Desde a entrada em vigor da DSP2, o panorama dos pagamentos online na França se estruturou em torno da autenticação forte. Os sites que parecem funcionar sem 3D Secure não desapareceram todos, mas seu funcionamento se baseia em mecanismos precisos que a regulamentação controla. Medir o nível de risco real dessas transações em relação aos pagamentos autenticados permite entender o que está em jogo para os consumidores e comerciantes em 2025.
Taxa de fraude com e sem autenticação forte: as discrepâncias medidas
O relatório do Observatório da Segurança dos Meios de Pagamento (OSMP) fornece dados utilizáveis para comparar as duas situações. A tabela abaixo sintetiza as taxas de fraude documentadas.
Para descobrir também : As grandes mudanças legislativas previstas para 2025: o que você precisa saber
| Tipo de pagamento | Taxa de fraude | Observação |
|---|---|---|
| Com autenticação forte (3D Secure) | 0,095 % | Percurso com challenge ou frictionless validado |
| Sem autenticação forte | 0,358 % | Transações isentas ou fora do escopo SCA |
| Relação | x 3,8 | Os pagamentos sem SCA geram quase quatro vezes mais fraude |
Essa relação fala por si mesma. A questão que se coloca para os comerciantes que exploram percursos sem challenge visível diz respeito à natureza exata da isenção da qual se beneficiam, e sua durabilidade frente ao endurecimento regulatório conduzido pelo Banco da França desde novembro de 2024.
Para melhor entender os desafios concretos por trás desses números, um panorama detalhado dos sites sem 3D Secure em 2025 permite distinguir os casos de isenção legítima das verdadeiras falhas.
Para descobrir também : Quais são os riscos de segurança do pagamento sem 3D Secure na Internet?
Isenções DSP2 e limites de disparo: o mecanismo por trás da ausência de challenge
Um site onde o comprador nunca vê uma tela 3D Secure não é necessariamente um site não seguro. Desde 2023-2024, os grandes emissores franceses (BNP Paribas, Société Générale, Crédit Agricole) implementaram em massa a risk-based authentication (RBA), uma análise em tempo real de mais de 100 sinais pelo banco.
O 3DS2 é acionado em segundo plano, mas o banco decide não exibir um challenge quando o risco é considerado baixo. O consumidor tem a impressão de pagar “sem 3D Secure”, enquanto o protocolo foi realmente solicitado.
Os limites regulatórios que condicionam a isenção
A mecânica da DSP2 se baseia em regras precisas para pequenos montantes:
- Compra inferior a 30 euros: isenção possível, sem challenge exibido ao cliente
- Assim que cinco pagamentos consecutivos sem autenticação forte são alcançados, o banco aciona obrigatoriamente uma SCA
- O acúmulo de 100 euros em pagamentos isentos também provoca um acionamento automático da autenticação
Esses limites criam um efeito de transição. Um consumidor que realiza compras de baixo valor acaba encontrando uma tela de verificação, mesmo em um site normalmente fluido.
Comerciantes com boa pontuação de fraude: um tratamento diferenciado
Os prestadores de pagamento (PSP) permitem que comerciantes com uma taxa de fraude muito baixa se beneficiem de isenções mais amplas. Esses comerciantes otimizam seus percursos em torno dos limites da DSP2 para reduzir a fricção sem sair do quadro legal.
Por outro lado, um comerciante cuja taxa de fraude ultrapassa os limites estabelecidos pelo OSMP perde progressivamente suas isenções. O plano OSMP, implementado desde novembro de 2024, acelera essa lógica ao remover alguns regimes excepcionais.
Plano OSMP e fim dos regimes excepcionais: o que muda concretamente
O programa liderado pelo Banco da França tem como objetivo reduzir a fraude, que atingiu 1,2 bilhão de euros em 2024 em todos os meios de pagamento. Várias medidas impactam diretamente os sites que funcionam sem autenticação visível.
- Fim do DTA (Direct to Authorisation), que permitia a alguns comerciantes contornar totalmente o protocolo 3DS
- Reforço das regras sobre pagamentos recorrentes (MIT): assinaturas e cobranças automáticas agora estão sujeitas a controles mais rigorosos durante o registro inicial do cartão
- Os pagamentos em um clique com cartão registrado devem incluir uma verificação periódica da identidade do portador
A eliminação do DTA representa a mudança mais estrutural. Os comerciantes que utilizavam essa via para oferecer um percurso de pagamento totalmente fluido devem migrar para soluções compatíveis com 3DS2, sob pena de ver suas transações recusadas pelos emissores.
Frictionless 3DS2 contra ausência total de segurança: duas realidades distintas
A confusão entre “sem challenge visível” e “sem segurança” alimenta uma percepção errônea do risco. O frictionless flow do 3DS2 mantém uma camada de proteção invisível para o comprador, baseada na análise comportamental e contextual.
Um site realmente desprovido de qualquer forma de autenticação expõe o portador do cartão a um risco multiplicado por quase quatro, como mostram os dados do OSMP. Para o comerciante, essa exposição se traduz em uma taxa de contestação (chargeback) mais alta e uma possível degradação de suas condições tarifárias junto ao seu adquirente.
Por outro lado, um comerciante que adota o frictionless 3DS2 mantém um percurso rápido enquanto se beneficia da transferência de responsabilidade para o banco emissor em caso de fraude. O frictionless protege tanto o comerciante quanto o consumidor, sem adicionar fricção perceptível.
A trajetória regulatória francesa não deixa dúvidas sobre a direção tomada. As transações realmente fora do 3DS se tornam mais raras à medida que o OSMP aperta as condições de isenção. Para um comprador, a presença ou ausência de uma tela de verificação não constitui mais um indicador confiável do nível real de segurança de um pagamento. O que importa é a capacidade do comerciante e de seu banco de analisar o risco em segundo plano, transação por transação.