Por trás de um sem-número de serviços, uma tecnologia ganha espaço para garantir a segurança e a eficácia de modelos de pagamento: a tokenização. Invisível para o usuário final, ela pode estar lá no bastidor de cada operação, mesmo que não seja percebida.
Quantos serviços digitais consumimos atualmente, sem precisar tirar cartão de crédito ou dinheiro da carteira? Podemos citar populares plataformas de compartilhamento de transporte, serviços de streaming de filmes e músicas, ou as crescentes carteiras virtuais, que permitem pagamentos online dos mais diversos tipos de compras. O mundo digital nos traz a comodidade de não precisar cadastrar o cartão de crédito a cada uso dessas ferramentas; basta preencher um único formulário e os dados para pagamento estarão aptos a entrar em ação quando forem necessários.
A palavra token, nesse caso, não tem nenhuma relação com os tokens de acesso a serviços digitais, normalmente usados como segundo fator de autenticação, via código por SMS, e-mail ou os antigos cartões de senhas e chaveiros. A tecnologia de tokenização, no mundo dos pagamentos, substitui o tradicional número do cartão de plástico (o chamado PAN) por um número digital, sequência única de caracteres usada apenas para cada determinada transação, ou para transações realizadas pelo mesmo serviço de pagamentos, ou carteira digital.
O token cria um código diferente para cada transação que o cliente faz com cartão de crédito no mundo digital (por exemplo, compras em e-commerce) ou funciona como um único identificador nos serviços em que o usuário deixa o cartão cadastrado para cobranças recorrentes (como Rappi, OLX e 99). Esse identificador digital permite a realização de compras sem expor informações dos clientes.
Com esse identificador único, caso haja algum problema com um desses aplicativos –seja um roubo de dados, ou até mesmo perda ou furto de dispositivos–, o emissor do cartão de crédito pode cancelar apenas aquele token (aquela combinação de números), sem precisar emitir um novo cartão (o cliente não precisa se cadastrar em todos os serviços novamente).
Do lado dos vendedores, é uma forma de garantir a credencial de cada cliente. “Eu não coloco mais meu cartão de crédito nesses locais (Netflix, Uber, Spotify etc), eu coloco uma credencial de pagamento para cada um deles”, destaca Leandro Garcia, diretor de Soluções da Visa do Brasil e responsável pela área de tokenização. “Isso significa que eu tenho meu cartão físico na carteira, sendo minha credencial física, e quando preciso incluir (o cartão) nos meus dispositivos, nós (Visa) geramos um token (para cada serviço).”
Segundo a Visa, mais de 410 milhões de tokens já foram emitidos em todo o mundo pela empresa, e mais de cem mercados estão aptos a usar a tokenização. No Brasil, a companhia registrou aumento de 300% nas transações tokenizadas no primeiro semestre de 2019 em relação ao acumulado de todo o ano anterior. Garcia comenta que, do lado do varejista, a tecnologia tem garantido um salto de 30% na taxa de autorização (confirmação da transação) em relação às transações online tradicionais.
De acordo com a Mastercard, no mundo digital, as taxas de aprovação (confirmação da validade da transação) são de cerca de 67% –ou seja, a cada 100 transações, 67 são, de fato, confirmadas e a compra é concluída. Já o índice de aprovações das transações tokenizadas está acima do patamar de 80%, próximo da taxa de aprovação de cartão presente. A tokenização está para o chip do cartão assim como, no mundo físico, a autenticação via biometria está para a senha, ressalta a empresa.
O token, explica a Mastercard, protege a informação do cartão, por meio de códigos, durante todo o processo de compra, desde o início da transação (ponto de origem, quando o cliente cadastra o cartão) até o momento em que o emissor aprova e conclui a transação, momento em que esse código é “desvendado”.
A tokenização também cumprirá papel essencial para garantir a viabilidade da chamada internet das coisas ou IoT (do inglês internet of things). Segundo os especialistas, a camada de segurança que este modelo garante às transações realizadas no mundo digital será fundamental para possibilitar a próxima revolução dos pagamentos por meio das “coisas”, sejam carros, eletrodomésticos, relógios inteligentes, pulseiras, anéis ou outros dispositivos.
“Não vejo como colocar meios de pagamento dentro de IoT que não seja com a tokenização”, diz José Luiz Santana, responsável pela área de Cibersegurança no C6 Bank, que acredita na eficácia do token para garantir a segurança das transações digitais, à medida que haverá mais de 25 bilhões de objetos cotidianos conectados no mundo até 2021, segundo previsão da consultoria Gartner.
Com o token, será mais fácil “espalhar” credenciais usadas para pagamentos, por todos esses itens conectados à internet.
ECOSSISTEMA ALINHADO
Para uma transação por meio da tokenização, é preciso preparar e alinhar, para isso, um “ecossistema”; isto é, bandeiras de cartões (como Visa, Mastercard e Elo), adquirentes (como Cielo, Rede e Adyen), emissores de cartões (em sua maioria, os bancos) e, sobretudo, os vendedores de serviços –estabelecimentos comerciais ou digitais.
Túlio Gambogi, head de Produtos da Adyen, explica que sua companhia atua sob o conceito conhecido como network tokenization, capaz de garantir que o token seja de fato de cada cliente e de criar uma rede com diferentes emissores.
“As bandeiras, como Visa e Mastercard, estão em uma posição muito confortável porque cada player tem de fazer seu próprio token; é isso que chamamos de network tokenization, quando o token é feito pela bandeira, pertence àquele cliente e fico salvo”, destaca Gambogi. “Independentemente se foi processado pela Adyen ou outro player, o token é do cliente.” No Brasil, a Adyen tem clientes como Uber, Magazine Luiza, Daifit e iFood.
Segundo a Mastercard, o primeiro passo do mercado foi fazer com que bancos emissores estivessem aptos para atender aos pedidos de credenciais. Após alguns anos de esforços, mais de 80% do mercado de emissores de cartões no Brasil já está usando esse modelo, sobretudo os grandes bancos.
Um deles é o Itaú, que tem registrado avanços no faturamento digital. Segundo Rubens Fogli, diretor de Negócios Digitais da instituição, cerca de 30% do faturamento da área de cartões já tem como origem o mundo digital, sem chip ou senha. “A tendência é de que, em dois ou três anos, isso se aproxime de 50% do nosso faturamento”, projeta. “O objetivo principal é fazer a migração segura e com boa experiência para nossos clientes.”Fogli cita a bem-sucedida adoção do Itaú às carteiras digitas, como Apple Pay, Samsung Pay e Google Pay. O banco tem mais de 2 milhões de clientes usando este modelo de serviço. “Apesar de termos mais de 2 milhões de clientes, temos 30 milhões de cartões; (o modelo) ainda é muito novo e tem muito fruto a ser colhido.”
Mesmo convencido das vantagens do uso da tokenização para segurança e comodidade dos clientes, Aloísio Carneiro de Barros Junior, gerente nacional da Fábrica de Cartões e Meios de Pagamento da Caixa Econômica Federal, levanta dúvidas e alerta para o impacto que o futuro sistema de pagamento instantâneo do Banco Central pode trazer.
Isso porque, para autenticar o cliente no modelo de pagamento instantâneo, o uso do celular, apenas, como forma de verificação pode ser vulnerável, já que aparelhos celulares têm sido constantes alvos de clonagens. “Como saberemos se é o cliente? E se o banco mandar o token para um celular clonado? Essa discussão sobre token vai ficar forte no segundo semestre”, projeta.
Segundo o executivo, a Caixa entra em 2020 com o portfólio completo em todas as carteiras virtuais e todas as bandeiras. Ele destaca o aumento da demanda neste setor desde a chegada das carteiras digitais.
MENOS CUSTOS DE INFRAESTRUTURA
Santana, do C6, lembra a redução nos custos de infraestrutura de banco de dados como uma das maiores vantagens trazidas pela tokenização, mais segurança, praticidade para os clientes e aumento das taxas de aprovação.
Ele explica que o modelo usado anteriormente, o de criptografia, exigia que o estabelecimento ou e-commerce fizesse a encriptação dos dados para o armazenamento. O problema desse processo, para o executivo, é a necessidade de uma chave para encriptar a informação e outra, para decifrá-la, quando essa informação chega ao destino. “Isso incluiu todo o custo de manutenção da chave; eu tinha que deixar essa chave segura, compartilhar com a ponta e deixar essa chave rotacionando [ou seja, sendo atualizada constantemente]”, lembra.
A necessidade de trocar a chave a todo momento, por medidas de segurança, acarretava um custo computacional alto. “Era isso que o mercado usava antes; protegia sim, mas tinha alto custo; a tokenização veio para mudar esse panorama, deixar mais fácil e trazer a mesma segurança.”
Além do token para pagamentos, em fase final de teste, para liberação do serviço, o C6 está de olho no uso da tecnologia com outro propósito: a Lei Geral de Proteção de Dados (LGPD), que deve entrar em vigor em agosto.
Ele explica que, com a nova lei, dados não poderão ser armazenados em texto claro; e uma saída é o uso de token para armazenamento em banco de dados. Dessa forma, o token garante que as informações dos clientes sejam acessadas apenas com uma “chave”, mas o texto claro ligado a cada código não terá informações confidenciais. “Estamos com isso em estudo; em vez de armazenar em texto claro, armazena em token; a tokenização é uma saída elegante e de baixo custo sobre a criptografia tradicional.”
Como funciona a tokenização de pagamento
1. O portador registra seu cartão em um serviço de pagamento ou carteira digital (como uma loja online ou dispositivo móvel), informando os 16 dígitos do cartão, código de segurança e outras informações sensíveis
2. O provedor de carteira digital solicita à bandeira um token de pagamento para o cartão inscrito
3. A bandeira informa, ao emissor do cartão, o pedido de token de pagamento
4. Com a aprovação do emissor, a bandeira substitui os 16 dígitos do cartão do portador por um identificador digital único, conhecido como token de pagamento
5. A bandeira envia o token de pagamento para o provedor de carteira digital.
6. O usuário, ao realizar transações por meio daquele serviço de pagamento ou carteira digital, usa o token para confirmar a transação.