como o chip eliminou a clonagem de cartões e reduziu drasticamente as fraudes. Mas a história, claro, é bem mais complexa, uma vez que as transações virtuais, em que o cartão não está fisicamente presente, tornaram mais intricados os métodos de autenticação do portador. Afinal, no universo online todo consumidor é anônimo… até que o arsenal de segurança dos cartões o identifique!
Uma jornada de compra online requer mais informações do comprador, que, no checkout, preenche cadastros com dados pessoais e de cobrança. Como o ambiente digital nem sempre é protegido por criptografia, essas informações podem ficar vulneráveis.
Segundo Umeda, da Visa, como os ataques cibernéticos são uma ameaça global e não há forma de garantir que o consumidor escolherá apenas estabelecimentos seguros para fazer suas compras, o ecossistema de cartões protege a si, ao consumidor e aos estabelecimentos comerciais, com soluções que identificam e mitigam ameaças de vazamento dos dados do cartão ou qualquer interceptação do fluxo da transação.
Tokenização
A tokenização das credenciais de pagamento é uma das tecnologias nas quais a indústria de cartões mais investe atualmente, especialmente no que diz respeito a estratégias antifraude. Umeda explica o porquê: “ao substituirmos os dados reais por equivalentes, eles perdem o valor para fraudadores, que podem até interceptá-los, mas jamais utilizá-los – trafegando de forma tokenizada, os dados não servem para nenhuma outra transação”.
O fluxo de pagamento se torna mais seguro, as bases de dados ficam protegidas e o varejista, além de ter um ambiente com menor propensão a fraude, ainda tem outros benefícios ao investir em um provedor de tokenização:
- incremento na conversão de venda
- equipe de segurança da informação enxuta, portanto menos custosa
- reputação de e-commerce seguro perante o consumidor, dados os baixos índices de fraude.
E se hoje cerca de 23% das transações com meios eletrônicos de pagamento são feitas online, essa porcentagem só tende a crescer, acompanhando a digitalização do consumo e o novo perfil do usuário. Conforme avança o uso dos cartões por canais remotos, a tokenização avança junto, afirma Okamoto, do Itaú. “É uma tendência natural, intrinsecamente ligada aos hábitos do consumidor, que usa cada vez mais os cartões para comprar online e tem adotado massivamente o celular como dispositivo de pagamento, especialmente com as carteiras digitais.”
Cartão virtual
A tokenização dos dados sensíveis de um pagamento é uma solução tão eficiente que a indústria oferece ao portador uma ferramenta para que ele também substitua as informações de seu cartão por dados equivalentes em uma compra online: o cartão virtual.
Criado a partir do aplicativo do emissor, o cartão virtual fornece número, vencimento e código de verificação temporários, válidos para uma única transação, para um curto período de tempo ou para ser usado em um único estabelecimento. Utilizando-o, o consumidor evita compartilhar sua credencial de pagamento “verdadeira” no ambiente digital.
“Existem alguns tipos de cartão virtual, como aqueles que valem só para uma transação ou os mais adequados para compras recorrentes. Mas todos se baseiam no mesmo princípio: substituir os dados do cartão físico por dados que variam no tempo para que, se vazados, não tenham serventia alguma”, explica José Santana, head de Cibersegurança do C6 Bank
Nem sempre o consumidor conhece essa ferramenta de segurança, ou se lembra de usá-la. Por isso, a indústria tem intensificado a comunicação sobre a solução conforme cresce a preferência pelo consumo online. Emissores que contam com base de clientes mais jovens – ou de maior fluência digital – já adotam alternativas como a emissão de plásticos sem número impresso, para que o usuário precise gerar um cartão virtual a cada transação online.
“Conforme a adoção dos canais digitais aumenta e o público se familiariza com o cartão virtual, o fluxo de geração e uso dessa ferramenta de segurança vai ficando mais objetiva e mais usual”, afirma Okamoto.
Santana complementa: “Não é só o consumidor que ganha ao preferir o cartão virtual em compras online. O instrumento também deixa o varejista menos exposto a transações fraudulentas realizadas a partir de dados vazados, que o levariam a assumir os gastos em um processo de contestação”.
Inteligência artificial
A inteligência artificial tem papel central na prevenção a fraudes em pagamentos eletrônicos. Afinal, na fração de segundo que uma transação leva para ser concluída, só a máquina é capaz de analisar todas as variáveis envolvidas e, com assertividade, aprovar ou negar um pagamento.
Os modelos paramétricos de regras, que por décadas determinaram quando aprovar ou negar uma transação, evoluíram pautados em modelos neurais e machine learning. “Hoje, é a inteligência artificial que ranqueia quão arriscada é uma transação, com base em informações como o perfil de consumo, o histórico transacional do cliente e do estabelecimento, e uma infinidade de outros dados disponíveis”, explica Umeda.
E conforme os algoritmos tornam a análise mais precisa e veloz, o processo de compra se torna ainda mais fluido para o consumidor. Por isso, Sampaio reitera a importância da inteligência artificial não somente para a segurança das transações como para a redução da fricção na jornada de compra. “O objetivo da indústria de pagamentos é, sempre, aferir uma transação com o mínimo de interrupções para o cliente. Quanto mais silenciosa a tecnologia de segurança, melhor.”
Biometria
A leitura biométrica sublinha uma evolução importante na segurança dos pagamentos: nesse processo, a autenticação do consumidor já foi baseada em algo que ele sabe (sua senha), em algo que ele tem (um token, por exemplo) e, com a biometria, em algo que ele é, sua impressão digital, face, voz ou íris.
Como características físicas únicas determinam, com assertividade, se o autor da transação é realmente o portador do cartão, a leitura biométrica hoje faz parte da jornada de uso de alguns cartões, especialmente em carteiras digitais. E como a biometria é validada já no processo de cadastro (no aplicativo do emissor do cartão, por exemplo), o pagamento pode ser concluído somente com a leitura biométrica, sem o manuseio de nenhum outro instrumento, deixando o fluxo de pagamento ainda mais ágil.
Mas o uso da biometria como elemento de segurança nos pagamentos vai além das características físicas: a tecnologia foca também o comportamento do consumidor como insumo para analisar a validade de uma transação.
“A inclinação com a qual a pessoa segura seu smartphone, se digita usando uma ou as duas mãos, a velocidade em que mexe no teclado e no mouse do computador, a localização do dispositivo no momento da compra… Todos esses dados permitem identificar um consumidor de forma quase inequívoca”, conta Daniel Vilela, diretor de Novos Negócios da Mastercard. A identificação de quem está no comando da transação é, dessa forma, mais precisa. “A biometria comportamental é um elemento fundamental para combater o mau uso da tecnologia digital”, diz o executivo.
“Comportamentos fora do padrão registrado para o usuário emitem alertas de risco, evitando que criminosos em posse dos dados da vítima consigam efetivar a fraude. O comportamento que confere com o padrão, por sua vez, sugere que a transação seja legítima e, assim, ela pode ser aprovada sem que a jornada de compra seja interrompida”, complementa Gustavo Justi, gerente executivo de Prevenção a Fraudes da Elo.
Protocolo 3D Secure
Como a autenticação do portador é o grande desafio de uma transação online, quanto mais dados o emissor tiver para fazer essa validação com segurança, melhor. E é isso que o 3D Secure faz: o protocolo de segurança permite uma troca de informações minuciosa entre o estabelecimento comercial e o emissor do cartão. Com a tecnologia, o e-commerce coleta dados da transação, do cartão e do dispositivo usado para a compra e os envia ao emissor, que, então, tem elementos suficientes para analisar com precisão a autenticidade do portador – de forma silenciosa ou mediante um desafio.
Caso a análise feita pelo emissor resulte em uma pontuação baixíssima para a probabilidade de fraude, a entidade pode autenticar o comprador somente com os dados recebidos via protocolo de segurança. É a chamada autenticação sem fricção, baseada em risco. Se, ao contrário, a probabilidade de fraude for maior, o emissor pode enviar um código temporário ao portador, como um token no app ou um SMS, que o consumidor necessitará para concluir a compra.
Por autenticar um consumidor online com muita assertividade, muitas vezes de forma silenciosa, o 3DS é um protocolo no qual o setor aposta fortemente. Afinal, ele vai ao encontro do intuito do mercado de aprovar transações de forma cada vez mais fluida, sem interrupções ou atritos na jornada. “O protocolo 3DS traz para o mundo virtual a mesma segurança de compra que temos hoje no mundo físico, principalmente quando aliado à tokenização dos pagamentos”, afirma Vilela, da Mastercard.
“Com o 3DS, quem assume o risco de uma transação fraudulenta deixa de ser o lojista e passa a ser o emissor. Se o emissor analisou todos os dados do portador, do cartão e do dispositivo, fornecidos via 3DS, e atestou que o risco de fraude é baixo, o comércio está muito mais seguro e não precisa arcar com o eventual ônus dessa transação. Por isso, é uma tecnologia muito interessante também para o comércio”, diz Cristiano Moura, head de Antifraude do Santander
Empregar mais de uma tecnologia de segurança é a conduta mais apropriada na prevenção a fraudes em pagamentos com cartão, tanto em transações presenciais como virtuais, afirmam os especialistas ouvidos por Panorama Abecs. Juntas, essas camadas de autenticação do portador, análise de risco e rastreamento de ataques cibernéticos formam um verdadeiro arsenal de segurança, que garante que um pagamento realizado com cartão será concluído da forma esperada, com o valor da venda na conta do lojista e com o portador arcando com o seu gasto. E tudo isso em uma transação ágil, sem interrupções e que ainda pode se reverter em diferentes benefícios, a depender dos programas de fidelidade de cada cartão.
Um último recurso: a importância do chargeback
Todas as tecnologias listadas até aqui são empregadas conjuntamente de modo a evitar que as fraudes aconteçam, mas o ecossistema de meios eletrônicos de pagamento oferece ainda um último recurso caso a fraude venha a acontecer. O chargeback é um mecanismo de arbitragem entre emissor e estabelecimento, ao qual o consumidor pode recorrer para não ser penalizado caso um golpe seja concretizado.
“Nenhum outro meio de pagamento oferece a segurança de poder solicitar o estorno do valor em caso de transações não reconhecidas pelo portador ou de desacordos comerciais. É um artefato a mais que a indústria de cartões oferece a favor do consumidor”, conta Gustavo Justi, gerente executivo de Prevenção a Fraudes da Elo
Umeda complementa com uma ressalva: esse recurso é um direito do consumidor quando ele é vítima de uma fraude de forma passiva, ou seja, seus dados foram roubados e ele não teve qualquer participação na compra. “Não é o caso de transações feitas por conhecidos em dispositivos onde os dados do cartão já estavam armazenados, como uma compra feita pelo filho no celular dos pais, por exemplo. A conduta configura uma negligência do portador, e é uma compra devida, que precisa ser paga”, explica.
Eliminar essa negligência, assim como a desatenção com os próprios dados, é a parte que cabe ao consumidor para contribuir com esse robusto sistema de segurança. Grandin, da SumUp, explica que a segurança tecnológica do ecossistema é tão forte que a estratégia dos fraudadores tem sido, cada vez mais, baseada no fator humano, com técnicas de engenharia social para aplicar golpes. “Por isso é tão importante educar o portador do cartão para que, sejam suas compras presenciais ou remotas, ele esteja sempre atento e não compartilhe seus dados com ninguém, em hipótese alguma”, conclui.
Por Panorama