obOpen Banking Lab
GlossárioSTETBlogContato
Segurança

3D Secure

3D Secure (3DS) — protocolo de autenticação de cartão

Protocolo de autenticação forte para pagamentos com cartão na internet. A versão atual, o 3DS2, permite biometria, pagamentos frictionless e a aplicação das isenções de SCA.

Veja também:SCAFlux SCADSP2PSR

Definição

O 3D Secure (3DS) autentica o portador de um cartão em um pagamento online. É a tela que o seu banco dispara — biometria, notificação ou código — para confirmar que é mesmo você.

Criado pela Visa em 2001 e depois adotado por Mastercard, Amex, JCB e Discover, o protocolo foi completamente reformulado no 3DS2 (implantado a partir de 2019) para atender à autenticação forte do cliente (SCA) exigida pela PSD2.

3DS1 vs 3DS2: a ruptura de UX

  • 3DS1 (2001 → 2022, descontinuado): OTP por SMS ou senha estática, em um iframe pouco atraente. UX ruim, 20% a 30% de abandono no checkout e fora de conformidade com a SCA.
  • 3DS2 (desde 2019): autenticação nativa no app bancário, troca de mais de 150 parâmetros de contexto entre lojista e banco e, sobretudo, um frictionless flow que elimina qualquer interação em 50% a 80% dos casos. Em conformidade com a SCA.

Desde outubro de 2022, o 3DS1 está oficialmente em end-of-life nas bandeiras: toda nova integração passa pelo 3DS2.

Frictionless flow vs challenge flow

A real contribuição do 3DS2: nem todo pagamento dispara uma SCA visível.

  • Frictionless — o ACS (Access Control Server) do banco valida automaticamente com base no contexto: dispositivo conhecido, lojista habitual, valor coerente. Pagamento em menos de 2 segundos, sem interação.
  • Challenge — o banco exige uma SCA explícita (biometria, push, OTP) que o cliente valida ativamente.

Todo o desafio de negócio é maximizar o frictionless sem comprometer a segurança, daí a corrida pelo scoring de risco tanto no lado do ACS quanto no do lojista.

Os atores do 3DS

Cinco papéis participam do protocolo:

  • Cardholder — o portador do cartão, que paga.
  • Merchant — o lojista, que inicia a requisição por meio do seu PSP.
  • 3DS Server — componente técnico do lado do lojista/PSP (Adyen, Stripe, Worldline) que orquestra a troca.
  • Directory Server (DS) — servidor central da bandeira (Visa, Mastercard, CB, Amex) que roteia para o banco correto.
  • ACS — do lado do banco emissor, decide entre autorizar em frictionless ou aplicar um challenge, e conduz a SCA quando necessário.

Isenções de SCA via 3DS2

O RTS-SCA prevê isenções que o lojista pode solicitar na requisição; o banco continua livre para concedê-las:

  • Low value: transação ≤ € 30 (contador acumulado limitado a € 100 ou 5 transações sem SCA).
  • TRA (Transaction Risk Analysis): liberada se o PSP apresentar uma baixa taxa de fraude — limiares decrescentes, <0,13% abaixo de € 100, <0,06% abaixo de € 250, <0,01% abaixo de € 500.
  • Trusted beneficiary: o portador adicionou o lojista à sua lista branca no app bancário.
  • Recurring transaction: valor e beneficiário idênticos aos de uma transação já autenticada.
  • MIT (Merchant Initiated Transaction): débito posterior consentido (assinatura, cartão salvo). A primeira transação passa por SCA, as seguintes podem dispensá-la.

O que o 3DS não faz

  • Não cobre transferências (PISP): elas seguem outro fluxo de SCA, gerido diretamente pelo banco, fora da rede de cartões.
  • Não garante a ausência de fraude: um challenge validado sob phishing continua válido para o banco — mas, nesse caso, o liability shift protege o lojista.
  • Não é sistemático: as isenções se aplicam amplamente e o MIT fica fora do escopo do 3DS.
  • Não se impõe fora da Europa: tecnicamente global, mas a SCA só é obrigatória no EEE. Nos Estados Unidos, o frictionless é quase sistemático.

O liability shift: o benefício para o lojista

Assim que um pagamento passa pelo 3DS2 — challenge ou frictionless — a responsabilidade por uma fraude migra do lojista para o banco emissor: sem mais chargeback sofrido por esse motivo. É o principal incentivo econômico para usar o 3DS, inclusive quando uma isenção de SCA seria possível.

No ecossistema PSD2

O 3DS2 é o braço armado da SCA para os pagamentos com cartão, um dos dois grandes canais de autenticação da PSD2. O outro reúne os fluxos de SCA próprios das APIs (redirect, decoupled, embedded) para transferências e agregação.

Exemplos concretos

  • Frictionless na prática: você paga a Decathlon do seu celular de sempre, no seu wifi de sempre, às 14h, por € 35. O ACS aceita automaticamente, você não vê nada e o pagamento passa em 1,5 segundo.
  • Challenge na prática: mesmo lojista, mas de um novo dispositivo, à meia-noite, por € 450. O ACS pede uma SCA: push no app bancário, biometria, retorno à página do lojista.
  • PSPs que otimizam o frictionless: Adyen, Stripe, Checkout.com, Worldline e Mollie investem em motores de risco proprietários para maximizar a relação frictionless/challenge sem perder segurança — um grande diferencial de mercado.
  • Caso e-commerce: um grande lojista francês atinge 70% a 85% de pagamentos frictionless no 3DS2, contra cerca de 30% no 3DS1, com um ganho de conversão de 5 a 15 pontos.
  • Trusted beneficiary: no BNP Mes Comptes ou no Boursorama, adicionar Amazon ou Spotify aos seus lojistas de confiança garante o frictionless nos pagamentos seguintes.
  • Apple Pay / Google Pay: essas carteiras usam um token (DPAN) que substitui o número real do cartão, e a SCA é feita localmente por Face ID ou Touch ID. Do lado do banco, é tratada como uma SCA já validada — um fluxo especialmente fluido.
  • 3DS 2.3: implantado gradualmente (2024-2026), ele torna mais fluida a out-of-band auth, lida melhor com as tentativas de retry e deixa as listas brancas mais dinâmicas.

Fontes

Voltar ao glossário