obOpen Banking Lab
GlossárioSTETBlogContato
Segurança

Liability shift

Liability shift (transferência de responsabilidade por fraude)

Mecanismo das bandeiras de cartão pelo qual a responsabilidade por uma fraude passa do lojista para o banco emissor quando o 3DS2 foi utilizado. É o principal incentivo econômico para impulsionar o 3DS2.

Veja também:3D SecureSCAChargebackVisa / MastercardCBAcquéreur / ÉmetteurAPP fraud

Definição

O liability shift (transferência de responsabilidade) desloca o ônus financeiro de uma fraude em cartão de um ator para outro, conforme o dispositivo de segurança empregado.

O caso mais conhecido: com o 3DS2, a responsabilidade por uma fraude passa do lojista (responsável por padrão) para o banco emissor. É o principal incentivo econômico para implantar o 3DS2 — muito mais poderoso do que a simples obrigação de SCA da DSP2.

A regra básica: quem paga a fraude

Sem nenhum dispositivo específico, em uma transação fraudulenta:

  • o portador é reembolsado pelo seu banco emissor (DSP2 + SCA no EEE);
  • o emissor abre um chargeback contra o adquirente e o lojista;
  • o lojista, portanto, suporta a perda (valor + taxas de chargeback).

O liability shift inverte essa última etapa: se o 3DS2 foi usado corretamente, o emissor não pode mais abrir um chargeback por fraude, e é ele quem absorve a perda.

Os casos de liability shift

  • E-commerce (3DS2): uma transação processada com 3DS2 (challenge ou frictionless) é transferida ao emissor nos motivos de fraude; sem 3DS2, o lojista continua responsável. Uma MIT (assinatura) com acordo inicial de SCA e a flag correta também é transferida ao emissor.
  • Presencial (EMV): uma transação EMV chip + senha ou EMV NFC é transferida ao emissor; uma transação por tarja magnética quando o EMV era possível mantém o lojista como responsável (o caso da migração EMV dos EUA em 2015).
  • Apple Pay / Google Pay: DPAN tokenizado + SCA biométrica local → o liability shift recai sempre sobre o emissor, uma das razões da taxa de fraude muito baixa dessas carteiras.

O que o liability shift não cobre

  • A fraude amigável (friendly fraud): o portador contesta uma compra que realmente fez — permanece a cargo do lojista.
  • A fraude APP: transferências autorizadas, fora do âmbito do cartão, fora do escopo.
  • Os demais motivos de chargeback: produto defeituoso, não entregue ou assinatura não cancelada continuam a cargo do lojista.
  • Fora do EEE: o 3DS2 é menos sistemático nos EUA, então o shift é menos automático por lá.

O cálculo econômico

Para um lojista com 100 M€ de volume anual: uma taxa de fraude de 0,3 % sem 3DS2 (300 K€ de perdas) pode cair, com 3DS2, para 0,05 %, dos quais 150 K€ transferidos ao emissor e ~50 K€ residuais (fraude amigável, fora do escopo). Ou seja, ~250 K€ de economia por ano, muito acima do custo de integração e do leve abandono de carrinho (o frictionless custa < 1 % de queda). Por isso os PSPs impulsionam ativamente o 3DS2, mesmo quando uma isenção de SCA seria possível.

A evolução desde o IFR / a DSP2

  • Anos 2010 — liability shift para o 3DS1, pouco adotado (UX degradada).
  • 2018+ — a SCA obrigatória no EEE torna o 3DS2 o padrão e o liability shift um mecanismo quase universal nos cartões do EEE.
  • 2024+ — Visa e Mastercard endurecem as regras de motivos de chargeback para limitar o abuso de fraude amigável.

O que o liability shift não é

  • Não é uma garantia de fraude zero: o lojista continua responsável pela qualidade do produto, pela entrega, pelas assinaturas e pela fraude amigável.
  • Não é um mecanismo da DSP2: é um mecanismo das bandeiras, anterior à DSP2, que a SCA popularizou.
  • Não é universal: varia conforme a bandeira, a jurisdição e o tipo de cartão.
  • Não é sem contrapartida: um emissor que sofre fraude demais após o shift pode apertar sua política (mais challenge, menos frictionless).

No ecossistema PSD2

O liability shift é o alinhamento econômico entre as bandeiras e a SCA da DSP2: torna racional investir no 3DS2, mesmo sem obrigação. É também uma alavanca de qualidade — um ACS frouxo demais no frictionless acaba pagando mais perdas, o que o incentiva a pontuar bem.

Exemplos concretos

  • E-commerce com 3DS2: uma compra de 200 € na Cdiscount com 3DS2 frictionless; em caso de fraude comprovada, o emissor reembolsa o portador sem poder abrir chargeback — ele suporta a perda.
  • E-commerce sem 3DS2: um lojista que contorna o 3DS2 sofre um chargeback por fraude bem-sucedido e perde os 200 €.
  • Migração EMV nos EUA: desde outubro de 2015, uma fraude por tarja magnética quando o EMV era possível é transferida para a parte que não migrou — o que acelerou a migração das maquininhas norte-americanas.
  • Apple Pay: uma transação fraudulenta permanece a cargo do emissor (DPAN + SCA biométrica), com uma taxa de fraude particularmente baixa.
  • Fraude amigável: um pai contesta 50 € na Roblox pagos pelo filho — não coberto, a cargo do lojista.
  • PSPs que otimizam: Stripe Radar, Adyen RevenueProtect e Checkout.com adicionam um scoring de fraude do lado do lojista para evitar a fraude amigável e arbitrar entre 3DS2 e isenções.
  • Custo: o liability shift transfere vários bilhões de euros de fraude dos lojistas para os emissores a cada ano no EEE, que o compensam com o intercâmbio e o scoring de risco.

Fontes

Voltar ao glossário