Voltar ao Blog
meios-de-pagamentocryptogramaemvtokenizaçãofintechadquirencia

Cryptograma: o que realmente valida uma transação com cartão

Explico o que é cryptograma no contexto EMV e wallets digitais, como ele é gerado, como o emissor valida, diferenças entre ARQC e AAV, impacto do ECI e erros comuns de integração que afetam aprovação e fraude.

20 de fevereiro de 20265 min read

No meu dia a dia trabalhando com integrações de pagamento, eu já vi esse cenário várias vezes:

Estamos usando token, então está seguro.

Mandamos o wallet indicator, então está tudo certo.

E quando você vai investigar a queda de aprovação ou o aumento de fraude… o problema está no cryptogram.

Muita gente implementa tokenização, 3DS, wallet, mas não entende o que realmente prova que aquela transação é legítima na camada de rede. E essa prova, na maioria dos casos, é o cryptograma.

Hoje eu vou explicar o que ele é, como funciona por trás dos panos e por que ele impacta diretamente aprovação, risco e chargeback.

O que é um Cryptograma?

Um cryptograma é um valor criptográfico gerado dinamicamente para uma transação específica.

Ele funciona como:

  • Prova de posse da credencial
  • Prova de integridade da transação
  • Mecanismo anti-replay

Se alguém interceptar a mensagem e tentar reutilizar, não funciona.

De onde ele vem? (EMV explicado rápido)

O cryptograma nasce dentro do padrão EMV (Europay, Mastercard, Visa).

O EMV é o padrão global que define como cartões com chip funcionam.

Quando você insere um cartão físico na maquininha:

  1. O terminal envia comandos para o chip
  2. O chip responde via APDU (Application Protocol Data Unit)
  • que é basicamente o formato de mensagem de comunicação com o chip
  1. O chip gera um cryptograma único para aquela transação

Esse cryptograma é chamado de:

  • ARQC (Authorization Request Cryptogram)

Ele é validado pelo emissor.

Se válido → transação pode ser autorizada Se inválido → negada

E no e-commerce?

No e-commerce tradicional (cartão digitado), normalmente não há cryptograma EMV real.

Mas quando falamos de:

  • Apple Pay
  • Google Pay
  • Click to Pay
  • Tokenização de bandeira

Existe sim um cryptograma digital.

Nesse caso:

  • Ele é gerado com base em chaves armazenadas no Secure Element ou ambiente seguro
  • É enviado junto com o token (DPAN)
  • A bandeira valida antes de encaminhar ao emissor

Analogia simples

Pense no cartão como um cofre.

O token é uma cópia controlada da chave.

O cryptograma é a assinatura digital que diz:

Essa chave foi usada agora, nessa transação específica, nesse valor específico.

Sem essa assinatura, o sistema não confia totalmente.

Tipos de Cryptograma que você vai encontrar

1. ARQC

Authorization Request Cryptogram Gerado para autorização online.

2. TC

Transaction Certificate Gerado quando a transação é aprovada offline.

3. AAC

Application Authentication Cryptogram Indica rejeição offline.

No mundo digital, você também pode ouvir falar de:

  • AAV (Accountholder Authentication Value)
  • Cryptogram de wallet

Eles não são idênticos ao ARQC físico, mas cumprem papel semelhante de prova criptográfica.

Como funciona por trás dos panos

Vamos simplificar o fluxo técnico:

  1. Dados da transação são montados:
  • valor
  • moeda
  • data
  • terminal id
  1. O cartão (ou ambiente seguro) usa:
  • uma chave simétrica secreta
  • contador de transação

  1. Ele aplica um algoritmo criptográfico (geralmente baseado em 3DES ou AES)

  2. Gera o cryptograma

O emissor possui a chave correspondente.

Ele recalcula o cryptograma do lado dele.

Se bater → válido Se não bater → fraude ou erro de integração

O que pode dar errado na prática?

Aqui entra a parte que pouca gente fala.

1. Campos inconsistentes

Se você altera:

  • Valor
  • Moeda
  • Indicadores de segurança

Sem manter coerência com o que foi usado para gerar o cryptograma, ele falha na validação.

2. ECI incorreto

ECI (Electronic Commerce Indicator) indica o nível de segurança da transação.

Se o ECI não condiz com o tipo de cryptograma enviado:

  • Pode perder liability shift
  • Pode ter downgrade
  • Pode aumentar fraude

3. Integração incompleta de wallet

Já vi casos:

  • Enviando token
  • Mas ignorando cryptogram
  • Ou mapeando campo errado no adquirente

Resultado? A transação vira basicamente um cartão digitado comum.

Impacto real em negócio

Cryptograma bem implementado significa:

  • Maior taxa de aprovação
  • Menor fraude
  • Liability shift quando aplicável
  • Menos chargeback

Cryptograma mal implementado significa:

  • Transação tecnicamente “válida”
  • Mas com risco elevado
  • E potencial prejuízo financeiro

Diferença entre Token e Cryptograma

Eu sempre explico assim:

  • Token substitui o número do cartão
  • Cryptograma prova que a transação é legítima

Um sem o outro é solução incompleta.

O que você deve levar disso

Se você trabalha com pagamentos, entenda:

  • Cryptograma não é detalhe técnico.
  • Ele é a camada criptográfica que sustenta a confiança da transação.
  • Wallet sem cryptograma correto perde boa parte do benefício.
  • Integração mal mapeada pode destruir taxa de aprovação.

Antes de discutir fraude ou taxa de conversão, devemos sempre revisar:

Estamos enviando corretamente o cryptograma e o ECI?

Se você nunca validou isso na sua integração, vale revisar agora.

No próximo artigo eu posso aprofundar em:

  • Como o emissor valida um ARQC
  • Diferença prática entre ARQC e AAV
  • Como o ECI influencia liability shift
  • Erros clássicos de integração que derrubam aprovação

Porque em meios de pagamento, segurança e aprovação andam juntas, e o cryptograma está exatamente no meio desse caminho.