A fraude não desapareceu com a adoção do padrão EMV. Ela simplesmente mudou de forma, tornando a fraude com cartão presente mais difícil e a fraude sem cartão presente mais fácil. A transferência de responsabilidade não reduziu a fraude. Ela apenas alterou onde ela ocorre e quem arca com os custos. Para os comerciantes, essa mudança afetou mais do que apenas os padrões de fraude. Ela alterou quem arca com as perdas.

O que é a transferência de responsabilidade EMV?

A regra de responsabilidade EMV determina qual das partes é financeiramente responsável quando uma transação se revela fraudulenta.

Isso é frequentemente chamado de transferência de responsabilidade por fraude, em que a responsabilidade é atribuída de acordo com a forma como a transação é autenticada. Na prática, determina qual das partes é financeiramente responsável quando uma transação se revela fraudulenta.

Antes da adoção do padrão EMV, os emissores costumavam arcar com as perdas decorrentes de fraudes. Após essa mudança, a responsabilidade passou a recair sobre a parte que utilizasse tecnologia menos segura.

Na prática:

• Se um comerciante não aceitar transações com cartões com chip EMV, ele será responsabilizado
• Se ambas as partes forem compatíveis com o padrão EMV, a responsabilidade recai normalmente sobre o emissor

É a isso que as pessoas se referem quando falam em transferência de responsabilidade no cartão de crédito, transferência de responsabilidade no pagamento com cartão ou transferência de responsabilidade no pagamento. 

O objetivo era simples: forçar a adoção de métodos de pagamento mais seguros. 

Então, o que significa uma transferência de responsabilidade bem-sucedida? Significa que a transação foi autenticada utilizando o método exigido e que o emissor, e não o comerciante, é responsável pelas perdas decorrentes de fraudes.

Como a transferência de responsabilidade alterou a atribuição de responsabilidade por fraudes em pagamentos   

A transferência de responsabilidade não alterou apenas quem arca com os custos da fraude. Ela mudou a forma como o risco é distribuído ao longo do ciclo de vida da transação.

Antes dessa mudança, os emissores costumavam arcar com as perdas decorrentes de fraudes, e as transações podiam ser aprovadas sem que o comerciante assumisse todo o risco.

Após a mudança, a situação mudou: se uma transação não for autenticada pelo método esperado, o prejuízo recai sobre o comerciante, mesmo que o pagamento tenha sido aprovado. Isso cria uma discrepância entre a aprovação do sistema e a realidade da contestação. 

Do ponto de vista do sistema, a transação é válida e autorizada. Do ponto de vista do emissor, a situação é mais simples: o titular do cartão nega a cobrança. A responsabilidade é determinada pela clareza com que o comerciante consegue associar o cliente à transação, e não pelo fato de o pagamento ter sido aprovado.

Na prática, a transferência de responsabilidade determina qual das partes é financeiramente responsável por uma transação fraudulenta quando não é utilizada uma autenticação adequada, transferindo a responsabilidade para a parte com controles de segurança mais fracos. 

A fraude com cartão presente diminuiu após a adoção do padrão EMV, enquanto a fraude online aumentou à medida que os invasores passaram a atuar em ambientes sem verificação por chip. Atualmente, a fraude sem cartão presente é responsável pela maior parte das perdas decorrentes de fraudes em pagamentos, embora represente uma parcela menor do total de transações. 

Essa mudança não tornou a fraude mais fácil nem mais difícil. Ela tornou os comerciantes responsáveis pelo que acontece após a aprovação, e é por isso que muitas perdas só aparecem mais tarde, quando uma transação concluída se transforma em uma contestação. 

Fraude com cartão presente vs. fraude sem cartão presente após a transferência de responsabilidade

A responsabilidade varia de acordo com a forma como uma transação é autenticada, e não com o fato de ela ter sido aprovada ou não.

O maior impacto da transferência de responsabilidade do padrão EMV foi no local onde a fraude ocorre. Nas lojas físicas, os cartões com chip reduziram a fraude por falsificação e tornaram o skimming menos eficaz, ao mesmo tempo em que transferiram a responsabilidade para os comerciantes que ainda utilizavam sistemas desatualizados. Como resultado, a fraude com cartão presente diminuiu.

No ambiente online, ocorreu o contrário. As transações não contam com a verificação por chip e dependem de sinais de autenticação menos seguros, o que as tornou mais vulneráveis a fraudes e aumentou as taxas de fraude.

É aqui que se concentram atualmente a maioria das lacunas em matéria de responsabilidade. As transações online envolvem um risco maior, razão pela qual as disputas relacionadas a transações não autorizadas continuam sendo comuns, mesmo quando os pagamentos são aprovados com sucesso.

Transferência de responsabilidade nos pagamentos online (3D Secure)

Nas transações online, a transferência de responsabilidade funciona de maneira diferente. Em vez do padrão EMV, ela depende de métodos de autenticação como o 3D Secure (3DS). Quando aplicado corretamente, o titular do cartão é verificado durante o processo de checkout, e a responsabilidade pode passar do comerciante para o emissor. Mas isso só se aplica em condições específicas. 

A transferência de responsabilidade geralmente se aplica quando a autenticação é bem-sucedida e totalmente concluída. Se a transação ignorar o 3DS, falhar na autenticação ou não for acionada quando necessário, o comerciante ainda poderá ser responsabilizado. 

Mesmo quando a responsabilidade é transferida, ainda existem lacunas. A transação pode continuar sendo contestada, e o resultado depende da avaliação do emissor. O 3D Secure reduz o risco, mas não o elimina. Assim como o EMV, ele protege a transação em um momento específico. Ele não aborda o que acontece após a autenticação, incluindo a invasão de contas ou disputas pós-compra.

Como a transferência de responsabilidade afeta os comerciantes e os processadores de pagamentos

Para os comerciantes, a transferência de responsabilidade não se resume apenas à conformidade. Trata-se de um risco. Mesmo quando as transações parecem legítimas, a conta pode estar comprometida, o método de pagamento pode ser válido e a autorização pode ser aprovada. Mas, se o titular do cartão contestar a cobrança, o comerciante ainda pode ser responsabilizado

É aqui que as expectativas quanto à transferência de responsabilidade por estornos se desmoronam. A autorização não equivale a proteção, pois a aprovação apenas confirma a transação, e não o cliente por trás dela.

Os processadores administram a transação. Eles facilitam a autenticação e o encaminhamento, mas não determinam a responsabilidade em caso de contestação. Essa decisão cabe ao emissor, com base na forma como a transação foi autenticada. Os emissores avaliam a contestação, e os comerciantes arcam com o prejuízo se as provas forem insuficientes. A transferência de responsabilidade altera quem arca com os custos da fraude. Ela não impede que a contestação ocorra. 

Como a tecnologia EMV ajuda a prevenir transações fraudulentas

A tecnologia EMV reduz a fraude ao tornar as transações mais difíceis de serem reproduzidas. Ela utiliza códigos de autenticação dinâmicos e verificação por chip, além de diminuir a dependência de dados estáticos do cartão.

Essa medida torna a fraude por falsificação significativamente mais difícil em ambientes físicos. Mas o padrão EMV tem suas limitações. Ele não protege transações online nem impede a invasão de contas e a fraude por pessoas próximas. Ele protege o cartão, não a conta.

Quando a transferência de responsabilidade falha

A transferência de responsabilidade só se aplica quando as condições adequadas são atendidas. Na prática, ela frequentemente falha. Entre os motivos mais comuns estão o recurso a transações com tarja magnética, autenticação ausente ou ignorada, dados de transação incompletos e decisões tomadas pelo emissor durante a análise de contestação.

Quando a transação é concluída, a responsabilidade volta a recair sobre o comerciante. É nessa situação que ocorrem muitas perdas, não porque a transação fosse claramente fraudulenta, mas porque as condições necessárias para a transferência de responsabilidade não foram cumpridas.

Melhores práticas para comerciantes após a transferência de responsabilidade

A transferência de responsabilidade alterou a atribuição de responsabilidades. Não eliminou o risco.

Hoje em dia, a maioria das fraudes não ocorre na fase de autenticação. Elas ocorrem após o acesso ter sido concedido. É por isso que os comerciantes precisam ir além da aprovação do pagamento e controlar o que acontece ao longo de todo o ciclo de vida da transação.

Não confie apenas na autorização. Transações aprovadas ainda podem virar disputas, especialmente em casos de invasão de conta e fraudes amigáveis, em que o pagamento em si parece legítimo.

Utilize a autenticação de forma seletiva. Aplique os padrões EMV e 3D Secure nos casos em que o risco justifique tal medida. O uso excessivo da autenticação gera atrito, enquanto o uso insuficiente aumenta a exposição sem, na verdade, reduzir o número de contestações.

Reforçar o monitoramento pós-login. Atualmente, a maioria das fraudes ocorre após a autenticação do cliente, quando a sessão é considerada confiável e as ações herdam essa confiança.

Acompanhe o comportamento, não apenas as transações. A fraude raramente se manifesta como um evento isolado. Ela surge como uma sequência, na qual as ações se interligam ao longo do tempo.

Prepare-se para contestações, não apenas para a prevenção de fraudes. Mesmo quando a responsabilidade é transferida, as contestações continuam ocorrendo. O que importa é se você consegue associar o cliente à transação de uma forma que o emissor aceite.

O objetivo não é impedir todas as transações de risco. É reduzir o número de transações válidas que acabam gerando disputas posteriormente.

Conclusão

A transferência de responsabilidade não eliminou a fraude. Ela alterou a quem recai o risco e como as perdas se manifestam. No caso dos pagamentos em lojas físicas, o padrão EMV reduziu a fraude por cartões falsificados. Nas transações online, o risco aumentou e passou a recair sobre os comerciantes.

Uma transferência de responsabilidade bem-sucedida depende do uso da autenticação correta no momento certo. No entanto, atualmente, a maioria das perdas não decorre de falhas na autenticação. Elas resultam de sessões consideradas confiáveis que, posteriormente, geram contestações. É importante compreender a quem cabe a responsabilidade. Controlar o que acontece antes do estorno é o que realmente reduz as perdas.