Fallback de Cartão: A Brecha de R$ 300 Milhões e a Morte da Tarja Magnética

Sexta-feira à noite, um bar lotado em Pinheiros, São Paulo. O garçom traz a maquininha da Stone ou da PagSeguro até a mesa. O cliente insere o cartão. A tela exibe uma mensagem de erro na leitura do chip e pede: 'Insira novamente'. Mais um erro. Na terceira tentativa, o terminal cede e instrui: 'Passe a tarja magnética'. A transação é aprovada em segundos. O garçom agradece, o cliente vai embora com uma garrafa de whisky importado. O detalhe? O cartão era clonado. O dono legítimo do cartão está em casa, dormindo.

Esse roteiro se repete milhares de vezes por dia no Brasil. O que parece ser apenas uma conveniência tecnológica — um plano B para quando o chip falha — é, na verdade, uma das vulnerabilidades mais exploradas pelo crime organizado financeiro. Chamamos isso de 'fallback' (queda para um sistema de contingência).

Na Ouro Capital, cruzamos dados de adquirentes, emissores e da Associação Brasileira das Empresas de Cartões de Crédito (ABECS). O estrago é bilionário se somarmos os últimos cinco anos. Apenas em 2023, estimamos que as fraudes via fallback tenham drenado cerca de R$ 300 milhões do ecossistema de pagamentos brasileiro.

O mercado tolerou essa sangria por muito tempo para evitar atrito nas vendas legítimas. Agora, a paciência acabou. Gateways, adquirentes e bandeiras estão fechando o cerco. Vamos dissecar a anatomia desse golpe e mostrar como a tecnologia está matando a tarja magnética de uma vez por todas.

Como Chegamos Aqui: A Herança Maldita da Tarja

Para entender o fallback, precisamos voltar ao início dos anos 2000. O Brasil foi pioneiro global na adoção do padrão EMV (Europay, Mastercard e Visa) — o famoso cartão com chip. Fizemos isso por uma questão de sobrevivência. Naquela época, a clonagem de cartões de tarja magnética (o golpe do 'chupa-cabra' ou skimming) estava quebrando os bancos brasileiros.

O chip resolveu o problema. Ele gera um criptograma único para cada transação, tornando a clonagem física práticamente impossível com a tecnologia atual. Se o chip é tão seguro, por que mantivemos a tarja magnética no verso do cartão?

A resposta é interoperabilidade global. Durante muito tempo, os Estados Unidos atrasaram sua migração para o padrão EMV. Um brasileiro viajando para Miami precisava da tarja para pagar o hotel. Da mesma forma, terminais muito antigos em regiões remotas do Brasil ainda dependiam da leitura magnética.

O padrão da indústria estabeleceu uma regra de contingência: se o terminal (Point of Sale - POS) tentar ler o chip e falhar repetidas vezes, ele deve permitir que a transação seja feita pela tarja magnética para não frustrar a venda. Essa regra de negócio foi codificada nos terminais e nos gateways de pagamento. Nascia aí a brecha do fallback.

A Engenharia do Golpe: Fritando o Chip

Os fraudadores entenderam rápidamente a mecânica do fallback. Se eles não conseguem clonar o chip, eles só precisam forçar a maquininha a ignorá-lo.

A operação funciona assim: criminosos compram lotes de dados de cartões roubados na dark web. Esses dados contêm as informações completas da Trilha 1 e Trilha 2 (Track 1 and Track 2) da tarja magnética. Com uma gravadora de cartões que custa menos de R$ 500 no mercado livre, eles transferem esses dados para um cartão de plástico em branco (white plastic).

Aqui entra o pulo do gato. A Trilha 1 da tarja possui um campo chamado Service Code (Código de Serviço). Se esse código começa com '2' ou '6', ele avisa ao terminal: 'Este cartão possui um chip EMV válido. Exija a inserção do chip'. Se o fraudador simplesmente passar a tarja de um cartão clonado, a maquininha da Cielo ou da Rede vai bloquear e pedir o chip.

Para burlar isso, o criminosos colam um chip falso no cartão clonado, ou pegam um cartão com chip real e o danificam físicamente — aplicando uma pequena carga elétrica para 'fritar' o circuito ou riscando os contatos metálicos.

Quando o fraudador insere esse cartão sabotado no POS do lojista, o terminal tenta ler o chip. Falha. Tenta de novo. Falha. O software do terminal, seguindo a regra antiga de contingência, aciona o fallback e pede a tarja. O fraudador passa a tarja clonada. O gateway recebe a transação com um indicador específico de fallback e, historicamente, a aprovava. O golpe está consumado.

A Matemática do Prejuízo e o Liability Shift

Quem paga a conta de R$ 300 milhões? A resposta está em um conceito fundamental da indústria de pagamentos chamado Liability Shift (Transferência de Responsabilidade).

A regra de ouro das bandeiras (Visa, Mastercard, Elo) determina que a responsabilidade financeira por uma fraude recai sobre o elo da cadeia que tiver a tecnologia menos segura.

Se um banco emissor (como Nubank ou Itaú) emite um cartão com chip, e o lojista passa esse cartão na tarja magnética via fallback, a transação é considerada de alto risco. Se o cliente real contestar a compra (chargeback), o banco emissor lava as mãos. O prejuízo cai no colo do adquirente (Cielo, Rede, Stone) ou, na maioria dos contratos, é repassado diretamente para o lojista.

O varejista brasileiro, na ponta da linha, muitas vezes nem entende o que aconteceu. Ele vendeu o produto, a maquininha aprovou, imprimiu o comprovante, e semanas depois o dinheiro é descontado de seus recebíveis sob a rubrica de 'fraude'.

Como Gateways e Adquirentes Fecham a Porta

A resposta da indústria de tecnologia de pagamentos brasileira tem sido agressiva. Gateways modernos e adquirentes não aceitam mais ser o elo fraco dessa corrente. Analisamos as táticas de mitigação que estão asfixiando o golpe do fallback no Brasil.

1. Bloqueio Sistêmico (Hard Decline)

A principal linha de defesa acontece no roteamento da transação. Quando uma maquininha faz uma venda, ela envia uma mensagem no protocolo ISO 8583 para o gateway ou adquirente. O Campo 22 dessa mensagem (Point of Service Entry Mode) indica como os dados foram capturados.

Se a transação foi via chip, o campo mostra '05'. Se foi via aproximação (NFC), mostra '07'. Se foi via fallback (chip falhou, leu tarja), o campo mostra '80'.

Hoje, gateways robustos interceptam qualquer transação com Entry Mode '80' e aplicam regras estritas. Se o cartão foi emitido no Brasil (onde a penetração do chip é de 99,9%), muitos adquirentes simplesmente aplicam um 'Hard Decline'. A transação é negada instantaneamente com o código de retorno '51 - Não Autorizado' ou '05 - Transação não permitida'. Não há margem para negociação. Falhou o chip? A venda não acontece.

2. Motores de Risco e Análise de Contexto

Alguns gateways preferem uma abordagem mais cirúrgica para não penalizar clientes legítimos com chips genuinamente sujos ou desgastados. Eles enviam a transação de fallback para um motor de risco em tempo real.

O algoritmo avalia variáveis simultâneas:

• Valor da compra (Tickets altos em fallback são bloqueados sumariamente)
• Horário (Madrugada? Bloqueio automático)
• MCC do Lojista (Lojas de eletrônicos, joalherias e bares noturnos têm regras de fallback zeradas)
• Histórico do cartão (Esse cartão transacionou via chip há 2 horas em outro lugar e agora está dando fallback? Fraude óbvia. Bloqueia.)

3. A Barreira no Emissor

Os bancos também cansaram de lidar com o atrito dos chargebacks. Emissores digitais como Nubank, Inter e C6 Bank possuem regras implacáveis em seus sistemas autorizadores. Se a requisição chega no banco marcando fallback de tarja, o autorizador nega a compra na mesma fração de segundo. O emissor prefere que o cliente peça uma segunda via do cartão pelo app do que assumir o risco de uma clonagem.

O Fator Smart POS e a Evolução do Hardware

A mitigação via software nos gateways é vital, mas a solução definitiva está acontecendo no hardware. Observamos uma substituição massiva do parque de maquininhas no Brasil.

Os antigos terminais 'dumb' (aqueles de tela preta e verde) seguiam cegamente a regra de tentar o chip três vezes e pedir a tarja. Hoje, adquirentes como Stone, PagSeguro e Mercado Pago estão inundando o varejo com Smart POS — terminais com sistema operacional Android, telas touch e conexão 4G.

Esses Smart POS recebem atualizações Over-The-Air (OTA). Os adquirentes alteraram o firmware dessas máquinas. Se o lojista insere um cartão com chip e a leitura falha, a máquina moderna nem sequer oferece a opção de passar a tarja. A tela exibe diretamente: 'Chip ilegível. Tente pagamento por aproximação (NFC) ou insira outro cartão'.

A remoção da instrução visual para passar a tarja destrói a engenharia social do fraudador. Ele fica sem ação na frente do caixa.

Implicações Práticas: O Que o Lojista Precisa Fazer

Se você opera um negócio físico ou gerencia uma operação omnichannel através de um gateway, a tolerância ao fallback deve ser zero.

Primeiro, treine sua equipe de frente de caixa. Fraudadores são persuasivos. Eles costumam dizer aos caixas: 'Meu chip está ruim mesmo, a máquina vai pedir a tarja, pode passar'. O operador de caixa, querendo agilizar a fila, obedece. A instrução da gerência deve ser clara: falhou o chip, não se passa a tarja sob nenhuma hipótese. Peça outro cartão ou pagamento via PIX.

Segundo, revise os contratos com seu adquirente ou gateway. Certifique-se de que a configuração de Point of Sale do seu terminal está parametrizada para rejeitar fallback de cartões nacionais. O pequeno atrito de perder uma venda legítima (por um chip sujo de um cliente real) é infinitamente menor do que o prejuízo de um chargeback de R$ 5.000 de um whisky importado fraudulento.

O Fim da Linha para a Tarja Magnética

A infraestrutura global de pagamentos já decretou a sentença de morte da tarja magnética. A Mastercard foi a primeira a formalizar o cronograma: a partir de 2024, a tarja já não é mais obrigatória em novos cartões emitidos na Europa. Até 2029, nenhum novo cartão de débito ou crédito da Mastercard terá a tarja magnética na maior parte do mundo. O prazo final para a extinção total da tecnologia é 2033.

A Visa e outras bandeiras seguirão o mesmo caminho. O mercado evoluiu. O pagamento por aproximação (NFC - Near Field Commúnication) já representa mais de metade das transações presenciais no Brasil. O NFC não sofre do problema de desgaste físico dos contatos metálicos do chip tradicional, eliminando a desculpa legítima para o uso da tarja.

O fallback de chip para tarja magnética é um fantasma tecnológico — um resquício de uma era analógica assombrando o sistema financeiro digital de 2024. Adquirentes e gateways brasileiros já entenderam que a única forma de lidar com esse fantasma é cortando sua comúnicação na raiz. Quem insistir em manter essa porta aberta, pagará a conta da fraude. E ela não é barata.