AVS no Brasil: A Ilusão da Verificação de Endereço e o Custo das Vendas Perdidas

Imagine a seguinte situação: uma gigante do software norte-americana decide expandir suas operações para o Brasil. Eles configuram sua conta no Stripe ou Adyen, ativam as mesmas regras antifraude que usam em Nova York ou Londres e abrem o carrinho de compras. Vinte e quatro horas depois, o desespero baté na porta do time de pagamentos. A taxa de aprovação de cartões de crédito não passa de 30%. Oitenta por cento das vendas legítimas estão sendo bloqueadas. O culpado? Três letrinhas inofensivas no hemisfério norte, mas letais no mercado brasileiro: AVS.

Nós observamos essa tragédia acontecer repetidas vezes na última década. Operações estrangeiras chegam ao país, ou até mesmo startups locais lendo documentações gringas, e decidem ligar o Address Verification System (Sistema de Verificação de Endereço). A lógica parece infalível. Você cruza o endereço de cobrança digitado pelo cliente no checkout com o endereço cadastrado no banco emissor do cartão. Se bater, aprova. Se não bater, bloqueia a fraude.

A teoria é linda. A prática no Brasil é um banho de sangue nas suas métricas de conversão. Se você opera um e-commerce, uma plataforma de SaaS ou qualquer negócio que processe pagamentos não presentes (CNP - Card Not Present) no território nacional, preste atenção aqui. Tentar forçar o funcionamento do AVS no nosso ecossistema financeiro é o caminho mais rápido para queimar dinheiro de marketing e afastar bons clientes.

A Ilusão do AVS no Mercado Brasileiro

Para entender a raiz do problema, precisamos olhar para a origem do protocolo. O AVS foi desenhado em meados dos anos 90, nos Estados Unidos, para combater a fraude em vendas por catálogo e telefone. O sistema funciona checando os números do endereço de cobrança e o ZIP Code (o equivalente ao nosso CEP). Nos EUA, a infraestrutura bancária adotou essa validação como um dogma. Se o fraudador rouba os dados do cartão, mas não sabe o código postal da fatura, a transação morre no gateway.

No Brasil, a arquitetura de liquidação e autorização de pagamentos tomou outro rumo. Embora a infraestrutura global das bandeiras (Visa, Mastercard, Amex) suporte os campos de AVS nas mensagens do protocolo ISO 8583 — o padrão de comúnicação entre maquininhas, gateways, adquirentes e emissores —, os bancos brasileiros simplesmente não padronizaram a devolução dessa informação com precisão.

Quando um gateway como Pagar.me, Vindi ou Mercado Pago envia uma tentativa de autorização exigindo o AVS, o banco emissor (Itaú, Bradesco, Nubank) recebe a requisição. O sistema do banco procura o endereço. A resposta que volta na imensa maioria das vezes é um código 'U' (Address information is unavailable) ou 'S' (Service not supported). O banco básicamente encolhe os ombros. Se o seu sistema de risco estiver configurado para rejeitar transações sem correspondência exata de AVS, você acabou de recusar a compra de um cliente legítimo com limite no cartão.

A ausência de um repositório centralizado e padronizado de endereços transformou o AVS em uma ferramenta obsoleta no Brasil antes mesmo de ser amplamente testada. Os emissores focaram seus esforços em outras camadas de segurança, deixando o campo de endereço como um dado secundário, muitas vezes desatualizado nos sistemas legados dos grandes bancos de varejo.

Por Que os Bancos Brasileiros "Engasgam" com o CEP

A falha do AVS não é apenas uma questão de software mal configurado. Trata-se de um choque cultural profundo entre o design de sistemas importados e a realidade urbana e social brasileira. O brasileiro tem uma relação completamente diferente com o próprio endereço residencial.

Primeiro, temos a complexidade do nosso sistema postal. Enquanto um americano mora em "123 Main St, 90210", um brasileiro pode morar na "Quadra 4, Conjunto B, Lote 12, Bloco C, Apartamento 104". Os algoritmos de correspondência de strings do AVS, que tentam extrair valores numéricos para comparar, entram em colapso tentando interpretar a taxonomia dos endereços em Brasília, ou as vielas não mapeadas oficialmente nas grandes comunidades de São Paulo e Rio de Janeiro.

Segundo, o hábito de atualização cadastral é práticamente nulo. Um cliente abre uma conta no Itaú universitário aos 18 anos morando com os pais. Aos 28, ele já se mudou três vezes, mora de aluguel em outro bairro, mas o cartão de crédito continua vinculado ao CEP da casa da mãe. Ele nunca atualizou o endereço no aplicativo do banco porque a fatura chega por e-mail ou é paga via DDA. Quando ele tenta comprar uma geladeira online e digita o endereço atual para entrega e cobrança, o AVS apita fraude. O endereço do checkout não baté com o banco de dados defasado do emissor.

Além disso, o compartilhamento de cartões na mesma família destrói qualquer tentativa de validação geométrica. O filho usa o cartão do pai emprestado para comprar um jogo no PlayStation. O endereço de entrega é a república universitária, o CPF do comprador é um, o titular do cartão é outro, e o endereço de cobrança é um terceiro. Tentar aplicar regras rígidas de AVS nesse cenário é garantir a frustração do consumidor. Os bancos sabem disso. Por isso, eles priorizam a autorização baseada no limite de crédito e no histórico de gastos, terceirizando a bucha da fraude para os lojistas.

O Custo Oculto dos Falsos Positivos

Ignorar as limitações do AVS custa caro. O mercado financeiro trabalha com duas métricas cruciais quando falamos de pagamentos online: a taxa de chargeback (fraude confirmada) e a taxa de aprovação (conversão). O falso positivo ocorre quando uma ferramenta de risco bloqueia um cliente excelente achando que ele é um golpista.

Observe os números: segundo dados da ClearSale consolidados no Mapa da Fraude de 2023, o e-commerce brasileiro sofreu cerca de 3,7 milhões de tentativas de fraude, totalizando quase R$ 3,5 bilhões em pedidos suspeitos. A taxa média de tentativa de fraude orbita a casa de 2% no varejo geral. É um número alto se comparado à Europa, sem dúvida.

O erro dos gestores iniciantes é tentar zerar esses 2% usando ferramentas brutas como o AVS. A matemática pune a arrogância. Se você aperta demais a malha fina para bloquear aqueles 2% de golpistas, acaba bloqueando junto 15%, 20% ou até 30% de clientes bons. O custo de aquisição de clientes (CAC) no Brasil está nas alturas. Pagar caro por um clique no Google Ads, convencer o cliente a colocar o produto no carrinho, fazê-lo digitar os 16 números do cartão, apenas para o gateway cuspir um "Transação Negada por Divergência de Endereço" é rasgar o dinheiro dos acionistas.

Mais grave do que a venda perdida pontual é a "taxa de insulto". O consumidor brasileiro não tem paciência para fricção no checkout. Se o cartão dele é negado na sua loja, ele abre uma nova aba, entra no Mercado Livre ou na Amazon, e finaliza a compra lá em dois cliques. Você não perdeu apenas o LTV (Lifetime Value) daquele cliente; você entregou o cliente de bandeja para a concorrência. Na nossa análise, plataformas que dependem exclusivamente de gateways estrangeiros sem tropicalização de risco deixam milhões na mesa anualmente por não entenderem essa dinâmica.

O Arsenal Antifraude que Realmente Funciona Aqui

Se o cruzamento de CEP e endereço não funciona, como os grandes e-commerces sobrevivem no Brasil sem falir por causa de chargebacks? A resposta está na sofisticação do ecossistema local. O Brasil desenvolveu uma das indústrias de antifraude mais avançadas do mundo exatamente porque precisava compensar a ineficiência das validações básicas de cartão.

Os adquirentes (Cielo, Rede, Stone, Getnet) e os orquestradores de pagamento deixaram o AVS de lado e passaram a consumir dados de birôs especializados. O motor de risco brasileiro é uma besta alimentada por machine learning, biometria comportamental e, acima de tudo, o CPF.

O milagre do cruzamento de dados alternativos

O CPF é a chave mestra da identidade no Brasil. Diferente do Social Security Number (SSN) americano, o CPF é público na prática comercial. Ferramentas como Konduto (agora da Boa Vista/Equifax) e ClearSale não olham para o endereço isoladamente. Elas analisam o dispositivo (Device Fingerprint). O celular que está fazendo a compra já foi usado em uma fraude antes? O e-mail cadastrado tem histórico de compras legítimas nos últimos cinco anos em outras lojas da rede? O tempo que o usuário levou para digitar o número do cartão foi humano ou foi feito por um script (Ctrl+V rápido demais)?

Essas empresas criaram consórcios de dados. Se um fraudador tenta passar um cartão clonado na Magazine Luiza e é bloqueado, o fingerprint do computador dele entra numa lista negra global. Minutos depois, se ele tentar comprar na sua loja pequena de roupas, o sistema barra a transação silenciosamente, sem nunca precisar perguntar ao banco qual é o CEP da fatura.

A ascensão do 3D Secure 2.0 (3DS2)

A verdadeira revolução em curso para mitigar o risco de fraude sem depender de endereço é o protocolo 3DS2. Trata-se da evolução daquele antigo e odiado sistema que abria um pop-up pedindo a senha do banco no meio da compra.

O 3DS2 roda em segundo plano. O gateway coleta dezenas de pontos de dados do dispositivo do cliente e envia diretamente para o banco emissor no momento da autorização. O banco (como o Nubank, Itaú ou C6) analisa os dados. Se confiar na transação, aprova (fluxo sem fricção ou "frictionless"). Se desconfiar, envia um push para o celular do cliente: "Você está tentando comprar R$ 500 na loja X? Confirme com sua digital no app".

O pulo do gato do 3DS2 é o "Liability Shift" (inversão de responsabilidade). Se o banco aprovar a transação via 3DS2 e ela se revelar uma fraude, quem paga o prejuízo do chargeback é o banco emissor, não o lojista. A Associação Brasileira das Empresas de Cartões de Crédito e Serviços (ABECS) tem empurrado essa adoção brutalmente. O 3DS2 entrega a segurança que o AVS prometia, mas com uma experiência de usuário infinitamente superior.

Implicações Práticas: O que você precisa mudar hoje

A teoria é fascinante, mas o que altera o ponteiro do seu faturamento amanhã? Se você opera no mercado brasileiro, precisa auditar seu stack de pagamentos imediatamente.

Primeiro passo: acesse o painel do seu gateway de pagamento (seja Stripe, PayPal, Adyen, ou qualquer outro com viés internacional) e localize as regras de recusa automática (Radar, Risk Settings, etc). Desative qualquer regra que diga "Bloquear pagamentos se a verificação de código postal/AVS falhar". Mantenha, no máximo, o AVS como um sinalizador (flag) para análise manual, nunca como um gatilho de bloqueio automático.

Segundo passo: integre uma solução de antifraude local. Se você roda em plataformas como Shopify, VTEX, Nuvemshop ou WooCommerce, conecte aplicativos focados no Brasil. O custo por transação analisada (geralmente entre R$ 0,50 e R$ 1,00, ou um percentual mínimo) se paga na primeira fraude evitada e nas dezenas de vendas legítimas que deixam de ser bloqueadas por falsos positivos.

Terceiro passo: exija do seu adquirente ou sub-adquirente a habilitação do 3DS2. Nem todas as transações precisam passar pelo protocolo, mas aplicar regras inteligentes — por exemplo, forçar o 3DS2 apenas em compras acima de R$ 1.000 ou de clientes novos — protege seu caixa contra o estrago dos chargebacks de alto ticket.

Por último, abrace os métodos de pagamento alternativos que eliminam o risco da fraude de cartão não presente na raiz. O Pix é o maior aliado do e-commerce brasileiro. Segundo o Banco Central, o Pix já representa uma fatia massiva do volume de transações no varejo online. Uma venda no Pix tem custo de processamento menor, liquidação em segundos e risco de chargeback por fraude zero. Oferecer 5% de desconto no Pix sai mais barato do que pagar taxa de gateway, taxa de antifraude e ainda assumir o risco de chargeback no cartão de crédito.

O Fim do Cartão Digitado e o Futuro das Aprovações

Nós estamos acompanhando o fim da era em que os clientes precisam digitar 16 números, nome impresso, validade e código de segurança em formulários web. O AVS tentou resolver um problema de uma época analógica, onde o cartão de plástico era a única prova de identidade.

O mercado hoje caminha a passos largos para a tokenização total. As carteiras digitais (Apple Pay, Google Pay, Samsung Pay) e iniciativas como o Click to Pay das bandeiras substituem os dados reais do cartão por criptogramas de uso único. Quando um cliente paga com Apple Pay no seu site, a validação de identidade já foi feita pelo dispositivo móvel via biometria (Face ID). A transação nasce segura por design.

A tentativa de aplicar regras rígidas de AVS no Brasil é um sintoma clássico de assimetria de informação técnica. O lojista quer segurança, o gateway estrangeiro oferece a ferramenta padrão dele, e o consumidor sofre o atrito. A inteligência comercial exige adaptação ao terreno.

O Brasil possui um dos ecossistemas de pagamentos digitais mais complexos, rápidos e regulados do mundo. O Banco Central, a CVM e os players privados construíram trilhos de liquidação (como a CIP e o SPB) que invejam mercados desenvolvidos. Entender as limitações de protocolos importados não é aceitar fraudes; é jogar o jogo com as armas certas. Desligue o AVS restrito, ligue os motores de decisão baseados em comportamento, ative o Pix na primeira dobra do checkout e observe sua taxa de aprovação voltar ao patamar que seu negócio merece.