Mastercard Identity Check: Tudo o que Emissores e Comerciantes Precisam Saber

O mundo do comércio digital apresenta uma tensão fundamental: como podem as empresas oferecer uma experiência de checkout online fluida e sem esforço, ao mesmo tempo que se protegem a si mesmas e aos seus clientes da ameaça sempre presente de fraude? As transações de Cartão-Não-Presente (CNP), a espinha dorsal do e-commerce, carecem da segurança inerente da apresentação física de um cartão, o que leva a taxas de fraude significativamente mais altas. Historicamente, as transações CNP representaram uma parcela desproporcional das perdas por fraude em comparação com o seu volume. Além disso, o custo de prevenir a fraude através de medidas excessivamente agressivas, que resultam na recusa equivocada de transações legítimas (recusas indevidas ou "insultos ao cliente"), pode por vezes exceder o custo da própria fraude, levando a perdas de vendas e frustração do cliente.

É aqui que entra o Mastercard Identity Check, o programa abrangente da Mastercard concebido para enfrentar este desafio de frente. Construído sobre o padrão global EMV 3-D Secure, representa uma evolução significativa na autenticação de pagamentos online. A sua missão principal é aumentar a segurança, combater a fraude, impulsionar as taxas de aprovação de transações e otimizar a jornada de pagamento para titulares de cartões, bancos emissores (issuers) e empresas (merchants).

Este artigo de blog responde a perguntas críticas para issuers, merchants, Provedores de Serviços de Pagamento (PSPs), desenvolvedores de software, gestores de produto e profissionais de segurança que procuram compreender profundamente o Mastercard Identity Check:

1. O que é exatamente o Mastercard Identity Check e por que foi desenvolvido?

2. Como o Mastercard Identity Check utiliza a tecnologia EMV 3-D Secure para reduzir fraudes e recusas indevidas?

3. Que papel desempenham as tecnologias avançadas, como a biometria comportamental NuData, na viabilização da autenticação de utilizador sem atrito?

4. Como podem os merchants e PSPs integrar eficazmente o Mastercard Identity Check nos seus processos de pagamento existentes?

5. Que benefícios tangíveis — em termos de taxas de aprovação de transações, experiência do utilizador e redução de fraudes — podem as empresas esperar ao adotar o Mastercard Identity Check?

A jornada até ao Mastercard Identity Check começou com as vulnerabilidades inerentes ao e-commerce inicial. Com o aumento das compras online, os fraudadores exploraram a falta da presença física do cartão, levando a taxas crescentes de fraude CNP. A resposta inicial da indústria surgiu em 1999 com a introdução do protocolo 3-D Secure (3DS). A versão de marca da Mastercard desta primeira iteração era conhecida como Mastercard SecureCode. Embora o SecureCode (3DS 1.0) visasse replicar a segurança de um pagamento físico, adicionando uma camada de autenticação do titular do cartão e oferecendo o benefício crucial da transferência de responsabilidade por certos chargebacks fraudulentos para longe dos merchants, ele sofria de desvantagens significativas que dificultaram a sua eficácia e adoção:

• Elevado Atrito: A implementação mais comum envolvia palavras-passe estáticas ou perguntas de desafio complicadas, muitas vezes exigindo que os utilizadores se registassem previamente e memorizassem credenciais separadas. Isso adicionava um atrito notável ao processo de checkout.

• Má Experiência do Utilizador: Redirecionamentos para páginas com a marca do issuer para autenticação criavam uma experiência de utilizador inconsistente e muitas vezes desconexa, levando a confusão e suspeita entre os compradores. Este atrito contribuiu diretamente para altas taxas de abandono de carrinho de compras.

• Troca de Dados Limitada: O 3DS 1.0 permitia apenas a troca de cerca de 15 elementos de dados entre o merchant e o issuer, fornecendo um contexto insuficiente para uma avaliação de risco precisa.

• Design Centrado no Browser: Foi projetado principalmente para transações baseadas em browser, tornando-o inadequado para o mundo em rápido crescimento dos pagamentos em aplicações móveis e do comércio emergente em IoT.

• Mitigação Inadequada de Recusas Indevidas: Os dados limitados e o foco em desafios explícitos não abordavam eficazmente o problema significativo das recusas indevidas, onde transações legítimas eram incorretamente sinalizadas como fraudulentas, prejudicando o relacionamento com os clientes e causando perda de receita.

Ficou evidente que o impacto negativo de uma má experiência do utilizador – manifestado no abandono de carrinhos e em recusas indevidas – representava muitas vezes uma perda financeira maior para as empresas do que os custos diretos da fraude. Esta realidade económica, juntamente com a necessidade de uma prevenção de fraude mais forte num mundo cada vez mais digital, impulsionou o desenvolvimento de uma abordagem modernizada.

O lançamento do Mastercard Identity Check, construído sobre o protocolo EMV 3-D Secure de nova geração, visava superar estas limitações com um conjunto claro de objetivos:

1. Reduzir a Fraude CNP: Empregar técnicas mais sofisticadas para detetar e prevenir transações não autorizadas.

2. Minimizar o Atrito: Criar fluxos de autenticação sem atrito, mais suaves e rápidos, para a grande maioria das transações.

3. Aumentar as Taxas de Aprovação: Reduzir as recusas indevidas, fornecendo aos issuers dados mais ricos para avaliações de risco mais precisas.

4. Suportar Canais Modernos: Suportar nativamente a autenticação em aplicações móveis, carteiras digitais e outros dispositivos conectados.

5. Permitir a Troca de Dados Ricos: Facilitar a partilha segura de um volume significativamente maior de dados transacionais e contextuais.

6. Manter a Transferência de Responsabilidade: Preservar o benefício de transferir a responsabilidade por transações fraudulentas autenticadas para longe dos merchants participantes.

Mastercard Identity Check - Early Adopter Program Learnings

É essencial distinguir entre o padrão tecnológico subjacente e a implementação específica da Mastercard.

O EMV 3DS é a especificação do protocolo global desenvolvida e gerida pela EMVCo, uma organização detida conjuntamente pelas principais redes de pagamento globais, incluindo Mastercard, Visa, American Express, Discover, JCB e UnionPay. Ele define a estrutura técnica para a comunicação segura e a troca de dados entre os três domínios-chave envolvidos na autenticação de uma transação online:

1. Domínio do Adquirente: Inclui o merchant, o seu gateway de pagamento e o banco adquirente (banco do merchant). Este domínio inicia o pedido de autenticação através de um componente tipicamente chamado 3DS Server (ou historicamente, Merchant Plug-In/MPI).

2. Domínio do Emissor: Inclui o banco emissor (banco do titular do cartão) e o titular do cartão. Este domínio é responsável por verificar a identidade do titular do cartão através de um componente chamado Access Control Server (ACS).

3. Domínio de Interoperabilidade: Consiste principalmente no Directory Server (DS), operado pelo esquema de cartões (como a Mastercard). O DS atua como um router central, direcionando as mensagens de autenticação entre o 3DS Server e o ACS corretos com base no número do cartão (especificamente, o Número de Identificação Bancária ou BIN).

O protocolo EMV 3DS (frequentemente referido como 3DS 2.0 ou 2.x) introduziu melhorias significativas em relação ao 3DS 1.0 original:

• 10x Mais Dados: Suporta a troca de mais de 150 elementos de dados (em comparação com ~15 no 3DS 1.0), fornecendo um contexto mais rico para a avaliação de risco, incluindo informações do dispositivo, histórico de transações, detalhes do browser e dados do merchant.

• Autenticação Baseada em Risco (RBA): Permite fluxos de autenticação sem atrito, onde transações de baixo risco são aprovadas silenciosamente em segundo plano com base na análise de dados, sem exigir a interação do titular do cartão. O objetivo é atingir taxas de 90–95% de fluxos sem atrito.

• Suporte Nativo para Mobile/Apps: Inclui Software Development Kits (SDKs) para uma integração perfeita nos fluxos de checkout de aplicações móveis, eliminando redirecionamentos disruptivos do browser.

• Métodos de Autenticação Melhorados: Suporta métodos de autenticação modernos como Senhas de Uso Único (OTPs) entregues via SMS ou app, biometria (impressão digital, reconhecimento facial) e autenticação fora de banda, abandonando as palavras-passe estáticas.

• Casos de Uso Mais Amplos: Estende-se para além da simples autenticação de pagamento para suportar autenticação sem pagamento (por exemplo, adicionar um cartão a uma carteira digital), pagamentos recorrentes e tokenização.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check é o nome do programa específico da Mastercard que implementa e governa o uso do protocolo EMV 3DS dentro da sua rede. É o sucessor do programa Mastercard SecureCode. Embora construído sobre o padrão EMV 3DS, o Mastercard Identity Check incorpora os ativos e tecnologias únicos da Mastercard para melhorar o desempenho e a segurança. Isto inclui:

• IA e Machine Learning Proprietários: Utilizando os vastos dados de rede e as capacidades de IA da Mastercard para refinar a pontuação de risco e a tomada de decisões.

• Análise Comportamental (NuData): Integrando insights da biometria comportamental NuData (discutida na próxima secção) para compreender os padrões de interação do utilizador e detetar tentativas de fraude sofisticadas.

• Inteligência de Rede: Utilizando insights de milhares de milhões de transações processadas globalmente para informar as avaliações de risco.

• Governança do Programa: A Mastercard define Indicadores-Chave de Desempenho (KPIs) e regras específicas para os participantes (issuers, merchants, acquirers) dentro do programa Identity Check para garantir um desempenho ótimo e uma experiência de utilizador consistente em toda a sua rede.

Portanto, o Mastercard Identity Check não é apenas uma nova marca para o protocolo EMV 3DS. Representa a sobreposição estratégica da inteligência proprietária e da estrutura de governança da Mastercard sobre a base do protocolo padronizado. Esta sinergia visa fornecer um serviço de autenticação potencialmente mais eficaz e diferenciado em comparação com uma implementação básica de EMV 3DS, oferecendo deteção de risco aprimorada e otimização de desempenho dentro do ecossistema Mastercard.

Mastercard Identity Check

O Mastercard Identity Check depende de uma interação sofisticada de vários componentes tecnológicos centrais para alcançar os seus objetivos de segurança e fluidez. Compreender estes componentes é crucial para apreciar como o sistema avalia o risco e autentica os utilizadores.

Adquirida pela Mastercard em 2017, a tecnologia de biometria comportamental NuData é um pilar das capacidades avançadas de autenticação da Mastercard. Ao contrário da autenticação tradicional que se foca no que um utilizador sabe (palavra-passe) ou tem (telemóvel para OTP), a biometria comportamental analisa como um utilizador interage com o seu dispositivo e a aplicação. Foca-se na biometria passiva – padrões de interação inerentes e muitas vezes subconscientes.

• Como Funciona: Durante uma sessão online (como o checkout ou mesmo a abertura de uma conta), a tecnologia NuData recolhe e analisa passivamente centenas de sinais comportamentais subtis. Estes podem incluir:

  • Dinâmica de digitação (velocidade, ritmo, pressão)

  • Movimentos do rato (padrões, velocidade, cliques)

  • Manuseamento do dispositivo (ângulo, dados do acelerómetro)

  • Interação com o ecrã tátil (pressão, padrões de deslize)

  • Padrões de navegação (usar Tab vs. clicar, progressão no formulário, comportamento de 'voltar atrás')

  • Comportamento da sessão (familiaridade com o formulário, tempo gasto, uso de copiar/colar, troca de janelas)

• Propósito e Integração: Estes dados comportamentais são inseridos em modelos de machine learning que constroem um perfil único para cada utilizador legítimo. O sistema analisa milhares de milhões de pontos de dados anualmente para aprender e refinar continuamente estes perfis. A sua função principal dentro do Mastercard Identity Check é distinguir humanos genuínos de bots automatizados e fraudadores sofisticados, mesmo quando estes possuem credenciais roubadas. Deteta anomalias e sinais de alto risco em tempo real, fornecendo uma entrada crítica para o motor de Autenticação Baseada em Risco.

A tecnologia NuData é integral à estratégia de segurança em camadas da Mastercard, alimentando soluções como o NuDetect e contribuindo significativamente para a inteligência por trás do Mastercard Identity Check. É particularmente eficaz contra ataques automatizados como credential stuffing e tentativas de apropriação de contas.

WSJ Mastercard Nudata

Aproveitando as ricas capacidades de troca de dados do EMV 3DS 2.0, o Mastercard Identity Check incorpora uma inteligência de dispositivo abrangente. Isto envolve a recolha e análise de uma vasta gama de pontos de dados específicos do dispositivo que inicia a transação.

• Pontos de Dados: O protocolo EMV 3DS permite a transmissão de mais de 150 variáveis. Isto inclui informações como:

  • Tipo, modelo e sistema operativo do dispositivo

  • Tipo de browser, versão, idioma e plugins instalados

  • Endereço IP e dados de geolocalização

  • Tipo de ligação de rede e fuso horário

  • Identificadores ou impressões digitais do dispositivo

  • Resolução do ecrã e outras características do dispositivo

  • A Mastercard também pode fazer parceria com empresas como a Ekata para enriquecer ainda mais os dados de verificação de dispositivo e identidade

• Propósito: Esta riqueza de informações do dispositivo ajuda a construir um perfil de risco abrangente. Permite que o sistema reconheça dispositivos confiáveis, detete anomalias como discrepâncias de localização ou tentativas de falsificar informações do dispositivo, identifique ligações de rede de alto risco e sinalize atividades potencialmente fraudulentas originadas de dispositivos desconhecidos ou comprometidos. A inteligência de dispositivo é outra entrada crítica para o motor de RBA.

O motor de RBA é o centro de inteligência do Mastercard Identity Check, responsável por avaliar o risco geral de uma transação em tempo real e determinar o caminho de autenticação apropriado.

Como Funciona: O motor sintetiza informações de múltiplas fontes:

• Campos de dados do EMV 3DS (detalhes da transação, informações do merchant, inteligência de dispositivo)

• Sinais de biometria comportamental NuData

• Dados históricos de transações e perfis de utilizador

• Modelos proprietários de IA e machine learning da Mastercard, treinados com dados da rede global

Propósito: Com base nesta análise holística, o motor de RBA calcula uma pontuação de risco para a transação. Esta pontuação informa a decisão sobre se deve prosseguir com uma autenticação sem atrito (para transações de baixo risco) ou iniciar um desafio de step-up (para transações de maior risco) para verificar adicionalmente a identidade do titular do cartão. O resultado (uma pontuação ou recomendação) é tipicamente enviado para o ACS do issuer para auxiliar na sua decisão final de autenticação. A Mastercard também oferece serviços de RBA Stand-In para fornecer cobertura se o ACS do próprio issuer estiver indisponível ou ainda não estiver pronto para 3DS.

O poder do Mastercard Identity Check reside na sinergia entre estes componentes. Enquanto os dados ricos do dispositivo e da transação do EMV 3DS fornecem um contexto essencial, a integração da biometria comportamental da NuData adiciona uma camada crítica de defesa. A NuData pode muitas vezes detetar tentativas de fraude sofisticadas, como apropriações de contas usando credenciais válidas ou bots projetados para imitar a interação humana, que poderiam contornar sistemas que dependem apenas de pontos de dados tradicionais. Esta abordagem multifacetada permite que o motor de RBA faça avaliações de risco mais matizadas e confiantes, permitindo uma taxa mais alta de aprovações sem atrito, mantendo uma segurança robusta.

Mastercard Identity Check Program

Um objetivo principal do Mastercard Identity Check é minimizar a interrupção durante o checkout online, permitindo fluxos de autenticação sem atrito sempre que possível. Esta experiência fluida, onde a autenticação acontece silenciosamente em segundo plano, depende fortemente de aprovações baseadas em dados, uso inteligente de isenções e uma compreensão clara das implicações de responsabilidade.

A base para o fluxo sem atrito é a Autenticação Baseada em Risco (RBA). O protocolo EMV 3DS facilita a troca de uma vasta quantidade de dados (mais de 150 elementos potenciais) entre o ambiente do merchant (através do 3DS Server) e o ambiente do issuer (o ACS). A Mastercard enriquece estes dados com a sua própria inteligência de rede, algoritmos de IA e insights de biometria comportamental NuData. O ACS do issuer (ou o serviço de RBA da Mastercard) analisa este conjunto de dados abrangente em tempo real. Se a análise indicar uma baixa probabilidade de fraude – com base em fatores como um dispositivo reconhecido, comportamento de compra típico, localização familiar, padrões comportamentais consistentes e outras pistas contextuais – a transação pode ser autenticada passivamente, sem exigir que o titular do cartão realize qualquer ação (como inserir um OTP ou usar uma impressão digital). Esta é a essência de uma aprovação baseada em dados que permite o fluxo sem atrito, com o objetivo de cobrir 90–95% das autenticações.

Em regiões como a Europa, regidas pela Diretiva de Serviços de Pagamento (PSD2), a Autenticação Forte do Cliente (SCA) – que normalmente requer dois fatores de autenticação independentes – é frequentemente obrigatória para pagamentos online. No entanto, a regulamentação e o protocolo EMV 3DS permitem isenções específicas onde a SCA não é necessária, facilitando ainda mais as experiências sem atrito. O Mastercard Identity Check suporta a aplicação destas isenções. As principais isenções incluem:

• Análise de Risco da Transação (TRA): Se o acquirer ou o issuer realizar uma análise de risco em tempo real e considerar a transação de baixo risco, e o valor da transação estiver abaixo de certos limites ligados à taxa de fraude geral da entidade, a SCA pode ser isenta.

• Pagamentos de Baixo Valor: Transações abaixo de um valor específico (por exemplo, 30€ na Europa) podem ser isentas, embora se apliquem limites cumulativos (por exemplo, valor total ou número de transações desde a última SCA).

• Beneficiários de Confiança (Lista de Comerciantes Confiáveis): Os titulares de cartões podem designar merchants específicos como "confiáveis" junto do seu issuer. Transações subsequentes com estes merchants na lista de confiança podem ser isentas de SCA.

• Pagamentos Recorrentes e Transações Iniciadas pelo Comerciante (MITs): Embora a configuração inicial de um pagamento recorrente ou acordo de cartão em arquivo geralmente exija SCA, os pagamentos subsequentes iniciados pelo comerciante usando essas credenciais podem ser considerados fora do âmbito ou isentos sob certas condições. As versões EMV 3DS 2.2 e posteriores fornecem suporte específico para estas transações 3RI (3DS Requestor Initiated).

• Pagamentos Corporativos Seguros: Isenções específicas podem aplicar-se a pagamentos corporativos feitos usando protocolos seguros dedicados.

Os merchants e PSPs podem indicar o seu pedido de isenção na mensagem de autenticação EMV 3DS.

Corbado Outcome Based SCA Passkey

Um benefício significativo do uso do 3-D Secure sempre foi a potencial transferência de responsabilidade para certos tipos de chargebacks fraudulentos.

• Transações Autenticadas com Sucesso: Quando uma transação é autenticada com sucesso através do Mastercard Identity Check (seja por fluxo sem atrito ou por um desafio), a responsabilidade por chargebacks reclamados como "não autorizados" geralmente passa do merchant para o issuer do cartão. Esta proteção aplica-se mesmo que a autenticação tenha sido sem atrito, embora regras específicas do esquema de cartões e cenários possam aplicar-se.

• Impacto das Isenções: Este é um ponto crítico: se um merchant ou o seu PSP solicitar uma isenção de SCA (como TRA ou baixo valor) e o issuer a conceder, a responsabilidade pela fraude normalmente permanece com o merchant. O merchant ganha o benefício de um checkout mais fluido, mas retém o risco financeiro da fraude. No entanto, se o issuer decidir unilateralmente aplicar uma isenção (por exemplo, com base na sua própria avaliação de risco), a responsabilidade pode passar para o issuer.

• Autenticação Tentada/Falhada: As regras sobre a responsabilidade quando a autenticação é tentada mas falha ou não pode ser concluída (por exemplo, o ACS do issuer está indisponível) podem ser complexas e depender das circunstâncias específicas e das regras do esquema de cartões. As regras da Mastercard podem oferecer proteção ao merchant em certos cenários, mesmo que o issuer não tenha migrado totalmente.

• Fluxos Apenas de Dados: Fluxos específicos como o "Identity Check Insights" da Mastercard, que envolvem a partilha de dados para avaliação de risco sem realizar uma tentativa completa de autenticação, explicitamente não concedem a transferência de responsabilidade ao merchant.

Isto cria um ponto de decisão estratégico importante para os merchants e PSPs. Solicitar isenções pode otimizar as taxas de conversão ao garantir uma experiência sem atrito, mas vem ao custo de reter a responsabilidade pela fraude. Por outro lado, forçar a autenticação (mesmo que resulte num fluxo sem atrito aprovado pelo issuer) pode garantir a transferência de responsabilidade, mas poderia potencialmente introduzir atrito se um desafio for necessário. Portanto, é necessária uma estratégia de gestão de risco sofisticada para determinar a abordagem ótima numa base transacional, equilibrando os objetivos de conversão com a tolerância ao risco de fraude.

Além disso, o sucesso do fluxo sem atrito e a precisão da decisão de RBA dependem muito da qualidade e completude dos dados fornecidos pelo merchant e pelo seu PSP através das mensagens EMV 3DS. Dados incompletos ou imprecisos dificultam a capacidade do issuer de realizar avaliações de risco fiáveis, podendo levar a mais desafios ou mesmo recusas, minando assim os benefícios do sistema. Alcançar um desempenho ótimo sem atrito é um esforço colaborativo que requer uma gestão de dados diligente do lado do adquirente.

Mastercard Identity Check Program

Mastercard Frictionless Future

Para os issuers de cartões, a integração com o programa Mastercard Identity Check é essencial para aproveitar os seus benefícios de segurança e experiência do utilizador. Isto envolve habilitar os seus portfólios de cartões (identificados por Números de Identificação Bancária, ou BINs) e conectar-se à infraestrutura de autenticação, principalmente através de um Access Control Server (ACS).

O ACS reside no domínio do issuer e é o coração tecnológico do processo de autenticação da perspetiva do issuer. As suas principais responsabilidades incluem:

• Receber Pedidos de Autenticação (mensagens AReq) encaminhados do merchant através do Directory Server (DS) da Mastercard

• Verificar se o número de cartão específico está registado e elegível para o Mastercard Identity Check

• Realizar a avaliação de risco (muitas vezes aproveitando motores de RBA e dados como a pontuação do Mastercard Smart Authentication)

• Decidir se autentica sem atrito ou inicia um desafio

• Gerir o processo de desafio, se necessário (por exemplo, enviar um OTP via SMS, solicitar verificação biométrica através de uma app de banking)

• Gerar e devolver a Resposta de Autenticação (mensagem ARes), incluindo o crucial Valor de Autenticação do Titular da Conta (AAV) para transações autenticadas com sucesso, de volta ao DS

Os issuers têm vários caminhos para implementar a funcionalidade de ACS:

1. ACS Interno: Um issuer pode optar por construir, implementar, hospedar e gerir a sua própria solução de software ACS dentro do seu próprio ambiente de TI.

   • Prós: Oferece controlo máximo sobre a lógica de autenticação, regras de risco, personalização da experiência do utilizador e integração com sistemas internos.

   • Contras: Requer conhecimento técnico interno substancial, recursos significativos de desenvolvimento e manutenção, e adesão rigorosa aos padrões de conformidade contínuos da EMVCo e PCI 3DS.

2. ACS Hospedado (Fornecedor Terceirizado): Os issuers podem fazer parceria com fornecedores de ACS especializados e aprovados pela Mastercard que fornecem o ACS como um serviço gerido. O issuer neste modelo é frequentemente referido como um "Hosted Principal".

   • Prós: Reduz a complexidade operacional do issuer, os custos de infraestrutura e o fardo da conformidade. Aproveita a experiência do fornecedor e oferece potencialmente um tempo de lançamento mais rápido.

   • Contras: Pode oferecer menos controlo granular e personalização em comparação com uma solução interna. Dependência de um terceiro para uma função crítica.

   • Ecossistema de Fornecedores: A Mastercard mantém uma lista de fornecedores de ACS compatíveis, com exemplos incluindo empresas como Entersekt, Netcetera, GPayments e Logibiztech.

3. Serviços Suplementares da Mastercard: A Mastercard oferece serviços de valor acrescentado que podem aumentar o caminho de ACS escolhido por um issuer:

   • Mastercard Smart Authentication for ACS/Issuers: Fornece inteligência de RBA para melhorar as capacidades de decisão do ACS.

   • Mastercard Stand-In RBA: Oferece processamento de RBA de backup se o ACS principal do issuer estiver indisponível ou se BINs específicos ainda não estiverem totalmente habilitados para EMV 3DS.

   • Mastercard 3-D Secure Authentication Challenge Service: Fornece capacidades de desafio biométrico (aproveitando os padrões FIDO) que podem ser integradas com o fluxo do ACS.

A seleção entre um ACS interno e um hospedado representa uma decisão estratégica significativa para os issuers, equilibrando o desejo de controlo com a necessidade de eficiência, custo-benefício e velocidade de implementação.

A ativação de intervalos específicos de Números de Identificação Bancária (BIN) para o Mastercard Identity Check envolve uma série de passos coordenados:

1. Selecionar o Caminho do ACS: Determinar se deve usar um ACS interno ou um provedor hospedado.

2. Garantir a Conformidade do ACS: Verificar se a solução de ACS escolhida (interna ou de fornecedor) está em conformidade com as regras atuais do programa Mastercard Identity Check e a versão relevante da especificação EMV 3DS. Isto normalmente envolve o operador do ACS a completar os testes de conformidade da Mastercard.

3. Registar-se no Mastercard Identity Check: Inscrever a instituição emissora no programa através da Plataforma de Testes do Mastercard Identity Check no Mastercard Connect, aceitando os termos e fornecendo os identificadores necessários, como o ID da Empresa (CID) e o número da Interbank Card Association (ICA).

4. Registar os Intervalos de BIN no Directory Server: Usar a ferramenta Identity Solutions Services Management (ISSM) no Mastercard Connect para registar os intervalos de BIN específicos que participarão no Identity Check. Para cada intervalo registado, o URL do ACS correspondente deve ser fornecido. Note que os intervalos de BIN previamente registados para o Mastercard SecureCode (3DS 1.0) requerem um registo separado para o Identity Check (EMV 3DS).

5. Configurar Regras de Autenticação: Definir os métodos de autenticação primários (por exemplo, RBA) e quaisquer métodos de desafio de step-up (por exemplo, OTP por SMS, Biometria) a serem usados para os BINs registados. Garantir que o suporte para fluxos sem atrito e com desafio está configurado.

6. Gerir Certificados: Obter e gerir os certificados de servidor/cliente Transport Layer Security (TLS) necessários para a comunicação segura com o Directory Server da Mastercard, e certificados de assinatura digital, se aplicável, usando o Portal de Gestão de Chaves da Mastercard.

7. Implementar a Validação do AAV: Configurar processos para validar o Valor de Autenticação do Titular da Conta (AAV) recebido nas mensagens de autorização para transações autenticadas. Isto pode ser feito internamente ou usando o serviço de validação de AAV da Mastercard.

8. Coordenar com o Processador: Garantir que o processador de pagamentos do issuer é capaz de lidar com quaisquer novos elementos de dados associados ao Mastercard Identity Check, como o Digital Transaction Insights.

9. Entrar em Produção e Monitorizar: Uma vez que a configuração e os testes estejam completos, ativar os intervalos de BIN registados no ambiente de produção e monitorizar continuamente o desempenho das transações e os KPIs.

É importante reconhecer que a gestão de BINs é um processo contínuo. Mudanças na indústria, como a migração de BINs de 6 para 8 dígitos, exigem que os issuers avaliem proativamente os seus portfólios, potencialmente consolidem BINs e atualizem os seus sistemas e configurações de acordo para garantir a operação contínua e sem falhas de serviços de autenticação como o Mastercard Identity Check.

Mastercard Identity Check Program

A adoção do Mastercard Identity Check e do programa subjacente EMV 3DS Mastercard oferece vantagens significativas para os merchants e os Provedores de Serviços de Pagamento (PSPs) que os servem. Os principais impactos giram em torno da melhoria das taxas de sucesso das transações, do aprimoramento da experiência do cliente e da simplificação das operações no cenário global de e-commerce.

Um dos benefícios mais convincentes é o potencial para aumentar as taxas de aprovação de autorizações.

• Como funciona: Os dados mais ricos trocados através do EMV 3DS, combinados com motores de RBA sofisticados que usam IA e análise comportamental, fornecem aos issuers uma visão muito maior sobre a legitimidade de uma transação. Isso permite-lhes distinguir com mais precisão entre clientes genuínos e fraudadores, levando a uma redução nas recusas indevidas – situações em que uma transação legítima é rejeitada por engano devido a suspeita de fraude.

• Resultados Quantificados: Estudos e relatórios indicam melhorias significativas. Dados da Mastercard mostraram aumentos médios na taxa de aprovação de 10–12 pontos-base (0,10–0,12%) ou até mesmo aumentos de até 14% em milhares de milhões de transações num ano. Outras fontes mencionam aumentos potenciais de 12%. Estudos de caso, como um envolvendo um retalhista de vestuário, demonstraram aumentos substanciais nas vendas atribuídos a melhores aprovações e redução de fraudes através do Identity Check.

• Benefícios: Para os merchants, taxas de aprovação mais altas traduzem-se diretamente em mais vendas concluídas, maior receita e melhor satisfação do cliente. Para os PSPs, oferecer uma solução que aumenta demonstrativamente as taxas de aprovação dos seus clientes melhora a sua proposta de valor e competitividade.

Uma consequência direta de um RBA eficaz é uma redução significativa na necessidade de autenticação step-up, onde o titular do cartão é ativamente desafiado a fornecer prova adicional de identidade.

• Como funciona: O objetivo é que a grande maioria (frequentemente citada como >90% ou 95%) das transações seja autenticada sem atrito com base na avaliação de risco. Isso significa menos interrupções para o cliente durante o checkout.

• Benefícios: Isso melhora drasticamente a experiência do utilizador, removendo obstáculos desnecessários. A redução do atrito leva diretamente a taxas mais baixas de abandono de carrinho de compras e a taxas de conversão mais altas para os merchants.

A base do Mastercard Identity Check no padrão global EMV 3DS facilita a implementação e gestão para empresas que operam além-fronteiras.

• Como funciona: O EMV 3DS fornece uma linguagem técnica e uma estrutura comuns para autenticação, reconhecidas pelos issuers e acquirers participantes em todo o mundo.

• Benefícios: Esta padronização reduz a complexidade para merchants e PSPs internacionais, que de outra forma poderiam precisar de integrar múltiplas e díspares soluções de autenticação regionais. A integração é simplificada através de protocolos, APIs e SDKs padronizados fornecidos pela Mastercard e seus parceiros. Além disso, usar uma solução baseada em EMV 3DS como o Mastercard Identity Check ajuda as empresas a cumprir requisitos regulatórios como a PSD2 SCA na Europa e mandatos semelhantes que surgem noutros locais.

Para os PSPs, estes benefícios para os merchants são amplificados. Ao oferecer uma solução de autenticação robusta, globalmente consistente e de alto desempenho como o Mastercard Identity Check, os PSPs podem atrair mais merchants, reduzir a sua própria sobrecarga operacional relacionada com a gestão de diversos métodos de autenticação e potencialmente diminuir a sua exposição a custos relacionados com fraudes repassados pelos merchants.

Mastercard Identity Check

Para gerir e otimizar eficazmente o desempenho do Mastercard Identity Check, os issuers, acquirers e merchants precisam de uma estrutura clara de Indicadores-Chave de Desempenho (KPIs). O acompanhamento destas métricas fornece insights sobre a experiência do utilizador, a eficácia da segurança e a conformidade com as regras do programa EMV 3DS Mastercard.

Com base nos guias do programa e nas melhores práticas, os seguintes KPIs são cruciais para monitorizar o desempenho do Mastercard Identity Check:

1. Taxa de Desafio: Mede a percentagem de pedidos de autenticação que resultam num desafio ativo ao titular do cartão (por exemplo, pedido de OTP ou verificação biométrica). Uma taxa de desafio mais baixa geralmente indica uma experiência de utilizador melhor e mais sem atrito. A orientação da Mastercard sugere visar desafios em menos de 10% das transações, dependendo do RBA para a maioria.

2. Taxa de Sucesso da Autenticação: Acompanha a percentagem de tentativas de autenticação (tanto sem atrito como com desafio) que são concluídas com sucesso pelo titular do cartão e verificadas pelo issuer. Altas taxas de sucesso são vitais para minimizar o abandono de transações. A Mastercard pode definir limiares mínimos para as taxas de aprovação de transações autenticadas em geral (por exemplo, 90%) e monitorizar especificamente as taxas de sucesso dos desafios.

3. Taxa de Fluxo Sem Atrito: O inverso da taxa de desafio, mede a percentagem de autenticações concluídas com sucesso sem exigir a interação do titular do cartão. Uma alta taxa de fluxo sem atrito é um objetivo principal do EMV 3DS e está fortemente correlacionada com taxas de sucesso gerais mais altas e uma melhor experiência do utilizador.

4. Taxa de Fraude: Monitorizar a taxa de transações fraudulentas confirmadas, particularmente aquelas que foram autenticadas via Identity Check, é essencial para avaliar a eficácia do sistema na prevenção de fraudes. A Mastercard monitoriza os níveis de fraude dos merchants através de programas como o Excessive Fraud Merchant (EFM). Um objetivo chave é ver uma redução na fraude em comparação com transações não autenticadas.

5. Taxa de Aprovação da Autorização: A medida final do sucesso da transação é a taxa de aprovação final da autorização pelo issuer. O Identity Check visa aumentar esta taxa, reduzindo as recusas indevidas.

6. Desempenho Técnico: Métricas como o tempo de atividade do ACS e do 3DS Server (a Mastercard exige 99,0% de disponibilidade para os fornecedores), tempos de processamento de transações e taxas de erro nas mensagens de autenticação também são críticas.

A monitorização destes KPIs depende de vários canais de relatório:

• Monitorização do Programa Mastercard: A Mastercard monitoriza ativamente o desempenho dos participantes em relação aos KPIs estabelecidos do programa. A não conformidade pode desencadear notificações e potenciais avaliações ou multas sob programas como o DIMP ou EFM.

• Relatórios do Programa de Monitorização da Integridade dos Dados (DIMP): Este programa foca-se especificamente na precisão e completude dos dados de transação que fluem através da rede Mastercard. Issuers e acquirers podem aceder aos relatórios DIMP através de um portal dedicado para identificar transações sinalizadas por problemas de integridade de dados. Várias "edições" do DIMP relacionam-se diretamente com os dados do EMV 3DS, como IDs de Transação DS em falta ou inválidos, indicadores de isenção em falta, AAVs inválidos ou valores de transação incompatíveis.111 Os issuers podem subscrever especificamente um Relatório de Monitorização da Integridade dos Dados da Mastercard para acompanhar o seu desempenho em relação às metas de taxa de fluxo sem atrito.

• Relatórios do Provedor de Serviços de Pagamento (PSP) / Fornecedor: Merchants e issuers utilizam frequentemente os painéis de relatórios e análises fornecidos pelos seus PSPs, provedores de 3DS Server ou fornecedores de ACS para acompanhar as suas métricas de desempenho de autenticação.

Utilizar eficazmente estes KPIs e mecanismos de relatório permite que os stakeholders identifiquem áreas de melhoria, otimizem configurações (como regras de RBA), resolvam problemas técnicos e, em última análise, maximizem os benefícios do programa Mastercard Identity Check.

Mastercard Identity Check Program

O cenário da autenticação de pagamentos online está em constante evolução, impulsionado pela necessidade de segurança aprimorada, mudanças regulatórias e a procura por experiências de utilizador cada vez mais fluidas. O Mastercard Identity Check, sendo construído sobre o programa EMV 3DS Mastercard, está intrinsecamente ligado ao roteiro definido pela EMVCo para o protocolo 3-D Secure.

Evolução do EMV 3DS (v2.1, v2.2, v2.3)

O protocolo EMV 3DS passou por várias iterações desde o seu lançamento inicial (versão 2.0), cada uma introduzindo novas funcionalidades e refinamentos:

• EMV 3DS 2.1: Tornou-se a linha de base obrigatória, incorporando suporte fundamental para uma troca de dados mais rica e experiências móveis melhoradas em comparação com o 3DS 1.0. A Mastercard exigiu suporte até meados de 2020.

• EMV 3DS 2.2: Introduziu melhorias adicionais, incluindo melhor suporte para isenções de SCA (como TRA do Acquirer e Lista de Comerciantes Confiáveis através de extensões de mensagem da Mastercard) e elementos de dados refinados. A Mastercard começou a suportar testes de conformidade para a 2.2, com mandatos a seguirem-se mais tarde. O Mastercard Gateway planeou descontinuar o suporte para a 2.1 em setembro de 2024, tornando a 2.2 o mínimo efetivo.

• EMV 3DS 2.3 (especificamente 2.3.1): Lançada pela EMVCo no final de 2021/2022, esta versão representa o mais recente avanço significativo, focando-se em melhorar ainda mais a segurança, a experiência do utilizador e o suporte a canais. As principais funcionalidades relevantes para o futuro da autenticação incluem:

  • Dados e Fluxos Aprimorados: Elementos de dados e fluxos de mensagens adicionais para otimizar ainda mais a autenticação e melhorar a deteção de fraudes. Inclui dados mais ricos para pagamentos recorrentes e tokens de pagamento.

  • Suporte para Secure Payment Confirmation (SPC): Pontos de integração para SPC, permitindo a confirmação criptográfica dos detalhes da transação usando authenticators FIDO dentro do fluxo 3DS.

  • Suporte para WebAuthn: Suporte explícito para o uso do padrão Web Authentication (WebAuthn) do W3C, facilitando o uso de passkeys e authenticators de plataforma (como biometria do dispositivo) para desafios.

  • Melhorias na Autenticação Fora de Banda (OOB): Transições automatizadas para otimizar a experiência do utilizador quando a autenticação precisa de ocorrer através de um canal separado, como uma app de banking.

  • Vinculação de Dispositivo: Permite que os utilizadores liguem um dispositivo confiável à sua conta, reduzindo potencialmente futuros desafios nesse dispositivo.

  • Modelo de SDK Dividido: Oferece maior flexibilidade para implementar SDKs 3DS em diversas plataformas, incluindo web/mobile tradicional e canais emergentes como dispositivos IoT.

  • Melhorias na UI: Mais opções para issuers e merchants personalizarem a interface do utilizador durante os desafios.

A Mastercard, como membro chave da EMVCo, participa ativamente no desenvolvimento destes padrões. Eles são fortes apoiantes do SPC e do movimento mais amplo em direção a métodos de autenticação modernos e sem palavra-passe, como as passkeys. Empresas como a DECTA já alcançaram a certificação antecipada para EMV 3DS 2.3.1.1 com a Mastercard, indicando que a adoção está em andamento. Integração da Secure Payment Confirmation (SPC) O SPC é um padrão web do W3C projetado para funcionar em conjunto com protocolos de autenticação como o EMV 3DS. Ele aproveita as credenciais FIDO/WebAuthn (passkeys) para permitir que os utilizadores autentiquem e confirmem explicitamente os detalhes da transação (valor, beneficiário) diretamente no browser, usando o authenticator integrado do seu dispositivo (por exemplo, impressão digital, Face ID, PIN).

• Como se integra com o EMV 3DS 2.3: Durante um fluxo de desafio 3DS, se o issuer suportar SPC e o utilizador tiver uma credencial FIDO registada (passkey) com o issuer para esse dispositivo, o ACS do issuer pode retornar as informações necessárias na mensagem ARes. O site do merchant invoca então a API SPC do browser, apresentando um diálogo de confirmação padronizado e seguro. O utilizador autentica-se localmente (por exemplo, via biometria), assinando criptograficamente os detalhes da transação. Esta assertion assinada é enviada de volta ao ACS para verificação.

• Benefícios: O SPC promete uma experiência de desafio altamente segura (resistente a phishing) e potencialmente de muito baixo atrito em comparação com os OTPs, melhorando as taxas de conversão. Fornece uma forte prova criptográfica do consentimento do utilizador, vinculada a detalhes específicos da transação. A Mastercard está a promover ativamente a adoção de passkeys e o suporte a SPC.

A Visão Mais Ampla da Mastercard: Rumo a um Futuro Sem Palavras-passe Para além do roteiro imediato do EMV 3DS, a Mastercard articulou uma visão mais ampla para o futuro da autenticação online, com o objetivo de eliminar completamente a inserção manual de cartões e palavras-passe até 2030. Esta estratégia baseia-se na convergência de:

• Tokenização: Substituir os Números de Conta Primários (PANs) sensíveis por tokens de rede seguros (via MDES - Mastercard Digital Enablement Service) para proteger os dados subjacentes do cartão. A Mastercard visa 100% de tokenização no e-commerce em regiões como a Europa até 2030.

• Autenticação Biométrica: Aproveitar a biometria no dispositivo (impressões digitais, reconhecimento facial - "sorrisos e impressões digitais") através de padrões como FIDO/WebAuthn e tecnologias como SPC e o Serviço de Payment Passkey da Mastercard.

• Click to Pay: A solução de checkout online otimizada da Mastercard, baseada nos padrões EMV Secure Remote Commerce (SRC), projetada para funcionar perfeitamente com tokenização e autenticação moderna.

Este estado futuro prevê uma experiência de checkout onde os utilizadores se autenticam de forma segura e confirmam pagamentos com uma simples ação biométrica, sem nunca precisarem de digitar manualmente números de cartão ou palavras-passe. A evolução contínua do EMV 3DS, incluindo a versão 2.3 e a integração do SPC, são passos cruciais para a realização deste objetivo ambicioso.

Corbado EMV 3DS ACS Passkeys

O Mastercard Identity Check, impulsionado pelo programa EMV 3DS Mastercard, representa uma evolução crítica na segurança do ecossistema de pagamentos digitais. Indo além das limitações do seu antecessor, o Mastercard SecureCode, ele aborda o desafio central de equilibrar uma prevenção de fraude robusta com o imperativo de fluxos de autenticação sem atrito no e-commerce moderno.

Para issuers e merchants, os benefícios são tangíveis:

• Segurança Aprimorada: Aproveitar a troca de dados ricos, motores sofisticados de Autenticação Baseada em Risco (RBA), biometria comportamental NuData e inteligência de dispositivo melhora significativamente a precisão da deteção de fraudes.

• Experiência do Utilizador Melhorada: O foco em fluxos sem atrito minimiza as interrupções no checkout, reduzindo o abandono de carrinhos e fomentando a lealdade do cliente.

• Taxas de Aprovação Mais Altas: Uma avaliação de risco mais precisa leva a menos recusas indevidas, impulsionando as vendas legítimas e a receita.

• Proteção de Responsabilidade: O potencial para a transferência de responsabilidade em transações autenticadas continua a ser um incentivo chave para a adoção.

A implementação do Mastercard Identity Check requer uma consideração cuidadosa dos caminhos de integração, particularmente a escolha do ACS para os issuers, e uma gestão diligente da ativação de BINs e da qualidade dos dados. Monitorizar o desempenho através da estrutura de KPIs e das ferramentas de relatório fornecidas, como o Relatório de Monitorização da Integridade dos Dados, é essencial para a otimização e conformidade. Olhando para o futuro, a evolução continua com o EMV 3DS 2.3 e além, incorporando padrões como a Secure Payment Confirmation (SPC) e o WebAuthn para permitir uma autenticação ainda mais segura e amigável ao utilizador usando passkeys e biometria do dispositivo. Isto alinha-se com a visão mais ampla da Mastercard de um futuro sem palavras-passe e sem números para os pagamentos online até 2030, ancorado na tokenização e na biometria.

À medida que o cenário da autenticação se move em direção a estes métodos mais modernos e resistentes a phishing, compreender as bases estabelecidas por programas como o Mastercard Identity Check é crucial. Para as empresas que procuram implementar uma autenticação de próxima geração que combine segurança robusta com uma conveniência de utilizador sem paralelo, explorar soluções construídas sobre os padrões FIDO, como as passkeys oferecidas por provedores como a Corbado, representa o próximo passo lógico para preparar as interações e pagamentos online para o futuro.