Como preparar a loja na internet para os pagamentos online com o Strong Customer Authentication (SCA)

O que é o Strong Customer Authentication (SCA) e qual o seu impacto nos pagamentos online da tua loja de comércio electrónico é o vamos contar neste artigo. Com o bom e o mau e o que precisas fazer. Também falamos aqui sobre o vilão que está na origem desta mudança.

Primeiro aspecto a teres em consideração:

Se tens um negócio de e-commerce que recolhe pagamentos online via cartões de crédito ou PayPal, por exemplo, este regulamento vai ter impacto nas tuas vendas.

No início pode não ser bom mas a médio prazo tem tudo para ajudar ao crescimento do comércio electrónico.

Vamos por partes…

Quando entra em vigor o SCA?

Com entrada em vigor a 14 de Setembro de 2019, o SCA, que se pode traduzir livremente por Autenticação Segura do Cliente, vem reforçar a segurança nos pagamentos online.

Faz parte do regulamento PSD2 (Payment Services Directive) que visa criar um sistema europeu de pagamentos mais seguro e inovador.

A partir desta data, os bancos vão começar a recusar fazer pagamentos que sejam abrangidos pelo regulamento e não cumpram os critérios exigidos.

O que significa que o tlim-plim da tua máquina registadora online pode sofrer donos nos primeiros meses, equivalentes às mossas que um automóvel sofre depois de um embate frontal a 50 km/h. Não destrói mas faz estragos.

Daí ser fundamental que a tua loja na internet, desde que aceite pagamentos online, use sistemas que correspondam a estas exigências. Entre os meios de pagamento online estão, por exemplo, os cartões de crédito.

Vamos lá.

O que é o Strong Customer Authentication (SCA)?

Até agora, para fazer um pagamento online era apenas necessário o número do cartão de crédito, a data de validade e o número de segurança. Para quem tem uma conta PayPal bastava inserir a senha (a menos que já tivesse activado a autenticação em dois passos).

Agora há um segundo elemento necessário para fazer o pagamento.

O Strong Customer Authentication (SCA) é um novo requerimento europeu que reforça a segurança nos pagamentos online. Obriga a um sistema de autenticação que usa dois destes três elementos:

Algo que o cliente sabe

Pode ser um pin ou uma senha

Algo que o cliente tem

Um smartphone ou um token

Algo que o cliente é

Dependente de impressão digital ou reconhecimento facial, por exemplo.

O SCA reforça a vigilância das transacções online por parte das instituições bancárias, que assumem um papel mais activo entre o cliente e a loja de comércio electrónico
O SCA reforça a vigilância das transacções online por parte das instituições bancárias, que assumem um papel mais activo entre o cliente e a loja de comércio electrónico

Este processo não é novo e alguns bancos já o estão a utilizar nas transacções online, incluindo fazer transferências bancárias ou realizar pagamentos. Em muitos casos tens primeiro de aceder ao homebanking ou à aplicação dedicada do teu banco e, depois, introduzir um código que chega através de mensagem para o teu telefone. Ou, em alternativa, usar o reconhecimento facial ou impressão digital.

Qual é o objectivo do SCA?

O SCA pretende reduzir o volume de fraudes nos pagamentos online e torna-los mais seguros. Os números apontam para que as fraudes usando cartões de crédito representem cerca de 1,3 mil milhões de euros por ano.

O Banco Central Europeu registou um aumento de 66% em pagamentos online fraudulentos entre 2011 e 2016. Com tendência para aumentar.

Está visto que o ‘mau da fita’ são todos os indivíduos que praticam fraudes com cartões em pagamentos online.

Desde 2011 e até, pelo menos, 2016 as fraudes em pagamentos online cresceram todos os anos
Desde 2011 e até, pelo menos, 2016 as fraudes em pagamentos online cresceram todos os anos

Quem está abrangido pelo SCA ou autenticação segura do cliente?

O Strong Customer Authentication aplica-se a todos os meios de pagamento online ‘iniciados pelo cliente’ dentro do Espaço Económico Europeu, que integra todos os países da União Europeia, a Islândia, a Noruega e o Liechtenstein. O Reino Unido, haja ou não Brexit, também está abrangido.

Outra regra: aplica-se ainda quando a loja e o banco que emitiu o cartão do cliente estão localizados nesses países.

Portugal está na metade inferior dos países com maior volume de fraudes
Portugal está na metade inferior dos países com maior volume de fraudes, segundo dados de 2016 do BCE

Logo, por exemplo, uma loja online com base nos EUA não tem de cumprir o SCA com um cliente detentor de um cartão emitido por um banco português.

Entre os meios de pagamento online ‘iniciados pelo cliente’ estão os cartões e as transferências bancárias.

Os pagamentos por débito em conta, como aqueles que são hoje comuns para pagar os serviços de electricidade, água, entre outros, são considerado como sendo ‘iniciados pelo comerciante’ e não necessitam de SCA.

Os pagamentos feitos em pessoa (por exemplo, por um cliente numa loja física) usando cartões do estilo Multibanco também não são afectados

Aqui não há mexidas no tlim-plim.

Como se faz a autenticação

O método mais comum de autenticar pagamentos feitos com cartões passa pelo 3D Secure, agora na versão 2. Este é um sistema suportado pela maioria dos cartões europeus.

O 3D Secure acrescenta uma camada de segurança, uma vez que o detentor do cartão é solicitado a fornecer uma informação adicional para concluir o pagamento.

Um dos métodos mais usados envolve inserir um código único que é enviado para o telefone ou o uso de elementos físicos, como uma impressão digital ou o reconhecimento facial, através do smartphone.

Alguns métodos de pagamento, como o Apple Pay ou Google Pay, já suportam estes métodos.

Métodos mais comuns para o SCA: o uso de um código único que é enviado para o telefone ou o uso de elementos físicos, como uma impressão digital ou o reconhecimento facial, através do smartphone
Métodos mais comuns para o SCA: o uso de um código único que é enviado para o telefone ou o uso de elementos físicos, como uma impressão digital ou o reconhecimento facial, através do smartphone

Há excepções à Autenticação Segura do Cliente?

Como em todas as regras há excepções à SCA. São os considerados pagamentos de baixo risco.

No entanto, a aplicação destas excepções pode causar alguns problemas à loja online que as pede.

Porquê?

Primeiro, porque o pedido tem de ser feito junto do intermediário do pagamento (por exemplo, Stripe, PayPal ou outro). Depois, porque depende sempre da boa vontade do banco emissor do cartão do cliente.

O processo é este:

  • o dono da loja pede ao fornecedor do método de pagamento (intermediário), seja Stripe, PayPal ou outro, que abra excepções para alguns casos;
  • o intermediário faz o pedido junto do banco emissor do cartão;
  • o banco recebe o pedido e analisa o nível de risco e decide se aprova ou não a excepção.

Valores abaixo de 30€ podem ser alvo de excepção mas…

Entre os possíveis casos que podem constituir uma excepção estão os pagamentos considerados de baixo valor, abaixo de 30€.

No entanto, mesmo que a excepção seja aprovada para estes casos, os bancos vão requerer a autenticação se:

  • a excepção tiver sido usada 5 vezes pelo detentor do cartão desde a última vez que fez uma autenticação; Exemplo: Paulo fez cinco compras abaixo dos 30€, à sexta terá de se autenticar;
  • a soma dos pagamentos feitos debaixo de uma excepção exceder os 100€. Neste caso também será necessária a autenticação.
É possível pedir excepções para o SCA mas a sua aprovação depende sempre da decisão do banco emissor do cartão
É possível pedir excepções para o SCA mas a sua aprovação depende sempre da decisão do banco emissor do cartão

Pagamentos recorrentes podem ser alvo de excepção mas…

Outra possível excepção são os pagamentos recorrentes usados em subscrições. Ocorre quando um cliente faz uma série de pagamentos recorrentes do mesmo valor à mesma empresa.

Neste caso será necessário realizar o SCA no primeiro pagamento. Os restantes podem ser alvo de uma excepção.

No entanto, para este caso é fundamental que o valor da subscrição seja sempre o mesmo. Se o valor da subscrição mudar, a excepção é anulado e tem de haver uma autenticação.

Pagamentos iniciados pelo comerciante nalgumas circunstâncias

Também passível de excepção são os pagamentos iniciados pelo comerciante, incluindo subscrições com valor variável. São os pagamentos feitos com ‘cartões guardados’ e quando o detentor do cartão não está presente no checkout. Como acontece nos outros casos, cabe ao banco aprovar a excepção.

Aqui, será sempre imprescindível autenticar o cartão, seja no momento em que é guardado no sistema de pagamento ou no primeiro pagamento.

Nestes casos, é fundamental recolher um acordo do cliente para poder cobrar o cartão num ponto posterior.

Esta situação pode ocorrer em sistemas de pagamentos adiados com valores variáveis de subscrição ou compras de extras, como acontece por vezes em mercados de software ou similares.

Excepção para empresas de confiança

Quando efectuam a autenticação para um pagamento, os clientes podem ter a possibilidade de indicar que a empresa vendedora é de confiança, evitando ter de fazer a autenticação em compras futuras.

Estas empresas serão, então, incluídas dentro de uma lista de empresas de confiança, que é gerida pelo banco emissor do cartão que o cliente usa ou pelo fornecedor do sistema de pagamentos.

Esta funcionalidade facilita as compras reincidentes na mesma loja de comércio electrónico e até mesmo as subscrições mas é de esperar que os bancos sejam cautelosos na criação destas listas, pelo menos numa primeira etapa.

Excepção para as vendas por telefone

A recolha pelo telefone dos dados de pagamentos feitos com cartões escapa ao âmbito do SCA. Cabe ao banco emissor do cartão a decisão de aceitar ou não a transacção.

Sim, no papel de consumidor podes continuar a aceitar fazer compras pelo telefone.

Como consumidor podes continuar a aceitar fazer compras pelo telefone, mesmo junto da piscina
Como consumidor podes continuar a aceitar fazer compras pelo telefone, mesmo junto da piscina

Excepção para pagamentos com cartões de empresa

Pagamentos que são feitos com cartões de empresa usados para algumas despesas, como viagens, podem ser sujeitos a excepção. Neste caso, a excepção é pedida pelo próprio banco emissor do cartão.

Vale a pena pedir excepções?

Poderia ser a pergunta de um milhão de dólares mas, na verdade, na maior parte dos casos não vale assim tanto.

Se considerarmos que a autenticação traz um novo passo na compra e pode levar alguns clientes a desistir, pode ser uma boa opção pedir excepções.

É importante ter em conta que depende sempre do banco emissor do cartão aceitar fazer excepções.

E se um pedido de excepção falhar?

O banco ‘devolve’ a indicação que o pedido de excepção não foi aceite e o pagamento tem de ser submetido novamente, com a necessária autenticação.

O que te levará a franzir o sobrolho e eventualmente libertar um palavrão, porque isso significa uma nova tarefa para ti.

O que está em causa na análise do nível de risco para as excepções?

  • O tipo de comportamento de compra por parte do cliente
  • O histórico de pagamentos
  • A localização do cliente e da empresa e se estes representam um alto risco
  • Padrões de pagamento estranhos por parte do cliente
  • Infecção por malware do dispositivo do cliente
  • Cenários de fraude conhecidos
A médio prazo comprar online ficará mais simples e seguro mas são de esperar algumas dificuldades nos primeiros tempos de aplicação do SCA
A médio prazo comprar online ficará mais simples e seguro mas são de esperar algumas dificuldades nos primeiros tempos de aplicação do SCA

Uma questão de habituação à complexidade

Apesar do objectivo ser positivo, a redução de fraudes e pagamentos indevidos, é provável que esta nova exigência venha a causar algumas dificuldades às empresas com lojas online. Pelo menos nos primeiros tempos.

Depois é de esperar que a habituação faça com que este passo se torne numa rotina que executamos sem pensar.

O problema reside no facto do cliente ter de dar mais um passo para comprar, fazendo com que o risco de abandonar a transacção seja maior.

Depois há um conjunto de detalhes que pode prejudicar o fluxo da compra:

  • A mensagem com o código de autorização pode demorar a chegar
  • o telemóvel está sem bateria (e o código de autorização é de curta duração, obrigando o cliente a ter de repetir todo o processo de compra numa nova oportunidade ou não pode fazer o reconhecimento facial).

Tudo isto acrescenta aquilo que já acontece hoje e pode interromper o acto de compra online.

A boa notícia é que provavelmente terá benefícios a curto e médio prazo com o reforço do sentimento de confiança nos pagamentos online.

Talvez em breve possas nadar numa piscina de notas.

Por outro lado, continua a haver coisas muito mais complicadas do que fazer compras online.

Ainda continua a haver puzzles mais difíceis de fazer do que realizar compras online
Ainda continua a haver puzzles mais difíceis de fazer do que realizar compras online

Comunicação, comunicação, comunicação

Tudo isto somado, faz com que as lojas de e-commerce tenham de fazer um maior esforço para acrescentar valor à vida dos clientes. Mesmo numa simples e vulgar compra de um produto de 5€.

Daí a importância de comunicar as vantagens que o cliente tem por comprar ’naquela’ loja online, o tipo de serviço e atendimento que recebe.

É cada vez mais premente uma página de produto perfeita e uma página de checkout simples e prática.

Será ainda importante implementar medidas para melhorar a retenção do cliente, criando um relacionamento que faça com que permaneça fiel à loja, independentemente de outros factores de escolha como o preço.

Se o cliente quiser mesmo aquele produto ou serviço não será um passo extra no processo de compra que o vai parar. Mostrar isto já faz parte da tua missão.

As lojas online têm de melhorar muito a qualidade de comunicação com os clientes e potenciais clientes, além do seu serviço de apoio ao cliente
As lojas online têm de melhorar muito a qualidade de comunicação com os clientes e potenciais clientes, além do seu serviço de apoio ao cliente

O que preciso fazer se usar WooCommerce na loja online?

Desta vez o grosso do trabalho não é teu, ao contrário do que ocorreu com o RGPD.

Em todo e qualquer caso precisas de certificar-te que os meios de pagamento online que usas na tua loja online cumprem os requisitos. Em concreto os meios de pagamento afectados pelo SCA.

O Multibanco e o MB Way, por exemplo, são considerados métodos de pagamento ‘offline sessions’ e, portanto, não são afectados.

Já os pagamentos com cartões de crédito e PayPal são afectados.

No caso do WooCommerce, são estes os meios de pagamento e intermediários que estão prontos:

  • Stripe, através do plugin oficial desde a versão 4.2. Para já, apenas para pagamentos não recorrentes. O suporte para pagamentos recorrentes será acrescentado em breve.
  • PayPal powered by Braintree.
  • Outras extensões PayPal estão dependentes daquilo que o PayPal fará do seu lado, quando ‘receber’ o pedido de pagamento feito pelo cliente.

Se usares outras soluções de pagamentos online tens de contactar a respectiva empresa e questionar sobre a sua compatibilidade.

Em Portugal, a easypay referiu à Kaksi Media que “o módulo actual, já dispõe da SCA (Strong customer authentication), o mesmo é feito através da nossa gateway de pagamento, quando o cliente sai do woocommerce e vem ao nosso lado colocar os dados do cartão”.

A Apple Pay e o Google Pay já usam a segunda camada de protecção e cumprem com o SCA.

O que precisas fazer se usares outra plataforma de comércio electrónico

Entra em contacto com os teus intermediários no sistema de pagamentos online e informa-te sobre a respectiva compatibilidade. Se já existe, óptimo. Se não, quando vai existir. Podes ainda começar a procurar alternativas.

O que precisas de fazer em todo e qualquer caso

  • Prepara um plano de contingência para responder com brevidade à existência de eventuais problemas. Em particular nos primeiros dias.
  • Faz um pequeno guia para informar os teus clientes da mudança, o que devem fazer do seu lado e encoraja-os a adoptar os novos procedimentos. Primeiro, porque é uma medida que reforça a segurança dos pagamentos online e todos ganham com isso. Depois, porque… enfim, porque tem de ser.

Como ficou dito atrás é essencial melhorar a qualidade da comunicação e o relacionamento com os clientes.

Conclusão

Apesar do impacto negativo que pode ter nos primeiros tempos, o sistema de autenticação segura nos pagamentos online terá efeitos muito positivos.

Se tiver sucesso no objectivo de reduzir o volume de fraudes nos pagamentos online, esta medida pode ser um importante factor para reforçar a confiança dos consumidores no comércio electrónico.

José Freitas

José Freitas

Jornalista de profissão, aficionado do WordPress em projectos pessoais e colaborativos. Cinema, música, tecnologia, fotografia e mais umas coisas. De vez em quando assobia e alguma coisa acontece.

Queres receber as nossas mensagens semanais o teu email?

As nossas mensagens são compostas por pequenos textos escritos a pensar em ti (sim a sério, a pensar em ti).

Não enviamos SPAM porque também não gostamos de o receber.