3D Secure / Verified by Visa / SecureCode: O que é isso ?

Agosto 2017

Desde de outubro de 2008, os bancos e comerciantes on-line começaram a adotar o sistema 3DSecure para os pagamentos na Internet.

O que é isso ?


3DSecure é chamado de "Verified by Visa" pelo Visa, et"SecureCode" pelo Mastercard.

(Os lgotipos não aparecem aqui por razões legais).

Este sistema foi inventado para evitar fraudes do tipo CNP (Card No Present), ou seja, os pagamentos fraudulentos com cartão de crédito sem a presença real do cartão (números de cartão roubado, por exemplo).

O objetivo é:
  • reduzir a fraude para os comerciantes.
  • proteger os pagamentos dos clientes.

Porque o criptograma visual não é suficiente


Em geral, um pagamento com cartão de crédito na internet requer:
  • O numero do cartão
  • A data de expiração
  • O criptograma visual

O criptograma visual (Card Security Code, Card Verification Value ou Card Verification Data) são os três números no verso do seu cartão que, em geral, devem ser digitados na fora de concluir uma compra on-line.

Mas, estas informações podem ser lidas visualmente no cartão e copiados, permitindo um pagamento sem a presença do cartão, logo, fraude.

Com o 3DSecure, outras informações serão solicitadas para confirmar o pagamento.

Se alguém copiou as informações do seu cartão ou o roubou, ele não poderá fazer compras com comerciantes que utilizam o 3DSecure, pois ele não conhece essas informações complementares.

3DSecure ou não


Para que um pagamento seja feito em modo 3DSecure, o seu cartão deve ser 3DSecure e que o comerciante tenha o 3DSecure.
  • Quase todos os cartões de crédito fabricados recentemente são 3DSecure.
  • Quanto aos mais antigos, dependendo do banco, a mudança para 3DSecure será automática, ou você deverá assinar um adendo ao seu contrato. Em todos os casos, isso não requer mudança de cartão ou modificação do seu cartão atual.
  • Normalmente, a mudança para o 3DSecure não deve custar nada.

Saiba que, com um cartão 3DSecure, você pode muito bem continuar a fazer compras em modo não 3DSecure nos comerciantes que não suportam o 3D Secure. Estas compras não serão garantidas pelo 3DSecure.
Se o seu cartão não é 3DSecure, você poderá, ou não, fazer compras em estabelecimentos comerciais com o 3DSecure (Os comerciantes 3DSecure podem aceitar, ou não, continuar a aceitar pagamentos com cartões não 3DSecure)

Na prática


Na prática, você faz suas compras on-line como de costume.

Você sempre deverá digitar o número do cartão, data de validade e código de segurança mas, depois de digitar essas informações, você será redirecionado para o site do seu banco que vai exigir estas informações adicionais.

Depois de entrar as informações, você volta para o site do comerciante, que confirmará o pagamento.
Neste caso, o servidor do seu banco vai confirmar para o comerciante que você é o proprietário do cartão.

Em que consiste a autenticação ?


Durante um pagamento 3DSecure, quando você estará no site do seu banco, este vai pedir informações que só você pode saber, provando que você é o proprietário do cartão.

Cada banco pode escolher o seu meio de autenticação.

Entre eles:
  • Uma senha padrão (que pode ser alterada),
  • Um sistema de cartão de chave (folha de papel) que o seu banco lhe enviou (tipo batalha naval: Digite o número na coluna 5, linha 3),
  • Um sistema de caixinha eletrônica (você digita um código exibido por uma caixinha eletrônica),
  • Sua data de nascimento,
  • Um código enviado por SMS,
  • E muitos mais...

É lamentável que alguns bancos se contentem simplesmente com a sua data de nascimento, pois esta informação é raramente privada e, por vezes, fácil de encontrar. Se o seu banco é assim, recomendo que você proteste vigorosamente e exija que eles adotem um sistema de autenticação mais sólido.
(Para mais informações, os jogadores do jogo "World Of Warcraft" podem proteger o acesso ao seu jogo com uma caixinha que custa 5€. É uma vergonha se os bancos não podem fazer o mesmo).

Legalmente


Em qualquer compra internet normal (não-3DSecure), em nenhum momento a sua identidade é comprovada (PIN ou assinatura). Isso significa que basta contestar um pagamento para que o seu banco o reembolse.

A responsabilidade é do banco do comerciante, do qual o seu banco reivindicará o valor.
Em uma compra em modo 3DSecure, se a autenticação for bem-sucedida, existe uma transferência de responsabilidades para o seu banco (já que ele afirmou que era você que tinha pago, ele não pode negar e deve transferir o dinheiro para o banco do comerciante).

E, claro, o seu banco transferirá essa responsabilidade para você: Você não poderá mais contestar um pagamento 3DSecure e ser reembolsado.

É por isso que é importante que o seu banco adote um método de autenticação sólido.
Saiba que se a autenticação falhar e o banco do comerciante reclamar a recuperação do valor, o seu banco deverá recusar. Se, apesar de tudo, ele aceitar, você poderá contestar este débito e te reembolsar (já que nada provou que foi você que fez o pagamento).

3DSecure, bom ou ruim ?


Na teoria, é bom:
  • Reduz a fraude para os comerciantes
  • Reduz a fraude para os internautas
  • A adoção crescente do 3DSecure entre os comerciantes on-line tornará as fraudes cada vez mais difíceis.
  • Os sites comerciais que adotam o 3DSecure não precisarão recorrer à empresas como a FIA-NET (especialmente penoso para os clientes).
  • Em nenhum momento o comerciante tem em mãos essas informações complementares e, consequentemente, não poderá ser hackeado. Você só entra essas informações no site do seu banco.

Na prática, os sistemas de autenticação fracos colocam o usuário em uma situação ruim em caso de fraude.

Tradução feita por Lucia Maurity y Nouira

Veja também

Artigo original publicado por . Tradução feita por pintuda. Última modificação: 24 de julho de 2013 às 06:59 por pintuda.
Este documento, intitulado '3D Secure / Verified by Visa / SecureCode: O que é isso ? ', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.