O que é Liability Shift e como ele afeta meu e-commerce?

Liability Shift (Transferência de Responsabilidade) é a regra das bandeiras de cartão onde a responsabilidade financeira por um chargeback de fraude muda do lojista para o banco emissor. Isso só acontece se o lojista autenticar a transação usando o protocolo EMV 3DS. Sem o 3DS, o lojista paga a conta.

O EMV 3DS vai diminuir a conversão da minha loja igual o antigo 3D Secure?

Não. Diferente do 3DS 1.0, que exigia senhas e pop-ups irritantes, o EMV 3DS (2.0+) realiza uma autenticação silenciosa (Frictionless) em cerca de 95% das compras. Ele usa mais de 150 dados de navegação para o banco aprovar a compra sem interromper o cliente, muitas vezes até aumentando a taxa de aprovação geral.

Minha loja usa um gateway de pagamento terceirizado. Preciso programar o 3DS?

Você não precisa programar o protocolo do zero, mas precisa atualizar a integração do seu front-end (checkout) com a API do seu gateway (como Pagar.me, Vindi, Adyen). O gateway precisa coletar os dados do dispositivo do cliente no momento da compra para enviar ao banco. Fale com seu provedor de pagamentos imediatamente.

O que acontece se eu me recusar a usar o EMV 3DS?

Você assumirá 100% do risco de chargebacks por fraude. Além disso, notará uma queda na aprovação de transações legítimas pelos bancos. Se o seu índice de fraude ultrapassar 1%, você sofrerá multas em dólar da Visa e Mastercard e poderá ter seu CNPJ banido de processar cartões de crédito no Brasil.

EMV 3DS: Por Que Visa e Mastercard Vão Punir Quem Não Migrar

Se você opera um e-commerce, gerencia um marketplace ou processa pagamentos no Brasil, preste atenção aqui. A era de aprovar transações de cartão de crédito apenas com o número, validade e CVV acabou.

O mercado brasileiro de cartões movimenta trilhões por ano, mas também abriga uma das indústrias de fraude mais sofisticadas do planeta. Segundo a Abecs (Associação Brasileira das Empresas de Cartões de Crédito e Serviços), as fraudes no e-commerce sangram bilhões do varejo anualmente. As bandeiras cansaram de enxugar gelo. Visa e Mastercard bateram o martelo: ou você implementa o EMV 3DS (também conhecido como 3D Secure 2.0 ou superior), ou você paga a conta da fraude sozinho.

Nós da Ouro Capital acompanhamos de perto os bastidores dos principais adquirentes e emissores do país. O recado nas reuniões de diretoria da Cielo, Rede, Stone e PagSeguro é uníssono. A tolerância com lojistas operando em protocolos antigos chegou a zero. A migração compulsória para o EMV 3DS mudou a regra do jogo, transferindo o risco de quem emite o cartão para quem vende o produto.

A Morte do 3DS 1.0 e o Nascimento do EMV 3DS

Para entender o tamanho da bomba, precisamos voltar duas casas. O 3D Secure original (3DS 1.0) foi criado no início dos anos 2000. Era uma tecnologia rudimentar. Você colocava os dados do cartão no checkout e, de repente, era jogado para uma página bizarra do seu banco, cheia de pop-ups, pedindo uma senha que você raramente lembrava ou um token físico.

O resultado prático? Um desastre comercial. O 3DS 1.0 matava a conversão. Observamos taxas de abandono de carrinho que chegavam a 30% ou 40% no Brasil. O lojista preferia assumir o risco da fraude a perder quase metade das suas vendas legítimas. A segurança existia, mas o custo operacional era insustentável para o varejo.

A EMVCo — consórcio global formado por Visa, Mastercard, Amex, Discover, JCB e UnionPay — percebeu que precisava reconstruir a arquitetura do zero. Nasceu o EMV 3DS (frequentemente chamado de 3DS 2.0, 2.1 e 2.2). A premissa mudou de "desafiar o cliente" para "autenticar silenciosamente".

O que mudou na prática tecnológica?

O EMV 3DS é um monstro de dados. Enquanto a versão 1.0 mandava menos de 15 variáveis para o banco emissor analisar, o novo protocolo envia mais de 150 pontos de dados em milissegundos.

O seu gateway de pagamento (seja Pagar.me, Vindi, Adyen ou Stripe) agora captura informações como o ID do dispositivo, endereço IP, idioma do navegador, fuso horário, histórico de navegação no site, endereço de entrega comparado ao de cobrança e até a velocidade de digitação do usuário.

Esses dados viajam criptografados até o banco emissor (Nubank, Itaú, Bradesco). O algoritmo do banco analisa o pacote e, em 95% das vezes, aprova a transação sem que o cliente perceba absolutamente nada. É o chamado fluxo Frictionless. Apenas nos 5% de casos suspeitos o banco exige um desafio (fluxo Challenge), que hoje é resolvido com biometria no app do banco ou um código via SMS, sem pop-ups agressivos.

O Relógio Parou: As Exigências da Visa e Mastercard

As bandeiras não estão pedindo por favor. Elas impuseram calendários globais de descontinuação (sunset) das tecnologias antigas.

A Mastercard e a Visa desligaram oficialmente o suporte ao 3DS 1.0 em outubro de 2022. Desde então, qualquer tentativa de autenticar uma transação usando a infraestrutura velha resulta em erro de processamento ou cai direto no fluxo não autenticado.

Agora em 2024, a exigência recai sobre as versões mais recentes do EMV 3DS (2.1 e 2.2). A versão 2.2, específicamente, introduz recursos vitais para o mercado brasileiro, como o suporte a isenções (TRA - Transaction Risk Analysis). Isso permite que adquirentes e lojistas com baixo índice de fraude peçam ao banco para pular a etapa de desafio em compras de baixo valor, agilizando ainda mais o checkout.

Se o seu e-commerce ainda roda uma integração legada de cartão de crédito, você está operando em mar aberto, sem colete salva-vidas. As bandeiras já instruíram os bancos emissores a declinarem agressivamente transações suspeitas que não venham com o pacote de dados do EMV 3DS.

Liability Shift: A Roleta Russa do Chargeback

Aqui entramos no coração do problema. O termo que tira o sono de qualquer CFO de varejo chama-se Liability Shift (Transferência de Responsabilidade).

No modelo tradicional (sem 3DS), se um fraudador clona um cartão, compra um iPhone no seu e-commerce e o dono real do cartão contesta a compra, quem perde o dinheiro é você. O banco emissor aceita a contestação, debita o valor da sua conta na adquirente e gera o temido chargeback. O lojista fica sem o produto e sem o dinheiro.

A regra de ouro do EMV 3DS inverte essa lógica.

A matemática da proteção

Quando o lojista processa a venda útilizando o EMV 3DS e o banco emissor autentica a transação (mesmo no fluxo silencioso frictionless), ocorre o Liability Shift. A responsabilidade financeira pela fraude muda de mãos.

Se aquela compra autenticada se revelar uma fraude no futuro, o seu e-commerce não sofre o chargeback por motivo de fraude. O banco emissor (que analisou os 150 dados e deu o sinal verde) assume o prejuízo. Você retém o dinheiro da venda.

Nós afirmamos com convicção: ignorar o EMV 3DS é escolher pagar a conta dos criminosos. Se você envia a transação sem autenticação, o banco emissor vai aprovar ou negar baseado em regras genéricas. Se aprovar e for fraude, o chargeback é 100% seu.

As bandeiras desenharam esse mecanismo exatamente para forçar a adoção. Elas sabem que o bolso é o único órgão sensível do mercado. Ao garantir a proteção contra o chargeback, Visa e Mastercard empurraram a responsabilidade de atualização tecnológica para a ponta do varejo.

O Impacto Direto no Seu Gateway e Adquirente

No ecossistema brasileiro, a implementação do EMV 3DS não é feita diretamente pelo lojista. Você depende da infraestrutura do seu Provedor de Serviços de Pagamento (PSP), Gateway ou Adquirente.

Empresas como Stone, Cielo, Rede, Getnet, e gateways como Pagar.me, Vindi e Mercado Pago operam o chamado MPI (Merchant Plug-In) ou 3DS Server. É esse software que faz a ponte entre o checkout do seu site e o ACS (Access Control Server) dos bancos.

A sua missão como gestor não é programar o protocolo, mas exigir que seus parceiros tecnológicos ativem a versão mais recente.

Se você útiliza uma integração via API direta com uma adquirente mais antiga, é altamente provável que precise refazer a integração do seu checkout para começar a coletar os dados invisíveis exigidos pelo EMV 3DS (como dados do navegador do usuário). Sem essa coleta no front-end da sua loja, o gateway não tem o que enviar para o banco, e a transação cai para o fluxo não autenticado, deixando o liability no seu colo.

Fricção vs. Segurança: O Falso Dilema

O maior medo dos lojistas brasileiros sempre foi a queda na conversão. É uma cicatriz deixada pelo 3DS 1.0. Contudo, os dados atuais mostram uma realidade completamente diferente.

Grandes varejistas que adotaram o EMV 3DS 2.2 relatam um aumento na taxa de aprovação global. Por quê? Porque os bancos emissores brasileiros (como Nubank, Itaú e Santander) sofrem com falsos positivos. Eles negam compras legítimas por suspeita de fraude quando não têm dados suficientes.

Ao injetar 150 variáveis de contexto na transação via EMV 3DS, o banco ganha confiança. O Itaú, por exemplo, consegue ver que aquele cartão está sendo usado no mesmo celular de sempre, no mesmo IP residencial, comprando em um site que o cliente já visitou. A compra é aprovada na hora. A taxa de aprovação sobe, e a fricção é zero.

O fluxo com desafio (challenge) ocorre em uma minoria absoluta dos casos. E quando ocorre, a autenticação acontece dentro do próprio ambiente do lojista (via iframes modernos) ou direciona o cliente para aprovar no app do banco via notificação push. O brasileiro já está extremamente acostumado a aprovar transações via push no celular por conta do PIX. A barreira cultural caiu.

O Que Acontece com Quem Não Migrar?

As consequências para quem insistir em ignorar o EMV 3DS são progressivas e letais para o caixa da empresa.

Primeiro, você notará uma queda sútil nas taxas de aprovação. Os bancos emissores estão apertando os algoritmos de risco para transações não autenticadas. O que passava antes, começa a ser declinado pelo emissor (código 05 - Não Autorizada).

Segundo, o custo da fraude vai disparar. Grupos criminosos que operam testes de BIN (testes em massa de cartões clonados) focam específicamente em e-commerces que não usam 3DS, pois sabem que a barreira de entrada é menor e o prejuízo fica com a loja.

Terceiro, você corre o risco de entrar nos programas de monitoramento de fraude das bandeiras (como o Visa Dispute Monitoring Program - VDMP ou o Mastercard Excessive Chargeback Program - ECP). Se o seu índice de chargeback ultrapassar 0,9% a 1% do volume de vendas, as multas começam a chegar em dólar.

Se a situação não for regularizada, o seu adquirente (Cielo, Stone, etc.) é forçado pelas bandeiras a descredenciar o seu CNPJ. Você perde o direito de processar cartões de crédito. No Brasil, perder a maquininha virtual significa fechar as portas.

O Futuro da Autenticação de Pagamentos

A migração para o EMV 3DS é apenas o piso, não o teto. O mercado caminha para a tokenização completa aliada à autenticação biométrica nativa (padrão FIDO), onde o seu rosto ou digital substituirão senhas para sempre, em qualquer dispositivo.

O Banco Central do Brasil, observando o sucesso da segurança no PIX, tem pressionado indiretamente todo o mercado financeiro a elevar a barra de proteção em todos os arranjos de pagamento. A regulamentação brasileira é rigorosa com vazamentos e fraudes sistêmicas (vide circulares recentes do BACEN e regras do COAF sobre lavagem de dinheiro via e-commerce fantasma).

A regra é clara: a internet deixou de ser terra sem lei para transações financeiras. A Visa e a Mastercard não vão mais subsidiar a ineficiência tecnológica do varejo.

O liability shift é a ferramenta definitiva de darwinismo corporativo. O e-commerce que não se adaptar ao EMV 3DS vai pagar a conta até quebrar. A tecnologia está disponível, os gateways brasileiros já suportam as versões mais modernas e os bancos emissores estão sedentos por dados de qualidade. Só falta você plugar sua loja na nova realidade.