Antifraude e chargeback para PME — o que muda quando 3DS 2.0 vira default em 2026
O Brasil registrou 2,8 milhões de tentativas de fraude em e-commerce em 2025 e mantém uma das taxas médias de chargeback mais altas da América Latina — segundo a Ethoca/Mastercard e a Clearsale, a faixa típica brasileira fica entre 0,6% e 1,3% do faturamento bruto em e-commerce, contra 0,3% em comércio físico e 1,5%-3% em viagens online. A Latam projeta crescimento de 22% no volume de chargebacks até 2028, com impacto estimado em US$ 8,49 bilhões. Para uma PME que fatura R$ 5 milhões/ano vendendo online, isso significa entre R$ 30 mil e R$ 65 mil por ano em perdas brutas por chargeback — antes de contar a taxa que a adquirente cobra por cada disputa.
A tese deste guia é contraintuitiva: a fraude no e-commerce brasileiro não é maioritariamente "fraude do consumidor" — é fraude do criminoso que usa dado vazado de cartão legítimo para fazer compra em loja vulnerável. A consequência operacional é importante: investir em melhor experiência de checkout não reduz chargeback. O que reduz chargeback é investir em autenticação (EMV 3-D Secure 2.0), em análise de risco transacional (scoring com regras + machine learning) e em gestão de disputa (representment com evidência estruturada). Sem essas três camadas, a taxa de win rate em disputa no Brasil fica em 36,9%, segundo dados Ethoca de 2025 — ou seja, em quase dois terços dos casos a PME paga, mesmo quando a transação era legítima.
A maioria das PMEs brasileiras descobre que está vulnerável a fraude no dia em que recebe o primeiro lote de 20 chargebacks em uma semana. Aí já é tarde — Visa e Mastercard penalizam quem ultrapassa 1% de taxa, e a adquirente repassa o custo via aumento de MDR ou descredenciamento.
A janela 2025-2026 é particularmente sensível porque três mudanças regulatórias e contratuais convergem: o mandate do EMV 3-D Secure 2.0 pelas bandeiras Visa e Mastercard, a entrada da Resolução BCB 501 sobre segurança no sistema financeiro, e o endurecimento de monitoramento BCB sobre adquirentes via Circular 3.978/2020. Empresa que não se atualizar nesse período acumula custo regulatório acima do custo da fraude evitada.
Tabela canônica — taxa de chargeback por setor, ferramentas e regulamentação aplicável
A tabela abaixo consolida benchmarks de chargeback rate (CBR) por setor brasileiro em 2026, com as principais ferramentas de mitigação e a regulamentação aplicável a cada camada.
| Setor / vertical | CBR típico Brasil 2026 | CBR limite Visa/MC | Causa principal | Ferramenta primária | Regulamentação aplicável |
|---|---|---|---|---|---|
| Alimentação (delivery, restaurante) | 0,3-0,5% | 1,0% | Cartão clonado, dispute friendly | 3DS 2.0 em pedidos > ticket médio | Carta-Circ. BCB 4.040/2022 |
| E-commerce produto físico | 0,6-1,2% | 1,0% | Fraude por terceiro | 3DS 2.0 + device fingerprint | Res. CMN 4.658/2018 |
| Moda / vestuário online | 0,8-1,5% | 1,0% | "Wardrobing" + fraude | 3DS 2.0 + análise comportamental | EMV 3DS mandate |
| Eletrônicos / alto ticket | 1,2-2,5% | 1,0% | Cartão clonado, valor alto | 3DS 2.0 obrigatório | Visa/MC mandate |
| Viagem e turismo | 1,5-3,0% | 1,5% (acomodação especial) | Cancelamento, no-show, fraude | 3DS 2.0 + KYC reforçado | Res. CMN 4.658/2018 |
| Serviços digitais / SaaS | 0,4-0,8% | 0,9% | Disputa de assinatura | RBA (Risk-Based Auth) + retentativa | Lei 9.613/1998, Circ. 3.978/2020 |
| Marketplaces (sub-merchant) | 0,8-1,5% | Variável | Vendedor irregular + cliente | KYC vendedor + escrow | Res. CMN 4.658/2018 |
| Comércio físico (chip + senha) | 0,05-0,15% | 1,0% | Fraude rara, mais reclamação | EMV chip + biometria | Circ. BCB 3.978/2020 |
| Streaming / conteúdo | 0,2-0,5% | 0,9% | "Friendly fraud" | RBA + 3DS quando renovação | Carta-Circ. 4.040/2022 |
| PIX (analogia) | < 0,01% disputa | N/A — sem chargeback | Golpe social, não chargeback | Mecanismo Especial Devolução | Manual PIX BCB |
Fonte: Ethoca/Mastercard 2025, Clearsale 2024-2025, ABECS, regulamentos BCB consolidados maio/2026.
Por que a fraude no Brasil é diferente — três engrenagens locais
A pergunta operacional para a PME brasileira não é "como reduzir fraude" no sentido genérico — é "qual é o vetor dominante no meu segmento". Há três engrenagens que diferenciam o cenário brasileiro do americano e europeu.
A primeira engrenagem é a escala do PIX. O PIX absorveu, em 2025, mais de 50% do volume de pagamentos no comércio eletrônico brasileiro em alguns segmentos (alimentação, varejo de baixo ticket, B2C de impulso). Isso desloca a fraude de chargeback para fraude social via PIX — não há chargeback no PIX, mas há golpes (QR falso, PIX-impostor, PIX-confirmação). Para o lojista, a vantagem é que o risco do PIX é zero do lado da disputa bancária; a desvantagem é que clientes vítimas de golpe acionam Procon e processos cíveis. Para detalhes operacionais sobre PIX, veja PIX para empresas.
A segunda engrenagem é o dataset de cartão vazado em grande escala. Vazamentos massivos de dados pessoais e bancários em 2021-2024 (Serasa, BNB, Caixa, Stone, Cielo entre outros) colocaram em circulação dezenas de milhões de combinações nome+CPF+cartão+CVV. O fraudador brasileiro de 2026 não precisa fazer engenharia social — basta comprar lote em fórum especializado e tentar checkout em lojas com baixo controle. Isso explica a concentração de fraude em lojas pequenas que ainda não implementaram 3DS 2.0.
A terceira engrenagem é o win rate de disputa de 36,9% mencionado pela Ethoca/Mastercard. Em mercados maduros (EUA: 55-65%, Europa: 50-60%), o lojista que apresenta evidência estruturada (compelling evidence) ganha a maioria das disputas. No Brasil, a baixa formalização do processo de representment e a documentação pobre do lado do lojista fazem o win rate cair drasticamente. Para a PME, isso significa que não basta evitar fraude — é preciso documentar evidência desde a venda para ganhar disputa quando ela vier.
Investir em antifraude técnico sem investir em documentação de venda é como instalar fechadura na porta da frente e deixar a janela aberta. A fraude evitada importa, mas a fraude que escapou e foi documentada importa mais — porque essa, a PME ganha em disputa, em vez de pagar duas vezes.
MEI e ME — quando não compensa investir em antifraude técnico
Para MEI e ME com faturamento até R$ 360 mil/ano e ticket médio baixo (até R$ 200), o investimento em ferramenta antifraude dedicada não compensa em 2026. A taxa de chargeback nesse perfil costuma ficar abaixo de 0,5%, e o custo de uma solução SaaS antifraude (ClearSale, Konduto, Cybersource, Stone Risk) gira em R$ 800-R$ 3.000/mês. Em volume baixo, o investimento não paga.
A operação correta para essa faixa é usar:
- 3DS 2.0 disponibilizado pela adquirente (Stone, Cielo, Rede, Getnet oferecem ativação no painel sem custo direto extra além do MDR padrão)
- Validação de CPF + nome via API gratuita (alguns gateways oferecem)
- Bloqueio de chargeback via Ethoca/Verifi quando o adquirente já tem o serviço habilitado por padrão
- Política clara de aceite publicada no checkout (CPF obrigatório, endereço de entrega validado)
O ponto que MEI e ME costumam negligenciar é a documentação. Em caso de chargeback, a evidência de entrega (rastreamento Correios/transportadora com assinatura), comprovante de envio do produto, comunicação com o cliente e captura do checkout (IP, device, timestamp) são o que decide a disputa. Sem essa documentação, o win rate fica perto de zero.
PME — quando o antifraude técnico passa a fazer sentido
A inflexão econômica ocorre, em 2026, em torno de R$ 80 mil/mês de volume processado em cartão. Acima disso, o custo de uma ferramenta antifraude (R$ 1.500-R$ 5.000/mês para o tier inicial das principais) passa a ser absorvido por taxa de aprovação maior e taxa de chargeback menor. A PME nessa faixa tipicamente combina:
- Antifraude com scoring (regras + ML) que aprova/recusa/manda para análise manual
- 3DS 2.0 com retentativa quando o token falha (alguns clientes não conseguem autenticar e a retentativa sem 3DS pode rodar para ticket baixo)
- Análise comportamental (velocidade de digitação, padrão de movimento de mouse) — relevante para alto ticket
- Device fingerprinting que detecta uso do mesmo aparelho para fraudes em massa
- Lista interna negativa alimentada com cada chargeback recebido
A estrutura de governança que costuma funcionar é dedicar uma pessoa (analista de risco, gerente de pagamento) que revisa pedidos sob suspeita uma vez por dia. Em 2026, modelos prontos de scoring conseguem manter a taxa de revisão manual entre 1-3% do volume, com taxa de fraude líquida abaixo de 0,3%.
Scale-up — antifraude como produto, não como custo
Empresas em fase de scale-up (faturamento acima de R$ 30 milhões/ano) tendem a internalizar parte do antifraude. A combinação típica em 2026 é:
- Antifraude em camada própria: time interno de risco + modelo proprietário treinado em dados próprios
- Antifraude em camada de adquirente: integrado ao gateway Stone, Cielo, Rede ou Getnet
- Antifraude em camada de bandeira: VAA (Visa Account Attack) e Mastercard Decision Intelligence
- Antifraude em camada de Ethoca/Verifi para abate de chargeback antes de virar disputa formal
- Antifraude em camada de KYC reforçado para clientes recorrentes de alto ticket
A operação típica nesse porte tem chargeback rate consolidado abaixo de 0,4% e fraude líquida abaixo de 0,1%. Win rate em disputa fica em 55-65%, próximo do padrão internacional, porque o time de risco já documenta evidência estruturada desde a venda.
EMV 3-D Secure 2.0 — o ponto de virada de 2026
O EMV 3-D Secure 2.0 (3DS 2.0) é um protocolo de autenticação de cartão de crédito e débito em transações online, desenvolvido pelo EMVCo (consórcio mantido por Visa, Mastercard, American Express, Discover, JCB e UnionPay). A versão 2.0 melhora o 3DS 1.0 (antigo "Verified by Visa" e "Mastercard SecureCode") em quatro aspectos: autenticação silenciosa quando há dados suficientes para validar o risco sem interação do consumidor (frictionless flow), autenticação com biometria quando há fricção justificada, transferência de responsabilidade de chargeback (liability shift) do lojista para o emissor quando 3DS é aplicado, e suporte a transações mobile e in-app.
O mandate Visa e Mastercard 2026 estabelece valores mínimos por MCC (Merchant Category Code) que disparam obrigação de 3DS. Em 2026, no Brasil, segundo material da ABECS:
- Para a maioria dos MCCs, 3DS 2.0 é obrigatório acima de R$ 30 (alguns segmentos), R$ 50 (outros) ou R$ 100 (alto ticket)
- Para algumas categorias (jogos, downloads digitais, viagens), 3DS 2.0 é mandatório em qualquer valor
- Lojistas que não implementarem perdem o liability shift e passam a responder por 100% do chargeback de fraude
Para uma PME que ainda não implementou 3DS 2.0 em maio de 2026, o caminho mais direto é ativar pelo painel do gateway de pagamento. Stone, Cielo, Rede, Getnet, Pagar.me, Cybersource, Asaas, Mercado Pago e PagSeguro têm 3DS 2.0 disponível em modo "on-by-default" desde 2025 — o lojista só precisa ativar e atualizar a integração do checkout para tratar o resultado da autenticação.
Próximas mudanças — para onde a regulação vai
Três pendências regulatórias relevantes para antifraude e chargeback estão em curso em 2026:
A primeira é a expansão de fraudes em PIX e a regulamentação do Mecanismo Especial de Devolução (MED). O BCB tem agenda para 2026 sobre limites de retenção cautelar em movimentação atípica via PIX, com previsão de Resolução específica para casos de golpe documentado.
A segunda é a integração de antifraude e Open Finance. As Resoluções Conjuntas que regem Open Finance preveem que dados transacionais compartilhados possam ser usados para análise de risco, criando novo input para modelos antifraude. Em 2026, plataformas como Belvo, Pluggy e Quanto começam a oferecer scoring de risco baseado em dados Open Finance para PMEs.
A terceira é a harmonização internacional de PSD3 europeu com regulação local. Embora a PSD3 da União Europeia não se aplique ao Brasil, suas regras de Strong Customer Authentication (SCA) influenciam o roadmap de Visa e Mastercard, e devem afetar o protocolo 3DS 2.x ao longo de 2027.
Próximo passo concreto
Para qualquer PME que processa cartão online e ainda não revisou seu antifraude em 2026, a entrega prioritária é dupla. Primeiro: ativar 3DS 2.0 no painel da adquirente. Custa zero em tarifa adicional na maioria dos casos (já incluído no MDR), e transfere responsabilidade de chargeback fraudulento para o emissor. Segundo: documentar evidência de venda em cada transação. IP, device, timestamp, comprovante de entrega, comunicação com o cliente. Sem isso, win rate em disputa é zero.
Para entender como a infraestrutura de pagamento por PIX se conecta a antifraude, veja nosso guia de PIX e segurança operacional. Para o desdobramento sobre as resoluções BCB que afetam adquirentes e PSPs, leia resoluções BCB para fintechs PME.
Perguntas frequentes
Qual é a taxa de chargeback aceitável antes de ter problema com Visa/Mastercard?
O limite operacional é 1,0% mensal sobre o volume de transações da bandeira (alguns segmentos têm threshold mais alto: viagem 1,5%, alguns SaaS 0,9%). Ultrapassar dispara o lojista para programas de monitoramento (VDMP/VFMP da Visa, ECP da Mastercard) com penalidades crescentes — desde aumento de MDR até descredenciamento. O alvo prático para uma PME é manter abaixo de 0,5%.
Adquirente pode bloquear meu MDR para repassar chargeback?
Sim, conforme contrato padrão de adquirência. O contrato prevê retenção cautelar de recebíveis para cobrir disputa em andamento. A retenção é proporcional ao volume disputado, costuma ser liberada quando a disputa é resolvida, mas pode comprometer fluxo de caixa de PMEs com margem apertada. Para entender o impacto no caixa, veja nosso guia de fluxo de caixa PJ.
O 3DS 2.0 atrapalha a conversão do checkout?
Sim, marginalmente. Em transações de alto risco que disparam autenticação visível, há queda de conversão de 2-4% (consumidor abandona quando precisa abrir app do banco para validar). Em transações de baixo risco, o 3DS 2.0 roda silencioso (frictionless flow) e a conversão não é afetada. O cálculo econômico é simples: 2-4% de queda em conversão de transação suspeita custa menos do que 0,5-1,5% de chargeback.
Posso processar todas as vendas como CIELO e Stone sem 3DS para não atrapalhar?
Pode tecnicamente, mas perde liability shift. Quando há fraude e a transação não foi autenticada com 3DS, o chargeback fica integralmente com o lojista. Em segmentos com baixo risco e ticket baixo (alimentação por exemplo), pode fazer sentido. Em moda, eletrônicos, viagem, alto ticket — não faz sentido. Cada segmento exige cálculo próprio.
Chargeback é fraude do cliente ou fraude de terceiro?
Tipicamente, em 2026 no Brasil, 60-75% dos chargebacks de fraude têm como causa fraude por terceiro (cartão clonado, dados vazados). Os 25-40% restantes são "friendly fraud" (cliente legítimo que disputa para não pagar), bug de produto, problemas de entrega ou erro de cobrança. A análise correta exige separar as duas naturezas — friendly fraud é mitigável com documentação; fraude de terceiro é mitigável com 3DS 2.0 e scoring.
Vale a pena terceirizar todo o antifraude para a adquirente?
Depende do porte. Para MEI e ME, sim — terceirizar é mais barato do que internalizar. Para PME média e scale-up, vale ter camada própria sobre a camada da adquirente, porque o adquirente otimiza pelo seu próprio risco agregado (que pode não coincidir com o ótimo da PME individual). Empresas grandes costumam combinar 2-3 camadas (própria + adquirente + bandeira) para redundância.
Stone não patrocina este conteúdo. Para entender a base de operações por trás da prevenção de fraude — desde a abertura de conta até a movimentação contínua — consulte nosso hub Banco do Empreendedor.