Cenário das Passkeys de Pagamento: 4 Modelos Essenciais de Integração

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

O cenário global de pagamentos está em um ponto de inflexão crítico. Por décadas, a indústria tem lidado com a tensão inerente entre segurança e conveniência para o usuário, um desafio sentido de forma mais aguda no ambiente digital de Cartão-Não-Presente (CNP). O aumento de fraudes sofisticadas exigiu medidas de autenticação mais fortes, enquanto as expectativas dos consumidores demandam experiências de finalização de compra cada vez mais fluidas. Este relatório fornece uma análise abrangente desse ecossistema em evolução, com foco específico na identificação dos pontos estratégicos de integração para a tecnologia de passkeys. Ele foi projetado para servir como um guia definitivo para provedores de tecnologia, provedores de serviços de pagamento, instituições financeiras e lojistas que buscam navegar na transição para um futuro sem senhas.

O cenário de pagamentos está passando por uma mudança fundamental, impulsionada pela necessidade de segurança mais robusta, como a Autenticação Forte do Cliente (SCA), e pela demanda comercial por experiências de usuário fluidas. As passkeys resistentes a phishing surgiram como a tecnologia chave para resolver essa tensão. Nossa análise mostra que a indústria está convergindo para quatro modelos de arquitetura distintos para a integração de passkeys, cada um representando uma visão concorrente para o futuro da autenticação de pagamento:

1. O Modelo Centrado no Emissor (ex: via SPC): Embora tecnicamente elegante, este modelo é prejudicado por uma falta crítica de suporte de navegadores, mais notavelmente da Apple, tornando-o uma solução impraticável para o futuro próximo.
2. O Modelo Centrado no Lojista (Autenticação Delegada): Este modelo poderoso permite que grandes lojistas aproveitem seu relacionamento direto com o cliente, movendo a autenticação para o início do processo para criar uma finalização de compra transparente, mas vem com responsabilidade significativa e requer confiança direta do emissor.
3. O Modelo Centrado na Rede (Click to Pay): Uma grande jogada estratégica das redes de cartões como Visa e Mastercard para dominar a experiência de finalização de compra como convidado, oferecendo uma passkey portátil no nível da rede para os consumidores.
4. O Modelo Centrado no PSP (Carteiras): Um modelo dominante onde grandes Provedores de Serviços de Pagamento (PSPs) como o PayPal usam passkeys para proteger e otimizar a experiência dentro de seus vastos e estabelecidos ecossistemas de carteiras.

Cada modelo apresenta uma resposta diferente para a questão estratégica central: "Quem se tornará o principal Relying Party para pagamentos?". Este relatório disseca essas arquiteturas concorrentes, mapeando-as para os participantes do ecossistema para fornecer um roteiro claro para navegar no futuro da autenticação de pagamento.

Para entender onde e como as passkeys podem ser integradas, é essencial primeiro estabelecer um mapa claro e detalhado dos participantes do ecossistema de pagamentos e seus papéis distintos. O fluxo de uma única transação online envolve uma interação complexa entre múltiplas entidades, cada uma desempenhando uma função específica no movimento de dados e fundos.

No centro de cada transação estão cinco participantes fundamentais que formam a base da cadeia de valor de pagamentos.

1. Cliente / Titular do Cartão:

   • Descrição: O indivíduo ou organização que inicia uma compra. O titular do cartão obtém um cartão de pagamento (crédito ou débito) de um banco emissor e é responsável por pagar quaisquer cobranças incorridas.
   • Objetivo: Experiência de finalização de compra rápida, simples e segura.
   • Exemplos: Qualquer indivíduo com uma conta bancária e/ou um cartão de pagamento.

2. Lojista (Merchant):

   • Descrição: A empresa que vende bens ou serviços e aceita pagamentos eletrônicos. Para isso, o lojista deve ter a infraestrutura necessária, geralmente fornecida por um banco adquirente ou um provedor de serviços de pagamento (PSP), para aceitar e processar pagamentos com cartão.
   • Objetivo: Maximizar a conversão de vendas minimizando o atrito na finalização de compra, ao mesmo tempo em que mitiga fraudes.
   • Exemplos: Um site de comércio eletrônico, uma loja de varejo, um serviço de assinatura.

3. Banco Emissor (Issuer):

   • Descrição: O banco ou instituição financeira do titular do cartão. O emissor fornece o cartão de pagamento ao cliente, assume o risco de crédito associado e é, em última análise, responsável por aprovar ou recusar uma transação com base no status da conta do titular do cartão e em uma avaliação de risco.
   • Objetivo: Receber a solicitação de autorização e enviar de volta um código de resposta através das redes de cartões.
   • Exemplos: Bank of America, Chase, Barclays.

4. Banco Adquirente (Acquirer):

   • Descrição: O banco do lojista, também conhecido como banco do lojista. O adquirente mantém a conta do lojista e facilita o processamento de transações com cartão em nome do lojista.
   • Objetivo: Receber os detalhes de pagamento do lojista, encaminhá-los através da rede de cartões para o emissor e, após a aprovação, liquidar os fundos na conta do lojista.
   • Exemplos: Wells Fargo Merchant Services, Worldpay (da FIS).

5. Redes de Cartões (Bandeiras):

   • Descrição: A espinha dorsal tecnológica que conecta todos os outros participantes. Empresas como Visa, Mastercard, American Express e Discover operam essas vastas redes. Elas não emitem cartões nem abrem contas de lojistas, mas fornecem a infraestrutura crítica, as regras e os padrões que governam as transações.
   • Objetivo: Facilitar o roteamento de solicitações de autorização e a compensação e liquidação de fundos entre emissores e adquirentes.
   • Exemplos: Visa, Mastercard, American Express.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Entre os participantes principais, existe um ecossistema complexo e muitas vezes sobreposto de provedores de tecnologia e serviços. Entender as distinções entre esses intermediários é crucial, pois eles são frequentemente os principais pontos de integração para novas tecnologias como as passkeys. As linhas entre essas funções se tornaram significativamente turvas nos últimos anos, à medida que os provedores modernos buscam oferecer soluções mais abrangentes e "tudo-em-um".

1. Gateway de Pagamento:

   • Descrição: Um gateway de pagamento é a tecnologia que atua como o portal digital seguro para uma transação. Seu papel principal é capturar os detalhes de pagamento sensíveis do cliente no site do lojista ou no sistema de ponto de venda (PDV), criptografá-los e transmiti-los com segurança para o processador de pagamento ou banco adquirente. É a "porta de entrada" da transação, responsável pela transmissão segura de dados, mas não pelo movimento de fundos em si.
   • Objetivo: Fornecer aos lojistas uma maneira segura e confiável de aceitar pagamentos online.
   • Exemplos: Authorize.net (uma solução da Visa), Braintree, Stripe Payment Gateway.

2. Processador de Pagamento:

   • Descrição: Um processador de pagamento é a entidade que executa as mensagens de transação entre as várias partes. Após receber os dados seguros do gateway de pagamento, o processador se comunica com a rede de cartões e, por extensão, com os bancos emissor e adquirente para facilitar a autorização e a liquidação da transação. Pode-se pensar no processador como o motor operacional que lida com a comunicação técnica necessária para que o pagamento ocorra, enquanto o gateway é o canal seguro para essa comunicação.
   • Objetivo: Executar mensagens de pagamento de forma confiável e eficiente, gerenciar a liquidação de transações e lidar com a resolução de disputas entre os bancos emissor e adquirente.
   • Exemplos: First Data (agora Fiserv), TSYS, Worldpay.

3. Provedor de Serviços de Pagamento (PSP):

   • Descrição: Um Provedor de Serviços de Pagamento é uma empresa que oferece aos lojistas uma solução abrangente e integrada para aceitar pagamentos eletrônicos. Um PSP moderno geralmente combina as funções de um gateway de pagamento e um processador de pagamento, e muitas vezes também fornece a conta do lojista, tudo sob um único contrato. Este modelo "tudo-em-um" simplifica muito o processo para os lojistas, que não precisam mais estabelecer relacionamentos separados com um provedor de gateway e um banco adquirente. Em alguns contextos, PSPs que agregam vários métodos de pagamento para lojistas também são chamados de Agregadores de Pagamento.
   • Objetivo: Oferecer aos lojistas uma solução completa para todas as suas necessidades de pagamento, abstraindo a complexidade e simplificando a aceitação de pagamentos.
   • Exemplos: Stripe, Adyen, PayPal, Mollie.

4. Provedores de Conta a Conta (A2A) / Open Banking:

   • Descrição: Esta é uma categoria de provedores de pagamento em rápido crescimento que contorna completamente as redes de cartões tradicionais. Os pagamentos A2A movem fundos diretamente da conta bancária de um consumidor para a conta bancária de um lojista. Isso é frequentemente possibilitado por regulamentações de "Open Banking" (como o PSD2 na Europa), que exigem que os bancos forneçam acesso seguro via API aos dados da conta do cliente e serviços de iniciação de pagamento para provedores terceirizados licenciados. Esses provedores constroem interfaces amigáveis sobre essas APIs, permitindo que os consumidores se autentiquem com seu banco e aprovem um pagamento em um fluxo contínuo.
   • Objetivo: Oferecer uma alternativa de baixo custo e alta segurança aos pagamentos com cartão, eliminando taxas de intercâmbio e reduzindo fraudes por meio da autenticação em nível bancário.
   • Exemplos: Trustly, Plaid, Tink, GoCardless, Fintecture.

Essa consolidação de papéis tem implicações profundas. Embora academicamente distintos, na prática, o ponto de contato único de um lojista é frequentemente um PSP que abstrai a complexidade dos relacionamentos subjacentes com o gateway, o processador e o adquirente. No entanto, as capacidades desses PSPs podem variar drasticamente. Um PSP que é meramente um revendedor dos serviços de gateway de outra empresa tem capacidades técnicas e interesses estratégicos vastamente diferentes de um PSP full-stack com sua própria infraestrutura de processamento e licenças de adquirência. Essa distinção é importante ao avaliar oportunidades de integração para métodos de autenticação avançados.

Além disso, uma análise mais profunda do fluxo de pagamento revela um conceito fundamental que esclarece as motivações estratégicas por trás das novas tecnologias de autenticação: o papel do Relying Party (RP). No contexto da autenticação FIDO e das passkeys, o Relying Party é a entidade que é, em última análise, responsável por verificar a identidade de um usuário. Em uma transação de pagamento padrão, o emissor assume o risco financeiro da fraude e é, portanto, o Relying Party padrão; é sua decisão aprovar ou recusar o pagamento.

Os modelos de arquitetura emergentes para a integração de passkeys podem ser melhor entendidos como uma negociação estratégica sobre quem atua como o Relying Party. No modelo de Secure Payment Confirmation (SPC), o emissor permanece como o RP, mas permite que o lojista invoque a cerimônia de autenticação. Na Autenticação Delegada (DA), o emissor delega explicitamente a função de RP ao lojista ou ao seu PSP. E no modelo centrado na rede, a Visa e a Mastercard se posicionam como um Relying Party federado para transações de finalização de compra como convidado. Portanto, a questão central para qualquer provedor de pagamento que considere a integração de passkeys se torna:

A resposta aponta diretamente para a oportunidade de integração, o principal tomador de decisões e o objetivo estratégico subjacente.

Para fornecer uma representação visual clara desses relacionamentos, um fluxograma ilustrando o ciclo de vida do pagamento é essencial. Tal diagrama representaria dois caminhos distintos, mas interconectados:

1. O Fluxo de Dados (Autorização): Este caminho traça a jornada da solicitação de autorização. Começa com o cliente enviando os detalhes de pagamento no site do lojista, fluindo através do gateway de pagamento para o processador/adquirente, depois pela rede de cartões até o emissor para uma decisão de risco e, finalmente, a resposta de aprovação ou recusa viaja de volta para o lojista e o cliente. Todo esse processo ocorre em questão de segundos.

2. O Fluxo de Valor (Liquidação): Este caminho ilustra o movimento do dinheiro, que ocorre após a autorização. Ele mostra as transações em lote sendo compensadas, com os fundos fluindo do emissor, através da rede, para o adquirente (menos as taxas de intercâmbio) e, finalmente, sendo depositados na conta do lojista, um processo que geralmente leva alguns dias úteis. (Processamento de pagamentos: Como funciona o processamento de pagamentos | Stripe)

Essa visualização permite que qualquer participante do ecossistema localize imediatamente sua posição e entenda seus relacionamentos diretos e indiretos com todas as outras partes, preparando o terreno para uma análise detalhada de onde as intervenções de autenticação podem ocorrer.

sequenceDiagram
    participant C as Cliente
    participant M as Lojista
    participant P as Gateway/Adquirente
    participant N as Rede de Cartões
    participant I as Emissor

    C->>M: 1. Enviar Detalhes de Pagamento
    M->>P: 2. Transmitir Detalhes com Segurança
    P->>N: 3. Solicitação de Autorização
    N->>I: 4. Roteamento para o Emissor para Verificação
    I-->>N: 5. Resposta de Aprovação/Recusa
    N-->>P: 6. Repassar Resposta
    P-->>M: 7. Repassar Resposta
    M-->>C: 8. Confirmar Pedido ou Solicitar Novo Pagamento

    M->>P: 9. Enviar Lote de Transações Aprovadas
    P->>N: 10. Solicitação de Compensação
    N->>I: 11. Solicitar Fundos do Emissor
    I-->>N: 12. Transferir Fundos (menos taxas de intercâmbio)
    N-->>P: 13. Creditar Fundos ao Adquirente
    P-->>M: 14. Depositar Fundos para o Lojista (menos taxas de processamento)

Embora o ecossistema de pagamentos contenha participantes de todos os tamanhos, o mercado de processamento e adquirência está concentrado em torno de vários grandes players que variam por região. Gigantes globais frequentemente competem com fortes campeões nacionais e regionais. A tabela a seguir fornece um panorama dos principais players em diferentes geografias.

Toda compra online desencadeia uma sequência complexa e de alta velocidade de eventos que pode ser dividida em duas fases principais: autorização e liquidação. Sobreposta a esse processo está um protocolo de segurança crítico conhecido como 3-D Secure, que é central para entender os desafios modernos da autenticação de pagamentos online.

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

O ciclo de vida de uma única transação CNP envolve uma troca de dados quase instantânea seguida por uma transferência mais lenta de fundos.

A autorização é o processo de verificar se o titular do cartão tem fundos ou crédito suficientes para concluir a compra e se a transação é legítima. Esta fase ocorre em segundos e segue um caminho preciso de várias etapas (Processamento de pagamentos: Como funciona o processamento de pagamentos | Stripe):

1. Iniciação da Transação: O cliente seleciona seus itens, prossegue para a finalização da compra e insere os detalhes do seu cartão de pagamento (número do cartão, data de validade, CVV) no formulário de pagamento online do lojista.

2. Transmissão Segura: O site do lojista passa essas informações com segurança para seu gateway de pagamento. O gateway criptografa os dados para protegê-los durante o trânsito.

3. Roteamento para o Processador/Adquirente: O gateway encaminha os detalhes da transação criptografada para o processador de pagamento e/ou o banco adquirente do lojista.

4. Comunicação com a Rede: O adquirente envia a solicitação de autorização para a rede de cartões apropriada (ex: Visa, Mastercard).

5. Verificação do Emissor: A rede de cartões roteia a solicitação para o banco emissor do titular do cartão. Os sistemas do emissor realizam uma série de verificações: validade do cartão, saldo disponível ou limite de crédito e análise da transação por seus motores de detecção de fraude.

6. Resposta de Autorização: Com base nessas verificações, o emissor aprova ou recusa a transação. Essa decisão, na forma de um código de resposta, é enviada de volta pelo mesmo caminho: do emissor para a rede de cartões, para o adquirente, para o processador/gateway e, finalmente, para o site do lojista.

7. Conclusão: Se aprovado, o lojista conclui a venda e informa o cliente. Se recusado, o lojista pede ao cliente um método de pagamento alternativo.

A liquidação é o processo de mover efetivamente o dinheiro do emissor para o lojista. Diferente da autorização, isso não é instantâneo e geralmente ocorre em lotes. (Processamento de pagamentos: Como funciona o processamento de pagamentos | Stripe)

1. Agrupamento em Lote: No final do dia útil, o lojista envia um arquivo de lote de todas as suas autorizações aprovadas para seu adquirente.
2. Compensação: O adquirente envia o lote para a rede de cartões para compensação. A rede classifica as transações e as encaminha para os respectivos bancos emissores.
3. Transferência de Fundos: Os bancos emissores transferem os fundos das transações aprovadas para o banco adquirente, menos as taxas de intercâmbio, que são taxas que o adquirente paga ao emissor por cada transação.
4. Depósito ao Lojista: O adquirente então deposita os fundos na conta do lojista, menos suas próprias taxas de processamento. Todo esse processo de liquidação geralmente leva de 1 a 3 dias úteis.

Sobreposta a cada transação CNP está um protocolo de segurança crítico conhecido como 3-D Secure (3DS). Gerenciado pela EMVCo, seu propósito é permitir que o emissor autentique o titular do cartão, reduza fraudes e transfira a responsabilidade por chargebacks do lojista para o emissor.

O 3DS moderno (também chamado de 3DS2) funciona trocando um rico conjunto de dados entre o lojista e o Servidor de Controle de Acesso (ACS) do emissor. Esses dados permitem que o ACS realize uma avaliação de risco, levando a dois resultados:

• Fluxo sem Atrito: Se a transação for considerada de baixo risco, ela é aprovada silenciosamente em segundo plano, sem interação do usuário. Este é o objetivo para a maioria das transações.
• Fluxo de Desafio: Se a transação for de alto risco ou exigida por regulamentações como o PSD2, o usuário é ativamente desafiado a provar sua identidade, geralmente com um OTP ou uma notificação de aplicativo bancário.

Este "desafio" é um grande ponto de atrito e um campo de batalha chave para as taxas de conversão. O objetivo da indústria é maximizar os fluxos sem atrito, tornando os desafios o mais transparentes possível. É este desafio de alto atrito que as passkeys estão perfeitamente posicionadas para resolver, transformando um ponto potencial de falha em uma etapa segura e fluida.

graph TD
    A[Início: Cliente Prossegue para Pagar] --> B{Lojista Inicia Verificação 3DS};
    B --> C[SDK do Lojista envia dados ricos de transação e dispositivo para o ACS do Emissor];
    C --> D{Motor de Risco do ACS Analisa os Dados};
    D --> E{A transação é de alto risco ou o SCA é obrigatório?};
    subgraph Fluxo sem Atrito
    E -- Não --> F[Autenticação Aprovada Passivamente - Sem interação do usuário];
    end
    subgraph Fluxo de Desafio
    E -- Sim --> G[Usuário é solicitado a um desafio de autenticação];
    G --> H{Usuário Completa o Desafio? - ex: OTP, Push de App, SPC/Passkey};
    H -- Sim --> I[Autenticação Aprovada];
    H -- Não --> J[Autenticação Falhou];
    end
    F --> K[Transação Prossegue com Transferência de Responsabilidade para o Emissor];
    I --> K;
    J --> L[Transação é Bloqueada];

O advento das passkeys, baseado no padrão WebAuthn resistente a phishing da FIDO Alliance, está catalisando uma reformulação fundamental da autenticação de pagamentos. Isso está acontecendo em paralelo a uma poderosa tendência da indústria: os lojistas já estão adotando passkeys para a autenticação padrão do usuário (cadastro e login) para combater fraudes de tomada de conta e melhorar a experiência do usuário. Esse investimento existente cria uma base natural sobre a qual modelos de passkey específicos para pagamentos podem ser construídos.

Neste modelo, o banco do usuário (o emissor) é o Relying Party (RP) final para a autenticação. A passkey está vinculada ao domínio do banco (ex: banco.com), e o usuário se autentica diretamente com seu banco para aprovar uma transação. Este modelo tem duas variações principais, dependendo se o pagamento ocorre em trilhos de cartão ou através de transferências diretas de conta a conta.

Neste modelo, o banco emissor permanece no controle da autenticação, e a passkey está criptograficamente vinculada ao domínio do emissor (ex: banco.com). Embora um simples redirecionamento para o site do banco seja possível, isso cria uma experiência de usuário ruim.

Quem é o dono da passkey? No modelo Centrado no Emissor, o Emissor é o Relying Party (RP).

Ciclo de Adoção e Efeitos de Rede: A reutilização da passkey de um emissor cria um ciclo poderoso. Uma vez que um usuário cria uma passkey para seu banco, essa única passkey pode ser usada para aprovar transações desafiadas de forma transparente em qualquer lojista que use o protocolo 3DS. Isso aumenta o valor do cartão do emissor tanto para os consumidores (melhor UX) quanto para os lojistas (maior conversão).

A solução projetada pela indústria para isso é a Secure Payment Confirmation (SPC), um padrão web que permite a um lojista chamar a passkey do banco diretamente na página de finalização de compra, evitando um redirecionamento. Este processo também usa vinculação dinâmica para vincular a autenticação aos detalhes da transação, o que é crucial para o SCA.

A Falha Estratégica: Apesar de sua elegância técnica, o SPC não é uma estratégia viável hoje. Ele requer suporte de navegador que não existe no Safari da Apple. Sem o Safari, o SPC não pode ser uma solução universal, tornando-o impraticável para qualquer implementação em larga escala.

sequenceDiagram
    participant U as Usuário
    participant M as Site do Lojista
    participant I as ACS do Emissor

    Note over M,I: Uma verificação 3DS determina que um desafio é necessário.
    M->>I: Solicitação de Autorização (Alto Risco)
    I-->>M: Iniciar Desafio SPC
    Note over U,M: O navegador mostra um prompt nativo para o usuário.
    M->>U: Acionar API SPC para o domínio do emissor (ex: banco.com)
    U->>U: Usuário se autentica com biometria do dispositivo (Face ID, etc.)
    U-->>M: O navegador recebe a asserção assinada para banco.com
    M->>I: Encaminhar a asserção assinada para validação
    I-->>M: Autenticação Bem-sucedida

Enquanto os modelos anteriores são centrados no ecossistema de cartões, os pagamentos de Conta a Conta (A2A), impulsionados pelo Open Banking, apresentam um paradigma poderoso e distinto. Este modelo contorna completamente os trilhos de cartão, e sua integração com passkeys é singularmente direta e eficaz.

Neste modelo, o usuário se autentica diretamente com seu próprio banco para aprovar um pagamento. O atrito desse processo — muitas vezes envolvendo um redirecionamento desajeitado e um login com senha — tem sido uma grande barreira para a adoção do A2A. As passkeys resolvem esse problema central diretamente.

Quem é o dono da passkey? O Banco é o Relying Party (RP). A passkey é aquela que o usuário já criou para seu internet banking diário com meubanco.com.

Ciclo de Adoção e Efeitos de Rede: O ciclo é imenso e impulsionado pelos próprios bancos. À medida que os bancos incentivam seus usuários a trocar senhas por passkeys para logar em seu aplicativo ou site bancário principal, essas passkeys ficam automaticamente prontas para serem usadas em qualquer pagamento de Open Banking. O usuário não precisa fazer nada extra. Isso torna o fluxo de pagamento A2A tão simples quanto uma verificação biométrica, aumentando drasticamente seu apelo e competitividade em relação aos cartões.

Como funciona:

1. Na finalização da compra, o usuário seleciona um provedor A2A (ex: Trustly, Plaid) ou seu próprio banco.
2. O usuário é solicitado a autorizar o pagamento com seu banco.
3. O banco, como RP, aciona um desafio de autenticação com passkey.
4. O usuário se autentica com Face ID, impressão digital ou PIN.
5. O banco confirma o pagamento com segurança, e os fundos são transferidos diretamente para a conta do lojista.

Este modelo não se encaixa nos outros quatro porque não envolve uma rede de cartões, 3DS, SPC ou Autenticação Delegada. É um fluxo centrado no banco onde o provedor A2A atua como a camada de orquestração entre o lojista e o próprio sistema de autenticação do banco, agora habilitado para passkeys.

sequenceDiagram
    participant U as Usuário
    participant M as Site do Lojista
    participant A2A as Provedor A2A (ex: Trustly)
    participant B as Banco do Usuário

    U->>M: Seleciona "Pagar com o Banco"
    M->>A2A: Iniciar Pagamento A2A
    A2A->>U: Solicitar ao usuário que selecione seu banco
    U->>A2A: Seleciona o Banco
    A2A->>B: Solicitar Autorização de Pagamento
    Note over B,U: Banco solicita ao usuário autenticação com passkey
    U->>B: Autenticar com Passkey para meubanco.com
    B-->>A2A: Autenticação Bem-sucedida, Pagamento Autorizado
    A2A-->>M: Confirmar Pagamento
    M-->>U: Confirmar Pedido

A Autenticação Delegada representa um afastamento mais radical do modelo tradicional. Habilitada pela versão 2.2 do 3DS e apoiada por programas específicos de bandeiras de cartão, a DA é uma estrutura onde um emissor pode delegar formalmente a responsabilidade de realizar o SCA a um terceiro de confiança, mais comumente um grande lojista, PSP ou provedor de carteira digital.

Quem é o dono da passkey? Neste modelo, o Lojista ou seu PSP é o Relying Party (RP). A passkey é criada para o domínio do lojista (ex: amazon.com) e é usada para o login na conta.

Para se qualificar para a DA, a autenticação inicial realizada pelo lojista deve ser totalmente compatível com os requisitos do SCA. De acordo com as diretrizes da Autoridade Bancária Europeia sobre Autenticação Forte do Cliente, isso não é apenas um simples login; deve ter a mesma força de uma autenticação que o próprio emissor realizaria. As passkeys, com suas fortes propriedades criptográficas, são uma tecnologia ideal para atender a esse alto padrão. No entanto, um ponto crucial de incerteza regulatória permanece em relação às passkeys sincronizadas. Enquanto as passkeys vinculadas ao dispositivo atendem claramente ao elemento de "posse" do SCA, os reguladores como a EBA ainda não emitiram uma opinião definitiva sobre se as passkeys sincronizadas, que são portáteis através da conta na nuvem de um usuário, atendem ao requisito rigoroso de estarem unicamente ligadas a um único dispositivo. Esta é uma consideração chave para qualquer estratégia de DA na Europa.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Neste modelo, o evento de autenticação se move para o início da jornada do cliente. Em vez de ocorrer no final do processo de finalização de compra como um desafio 3DS, ele acontece no início, quando o cliente faz login em sua conta no site ou aplicativo do lojista. Se o lojista usa uma passkey para login, ele pode passar a evidência dessa autenticação bem-sucedida e compatível com o SCA para o emissor dentro da troca de dados 3DS. O emissor, tendo pré-estabelecido uma relação de confiança com aquele lojista, pode então usar essa informação para conceder uma isenção e contornar completamente seu próprio fluxo de desafio. Isso pode resultar em uma finalização de compra biométrica verdadeiramente transparente e com um clique para usuários logados.

Ciclo de Adoção e Efeitos de Rede: O ciclo aqui é impulsionado pelo relacionamento direto do lojista com o cliente. À medida que os lojistas adotam passkeys para login para reduzir fraudes de tomada de conta e melhorar a UX, eles constroem uma base de usuários habilitados para passkeys. Isso cria um caminho natural para alavancar essas passkeys para DA em pagamentos, desbloqueando uma experiência de finalização de compra superior. O efeito de rede é mais forte para PSPs que podem atuar como o RP para múltiplos lojistas, potencialmente permitindo que uma única passkey seja usada em uma rede de lojas, criando um incentivo poderoso para outros lojistas se juntarem ao ecosistema daquele PSP.

As redes de cartões estão fomentando ativamente este modelo através de programas dedicados. A estrutura Guide Authentication da Visa, por exemplo, é projetada para ser usada com DA para capacitar os lojistas a realizar o SCA em nome do emissor. Da mesma forma, o programa Identity Check Express da Mastercard permite que os lojistas autentiquem o consumidor dentro do próprio fluxo do lojista. Este modelo reflete a visão estratégica de grandes lojistas e PSPs:

No entanto, esse poder vem com responsabilidade. Sob as regulamentações europeias, a DA é tratada como "terceirização", o que significa que o lojista ou PSP assume a responsabilidade por transações fraudulentas e deve aderir a rigorosos requisitos de conformidade e gerenciamento de risco.

sequenceDiagram
    participant U as Usuário
    participant M as Site do Lojista
    participant I as ACS do Emissor

    Note over U,M: Passo 1: Usuário faz login no site do lojista.
    U->>M: Autenticar com passkey para lojista.com
    M-->>U: Login Bem-sucedido (SCA foi realizado)

    Note over U,I: Passo 2: Mais tarde, na finalização da compra...
    U->>M: Clica em "Pagar"
    M->>I: Solicitação de Autorização (incluindo prova de SCA prévio)
    I->>I: Verifica a prova de autenticação delegada
    I-->>M: Aprovar Transação (Nenhum desafio 3DS necessário)

Este modelo é uma grande iniciativa estratégica impulsionada pelas redes de cartões (Visa, Mastercard) para dominar e padronizar a experiência de finalização de compra como convidado. Eles construíram seus próprios serviços de passkey baseados em FIDO, como o Visa Payment Passkey Service, sobre a estrutura do Click to Pay.

Quem é o dono da passkey? No modelo Centrado na Rede, a Rede de Cartões é o Relying Party. A passkey é criada para o domínio da rede (ex: visa.com).

Ciclo de Adoção e Efeitos de Rede: Este modelo possui o efeito de rede mais poderoso. Uma única passkey criada para uma rede de cartões é instantaneamente reutilizável em todos os lojistas que suportam o Click to Pay, criando um valor imenso para o consumidor e impulsionando um clássico ciclo de mercado de dois lados.

sequenceDiagram
    participant U as Usuário
    participant M as Site do Lojista
    participant N as Rede de Cartões (Click to Pay)
    participant I as Emissor

    Note over M,U: Fluxo de Finalização de Compra como Convidado
    U->>M: Clica no botão "Click to Pay"
    M->>N: Iniciar fluxo Click to Pay
    Note over N,U: Usuário é solicitado a se autenticar na Rede.
    N->>U: Navegador aciona prompt de passkey para rede.com
    U->>U: Usuário se autentica com biometria do dispositivo
    U-->>N: Asserção assinada retornada para a Rede
    N->>N: Valida o usuário, recupera o token do cartão armazenado
    N->>I: Solicitação de Autorização com token da rede
    I-->>N: Aprovar/Recusar
    N-->>M: Enviar resposta de autorização para o lojista

Este modelo é centrado em grandes Provedores de Serviços de Pagamento (PSPs) que operam suas próprias carteiras voltadas para o consumidor, como PayPal ou Stripe (com Link). Nesta abordagem, o PSP é o Relying Party, e eles possuem todo o fluxo de autenticação e pagamento.

Quem é o dono da passkey? No modelo Centrado no PSP, o PSP é o Relying Party (RP). A passkey é criada para o domínio do PSP (ex: paypal.com) e protege a conta do usuário dentro do ecossistema daquele PSP.

Ciclo de Adoção e Efeitos de Rede: Este modelo também tem um efeito de rede extremamente forte. Uma passkey criada para a carteira de um grande PSP é reutilizável em todos os lojistas que aceitam aquele PSP, criando um incentivo poderoso para usuários e lojistas se juntarem ao ecossistema do PSP.

sequenceDiagram
    participant U as Usuário
    participant M as Site do Lojista
    participant P as PSP / Carteira (ex: PayPal)

    U->>M: Seleciona "Pagar com PSP" na Finalização da Compra
    M->>U: Redireciona ou mostra popup para login no PSP
    Note over P,U: Usuário se autentica diretamente no PSP
    U->>P: Autenticar com Passkey para psp.com
    P-->>U: Autenticação Bem-sucedida
    P-->>M: Enviar Garantia de Pagamento / OK para o Lojista
    M-->>U: Confirmar Pedido

Uma pergunta comum e crítica é se uma passkey criada para um modelo pode ser reutilizada em outro. Por exemplo, uma passkey que um usuário cria para seu banco usar com SPC pode ser usada para fazer login no site de um lojista em um fluxo de DA? A resposta é não, e isso destaca o papel central do Relying Party (RP).

Uma passkey é fundamentalmente uma credencial criptográfica que vincula um usuário a um RP específico. A chave pública é registrada nos servidores do RP, e a chave privada permanece no dispositivo do usuário. A autenticação é o ato de provar a posse dessa chave privada para aquele RP específico.

• No modelo Centrado no Emissor (SPC), o RP é o Emissor (ex: chase.com). A passkey é registrada no banco.
• No modelo Centrado no Lojista (DA), o RP é o Lojista ou seu PSP (ex: amazon.com ou stripe.com). A passkey é registrada no lojista para login.
• No modelo Centrado na Rede, o RP é a Rede de Cartões (ex: visa.com). A passkey é registrada na rede para o Click to Pay.
• No modelo Centrado no PSP, o RP é o Provedor de Serviços de Pagamento (ex: paypal.com). A passkey é registrada na carteira ou serviço do PSP.

Como a passkey está criptograficamente vinculada ao domínio do RP, uma passkey registrada com chase.com não pode ser validada por amazon.com. Elas são identidades digitais distintas do ponto de vista técnico. Um usuário precisará criar uma passkey separada para cada Relying Party com o qual interage.

A "reutilização" e "portabilidade" que tornam as passkeys poderosas vêm de duas áreas:

1. Sincronização de Passkeys: Serviços como o iCloud Keychain e o Google Password Manager sincronizam passkeys entre os dispositivos de um usuário. Assim, uma passkey criada para chase.com em um telefone está automaticamente disponível no laptop do usuário, mas ainda é apenas para chase.com.
2. Federação: Este é o modelo usado pelo Click to Pay. Um lojista pode confiar na Rede (ex: Visa) para autenticar o usuário. O usuário se autentica na Visa (o RP), e a Visa então sinaliza ao lojista que o usuário é legítimo. Isso é análogo a "Fazer login com o Google", onde um site confia no Google para lidar com o login. A passkey não está sendo reutilizada pelo lojista; o evento de autenticação está.

Portanto, os quatro modelos não são apenas caminhos técnicos diferentes, mas estratégias de identidade concorrentes. Cada um propõe uma entidade diferente para ser o principal Relying Party para a autenticação de pagamentos, e os usuários provavelmente acabarão com passkeys para seus emissores, lojistas favoritos, carteiras de PSP e redes de cartões.

Embora esses modelos ofereçam novas e poderosas maneiras de autenticar, eles também introduzem um desafio operacional crítico que muitas vezes é negligenciado: a restauração de passkeys e a recuperação de contas. As passkeys sincronizadas, gerenciadas por plataformas como o iCloud Keychain e o Google Password Manager, mitigam o problema de um único dispositivo perdido. No entanto, elas não resolvem o problema de um usuário perder todos os seus dispositivos ou mudar de ecossistema (ex: do iOS para o Android). Nesses cenários, um processo seguro e fácil de usar para o usuário provar sua identidade por outros meios e registrar uma passkey em um novo dispositivo é um pré-requisito inegociável para qualquer implantação em larga escala. Como a própria documentação da Mastercard observa, um usuário que troca de dispositivo precisará criar uma nova passkey, um processo que pode exigir validação de identidade por seu banco. (Mastercard® payment passkeys – Perguntas frequentes) Isso destaca que uma solução completa de passkey deve abranger não apenas a cerimônia de autenticação em si, mas também todo o ciclo de vida do gerenciamento de passkeys, incluindo fluxos de recuperação robustos.

Os quatro modelos de arquitetura - Centrado no Emissor (SPC), Centrado no Lojista (DA), Centrado na Rede (Click to Pay) e Centrado no PSP - se traduzem em oportunidades de integração distintas para diferentes players no ecossistema de pagamentos. Cada abordagem apresenta um conjunto único de trade-offs entre experiência do usuário, complexidade de implementação, responsabilidade e controle. Esta seção fornece uma análise pragmática desses pontos de integração para guiar a tomada de decisões estratégicas.

• Oportunidade: A principal oportunidade para emissores e os provedores de Servidor de Controle de Acesso (ACS) que os atendem é aprimorar o "fluxo de desafio" do 3DS, substituindo métodos legados como OTPs e senhas pela Secure Payment Confirmation (SPC).
• Público-Alvo: Esta integração é direcionada a provedores de ACS (ex: Netcetera, CA Technologies/Arcot), fornecedores de tecnologia que atendem o espaço do emissor e grandes bancos emissores que operam suas próprias plataformas de ACS internas.
• Papel do Provedor: Um provedor de passkey-as-a-service como a Corbado ofereceria um servidor FIDO incorporável ou um módulo de software totalmente compatível com a especificação SPC. Este módulo seria integrado à plataforma principal do ACS, permitindo que o ACS acione um fluxo SPC quando seu motor de risco determinar que um desafio é necessário.
• Prós:
  • Alta Segurança e Conformidade Regulatória: O uso de vinculação dinâmica criptográfica do SPC fornece uma prova forte e auditável do consentimento do usuário para detalhes específicos da transação, abordando diretamente os principais requisitos de regulamentações como o SCA do PSD2.
  • Experiência do Usuário Melhorada em Relação aos OTPs: Autenticar com uma rápida verificação biométrica é significativamente mais rápido e menos propenso a erros do que inserir manualmente um código recebido via SMS, o que pode levar a um aumento mensurável nas taxas de conversão do desafio.
  • Modelo de Responsabilidade Claro: Este modelo se encaixa perfeitamente na estrutura 3DS existente. Quando uma transação é autenticada com sucesso via SPC, a responsabilidade por chargebacks fraudulentos muda do lojista para o emissor, assim como acontece com outros métodos de desafio 3DS.
• Contras:
  • Ainda é um Fluxo de "Desafio": Embora o SPC melhore a experiência do desafio, ele não o elimina. O usuário ainda é interrompido na finalização da compra com uma etapa de autenticação. Essa experiência, embora melhor, é inerentemente mais friccional do que um fluxo "sem atrito" completamente passivo ou um fluxo de Autenticação Delegada bem-sucedido.
  • Dependente da Lógica de Risco do Emissor: A adoção e a frequência de uso do SPC dependem inteiramente do ACS do emissor e de seu motor de RBA. O ACS ainda decide se e quando acionar um desafio.
  • Atraso na Prontidão do Ecossistema: O uso generalizado requer que o ecossistema adote a versão 2.3 ou superior do EMV 3DS e que os navegadores dos usuários suportem a API Web do SPC. Como discutido, a falta de suporte universal, especialmente em plataformas móveis como o iOS, é um inibidor significativo.

• Oportunidade: Implementar a Autenticação Delegada (DA), permitindo que o lojista ou seu PSP realize o SCA no momento do login do cliente, criando assim uma experiência de finalização de compra completamente transparente para usuários autenticados que retornam.
• Público-Alvo: Isso é mais relevante para grandes lojistas de comércio eletrônico, PSPs full-stack (como Stripe ou Adyen) e provedores de carteiras digitais que têm um relacionamento direto com o consumidor e já investiram em um sistema seguro de conta e login.
• Papel do Provedor: Um provedor de passkeys forneceria a solução de autenticação com passkey para o fluxo de login do lojista. Crucialmente, a solução também deve fornecer as saídas de dados e provas criptográficas necessárias que podem ser empacotadas na solicitação de autenticação 3DS para sinalizar ao emissor que um SCA compatível já ocorreu.
• Prós:
  • Experiência do Usuário Ótima: Este modelo oferece o fluxo de pagamento com o menor atrito possível para usuários autenticados. Ele move a etapa de autenticação para uma parte natural e familiar da jornada do usuário (login da conta) e pode eliminar completamente o desafio 3DS, permitindo uma verdadeira finalização de compra com um clique.
  • Maior Potencial de Conversão: Ao remover o ponto final de atrito na finalização da compra, a DA tem o potencial de entregar o aumento mais significativo nas taxas de conversão de pagamento. Um piloto da Stripe com titulares de cartão Wise relatou um aumento de 7% na conversão para transações usando sua solução de DA.
  • Fortalece o Relacionamento Lojista-Cliente: Toda a experiência de autenticação e finalização de compra permanece dentro do ambiente de marca do lojista, reforçando seu relacionamento direto com o cliente.
• Contras:
  • Comerciais e Responsabilidade Complexos: A DA não é uma simples mudança técnica. Requer acordos explícitos, muitas vezes bilaterais, entre emissores e os lojistas/PSPs que eles escolhem confiar. Além disso, a parte que realiza a autenticação delegada assume a responsabilidade por fraudes, e o arranjo está sujeito a uma rigorosa supervisão regulatória como uma forma de "terceirização", o que acarreta um ônus de conformidade significativo.
  • Dependente da Confiança do Emissor: Todo o modelo depende da disposição de um emissor em confiar no processo de autenticação do lojista. Essa confiança provavelmente será estendida apenas aos maiores, mais seguros e mais estratégicos parceiros inicialmente.
  • Adoção Fragmentada: Diferente de um padrão universal, a DA será adotada por emissor e por lojista, levando a um cenário fragmentado onde a experiência não é consistente para todos os titulares de cartão em todos os lojistas.

• Oportunidade: Habilitar a experiência de passkey com a marca da rede para o enorme volume de transações de finalização de compra como convidado.
• Público-Alvo: Gateways de Pagamento e PSPs que desejam oferecer uma solução de finalização de compra como convidado moderna e padronizada para sua base de clientes lojistas.
• Papel do Provedor: O provedor pode atuar como um parceiro de integração crucial. Dado que a Visa e a Mastercard desenvolveram serviços de passkey separados e proprietários, um provedor de passkeys pode oferecer um SDK unificado ou uma "camada de orquestração" que abstrai as complexidades de integrar com as APIs distintas de cada rede, fornecendo um ponto de integração único e simplificado para o PSP.
• Prós:
  • Solução Padronizada para Finalização de Compra como Convidado: O Click to Pay com passkeys resolve um grande problema da indústria: a finalização de compra como convidado de alto atrito e alto abandono. Oferece uma experiência consistente, reconhecível e confiável.
• Adoção Impulsionada pela Rede: A Visa e a Mastercard estão colocando todo o seu peso por trás desta iniciativa, o que impulsionará a rápida adoção por parte de emissores, lojistas e consumidores. Os PSPs enfrentarão pressão competitiva para suportá-la.
• Ônus de Responsabilidade e Segurança Simplificado: A rede de cartões, atuando como o Relying Party federado, assume o ônus principal de construir e proteger a infraestrutura de autenticação FIDO, simplificando a postura de segurança e responsabilidade para o lojista.
• Contras:
  • Perda de Controle e Marca: A principal desvantagem é que o lojista e seu PSP cedem o controle sobre a experiência do usuário na finalização da compra para a rede de cartões. A finalização da compra se torna uma "finalização de compra Visa" ou uma "finalização de compra Mastercard", apresentando sua marca e interface de usuário.
  • Potencial de Desintermediação: Ao se tornarem o provedor de identidade central para o comércio eletrônico, as redes poderiam enfraquecer o relacionamento direto de dados e marca entre o lojista e o cliente ao longo do tempo.
  • Implementação "Caixa Preta": O funcionamento interno do servidor FIDO da rede, dos motores de risco e da lógica de autenticação são opacos para o lojista e o PSP. Eles estão se integrando a um serviço cujas regras e experiência do usuário eles não controlam.

A transição para a autenticação de pagamentos baseada em passkeys não é um exercício teórico; está sendo ativamente impulsionada pelos maiores players da indústria. Suas estratégias, programas piloto e declarações públicas fornecem uma visão clara da dinâmica competitiva e da provável trajetória de adoção.

Become part of our Passkeys Community for updates & support.

Join

• PayPal: Como membro fundador da FIDO Alliance e um provedor de pagamentos nativo digital, o PayPal tem sido um dos primeiros e mais agressivos a adotar as passkeys. Eles iniciaram um lançamento global em fases no final de 2022, começando nos EUA e expandindo para a Europa e outras regiões. Sua implementação é um estudo de caso de melhores práticas, aproveitando recursos como a UI Condicional para criar uma experiência de login com um toque que solicita automaticamente uma passkey quando o usuário interage com o campo de login. O PayPal relatou um sucesso inicial significativo, incluindo aumento nas taxas de sucesso de login e uma redução substancial na fraude de tomada de conta (ATO). Sua estratégia também inclui a defesa ativa da evolução regulatória na Europa, pressionando por uma abordagem baseada em resultados para o SCA que reconheça a segurança inerente das passkeys sincronizadas.

• Visa: A estratégia da Visa está centrada em seu Visa Payment Passkey Service, uma plataforma abrangente construída sobre sua própria infraestrutura de servidor FIDO. Este serviço é projetado como um modelo federado, onde a Visa lida com a complexidade da autenticação em nome de seus parceiros emissores. O principal veículo para este serviço é o Click to Pay, posicionando a Visa para dominar a experiência de finalização de compra como convidado. A mensagem da Visa vai além de simples pagamentos, enquadrando seu serviço de passkey como um elemento fundamental de uma solução de identidade digital mais ampla que pode ser usada em todo o ecossistema de comércio. Eles estão pilotando ativamente a tecnologia, incluindo o SPC, e relatam que a autenticação biométrica pode reduzir as taxas de fraude em 50% em comparação com os OTPs por SMS.

• Mastercard: A Mastercard espelhou o foco estratégico da Visa em um serviço de nível de rede, lançando seu próprio Payment Passkey Service construído sobre seu Token Authentication Service (TAS) existente. Sua estratégia de entrada no mercado foi caracterizada por uma série de pilotos globais de alto perfil. Em agosto de 2024, eles anunciaram um grande piloto na Índia, em parceria com os maiores agregadores de pagamento do país (Juspay, Razorpay, PayU), um grande lojista online (bigbasket) e um banco líder (Axis Bank). Isso foi seguido por lançamentos em outros mercados-chave, incluindo a América Latina com os parceiros Sympla e Yuno e os Emirados Árabes Unidos com a Tap Payments. Essa abordagem revela uma estratégia clara: fazer parceria com agregadores do ecossistema (PSPs, gateways) para alcançar escala rapidamente. A Mastercard fez um compromisso público ousado de eliminar a entrada manual de cartões na Europa até 2030, movendo-se inteiramente para transações tokenizadas e autenticadas por passkey.

As estratégias desses pioneiros revelam uma dinâmica crítica. A experiência de finalização de compra como convidado, historicamente uma área fragmentada e de alto atrito, tornou-se a cabeça de ponte estratégica para as redes de cartões. Ao criar uma solução superior e habilitada para passkeys para usuários convidados via Click to Pay, as redes podem estabelecer um relacionamento de identidade direto com os consumidores. Uma vez que um consumidor cria uma passkey de nível de rede durante uma finalização de compra como convidado, essa identidade se torna portátil para todos os outros lojistas que suportam o Click to Pay. Isso permite que as redes efetivamente "adquiram" identidades de usuários e ofereçam uma experiência transparente em toda a web, um movimento poderoso para capturar o papel central de provedor de identidade para o comércio digital.

Os esforços concertados desses grandes players, combinados com tendências tecnológicas e regulatórias mais amplas, apontam para uma mudança acelerada e inevitável na autenticação de pagamentos.

• O Fim Inevitável dos OTPs: O impulso de toda a indústria por passkeys sinaliza o começo do fim para os códigos de uso único baseados em SMS como método de autenticação primário. Os OTPs são cada vez mais vistos como um passivo devido tanto à sua experiência de usuário de alto atrito quanto à sua crescente vulnerabilidade a ataques como troca de SIM e campanhas sofisticadas de phishing. À medida que as passkeys se tornam mais difundidas, a dependência de OTPs será relegada a um mecanismo de fallback ou recuperação, em vez de um método de desafio primário.

• Ventos Regulatórios a Favor: Embora regulamentações atuais como o PSD2 tenham criado o mandato inicial para o SCA, suas definições rígidas e baseadas em categorias criaram alguma incerteza em torno de novas tecnologias como as passkeys sincronizadas. As próximas atualizações regulatórias, como o PSD3 na Europa, devem adotar uma abordagem mais neutra em termos de tecnologia e focada em resultados. Isso provavelmente favorecerá métodos de autenticação que são comprovadamente resistentes a phishing, fornecendo um caminho regulatório mais claro para a ampla adoção de passkeys como um método de SCA compatível.

• A Ascensão da Identidade de Pagamento Federada: Os movimentos estratégicos da Visa e da Mastercard são mais do que apenas proteger pagamentos; eles visam estabelecer um novo paradigma para a identidade digital. Ao construir serviços de passkey federados, eles estão se posicionando como os provedores de identidade centrais e confiáveis para todo o ecossistema de comércio digital. Isso pode ser visto como uma resposta estratégica direta às poderosas plataformas de identidade controladas pelas Big Tech (ex: Apple ID, Conta Google). O futuro dos pagamentos online está inextricavelmente ligado a essa batalha maior sobre quem possuirá e gerenciará a identidade do consumidor na web.

Embora a transação de pagamento principal seja o foco primário, a tecnologia de passkey está pronta para eliminar o atrito e aumentar a segurança em uma ampla gama de serviços financeiros adjacentes. Muitos processos que ainda dependem de senhas ou OTPs desajeitados são candidatos ideais para uma atualização com passkey.

• Provisionamento de Carteira Digital: O processo de adicionar um cartão de crédito ou débito a uma carteira digital como Apple Pay ou Google Pay muitas vezes requer uma etapa de verificação, como um OTP por SMS enviado pelo emissor. Este é um ponto de atrito que pode ser substituído por um fluxo de passkey.
• Open Banking e Vinculação de Contas: A base do Open Banking é permitir que aplicativos de terceiros (como aplicativos de orçamento ou outros serviços fintech) acessem os dados da conta bancária de um usuário. Isso requer que o usuário se autentique com seu banco, um processo que muitas vezes é complicado. As passkeys oferecem uma maneira muito mais fluida e segura de conceder esse consentimento, substituindo redirecionamentos desajeitados e a entrada manual de senhas por uma simples autenticação biométrica.
• Protegendo Tokens de Cartão em Arquivo (CoF): Além de apenas proteger o login de uma conta com um cartão salvo, as passkeys podem ser usadas para proteger o ato inicial de salvar o cartão. Um desafio no momento em que um usuário adiciona seu cartão fornece uma forte evidência de que o titular legítimo do cartão está presente, reduzindo fraudes de números de cartão de crédito roubados sendo usados para criar perfis CoF para uso indevido posterior.
• BNPL e Empréstimos Instantâneos: Os serviços de Compre Agora, Pague Depois e outras formas de crédito instantâneo envolvem tanto um onboarding inicial quanto avaliações de risco por transação. As passkeys já são usadas por pioneiros como a Klarna para substituir senhas no login. Elas também podem ser usadas como um método de autenticação de reforço para compras de alto valor ou quando um usuário solicita uma nova linha de crédito, fornecendo um sinal de intenção do usuário mais forte e de menor atrito do que os métodos tradicionais.

A ascensão das stablecoins (como USDC ou EURC) apresenta um novo trilho de pagamento baseado em blockchain. No entanto, uma grande barreira para a adoção em massa tem sido a má experiência do usuário e a segurança das carteiras de cripto. Tradicionalmente, essas carteiras são protegidas por uma "frase semente" (uma lista de 12-24 palavras) que o usuário deve anotar e proteger. Isso é incrivelmente hostil ao usuário e torna a recuperação da conta um pesadelo.

As passkeys estão prontas para transformar completamente essa experiência. A indústria está se movendo em direção a um modelo onde a chave privada que controla os ativos on-chain é protegida pela passkey do dispositivo.

• Eliminando Frases Semente: Em vez de anotar uma frase semente, a carteira de um usuário é criada e protegida pela segurança embutida de seu dispositivo. Para autorizar uma transação, como enviar stablecoins para um lojista, o usuário simplesmente se autentica com Face ID ou uma leitura de impressão digital. Isso faz com que um pagamento com cripto pareça tão transparente e seguro quanto usar o Apple Pay.
• Habilitando a Recuperação de Conta: Usando arquiteturas de carteira como "contas inteligentes" (ou "abstração de conta"), mecanismos de recuperação podem ser incorporados. Um usuário poderia designar amigos, familiares ou instituições de confiança como "guardiões" que podem ajudá-lo a recuperar sua conta se ele perder todos os seus dispositivos, uma vasta melhoria sobre a natureza de tudo ou nada das frases semente.

Essa evolução poderia reduzir significativamente o atrito e o risco associados ao uso de stablecoins para pagamentos, potencialmente tornando-as uma alternativa mais viável e popular aos trilhos de pagamento tradicionais.

A análise do cenário de pagamentos e dos modelos emergentes de integração de passkeys revela várias oportunidades distintas e acionáveis. Para uma empresa de autenticação passkey-first como a Corbado, o objetivo é capacitar cada player no ecossistema a alcançar seus objetivos estratégicos, fornecendo a tecnologia fundamental necessária para navegar nesta transição.

• O Objetivo: Modernizar o fluxo de desafio 3DS, substituindo OTPs de alto atrito para aumentar as taxas de conversão, aprimorar a segurança e atender à conformidade com PSD2/PSD3 de frente.
• Como a Corbado Ajuda: Fornecemos um módulo de autenticação com passkey incorporável, projetado para integração direta em plataformas de Servidor de Controle de Acesso (ACS) existentes. Ajudamos os fornecedores de ACS a oferecer uma experiência de desafio de primeira classe e baixo atrito que beneficia toda a sua rede de bancos e lojistas.

• O Objetivo: Dominar a jornada do cliente de ponta a ponta e entregar a melhor experiência de finalização de compra através da Autenticação Delegada (DA), eliminando o desafio 3DS para usuários logados.
• Como a Corbado Ajuda: A Corbado oferece uma solução abrangente de habilitação de DA. Isso inclui não apenas um sistema de login com passkey de primeira classe, mas também as ferramentas e APIs para gerar as provas criptográficas exigidas pelos emissores para conceder isenções de DA. Atuamos como um parceiro tecnológico, permitindo que lojistas e PSPs maximizem a conversão e fortaleçam sua marca.

• O Objetivo: Oferecer sem esforço os recursos mais recentes exigidos pela rede, como o Click to Pay, e manter as plataformas competitivas sem esforços de desenvolvimento caros e duplicados.
• Como a Corbado Ajuda: A Corbado oferece uma camada de "Orquestração de Passkeys". Ajudamos na integração dos serviços da Visa e da Mastercard e também fornecemos maneiras para que os lojistas possam oferecer simultaneamente sua própria solução de passkey para oferecer uma finalização de compra moderna para convidados.

• O Objetivo: Proteger todo o ecossistema da carteira, criando uma experiência de login e pagamento transparente e segura que seja portátil em toda a rede de lojistas do PSP.
• Como a Corbado Ajuda: Fornecemos a infraestrutura central de passkey que permite que grandes PSPs e provedores de carteira se tornem o Relying Party central para seus usuários. Ao integrar nossa solução, eles podem substituir senhas para os logins de suas carteiras (ex: para PayPal, Stripe Link ou Klarna). Isso não apenas protege a conta contra tomada de controle, mas também otimiza a autorização de pagamento em uma etapa biométrica de um clique, criando uma experiência de autenticação poderosa e de marca que fideliza usuários e atrai lojistas.

Esta análise destaca um fator crítico de sucesso para qualquer estratégia baseada em passkeys: a adoção pelo usuário. Uma solução que possa aumentar comprovadamente a criação e o uso de passkeys de uma linha de base de ~10% para mais de 50% aborda o principal desafio enfrentado no lançamento desses novos modelos de autenticação. Com base no ecossistema e nos objetivos estratégicos de seus players, as seguintes organizações e setores são candidatos ideais para tal solução.

• Problema Central: O alto atrito no fluxo de desafio 3DS leva a carrinhos abandonados e perda de receita para os lojistas, tornando o cartão de um emissor menos competitivo.
• Como a Adoção Ajuda: Uma maior adoção de passkeys se traduz diretamente em mais desafios bem-sucedidos e de baixo atrito. Isso melhora as taxas de conversão, aumenta a segurança e torna as credenciais de pagamento do emissor mais valiosas tanto para lojistas quanto para consumidores.
• Candidatos Ideais: Grandes bancos emissores (Bank of America, Chase, Barclays) e os provedores de ACS que fornecem sua tecnologia 3DS (Netcetera, CA Technologies).

• Problema Central: O desejo de dominar a jornada do cliente e eliminar o atrito na finalização da compra é frequentemente bloqueado pela necessidade de um desafio 3DS.
• Como a Adoção Ajuda: Todo o modelo de Autenticação Delegada (DA) se baseia na capacidade do lojista de autenticar fortemente o usuário no login. A alta adoção de passkeys não é apenas um aprimoramento, mas um pré-requisito para uma estratégia de DA bem-sucedida. Habilitar a DA para a maioria dos usuários é um poderoso diferencial competitivo.
• Candidatos Ideais: Líderes globais de e-commerce (Amazon, Walmart), serviços de assinatura digital (Netflix, Spotify) e os PSPs full-stack que os atendem (Stripe, Adyen, Checkout.com).

• Problema Central: O sucesso de serviços de identidade estratégicos de nível de rede, como o Click to Pay, depende diretamente da ampla adesão dos consumidores.
• Como a Adoção Ajuda: Uma experiência de criação de passkeys fácil e atraente é essencial para o crescimento dessas redes de identidade federadas. As redes poderiam incorporar uma solução focada na adoção nos SDKs que fornecem aos lojistas e PSPs, acelerando o lançamento e a aceitação de seus serviços de passkey proprietários.
• Candidatos Ideais: Visa (para seu Visa Payment Passkey Service) e Mastercard (para seu Token Authentication Service).

• Problema Central: O valor da carteira (ex: PayPal, Stripe Link, Klarna) está diretamente ligado ao número de usuários ativos e engajados. O atrito no login ou na finalização da compra enfraquece o ecossistema.
• Como a Adoção Ajuda: Impulsionar a adoção em massa de passkeys para o próprio domínio da carteira (paypal.com, etc.) é um objetivo estratégico central. Reduz a fraude, melhora a experiência do usuário e fortalece o efeito de rede, tornando a carteira mais atraente tanto para consumidores quanto para lojistas.
• Candidatos Ideais: PSPs globais com ofertas de carteira (PayPal, Stripe Link, Klarna) e grandes players regionais (Mercado Pago, Block).

• Problema Central: Os esquemas de pagamento nacionais enfrentam pressão para modernizar sua infraestrutura e fornecer soluções de identidade digital para se manterem competitivos contra as empresas de tecnologia globais.
• Como a Adoção Ajuda: Essas redes devem garantir que seus novos serviços de pagamento e identidade digital tenham uso generalizado. Para um player como o Australian Payments Plus (AP+), impulsionar a adoção de serviços como o PayTo (para pagamentos em tempo real) e o ConnectID (para identidade digital) é um objetivo estratégico central. Uma solução que aumenta o registro de passkeys é um facilitador direto dessa estratégia.
• Candidatos Ideais: Australian Payments Plus (AP+) e outros órgãos de infraestrutura de pagamento nacionais.

As grandes empresas de tecnologia operam carteiras digitais sofisticadas que desempenham um papel único e poderoso no ecossistema de pagamentos. Elas se situam na interseção do dispositivo do usuário, sua identidade na plataforma e os trilhos de pagamento tradicionais, o que lhes confere uma posição e estratégia distintas em relação à adoção de passkeys.

O Apple Pay e o Google Pay são melhor entendidos como uma camada de tecnologia e autenticação que se sobrepõe à infraestrutura de cartões de pagamento existente. Eles não emitem cartões nem processam transações, mas armazenam e transmitem com segurança versões tokenizadas dos cartões de pagamento existentes de um usuário.

• Posição no Ecossistema: Eles atuam como um "contêiner" seguro para os cartões de um usuário. Quando um usuário paga online, em vez de inserir os detalhes do cartão, ele seleciona Apple Pay ou Google Pay. A carteira então passa um token seguro de uso único para o gateway de pagamento do lojista. A transação ainda flui através do adquirente, da rede e do emissor normalmente.
• Como Eles Aproveitam as Passkeys: Eles autenticam o usuário com leitura de rosto ou impressão digital para a carteira, autorizando-a a liberar o token de pagamento. Este é um evento de autenticação poderoso e de baixo atrito, mas é distinto da autenticação 3DS/SCA pela qual o emissor do cartão é responsável. Um emissor ainda pode tecnicamente acionar um desafio 3DS em uma transação iniciada via Apple Pay, embora a forte autenticação no nível do dispositivo torne isso menos provável.
• Oportunidades e Como Eles se Beneficiam da Adoção:
  • Otimizando o Provisionamento da Carteira: O processo de adicionar um cartão a uma carteira muitas vezes requer um OTP do emissor. Este é um ponto chave de atrito. Apple e Google poderiam trabalhar com emissores para substituir isso por um fluxo de passkey no aplicativo, usando uma passkey para verificar o usuário instantaneamente. Uma solução de adoção para seus parceiros emissores tornaria suas carteiras mais fáceis de carregar e usar.
  • Tornando-se uma Autoridade Delegada: Seu objetivo estratégico final é aproveitar sua poderosa autenticação de plataforma para se tornarem o autenticador definitivo e confiável para pagamentos. Se os emissores reconhecerem formalmente a autenticação do Apple Pay ou Google Pay como atendendo aos requisitos do SCA, eles poderiam se tornar Autoridades Delegadas, eliminando completamente o desafio 3DS. A alta adoção de suas próprias passkeys de plataforma é crítica para tornar essa uma proposta convincente para os emissores.

O Amazon Pay e o Meta Pay operam mais como um lojista tradicional com uma carteira de Cartão em Arquivo (CoF) muito grande que pode ser usada em sites de terceiros e dentro de seus próprios ecossistemas (ex: para comércio social no Instagram).

• Posição no Ecossistema: Eles são um exemplo clássico do Modelo Centrado no Lojista. Os usuários armazenam seus cartões de pagamento diretamente em sua conta Amazon ou Meta. Quando usam o Amazon Pay ou o Meta Pay para finalizar a compra, eles estão se autenticando em sua conta principal, e essa plataforma processa o pagamento em seu nome.
• Como Eles Aproveitam as Passkeys: Seu uso principal de passkeys é para proteger o login da conta principal do usuário (ex: a passkey para Amazon.com). Ao mover suas vastas bases de usuários de senhas para passkeys para o login da conta, eles reduzem drasticamente o risco de fraude de tomada de conta e protegem as valiosas credenciais de pagamento armazenadas.
• Oportunidades e Como Eles se Beneficiam da Adoção: O benefício deles é direto e imediato. Uma solução que impulsiona a adoção de passkeys para suas contas de usuário principais:
  1. Reduz a Fraude: Diminui massivamente a superfície de ataque para tomada de conta, uma grande fonte de perda financeira e insatisfação do cliente.
  2. Reduz o Atrito: Cria uma experiência de login e finalização de compra transparente e segura, que comprovadamente aumenta as taxas de conversão. Para esses players, uma solução que impulsiona a adoção de passkeys é um investimento direto na segurança e no desempenho de seu negócio de comércio principal. Eles são, portanto, candidatos ideais para tal solução.

A indústria de pagamentos está no alvorecer de uma nova era de autenticação. O compromisso de longa data entre segurança e conveniência está finalmente sendo resolvido pela maturação e adoção da tecnologia de passkeys. A análise apresentada neste relatório demonstra que esta não é uma mudança monolítica, mas uma transição complexa com múltiplas visões concorrentes para o futuro. Os emissores buscam aprimorar a estrutura 3DS existente com o SPC; grandes lojistas e PSPs visam tomar o controle da experiência por meio da Autenticação Delegada ou construindo seus próprios ecossistemas de carteira; e as redes de cartões estão criando uma nova camada de identidade federada com o Click to Pay. Cada modelo está competindo para se tornar o novo padrão de confiança do usuário e conveniência.