Fortes isenções de autenticação do cliente podem ajudar na experiência do cliente

Magdalena Rut, 22 de Março de 2021

"Desafiador."

Esta deve ser a palavra mais popular no que diz respeito à implementação de todos os requisitos da Diretiva de Serviços de Pagamentos revista (PSD2).

Já ouvimos tudo sobre isso: recursos dedicados a ajustar a tecnologia aos requisitos legais; dificuldade de navegar no domínio das regras incluídas na diretiva e nas normas técnicas; preocupações sobre não conseguir cumprir os prazos estabelecidos pelos reguladores; preocupações sobre o impacto potencial na experiência do cliente e, consequentemente, no negócio.

Este último desafio gerou muitas conversas interessantes. O PSD2 certamente tem um impacto na experiência do cliente devido aos requisitos para autenticação segura e autorização de transação. Para atender a esses requisitos, as instituições financeiras (IFs) precisam aplicar a autenticação forte do cliente (SCA) por padrão para uma infinidade de ações do usuário em canais remotos. Dependendo de como é implementado, isso pode adicionar atrito à experiência do usuário, o que por sua vez pode levar ao abandono do cliente.

Diante dos prazos de implementação do SCA, algumas IFs podem ter inicialmente se concentrado na conformidade, adiando a conversa sobre a experiência do cliente. Essa conversa agora está ganhando importância à medida que IFs buscam melhorias na jornada do usuário - ou seja, limitar o atrito ao mínimo necessário. Neste blog, examinamos a função que as isenções SCA podem desempenhar.

Experiência positiva do cliente

Primeiro, vamos definir o que significa uma experiência positiva do cliente. Os canais de banco digital não podem ser comparados à experiência na agência. Em vez disso, as IFs competem com outros jogadores no espaço digital: plataformas de varejo, gigantes da mídia social, neobanks, startups de fintech, etc. Parte do desafio para as IFs é a necessidade de desenvolver rapidamente experiência no domínio de aplicativos móveis: reduzindo o número de cliques, repensando os fluxos do usuário ou encontrando novas maneiras de interagir com o cliente.

As instituições financeiras entendem que os clientes têm baixa tolerância ao atrito. Atrair e reter clientes significa oferecer uma experiência digital intuitiva e contínua, incluindo um processo de autenticação simplificado. Um cliente que está passando pelo fluxo de pagamento só deve enfrentar um desafio de autenticação quando o risco estiver acima de um determinado limite. Em muitos casos, como transferências de dinheiro de alto valor, os desafios de autenticação aumentam a confiança do cliente de que as medidas de proteção de segurança estão em vigor. No entanto, no caso de operações rotineiras de baixo valor, a solicitação de autenticação multifator (MFA) pode se tornar frustrante.

Tempo e facilidade de uso são mais importantes do que nunca. Fluxos de autenticação excessivamente complicados e rígidos geram frustração - especialmente porque o canal móvel se torna uma parte essencial da experiência bancária. Em muitas regiões, o banco móvel já é. De acordo com a Forrester em The State of Digital Banking, 2021 , 68% dos adultos on-line no Reino Unido usam seu telefone pelo menos uma vez por mês para fazer transações bancárias, enquanto na Ásia, “o mobile banking é o ponto de contato bancário mais popular”.

Orange Money Romênia: como adicionamos autenticação baseada em risco à nossa experiência móvel

Orange Money Romênia: como adicionamos autenticação baseada em risco à nossa experiência móvel

“O PSD2 traz muitos requisitos de segurança que, se não implementados corretamente, podem adicionar atrito à experiência do cliente. Isso é algo que não queríamos fazer no ambiente de banco móvel. ”

Mircea Spinei, chefe de transações e pagamentos, Orange Money Romênia

consulte Mais informação

Revolução PSD2

PSD2, com seus requisitos rígidos em torno de SCA e segurança de transações, chegou como uma revolução para serviços financeiros e, em particular, e-commerce e pagamentos. Ao melhorar a segurança, era óbvio desde o início que afetaria a experiência do cliente, adicionando etapas extras e cheques ao fluxo de pagamento. A preocupação é que, de modo geral, esses requisitos levariam a um aumento no abandono de transações e na rotatividade de clientes.

Para entender o impacto do PSD2, vamos relembrar rapidamente as mudanças mais significativas para os consumidores. Em primeiro lugar, a Diretiva de Serviços de Pagamento revisada dá às pessoas uma visão sobre seus dados financeiros, permitindo o compartilhamento seguro de informações entre IFs. Ao estabelecer as bases para o Open Banking, permite a troca de dados entre diferentes operadores bancários, o que significa que, em alguns casos, os consumidores podem gerir todas as suas contas bancárias a partir de uma aplicação móvel. Este é um movimento excelente em direção a uma melhor experiência bancária.

Em segundo lugar, o PSD2 estabelece certos padrões de segurança para proteger as interações financeiras online. Entre outros, o SCA foi introduzido nos Padrões Técnicos Regulatórios (RTS) do PSD2 para aumentar a segurança dos pagamentos e reduzir a fraude. Requer FIs para autenticar clientes usando pelo menos dois fatores de autenticação mutuamente independentes . Isso levanta a barreira para os fraudadores: mesmo que consigam hackear a senha, eles ainda precisarão descobrir o outro fator, o que diminui a chance de fraude.

Fortes isenções de autenticação do cliente

O SCA é obrigatório para a maioria dos métodos de pagamento online em todo o Espaço Econômico Europeu. Pode ser um desafio, pois introduz mais etapas em determinados cenários de autenticação. Embora seja muito cedo para avaliar o impacto (o prazo para a implementação do escopo total do SCA era 31 de dezembro de 2020), um estudo estima que Negócio de e-commerce da Europa pode perder € 57 bilhões no primeiro ano após a aplicação do SCA devido ao atrito adicional no check-out.

Por outro lado, os comerciantes que não seguirem os requisitos do SCA também terão problemas sérios, uma vez que os bancos terão que recusar tais transações. De acordo com a atualização recente de CMSPI , quase € 89 bilhões no varejo está “em risco de falha nas transações, erros técnicos ocorrendo e, em última instância, bons clientes sendo forçados a cancelar suas compras”.

Isso significa que as instituições financeiras e os comerciantes são obrigados a incluir SCA em todos os cenários? Os consumidores sempre precisam passar pela autenticação em várias etapas (como inserir o PIN ao comprar um café)? Felizmente não.

O Capítulo III das Normas Técnicas Regulatórias apresenta a palavra mágica: SCA isenções . Essas isenções foram criadas para compensar o impacto negativo esperado na taxa de transações processadas com sucesso. Em geral, certos critérios se aplicam para que uma isenção do SCA seja permitida. Enquanto monitoramento de transação é obrigatório para todos eles, a elegibilidade para certos casos de isenção está sujeita à aplicação de monitoramento e relatórios de fraude aumentados.

Exemplos de casos de uso de isenções incluem:

  • Transações recorrentes : Podem ser isentos de SCA se o valor, o destinatário e o ciclo recorrente forem iguais, como no caso das assinaturas.
  • Transações de baixo valor: Uma isenção pode ser aplicada a um certo número de transações de baixo valor (menos de € 30), ou transações sem contato, como aquelas em terminais de estacionamento.
  • Beneficiários de confiança (beneficiários) : Isso é interessante para serviços bancários online, quando o cliente faz uma lista segura de um destinatário específico. Também é interessante para o e-commerce, se o cliente, após autenticar seu pagamento, solicitar ao banco emissor que marque um determinado estabelecimento como de confiança. Nesse caso, o SCA não será obrigatório para transações posteriores se o banco concordar em aplicar essa isenção.
  • Transações de baixo risco: Outro exemplo são as transações de baixo risco, com o rótulo de "baixo risco" determinado pelo banco com base em um análise de risco de transação em tempo real de vários pontos de dados (como o padrão de gastos, localização anormal do pagador e muito mais). Essa isenção é a mais complicada, pois requer uma análise extra, além dos requisitos gerais de monitoramento de transações. Por exemplo:
    • A taxa de fraude deve ser equivalente ou inferior à taxa de fraude de referência.
    • O valor da transação não pode exceder o valor do limite de isenção.
    • Os padrões de Análise de Risco de Transação (TRA) foram atendidos, o que significa que o TRA em tempo real deve ser capaz de identificar os seguintes fatores: gasto ou comportamento anormal, acesso de dispositivo e software, malware ou cenários de fraude conhecidos, localização anormal do pagador, e o nível de risco do local do beneficiário.

Uma descrição detalhada dos requisitos, juntamente com os recursos de um sistema de monitoramento de fraude que pode ajudar a atender a esses requisitos, está disponível em nosso white paper: Habilitando o monitoramento de fraude compatível com PSD2 .

Melhorando a segurança e a experiência do cliente por meio de isenções SCA

A aplicação bem-sucedida de isenções SCA a fluxos de autenticação adaptáveis e flexíveis é uma das soluções para reduzir o atrito e resolver o desafio da experiência do cliente. Ao ler a lista de isenções, você notará que todas são baseadas na análise de dados, embora a gama de dados seja diferente de um caso de isenção para outro.
É importante levar em consideração o seguinte ao planejar fluxos baseados em isenção:

  • Dados de qualidade suficientes: Os canais digitais equipam as equipes de analistas de fraude com uma arma poderosa: dados. Isso varia de dados coletados do dispositivo do usuário a dados contextuais sobre o usuário e sua conta (incluindo ações históricas e padrões de gastos). O objetivo é criar uma imagem completa e precisa do contexto em torno da transação.

    Um certo escopo de monitoramento de transações é obrigatório para todos os pagamentos (de acordo com Artigo 2 do RTS ) É por isso que, ao coletar dados, as instituições financeiras não podem olhar apenas para o escopo listado em uma isenção específica. Eles precisam de dados para poder avaliar o risco de fraude de uma transação a qualquer momento
  • Análise de dados confiáveis: Uma solução confiável de monitoramento de fraude é necessária para todas as transações, isentas ou não. Idealmente, para fornecer saída correta, ele combinará políticas orientadas a negócios e riscos movidas por um mecanismo de regras e aprendizado de máquina. Por exemplo, no caso da isenção de “beneficiário confiável”, um sistema de monitoramento de fraude não irá apenas vincular o nível de confiança do destinatário aos requisitos SCA associados a ele. Por meio do aprendizado de máquina, também deve avaliar o nível de risco de cada transação, mesmo para beneficiários “confiáveis”. O banco será notificado em tempo real se o nível de risco associado a uma transação para um determinado destinatário mudar.
  • Ações e fluxos de trabalho adequados com base nos resultados da análise: A coleta e análise de dados fornecem um resultado que pode ser incorporado em fluxos de trabalho de autenticação avançados e flexíveis. A transação será liberada se seu nível de risco for suficientemente baixo. Isenções de SCA podem ser incluídas nesses fluxos de trabalho flexíveis, com o mecanismo de risco analisando dados constantemente em segundo plano em tempo real. Este processo não atrasa a execução da transação. Além disso, ele beneficia a experiência do cliente de outras maneiras. Se os critérios de isenção forem atendidos, o cliente passará pelo processo em um piscar de olhos. Se o mecanismo antifraude sinalizar uma transação com uma pontuação de risco excedendo um limite definido, um fluxo de trabalho diferente será aplicado, intensificando o desafio de autenticação para que seja proporcional ao risco.
  • Comunicando: Relatar as taxas de fraude é um requisito para isenções baseadas em risco. Portanto, é essencial implementar uma ferramenta de relatório abrangente que detecte tanto um nível elevado de risco de transação quanto quando mudanças na política de isenção precisam ser aplicadas. Idealmente, tal ferramenta inclui um conjunto de modelos de relatório predefinidos que cobrem os requisitos RTS e as diretrizes sobre relatórios de fraude no PSD2.

Reflexões finais

Embora ainda não vejamos como a autenticação forte do cliente mudará o mundo dos pagamentos, esperamos que mais instituições financeiras e comerciantes de e-commerce implementem fluxos de trabalho de autenticação flexíveis e inteligentes que orientem o cliente durante a transação de maneira contínua.

Como parceiro de segurança confiável dos bancos líderes mundiais, a OneSpan fornece orientação técnica e especializada da indústria para conformidade com PSD2 SCA. Ajudamos as instituições financeiras a compreender o valor das soluções de autenticação adaptáveis com base na análise de risco, que ajudam na conformidade com o PSD2, ao mesmo tempo que eliminam o atrito da experiência do cliente.

Habilitando o monitoramento de fraudes em conformidade à PSD2 com Análise de Risco OneSpan
RELATÓRIO BRANCO

Habilitando o monitoramento de fraudes em conformidade à PSD2 com Análise de Risco OneSpan

Os novos requisitos do PSD2 exigem que as organizações de serviços financeiros realizem o monitoramento de transações. Aprenda os requisitos específicos e como o OneSpan Risk Analytics pode mantê-lo em conformidade neste white paper.

Baixar Agora

Magdalena ingressou na OneSpan como redatora de conteúdo e consultora interna com 17 anos de experiência. Ela está interessada em tecnologia de nuvem e na evolução da IA. Ela se formou na SciencesPo e na Escola de Economia de Varsóvia.