obOpen Banking Lab
GlossárioSTETBlogContato
Técnico

EMV / NFC

EMV (chip) e NFC (sem contato)

EMV é o padrão mundial dos cartões com chip (1996, Europay-Mastercard-Visa) que eliminou a fraude por cópia da tarja magnética. NFC é a camada de rádio sem contato (contactless) que se apoia no EMV.

Veja também:CBVisa / MastercardTokenisation carte3D SecurePOS / TPE / mPOS / SoftPOSSCA

Definição

EMV é o padrão mundial dos cartões com chip no pagamento, desenvolvido pela EMVCo (consórcio fundado em 1994 por Europay, Mastercard e Visa, depois acompanhados por Amex, JCB, Discover e UnionPay).

Ele define como o chip de um cartão dialoga com o terminal para autenticar o portador, verificar o PIN e assinar criptograficamente a transação. NFC (Near Field Communication) é a camada de rádio sem contato (13,56 MHz, alcance < 4 cm) que transporta essas mesmas mensagens EMV entre o cartão (ou um telefone) e o terminal — o "sem contato".

EMV vs tarja magnética

Antes do EMV, os pagamentos se baseavam na tarja magnética: dados em texto claro, copiáveis com um simples leitor (skimming), daí a explosão da fraude por clonagem nos anos 1990. O EMV trouxe:

  • Criptograma dinâmico: a cada transação, o chip assina uma mensagem única, impossível de reproduzir.
  • Verificação do PIN (offline ou online) por criptografia.
  • Autenticação do cartão pelo terminal (chave da rede).
  • Liability shift: desde 2015 no EEE, a fraude em uma transação não-EMV recai sobre a parte que não havia implantado o EMV.

Resultado: a fraude em cartão presente na França caiu para 0,007% dos volumes (Observatório do BdF 2024), uma das taxas mais baixas do mundo.

NFC: a camada sem contato

NFC é uma tecnologia de rádio de curto alcance (ISO 14443, ISO/IEC 18092). Para o pagamento, o terminal alimenta o chip sem contato, que responde com uma mensagem EMV assinada, tratada como uma transação EMV clássica. O NFC é, portanto, apenas a camada de rádio: um cartão NFC sempre realiza uma transação EMV.

Limites do sem contato

Como o sem contato é feito sem PIN, ele tem limite:

  • França: 50 € desde maio de 2020 (elevado durante a Covid, vs 30 € antes).
  • Acúmulo de SCA: acima de 150 € acumulados ou 5 transações consecutivas sem SCA, o terminal pede o PIN.
  • Apple Pay / Google Pay: sem limite, pois a SCA é feita no telefone (biometria).
  • No exterior: 25 a 100 £ no Reino Unido, 50 a 200 € na Alemanha.

Apple Pay / Google Pay: NFC + tokenização

Quando você paga por NFC com uma wallet:

  1. A wallet tokeniza seu cartão (DPAN — Device Primary Account Number).
  2. A SCA é feita localmente (Face ID, Touch ID, código).
  3. O telefone emite uma mensagem EMV assinada via NFC, com um criptograma próprio da wallet.
  4. O terminal a trata como um EMV NFC normal, sem nunca expor o PAN real.
  5. A rede (Visa, MC, CB) destokeniza no lado do emissor.

O Apple Pay é, assim, mais seguro do que um cartão físico NFC: sem exposição do PAN, SCA sistemática, sem limite.

Tap to Pay e SoftPOS

Desde 2022 na França, um comerciante pode aceitar um pagamento NFC no próprio telefone, sem terminal físico:

  • Stripe Tap to Pay, Adyen Tap to Pay, myPOS Glass, Worldline Tap on Mobile.
  • Ideal para um entregador, um comerciante ambulante ou um agente, sem investir 200 a 400 € em uma maquininha.
  • Apoia-se em EMV + NFC + certificação PCI MPoC.

O que EMV e NFC não são

  • EMV não é o sem contato: designa o chip e o protocolo; existem cartões EMV apenas de inserção.
  • NFC não é exclusivo do pagamento: crachás de acesso, transportes (Navigo, Oyster), compartilhamento de arquivos…
  • EMV não é um protocolo completo: cobre apenas a apresentação ao terminal; roteamento e autorização passam pelas redes via ISO 8583.
  • NFC não elimina toda fraude: um cartão roubado permite pagamentos rápidos abaixo de 50 €, daí os limites e contadores de SCA.

No ecossistema PSD2

EMV + NFC formam a tecnologia de aceitação física. Para a SCA, o PIN EMV vale posse + conhecimento (2 fatores). O NFC sem PIN se apoia na isenção "low value" (≤ 50 €) com contadores acumulados. Apple Pay / Google Pay fazem a SCA no telefone, o que a satisfaz independentemente do valor.

Exemplos concretos

  • Cartões EMV na França: 100% dos cartões desde 2010 têm chip, e sem contato NFC desde 2015. A tarja magnética subsiste como fallback para os países que migraram mais tarde (EUA, Ásia).
  • Limite NFC: 50 € desde maio de 2020; acima de um acúmulo de ~150 € sem SCA, o PIN é exigido.
  • Adoção: mais de 90% das transações de proximidade abaixo de 50 € são sem contato em 2025 (vs ~40% em 2018), uma aceleração massiva ligada à Covid.
  • Apple Pay: sem limite, SCA sistemática, forte penetração entre os menores de 35 anos.
  • SoftPOS: o Stripe Tap to Pay no iPhone (lançado na França em 2024) transforma qualquer iPhone XS+ em terminal — ideal para entregadores, bufês e food trucks.
  • Migração EUA: os Estados Unidos migraram tardiamente para o EMV (2015, apenas cartão presente) e permanecem atrasados no NFC frente à Europa.
  • EMV 3DS: o EMV cobria apenas o presencial; o EMV 3DS (3DS2) estende seus princípios ao e-commerce, sob a égide da EMVCo.
  • Limite futuro: a ascensão dos pagamentos A2A (Pix, Wero) coloca, a prazo, a questão do lugar do par cartão EMV + NFC, sem substituição no curto prazo.

Fontes

Voltar ao glossário