Supunha-se que a fraude com cartões falsificados desapareceria depois que os chips EMV substituíssem as faixas magnéticas. Mas isso não aconteceu.

De acordo com um relatório recente do Banco da Reserva Federal de Kansas City, 8,0 pontos-base de cada transação de débito com cartão físico nas redes Visa e Mastercard ainda são perdidos devido a fraudes por cartões falsificados. Essa porcentagem pode parecer pequena, mas para um comerciante que processa US$ 100 milhões em transações com cartão físico por ano, isso pode significar uma perda de até US$ 80.000 devido a fraudes por cartões falsificados.

Embora a taxa de fraude seja menor nas redes regionais de débito com PIN de mensagem única (2,2 pontos-base), a fraude por cartões falsificados ainda supera a fraude por cartões perdidos ou roubados nas redes de mensagem dupla.

Ainda mais impressionante é o fato de que as taxas de fraude com cartão físico nos EUA continuam sendo mais elevadas do que em muitos outros mercados de pagamentos avançados. A Europa registra cerca de 0,7 pontos-base, enquanto a Austrália fica em torno de 1,0 ponto-base, de acordo com dados comparativos citados na análise do Federal Reserve de Kansas City.

No entanto, a persistência da fraude por cartões falsificados não é uma anomalia americana. Dados do Banco Central Europeu mostram que os cartões falsificados ainda representavam cerca de 11% do valor das fraudes com cartões não remotas (presenciais) em toda a UE e no EEE em 2024, mesmo depois que a tecnologia EMV praticamente acabou com a era da clonagem de tarjas magnéticas.

Os chips EMV tornaram a falsificação tradicional significativamente mais difícil. Mas os fraudadores se adaptaram. Eles cometem fraudes com cartões falsificados sempre que os terminais ou caixas eletrônicos recorrem à leitura da fita magnética em vez do chip.

Este guia explica o que é a fraude por cartões falsificados, como ela funciona atualmente e o que os comerciantes podem fazer para combatê-la. Vamos começar!

Responsabilidade por fraudes com cartões falsificados e transferência de responsabilidade no padrão EMV

Antes de outubro de 2015, os bancos emissores arcavam com a maior parte das perdas decorrentes de fraudes com cartões falsificados.

Isso mudou após a transferência de responsabilidade EMV introduzida pelas principais redes de cartões, incluindo Visa e Mastercard. A regra é simples: a responsabilidade recai sobre a parte que utilizou a tecnologia menos segura durante a transação.

Na prática:

• Se uma transação com cartão com chip for processada através do chip, o emissor geralmente arca com o prejuízo decorrente da fraude.
• Se o mesmo cartão com chip for processado como uma transação com tarja magnética, o comerciante geralmente se torna responsável.

O detalhe crucial que muitos comerciantes ignoram é que a responsabilidade depende do que realmente ocorreu na transação, e não simplesmente da existência ou não de um leitor de chip. Quando ocorre um estorno, as redes de cartões analisam três fatores:

1. O cartão era compatível com chip?
2. O terminal era compatível com cartões com chip?
3. A transação foi processada por leitura do chip ou da fita magnética?

Se um cartão com chip for processado como uma transação com tarja magnética, especialmente por meio de um mecanismo de fallback, o comerciante geralmente arca com o prejuízo.

O que é a fraude com cartões falsificados?

A fraude com cartões falsificados (também conhecida como clonagem de cartões) é um tipo de fraude com cartão físico em que os criminosos codificam os dados de cartões de pagamento roubados em um cartão físico falso e, em seguida, o utilizam para transações presenciais ou saques em caixas eletrônicos.

Isso ocorre sempre que o cartão é passado ou inserido pessoalmente. Os criminosos obtêm os dados roubados da banda magnética do cartão, geralmente capturados por meio de dispositivos de clonagem, violações de dados ou roubo por parte de funcionários. Uma vez codificada em um cartão em branco, a cópia falsificada funciona exatamente como o cartão original.

A fraude com cartões falsificados difere da fraude sem a presença do cartão (CNP), na qual o criminoso precisa apenas do número do cartão e nunca entra na sua loja. Na fraude com cartões falsificados, há um cartão falso físico nas mãos de alguém no seu terminal.

Como funciona a fraude com cartões falsificados em transações presenciais

O ataque segue um processo em três etapas: roubar os dados, criar o cartão e usá-lo para uma transação não autorizada.

Quando o titular do cartão percebe a cobrança, ou quando a administradora a sinaliza primeiro, surge uma contestação, e o estorno resultante geralmente recai diretamente sobre você, o comerciante que aceitou a transação.

Métodos comuns utilizados em fraudes com cartões falsificados

Vamos analisar o processo de fraude com cartões falsificados:

Passo 1: Roubo de dados

Os criminosos têm como alvo a tarja magnética do cartão, que armazena dados estáticos. O objetivo deles é utilizar essas mesmas informações a cada vez que o cartão é passado. Os métodos mais comuns de captura de dados são:

• Skimmers: utilizam dispositivos de sobreposição acoplados a caixas eletrônicos, bombas de gasolina ou terminais de ponto de venda para ler discretamente a fita magnética quando o cartão passa por eles.
• Vazamentos de dados e malware: invasões orquestradas à rede ou malware em pontos de venda podem ser usados para coletar dados de tarjas de cartões em massa, sem a necessidade de nenhum dispositivo físico.
• Roubo por parte de funcionários: Funcionários com acesso a dados de cartões ou ao hardware dos terminais também podem ser cúmplices do crime.

Uma câmera oculta ou uma sobreposição no teclado numérico costuma ser combinada com um skimmer para capturar a senha do titular do cartão. Isso ocorre quando as transações exigem autenticação por senha.

Passo 2: Codificação do cartão

Os dados da tarja magnética roubados, especificamente a Faixa 1 e a Faixa 2 — as duas camadas de dados presentes em todos os cartões de pagamento que armazenam o número da conta, a data de validade e os códigos de autenticação —, são gravados em um cartão em branco. O resultado é um cartão que é autorizado da mesma forma que uma transação normal com tarja magnética em qualquer terminal que leia a tarja magnética.

Os chips EMV não podem ser clonados dessa forma. Os chips geram um criptograma exclusivo para cada transação, que não pode ser reproduzido a partir de dados roubados. É por isso que a maior parte das fraudes com cartões falsificados hoje em dia depende de transações com tarja magnética ou do mecanismo de fallback. O terminal ou o caixa eletrônico lê a tarja em vez do chip.

Etapa 3: Uso fraudulento

O cartão falso é passado em terminais que aceitam leitura de banda magnética, seja porque o terminal não possui compatibilidade com chip, a leitura do chip falhou e o mecanismo de fallback foi acionado, ou porque o fraudador aciona deliberadamente o mecanismo de fallback.

As vítimas podem nem perceber o crime até que o extrato bancário chegue; o cartão original nunca saiu da carteira.

Como os comerciantes podem detectar atividades relacionadas a cartões falsificados

A fraude com cartões falsificados é planejada para parecer normal. O cartão parece legítimo, a transação é autorizada na hora certa e o pagamento é processado. Em muitos casos, o primeiro sinal de fraude é um estorno semanas depois.

No entanto, as atividades fraudulentas quase sempre deixam vestígios sutis: no terminal, nos padrões de transação e nos dados de disputas. Os comerciantes que monitoram ativamente esses sinais muitas vezes conseguem identificar dispositivos comprometidos ou o uso de cartões clonados antes que as perdas se agravem.

Veja como:

Transações de fallback com tarja magnética

O sinal de alerta mais claro é um aumento repentino e inesperado nas transações de contingência com tarja magnética.

Os cartões com chip EMV devem ser inseridos na ranhura. Quando o chip não pode ser lido após várias tentativas, o terminal recorre à banda magnética. Essas recorreções ocasionais são normais e podem ser causadas por um chip danificado, um leitor desgastado ou firmware desatualizado.

Mas picos repetidos ou repentinos no mesmo terminal costumam indicar:

1. Adulteração ou um leitor mal configurado
2. Criminosos que utilizam cartões com tarja magnética clonados (frequentemente com chips danificados intencionalmente ou em branco para forçar o recurso de fallback).

A Visa alerta explicitamente que os fraudadores agora forçam deliberadamente o recurso de fallback para contornar a segurança do chip, e a taxa de fraudes associada está aumentando. As operadoras de cartões e as processadoras podem fornecer relatórios de fallback por ID do terminal. Analise-os semanalmente.

‍

Adulteração de terminais ou modificações em leitores de cartão

A maioria dos casos de fraude por cartões falsificados começa com o roubo de dados por meio de skimmers ou shimmers instalados sobre ou dentro do leitor. Fique atento a estes sinais de alerta:

1. Sobreposições para leitores de cartão que ficam ligeiramente salientes em relação ao hardware original.
2. Compartimentos que parecem frouxos, apertados, desalinhados ou emperrados.
3. PINpads que parecem salientes, esponjosos ou flexíveis.
4. Qualquer componente que balance ou se solte quando submetido a um teste suave.

Prática recomendada: Fotografe todos os terminais (por dentro e por fora) no dia da instalação e durante as verificações de rotina. Compare as novas fotos com as de referência. Diferenças sutis costumam ser a única pista de uma operação de fraude com cartões falsificados.

Grupos de transações incomuns em terminais especiais

Os cartões clonados costumam ser testados antes de compras de grande valor. Fique atento a estas pistas:

1. Vários cartões diferentes usados em rápida sucessão em um único terminal.
2. Uma série de pequenas autorizações “de teste”, seguidas por valores maiores.
3. Picos repentinos de volume em aparelhos que normalmente são silenciosos.

Monitore a atividade por ID do terminal (e não apenas por loja) para que você possa identificar e desligar rapidamente o leitor afetado!

Ambientes de pagamento sem atendimento

Caixas de autoatendimento, quiosques de estacionamento, máquinas de venda automática e bombas de gasolina são alvos principais, pois a supervisão é mínima. Fique atento a estes sinais de alerta:

1. O número de transações aumenta durante os horários de menor movimento.
2. Grupos de cartas que são jogadas com poucos segundos de diferença entre si.
3. Atividade incomum em dispositivos com pouco tráfego.

Códigos de motivo de estorno que indicam atividades fraudulentas

Quando os emissores detectam o uso de cartões falsificados, os estornos geralmente são registrados com os seguintes códigos de motivo:

1. Visa 10.1: Transferência de responsabilidade EMV em casos de fraude por falsificação (ambiente com cartão físico)
2. Mastercard 4870: Fraude com cartões falsificados

Um conjunto desses códigos associados ao mesmo terminal ou intervalo de tempo é um sinal claro de que um skimmer foi instalado ou de que cartões clonados estavam em uso.

Padrões fora do horário comercial ou de baixa segurança

Os fraudadores adoram períodos de baixo volume. Fique atento a picos de atividade à noite ou de madrugada, sequências de transações de teste ou o uso de vários cartões em rápida sucessão.

Nenhum indicador isolado comprova a fraude, mas quando sinais de adulteração física, picos de transações de contingência, aglomerações de transações e estornos fraudulentos ocorrem simultaneamente, as evidências são contundentes.

Combine inspeções visuais diárias, relatórios por terminal e análises proativas de estornos para identificar dispositivos comprometidos logo no início e conter as perdas antes que elas se agravem.

Como prevenir fraudes com cartões falsificados

A fraude por cartões falsificados ocorre no seu terminal porque a transação lê a fita magnética em vez do chip. Todas as medidas de prevenção visam colmatar essa lacuna.

Restringir o recurso de fallback da banda magnética

O recurso de fallback existe para cartões fisicamente danificados. Os fraudadores o exploram deliberadamente. Entre em contato com sua operadora de aquisição e pergunte se o recurso de fallback pode ser desativado ou restringido no seu terminal.

Muitos comerciantes nunca perguntam. E a resposta costuma ser sim. Os comerciantes que restringem o recurso de fallback apresentam uma exposição significativamente menor à falsificação.

Exigir a leitura do chip em todos os cartões compatíveis com chip

Configure os terminais para solicitar sempre a inserção do chip primeiro. Uma falha real do chip é tão rara que justifica uma verificação manual, e não uma leitura automática.

Priorizar terminais sem supervisão

Se os seus terminais externos não estiverem totalmente compatíveis com EMV, faça dessa atualização sua prioridade máxima. As filas de autoatendimento, os quiosques de estacionamento e os postos de gasolina continuam sendo os equipamentos mais frequentemente alvo de clonagem no setor de varejo dos EUA, pois não há funcionários para verificar ou detectar adulterações.

Implementar a criptografia ponto a ponto (P2PE)

O P2PE criptografa os dados do cartão no momento em que são capturados no terminal. Isso não impede que um skimmer seja instalado. Mas torna quaisquer dados roubados inúteis, eliminando completamente o seu ambiente como um alvo viável para violações.

Estabelecer uma linha de base para a inspeção no terminal

Fotografe todos os terminais e teclados PIN no dia da instalação. Use essas imagens como referência diária para as inspeções de abertura. Verifique manualmente:

• um leve toque no rosto do leitor,
• verifique se há alguma folga incomum no teclado numérico,
• qualquer coisa que se destaque em relação ao hardware ao redor.

Inspeções regulares ajudam a detectar adulterações antes que os dados roubados se acumulem.

Considerações finais sobre a fraude com cartões falsificados e próximos passos

A tecnologia EMV reduziu drasticamente a clonagem tradicional de cartões, mas não eliminou a fraude por falsificação. Em vez disso, os criminosos passaram a concentrar-se nas vulnerabilidades remanescentes do ecossistema de pagamentos, especialmente no recurso à fita magnética, em terminais comprometidos e em ambientes de pagamento sem supervisão.

Os comerciantes que monitoram ativamente o comportamento dos terminais, restringem as transações de fallback e inspecionam regularmente os dispositivos de pagamento podem reduzir significativamente sua exposição à fraude por cartões falsificados.

Próximos passos: use os dados de estorno para impedir transações de fallback

O recurso de fallback para a banda magnética não apenas compromete a segurança, como também aumenta a exposição do comerciante a estornos decorrentes de fraudes.

Concentrações de estornos por fraudes associadas ao mesmo terminal e a um curto intervalo de tempo quase sempre indicam um caso de clonagem de cartão.

É aí que o Chargeflow Insights se destaca.

Este painel de IA gratuito sinaliza instantaneamente esses conjuntos específicos de códigos de fraude em todos os seus terminais e processadores. Em combinação com o Chargeflow Alerts, você pode receber notificações em tempo real sobre dispositivos comprometidos em questão de minutos. Adicione o Chargeflow Automation e o processo de reclamação ocorre de forma automática.