Fraude em pagamentos online deixou de ser um problema só de gigantes do e-commerce. Em 2026, sellers com faturamento mensal de R$ 50 mil já sentem o impacto: chargeback corrói margem, antifraude mal configurado bloqueia vendas legítimas, e a falta de regras claras vira porta aberta para grupos organizados de fraude.

Este artigo é um guia prático sobre antifraude para operações digitais — o que monitorar, como configurar regras sem matar conversão, como responder a chargebacks, e quando vale a pena pagar 3-DS.

O que é fraude em pagamento digital

Os tipos mais comuns no Brasil hoje:

  • Fraude com cartão clonado: golpista usa dados de cartão roubado pra comprar produto/digital. Quando o dono legítimo vê na fatura, abre chargeback;
  • Self chargeback ("amigável"): cliente compra de verdade, recebe o produto, e mesmo assim abre disputa alegando "não reconheci a compra";
  • Triangulação: golpista anuncia produto barato em marketplace falso, vende ao comprador final, paga o produto na sua loja com cartão roubado, e envia direto pro comprador final;
  • Test fraud: golpista testa centenas de cartões na sua loja com pequenas compras pra ver quais funcionam (depois usa em outro lugar);
  • Account takeover: invasor toma controle de uma conta legítima e usa os métodos salvos pra comprar.

Cada um pede defesa diferente — não existe bala de prata.

Chargeback: o pesadelo do seller

Quando um cliente disputa uma compra, o banco emissor abre chargeback contra você. O processo é:

  1. Banco emissor recebe contestação do cliente;
  2. Manda solicitação de contestação para a bandeira;
  3. Bandeira manda para a adquirente;
  4. Adquirente debita o valor da sua conta + multa (geralmente R$ 30 a R$ 80);
  5. Você tem 7 a 15 dias para apresentar defesa com provas (nota fiscal, comprovante de entrega, logs);
  6. Banco emissor analisa e decide.

O resultado prático: você fica sem o produto, sem o dinheiro e ainda paga multa. Se o índice de chargeback ultrapassar 1% do volume, a bandeira pode te colocar em "Excessive Chargeback Program" — penalidades severas.

Métrica que importa

Mantenha sua taxa de chargeback abaixo de 0,9% do volume transacionado por bandeira. Acima disso entra na lista de risco da Visa/Master e taxas sobem; acima de 1,5%, suspensão.

As 5 camadas de defesa antifraude

Antifraude moderno é defesa em camadas. Cada uma pega uma fatia diferente de fraudes:

1. Coleta de sinais (device fingerprint)

Antes de qualquer regra, você precisa de dados. Bom antifraude coleta:

  • IP do comprador + geolocalização;
  • User agent e fingerprint do navegador;
  • Tempo de digitação dos campos;
  • Histórico do BIN do cartão (primeiros 6 dígitos);
  • Velocidade entre compras (5 compras em 2 minutos = bot).

2. Score de risco automático

Com os sinais coletados, um motor de ML atribui uma pontuação de 0 a 100. Você define faixas:

  • 0-29: aprovar direto;
  • 30-59: aprovar + monitorar;
  • 60-79: análise manual ou 3-DS;
  • 80-100: recusar.

3. Regras configuráveis (rule engine)

Em cima do score, você cria regras de negócio específicas:

  • "Recusar compras acima de R$ 5.000 fora do horário comercial";
  • "Bloquear se o CPF não bater com o nome do cartão";
  • "Pedir 3-DS para BIN de cartão internacional";
  • "Limitar 3 compras / hora / IP".

4. 3-DS (3-D Secure)

Quando o ticket é alto ou o risco é médio, peça autenticação do banco emissor. Com 3-DS, a responsabilidade do chargeback passa para o banco — mesmo se o cliente disputar, você não perde o dinheiro. Vale muito a pena para tickets acima de R$ 500.

5. Análise manual

Para tickets MUITO altos ou casos suspeitos limítrofes, ter uma equipe (sua ou terceirizada) que analisa manualmente e liga pro cliente confirma legitimidade. Caro, mas vale pra ticket alto.

Configurando antifraude sem matar conversão

O risco oposto da fraude é o excesso de antifraude — você bloqueia tantas vendas legítimas que perde mais do que ganharia evitando fraude. Como equilibrar:

Comece liberal, aperte gradualmente

Configure antifraude com tolerância alta no início (recusar só score 90+). Monitore por 30 dias quantos chargebacks chegam de fato. Aperte 5 pontos por vez baseado nos padrões reais que aparecem.

Segmente por categoria de produto

Curso digital de R$ 197 não precisa do mesmo rigor de antifraude que iPhone de R$ 7.000. Crie regras por categoria, por ticket, por horário.

Use 3-DS condicional, não universal

3-DS universal mata 8% a 15% de conversão (cliente trava na hora de fazer auth). Use só quando score sugere risco ou ticket é alto. A ApexPy permite configurar esse trigger.

Confie em quem já comprou

Cliente recorrente que já fez 3 compras sem problema merece tratamento mais leve. Whitelisting de e-mails/CPFs históricos reduz fricção.

Como se defender de chargeback (process)

Chegou chargeback. Agora você tem 7 a 15 dias para defender. As provas que ajudam:

  • Comprovante de entrega (rastreio dos Correios, recibo digital, captura de tela de acesso ao produto digital);
  • Logs de IP + horário da compra;
  • E-mails de comunicação trocados com o cliente;
  • Comprovante de 3-DS (se usado);
  • Política clara de devolução publicada no site (com data de quando foi publicada);
  • Print do produto descrito no momento da compra (versão do site na data).

Junte tudo num PDF organizado e envie via painel do gateway. Caso bem documentado tem 40% a 60% de chance de ganhar.

Métricas para acompanhar

MétricaAlvo saudávelAlerta
Taxa de chargeback< 0,5%> 0,9%
Taxa de aprovação> 92%< 88%
Taxa de recusa por antifraude< 5%> 10%
Tempo médio de defesa de chargeback< 48h> 5 dias
Win rate em disputas> 40%< 25%

Acompanhe semanalmente. Movimento brusco em qualquer uma delas pede investigação imediata.

Estratégia para infoprodutores

Infoprodutos têm fraude com perfil próprio: alta proporção de "self chargeback" (cliente compra, consome o curso, depois pede estorno). Defesas que funcionam:

  • Marca d'água personalizada com o e-mail do comprador em PDFs e vídeos;
  • Logs de acesso visíveis ao cliente (mostre quantas aulas ele assistiu antes de disputar);
  • Política de garantia clara (7-30 dias) — pra fazer chargeback ele teria que mentir;
  • Use PIX como método principal — PIX não tem chargeback tradicional (apenas devolução voluntária do banco);
  • Bloqueie acesso ao curso imediatamente quando chargeback é aberto.

Estratégia para e-commerce físico

Produto físico tem o problema oposto: fraudador recebe a mercadoria de verdade e revende. Defesas:

  • Endereço de entrega diferente do cadastro = alerta para antifraude;
  • Confirmação por SMS/WhatsApp em pedidos acima de X;
  • Foto do recebimento (alguns transportadoras oferecem isso);
  • Limite por CEP / período pra evitar concentração suspeita;
  • 3-DS obrigatório em tickets altos.

Antifraude embutido no checkout ApexPy

Score automático, regras configuráveis por loja, 3-DS condicional e suporte a defesa de chargeback no painel.

Criar conta

Conclusão

Antifraude não é "configurar uma vez e esquecer". É processo contínuo:

  1. Monitore as 5 métricas semanalmente;
  2. Ajuste regras baseado em padrões reais — não em medo;
  3. Use 3-DS condicional para tickets altos;
  4. Documente tudo pra defesa de chargeback;
  5. Priorize PIX como método principal (não tem chargeback tradicional).

O objetivo nunca é "zero fraude" — é manter chargeback abaixo de 0,5% sem mexer demais na conversão. Quem ajusta esses dois ponteiros bem, ganha margem que a concorrência perde.

antifraude chargeback 3ds risco

Última atualização: 15 de maio de 2026