O PSD2 está a chegar. Está a chegar rapidamente, atingindo primeiro os membros da União Europeia. É a situação do GDPR de novo. Qual é a sua parte neste caso? Bem, sintonize-se e descubra. Mas só para lhe dar um spoiler, não há como escapar e vai chover com penalidades para aqueles que não puderem cumprir, uma vez que o prazo, 14 de Setembro, passe.
Agora, não pretendemos assustá-lo. Estamos simplesmente a estabelecer o óbvio e na esperança de esclarecer um pouco as coisas. Como sempre, quando uma mudança desta magnitude surge, a confusão está destinada a tomar conta. E a confusão nunca leva a nada de bom. Uma vez que não nos resta muito tempo, é melhor continuarmos com o nosso negócio e deixar de lado a visão artística para podermos lidar com as questões práticas. O que é o PSD2 e o que se espera de nós?
PSD2: anunciado, assinado, e confirmado
14 de Setembro de 2019. Esta data ficará na história (a história bancária, pelo menos) como o dia em que o PSD2 foi implementado. Já se passou por este caminho antes. Lembra-se da Primavera passada? Lembra-se do GDPR? Muitas conversas, muitas perguntas, muita confusão. De alguma forma, no entanto, o mundo conseguiu. A GDPR entrou em vigor e o mundo teve de se conformar. Então, porquê o medo do PSD2?
Esta é a segunda Directiva de Serviços de Pagamento e quanto mais envelhecemos, mais complicado e complexo se torna tudo. O pagamento não faz excepção e a fraude também não. Primeiro trazido à mesa, em 2015, o PSD2 foi criado a partir de uma necessidade premente de uma melhor detecção da fraude e de uma maior segurança. Todo o objectivo do PSD2 é melhorar e enriquecer a gama de serviços que fazem parte do ecossistema de pagamentos, equilibrando as escalas de poder entre instituições financeiras, tecnologias de pagamento e terceiros.
PSD2 ALTERAÇÕES DE CHAVE
Até agora, tudo bem. Neste momento, poderá estar a perguntar-se o que no mundo o PSD2 tem a ver com o seu negócio de subscrição.
Para além de abrir as portas à indústria de pagamentos e de se concentrar no nivelamento da concorrência, o PSD2 está empenhado em criar um ambiente em linha mais seguro. Isto significa grandes investimentos em tecnologias inovadoras para garantir a segurança das transacções e proteger os consumidores.
Uma das principais alterações trazidas pelo PSD2 é a implementação da SCA, Strong Customer Authentication, destinada a aumentar a segurança e minimizar a fraude.
E é aqui que você, o comerciante, assim como os PSP, entram.
O seu parceiro profissional de comércio electrónico
Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.
Apenas uma solução tão única como as necessidades do seu negócio.
O que é SCA?
A forte autenticação do cliente entra em vigor a 14 de Setembro, e a partir deste momento, para aceitar pagamentos em linha, o fluxo de caixa terá de incluir autenticação adicional. De acordo com o PSD2, todas as transacções de pagamento em linha terão de ser autenticadas por, pelo menos, dois dos três procedimentos possíveis:
O Propósito VS o Desafio
Embora o objectivo da autenticação em duas etapas seja reduzir a fraude e aumentar a segurança, estamos perante um grande desafio, o de satisfazer as exigências dos consumidores de desfrutar de uma experiência sem atritos e sem fricções.
Contudo, embora exista o risco de assustar os consumidores, os comerciantes precisam de estar conscientes de que a partir de 14 de Setembro, os bancos começarão a diminuir os pagamentos sem a autenticação em duas etapas.
3D Secure 2.0 - o forro prateado atrás do PSD2
O PSD2 precisa de ser implementado. Dado que a versão 2.0 é a sua única opção viável, precisa de ser cumprida. No entanto, há um lado bom por trás de cada nuvem e, neste caso, é novamente a 2.0. Não estamos apenas a dizer isto para elevar o seu espírito. Não. A versão 2.0 vem para resolver vários problemas passados, trazendo melhores experiências para o utilizador. Por outras palavras, os clientes estão a obter o melhor de ambos os mundos, segurança e compras sem fricções.
Portanto, vamos levá-los um a um.
3D Seguro 1.0
No início, o 3D Secure veio como o cavaleiro de armadura brilhante, mas não ficou muito tempo dentro dele. Em breve, certos desafios, grandes para esse efeito, começaram a surgir.
Com o 3D Secure, todo o processo de pagamento torna-se instantaneamente complicado, à medida que se acrescenta mais um passo. Sim, a experiência pode ser mais segura, mas é também muito mais inconveniente para o cliente, uma vez que a sua viagem é interrompida de forma brusca. Isto pode levar a um declínio na taxa de conversão, o que é algo que ninguém quer. Além disso, não são suportadas as compras noapp, as compras no browser são.
E vamos analisar um pouco a questão da segurança porque as coisas nem sempre são o que parecem. Agora, o objectivo da utilização do 3D Secure 1.0 era ter um pop-up aberto e depois ter o cliente redireccionado para uma nova página. Em certos tipos de ataques, do tipo "man-in-the-middle", os dados podem ser roubados recriando o pop-up, podendo assim roubar informações pessoais dos clientes. Além disso, o comerciante não tem qualquer controlo tanto sobre a aparência como sobre a sensação da interface. Assim, a experiência do utilizador é muito deficiente.
3D Seguro 2.0
Como já dissemos, a boa notícia é que existe a versão 2.0, que responde eficazmente a estes desafios. E não é porque o dizemos. É o PSD2 que exige mudança e melhoria. Lançada em 2016, em Las Vegas pela EMVCo, a versão 2.0 é um verdadeiro salvador de conversão.
As compras inapp são suportadas em dispositivos móveis e outros, o que é uma óptima notícia, dado que as compras inapp são uma grande parte da garantia de experiências satisfatórias para os clientes.
Na versão 2.0, a análise de risco é feita em segundo plano. O rastreio da compra é feito pelo servidor ACS. Se o risco for baixo, a ACS autenticará o cliente. Isto é feito silenciosamente, sem incomodar mais o cliente. O processo em si é sem atritos, uma vez que o cliente não tem conhecimento do mesmo. Uma vez autenticado, ele é imediatamente redireccionado para o ecrã de confirmação de compra.
Também permite que o processo de autenticação seja integrado na experiência de checkout. Esta melhoria particular é altamente promissora, porque dá grande flexibilidade, para além da segurança. Basicamente, a etapa extra na versão 1.0, que foi, de facto, responsável pelo declínio da taxa de conversão, é substituída não por uma opção, mas por três: a opção passiva (a troca de informação é feita sem incomodar o cliente), a verificação em 2 etapas (é fornecido um código numérico ao cliente via SMS ou e-mail) e biométrica (reconhecimento facial ou impressão digital).
Isto é flexibilidade e só irá melhorar porque é dada aos bancos a liberdade de inovar, podendo tornar o processo de autenticação ainda mais simples no futuro. E a segurança não é comprometida.
Como a necessidade de completar o processo de autenticação já não é necessária para ter lugar num ecrã diferente, o risco de enfrentar ataques "homem no meio" é consideravelmente diminuído. Portanto, sim, a segurança não é, de forma alguma, comprometida.
Dado que o PSD2 é um regulamento de apoio a novas tendências e mudanças no ecossistema de pagamentos, a Apple Pay ou o Google Pay estarão a receber reconhecimento, uma vez que estes métodos de pagamento têm uma camada de autenticação já implementada (palavra-passe ou reconhecimento de impressões digitais). Por isso, já o fez a meio caminho em termos de satisfazer novos requisitos.
Além disso, a versão 2.0 permite aos bancos emissores determinar se é ou não necessária uma autenticação adicional, naturalmente como resultado da análise baseada no risco. Isto suaviza o caminho e melhora o fluxo de pagamentos.
Desafios superados, missão cumprida
3D seguro 2.0 não só é obrigatório, como também é altamente benéfico. Traz grandes vantagens, tanto em termos de segurança como de experiência do cliente. Experiências de checkout mais suaves, mais claras e sem fricções, apoiando tanto as compras baseadas na web como as efectuadas no sistema "inapp", acabou-se a confusão do cliente, e aumentou a segurança, é disto que se trata o 3D Secure 2.0.
O seu parceiro profissional de comércio electrónico
Sem integrações de terceiros. Sem custos ocultos. Sem desperdício de tempo.
Apenas uma solução tão única como as necessidades do seu negócio.
Os sortudos: Isenções SCA
Como qualquer regulamento, o PSD2 vem com o seu próprio conjunto de isenções. Há certos casos em que a SCA não se aplica e estes contribuem grandemente para melhorar as experiências dos clientes.
Transacções de baixo valor
Os pagamentos inferiores a 30 euros são considerados transacções de baixo valor e, nestes casos, a SCA não pode ser aplicada. Se esta isenção tiver sido utilizada 5 vezes desde a última autorização ou se a soma das últimas 5 transacções exceder 100 euros, os bancos terão de pedir autorização.
Transacções recorrentes
No caso de subscrições ou pagamentos recorrentes, a autorização só será necessária para as primeiras transacções. De facto, esta situação pode trazer um novo desafio, uma vez que, no mundo das subscrições, os pagamentos recorrentes podem variar. A boa notícia é que estes são abrangidos pelas transacções iniciadas pelo comerciante, sendo assim considerados como uma excepção à SCA.
Transferências iniciadas por mercadores
Os pagamentos efectuados com cartões que tenham sido previamente guardados no sistema podem não estar sujeitos à SCA. No entanto, os bancos terão a última palavra nesta matéria, uma vez que serão eles a decidir se a autenticação é ou não necessária para uma transacção. As transacções iniciadas por comerciantes também incluem subscrições de montantes variáveis, bem como compras de suplementos.
Para que um pagamento seja abrangido pela categoria de transacção iniciada pelo comerciante, a autenticação será solicitada quando o cartão estiver a ser guardado ou quando o primeiro pagamento for efectuado.
Beneficiários de confiança
Certas transacções podem ser realizadas sem autenticação, uma vez que os clientes têm a opção de fazer uma lista branca de empresas em que confiam. As compras futuras provenientes dessas empresas não exigirão autenticação. Os bancos, comerciantes e fornecedores de pagamentos terão de comunicar esta questão no contexto do processamento de pagamentos. No entanto, os bancos terão a última palavra a dizer nesta matéria.
Transacções empresariais
As transacções empresariais ou B2B, efectuadas entre duas empresas, estão isentas de SCA, desde que sejam utilizados instrumentos de pagamento dedicados. Todas as despesas corporativas devem ser pagas com um cartão corporativo, utilizado apenas para fins específicos. No entanto, é relevante mencionar que esta isenção depende fortemente dos bancos.
Dadas as muitas inovações que se verificavam no mercado do comércio electrónico, era apenas uma questão de tempo até que fossem necessárias novas tecnologias de segurança. O PSD2 está apostado em mudar a forma como os pagamentos electrónicos se realizam. O cliente continua a ser uma prioridade máxima, tanto em termos de segurança, como em termos de experiência. A eliminação de qualquer ameaça existente é igualmente importante para oferecer experiências de compra sem atritos e sem descontinuidades.
Com um prazo a chegar em breve, o PSD2 e a sua implementação deveriam ser a principal preocupação dos comerciantes.
Fique atento a mais anúncios sobre o que a PayPro Global está a fazer para garantir a conformidade com o PSD2.
Meir Amzallag
Co-founder and CEO of PayPro Global
Ioana Grigorescu
Content Marketing Manager at PayPro Global
