O que é 3DS 2.0 (3-D Secure 2.0)?

3DS 2.0 (também chamado EMV 3DS) é a segunda geração do protocolo 3-D Secure, uma tecnologia de autenticação de pagamentos online. Esse protocolo permite confirmar se o comprador de uma transação online é realmente o titular do cartão, adicionando uma camada extra de segurança antes da conclusão do pagamento. O principal objetivo do 3DS 2.0 é prevenir fraudes em transações de cartão não presente (CNP - Card Not Present), verificando a identidade do comprador antes da autorização do pagamento. Em outras palavras, o 3DS funciona como uma “senha” ou verificação adicional solicitada pelo banco emissor durante compras online, semelhante a inserir uma senha ou biometria no cartão físico, porém aplicada ao e-commerce. Por que “3D Secure”? A sigla 3DS vem de “Three Domain Secure” (três domínios de segurança). O nome refere-se aos três domínios envolvidos na transação segura:
  • o domínio do adquirente (que abrange o lojista e seu banco/processador),
  • o domínio do emissor (o banco que emitiu o cartão do cliente),
  • e o domínio de interoperabilidade (as redes/bandeiras de cartão, que fornecem a infraestrutura para conectar lojistas e emissores).
Esse modelo de três domínios garante que haja comunicação segura entre o lojista, o banco emissor e a bandeira do cartão durante o processo de autenticação.

Para que serve o 3DS 2.0?

O 3DS 2.0 serve para aumentar a segurança e confiança nas compras online, beneficiando tanto lojistas quanto consumidores. Ele foi desenvolvido para resolver limitações do 3DS original (1.0) e melhorar a experiência sem sacrificar a segurança. Diferentemente da versão anterior, o 3DS 2.0 foi desenhado para ser mais transparente e eficiente: o protocolo envia mais de 100 elementos de dados da transação para o emissor, permitindo uma análise de risco mais inteligente e autenticações “frictionless” (sem fricção) quando o risco é baixo. Na prática, isso significa que muitas compras serão autenticadas de forma invisível, sem qualquer intervenção do cliente, se a transação for considerada de baixo risco. Somente em casos de risco mais alto é que o banco emissor irá desafiar o cliente com alguma validação extra (como senha de uso único via SMS, app do banco, biometria etc.). Além disso, o 3DS 2.0 foi projetado já pensando no cenário móvel e moderno - ele é compatível com apps mobile (via SDKs), dispensa redirecionamentos confusos e suporta métodos de autenticação avançados (token, biometria, reconhecimento facial), em vez das antigas senhas estáticas.

Participantes do protocolo 3DS 2.0

No ecossistema 3DS 2.0 há diversos atores trabalhando em conjunto para realizar a autenticação. Os principais participantes do fluxo 3DS são:
  • Cliente (Portador do cartão) – O comprador que inicia a transação no e-commerce. Ele poderá ser solicitado a se autenticar (ex: inserir senha, código ou biometria) para provar que é dono do cartão.
  • Lojista (Comerciante) – O site ou app de e-commerce onde a compra é realizada. Cabe ao lojista (ou seu provedor de pagamentos) integrar o 3DS no checkout, disparando a requisição de autenticação 3DS e recebendo o resultado.
  • Servidor 3DS (3DS Server) – É o sistema intermediário que comunica-se com a rede do cartão e o banco emissor para coordenar a autenticação. O lojista normalmente utiliza um 3DS Server provido pelo seu gateway de pagamento ou adquirente, via API ou script, em vez de implementar todo protocolo manualmente.
  • Bandeira (Network de cartão) – A bandeira (Visa, Mastercard, etc.) opera o Directory Server (DS) do 3DS. Esse servidor de diretórios recebe a solicitação do lojista/3DS Server e identifica o banco emissor do cartão, roteando a mensagem de autenticação para o respectivo emissor. Em outras palavras, o DS é o “hub” que conecta ao ACS correto.
  • Banco Emissor – É o banco que emitiu o cartão do cliente. No contexto do 3DS, o emissor é quem verifica a identidade do portador. O emissor mantém um Access Control Server (ACS): este é o servidor/autosserviço responsável por autenticar o cliente (pode apresentar a tela de desafio, validar dados e decidir aprovar ou negar a autenticação). O ACS envia de volta o resultado da autenticação pelo caminho inverso (via DS → 3DS Server → lojista).
  • Adquirente – Recebe a transação para autorização após a etapa de autenticação. Embora o adquirente não participe ativamente da troca de mensagens durante a autenticação 3DS, ele está envolvido na etapa seguinte de autorização do pagamento e também é parte interessada no 3DS (faz parte do “domínio do adquirente” e suporta a tecnologia nas transações). Vale notar: em caso de fraude em transações autenticadas, a responsabilidade de chargeback recai sobre o emissor (ou bandeira) e não sobre o adquirente/lojista – esse é um incentivo importante para que adquirentes e lojistas adotem 3DS.

Benefícios do 3DS 2.0 para o lojista (e-commerce)

Implementar o 3DS 2.0 traz diversas vantagens para lojistas e comerciantes online:
  • Proteção contra fraude e chargebacks
    • Autentica o pagador, reduzindo fraudes e chargebacks.
    • Nas transações autenticadas, a responsabilidade por chargebacks de fraude migra do lojista para o emissor/bandeira (liability shift).
  • Mais aprovações, menos recusas injustificadas
    • Bancos confiam mais em compras autenticadas, aumentando a taxa de aprovação.
    • Menos “falsos positivos” (recusas por suspeita de fraude).
  • Conformidade regulatória (SCA/PSD2)
    • Atende requisitos de autenticação forte de cliente, evitando multas e facilitando a atuação em mercados regulados.
  • Aceite de cartões de débito online
    • Habilita o débito no e-commerce (muitos emissores exigem 3DS para esse meio), ampliando opções de pagamento e potencialmente as vendas.
  • Menor abandono de carrinho
    • 3DS 2.0 oferece autenticação invisível ou desafios mais suaves, preservando a experiência de checkout e elevando a conversão.
  • Segurança adicional com integração simples
    • Gateways oferecem SDKs/JS que implementam 3DS 2.0, dispensando desenvolvimento complexo.
    • Funciona como camada extra, complementando sistemas antifraude já existentes.

Benefícios do 3DS 2.0 para o cliente (portador do cartão)

Os consumidores também se beneficiam do uso do 3DS 2.0 nos pagamentos online, de várias formas:
  • Segurança robusta
    • Bloqueia compras não autorizadas: mesmo com dados de cartão vazados, a transação só conclui se o fraudador passar pela autenticação extra do banco.
    • Nível de proteção comparável ao chip + senha ou contactless.
  • Experiência rápida e fluida
    • Autenticação invisível em transações de baixo risco; quando há desafio, ocorre dentro do próprio checkout (SMS, app ou biometria), sem redirecionamentos confusos.
    • Otimizado para web e apps mobile, mantendo o fluxo ágil.
  • Mais confiança e conveniência
    • Consumidores se sentem seguros para finalizar compras (inclusive com cartão débito).
    • Programas como Visa Secure e Mastercard Identity Check oferecem suporte extra em caso de fraude, reduzindo preocupação com contestação de cobranças.

Autenticação 3DS vs. Autorização do Pagamento

É importante entender a diferença entre a autenticação 3DS e a autorização financeira da transação, pois são etapas distintas no fluxo de pagamento. Em resumo:
  • Autenticação 3DS: É o processo de verificação de identidade do portador do cartão, realizado antes da cobrança. Quando o cliente faz uma compra e insere os dados do cartão, o lojista inicia a autenticação através do protocolo 3DS. Nessa etapa, não há débito ou reserva de valor no cartão, trata-se apenas de confirmar se o dono do cartão está realmente autorizando aquela compra. A autenticação envolve a comunicação entre o lojista (via 3DS Server), a bandeira e o emissor, podendo incluir a interação do cliente (desafio) caso necessário. O resultado da autenticação 3DS indica se o titular foi autenticado com sucesso(Y = yes), se a autenticação falhou (N ), se foi attempted (tentativa realizada mas não concluída por cartão não inscrito ou indisponibilidade do ACS) ou se não foi possível autenticar (U). Junto com esse resultado, o sistema 3DS retorna alguns parâmetros de comprovação – por exemplo o CAVV (um valor criptográfico gerado pelo emissor) e o ECI (código do comércio eletrônico indicando o nível de autenticação) – que servirão para a próxima fase.
  • Autorização do pagamento: Após (e somente após) a etapa de autenticação, o lojista prossegue para a autorização financeira convencional da transação junto ao adquirente e emissor. Nesta fase, o lojista envia a transação para o processamento de pagamento, incluindo os dados da venda (valor, parcelas, cartão etc.) acrescidos dos dados de autenticação obtidos no 3DS (como CAVV, ECI, ID da transação 3DS etc.). O adquirente então encaminha a solicitação ao emissor, que verifica aqueles dados de autenticação (validando que o CAVV está correto, por exemplo, e conferindo se correspondem à mesma transação). Se tudo estiver ok do ponto de vista da autenticação e houver saldo/crédito disponível, o emissor aprova a transação, retornando um código de autorização; caso contrário, ela pode ser negada.

Fluxo de mensagens no 3DS 2.0

A seguir, apresentamos de forma simplificada o fluxo de troca de mensagens entre os participantes do 3DS 2.0 durante uma compra online. O fluxo está dividido em duas partes: primeiro a autenticação 3DS (com possibilidade de frictionless ou challenge), e depois a autorização do pagamento após a autenticação. Os diagramas são apresentados em notação Mermaid (caso queira reproduzir ou visualizar os fluxos):

Fluxo de Autenticação 3DS 2.0 com desafio (challenge)

Fluxo de Autenticação 3DS 2.0 sem desafio (frictionless)

Conclusão

Em resumo, o 3DS 2.0 é uma ferramenta poderosa de segurança para pagamentos online, combinando o que há de melhor em proteção antifraude e experiência do usuário. Para os desenvolvedores e lojistas, implementar o 3DS 2.0 significa adicionar uma camada extra de verificação que reduz fraudes e chargebacks, transfere a responsabilidade de transações fraudulentas ao emissor, permite aceitar mais formas de pagamento (como cartões de débito) e aumenta a confiança nas vendas. Em um cenário de e-commerce cada vez mais ativo (e visado por fraudadores), soluções como o 3DS 2.0 tornam-se essenciais. Lojas virtuais que adotam 3-D Secure tendem a ver menos fraudes, mais transações aprovadas e clientes mais seguros, tornando o investimento na integração altamente vantajoso tanto tecnicamente quanto comercialmente. Em suma, 3DS 2.0 é uma peça-chave para um comércio eletrônico mais seguro e confiável para todos os envolvidos.