Desde meados de 2021, a diretiva europeia DSP2 impõe uma autenticação forte para pagamentos online com cartão de crédito na França e na União Europeia. O dispositivo 3D Secure, em sua versão 2.0, constitui o principal mecanismo implementado pelos bancos e prestadores de serviços de pagamento para atender a essa obrigação.
No entanto, alguns sites comerciantes continuam a aceitar transações sem acionar essa verificação. O ano de 2025 marca um endurecimento dos controles e uma evolução na partilha de responsabilidade que muda o cenário para esses atores.
Veja também : Principais sites de torrent franceses para descobrir para seus downloads em 2024
Transferência de responsabilidade: o que o comerciante suporta sem 3D Secure
O mecanismo central a ser compreendido chama-se liability shift. Quando um pagamento passa pelo 3D Secure e ocorre uma fraude, a responsabilidade financeira é transferida para o banco emissor do cartão. Sem essa autenticação, é o comerciante que absorve a perda em caso de contestação (chargeback).
Payplug ressalta que as instituições bancárias agora estão reforçando suas políticas de liability shift. Os comerciantes que não aplicam 3D Secure ou uma autenticação forte equivalente suportam eles mesmos as perdas relacionadas às contestações de pagamentos. A carga financeira não se limita ao valor da transação contestada: é preciso adicionar as taxas de gestão do chargeback, cobradas pelo adquirente, e a perda do produto enviado.
Leitura complementar : É possível integrar o mel em uma dieta sem açúcar, especialmente para diabéticos?
Um site de e-commerce que processa um volume regular de transações sem autenticação forte acumula um risco financeiro proporcional ao seu faturamento. Para um comerciante online que deseja consultar uma lista de sites sem verificação bancária para entender o estado do mercado, esse ponto de liability shift representa o primeiro alerta concreto.
Relatório do Observatório da Segurança dos Meios de Pagamento na França
O Observatório da Segurança dos Meios de Pagamento (OSMP) produz relatórios que mapeiam os segmentos de mercado com alta sinistralidade. Os critérios analisados incluem o tipo de percurso de pagamento e o nível de autenticação aplicado.
Os comerciantes que aceitam pagamentos sem 3D Secure ou outra forma de SCA (Strong Customer Authentication) são mais propensos a serem identificados como pontos de vulnerabilidade nesses relatórios. Essa identificação não é irrelevante: pode desencadear pedidos de conformidade por parte dos prestadores de serviços de pagamento (PSP) ou dos adquirentes bancários.
Concretamente, um PSP que constata uma taxa de fraude anormalmente alta em um comerciante pode impor a ativação do 3D Secure, aumentar suas comissões ou rescindir o contrato. O comerciante se vê então diante de uma escolha limitada de prestadores, muitas vezes mais caros ou menos eficientes.
Um efeito cascata sobre as taxas e o acesso aos serviços
A reclassificação como “elo fraco” não permanece teórica. Os adquirentes ajustam suas tabelas de preços com base no perfil de risco. Um comerciante sinalizado por uma alta taxa de contestação vê suas taxas de transação aumentarem, às vezes de forma significativa. Em casos extremos, alguns prestadores simplesmente se recusam a embarcar esses comerciantes.
Recusa de autorização e abandono de carrinho: o efeito rede em 2025
As redes de cartões (Visa, Mastercard e outras) estão ativamente promovendo a adoção do 3D Secure 2.0 em todo o mundo. A Stripe lembra que essa dinâmica ultrapassa o âmbito europeu: no Japão, os esquemas exigiram a ativação do 3DS2 em sites de e-commerce devido ao aumento contínuo da fraude em pagamentos à distância.
Para um site que não ativa o 3D Secure, as consequências também se manifestam no lado da taxa de autorização. Os bancos emissores se tornam mais rigorosos: eles rejeitam mais transações não autenticadas, especialmente quando o valor ultrapassa um certo limite ou quando o comportamento de compra parece atípico. O comerciante então sofre uma alta taxa de recusa de autorização em transações legítimas.
O paradoxo merece ser destacado. Alguns comerciantes evitam o 3D Secure por medo do abandono de carrinho relacionado à etapa de autenticação adicional. Por outro lado, o 3D Secure 2.0 reduziu consideravelmente essa fricção em relação à versão 1.0. A autenticação agora é frequentemente feita de maneira transparente (análise de risco em segundo plano), sem que o cliente precise inserir um código. A versão 2.0 gera menos abandonos do que a ausência de autenticação provoca recusa bancária.
Isenções legais e zonas cinzentas: o que a DSP2 ainda permite
A DSP2 prevê casos de isenção à autenticação forte. Essas isenções não significam que o site funcione “sem verificação”, mas que a verificação é modulada de acordo com o risco avaliado.
- As transações de baixo valor (geralmente abaixo de um limite definido pela regulamentação) podem ser isentas se a taxa de fraude global do PSP permanecer baixa.
- Os pagamentos recorrentes, após uma primeira autenticação forte, podem ser processados sem nova verificação para os mesmos valores.
- A análise de risco em tempo real (Transaction Risk Analysis, TRA) permite que os PSPs com uma taxa de fraude particularmente baixa isentem certas transações, sob condições rigorosas.
Essas isenções são geridas pelo prestador de pagamento, não pelo comerciante. Um site que afirma não usar 3D Secure pode, na verdade, se beneficiar de isenções TRA sem que o comprador perceba. A distinção entre “site sem 3D Secure” e “site cujo PSP aplica isenções calibradas” é frequentemente confusa para o consumidor.
Os dados disponíveis não permitem decidir tudo
As respostas do campo divergem sobre a taxa real de transações que passam sem qualquer forma de verificação em 2025. Algumas plataformas utilizam mecanismos proprietários de detecção de fraude que não se baseiam no 3D Secure, mas oferecem um nível de proteção comparável. Outras, por outro lado, não aplicam simplesmente nenhum controle, expondo tanto o cliente quanto o comerciante.
- Um site sem qualquer verificação transfere o risco de fraude para o comerciante (liability shift) e fragiliza a confiança do cliente.
- Um site que utiliza isenções TRA através de seu PSP permanece em conformidade com a DSP2 enquanto oferece um percurso fluido.
- Um site fora do Espaço Econômico Europeu não está sujeito à DSP2, o que complica a leitura para os compradores franceses.
Para um comprador online, a ausência visível de autenticação não significa a ausência de proteção. O nível de risco real depende da arquitetura técnica do site e de seu prestador de pagamento, não apenas do que é exibido na tela.
A tendência regulatória vai claramente em direção a um endurecimento. Os comerciantes que não integram qualquer forma de autenticação forte em 2025 acumulam um risco financeiro direto (chargebacks não cobertos), um risco de acesso aos serviços de pagamento (rescisão ou aumento de custos pelos PSPs) e um risco reputacional junto a clientes cada vez mais conscientes da segurança das transações online. O custo da inação agora supera o da conformidade.