CVC: barrando os atacantes, mas fazendo “gol contra”

UXmania
5 min readMar 30, 2023

--

O jogador Lionel Messi é cercado por vários marcadores durante jogo da Argentina.
Messi e os marcadores — Foto: divulgação

UX Writing Case — esse artigo traz um case que está no meu portfólio.

A equipe de fraude do will Bank (o nome do banco é com letra minúscula 🤷‍♀️) detectou uma possível vulnerabilidade no cartão de crédito. No fluxo de desbloqueio do cartão, quando era pedido o número do código de segurança, o CVC, o cliente ou um golpista, tinha infinitas chances de tentar acertar os 3 números (que ficam atrás do cartão de crédito).

🚨🚨 Isso precisava ser mudado com urgência!

Vamos resolver!

Nas conversas entre Design, Tech e Produto, decidimos que nesse fluxo a pessoa só teria 3 tentativas para acertar o número do CVC e depois já era: o cartão era cancelado. Isso mesmo, cancelado sem nem ao menos o “cliente” fazer uma comprinha na Magalu. Vai vendo.

Bloquear ou cancelar o cartão?

Logo de primeira, eu questionei o PM (Product Manager) se não era melhor apenas bloquear o cartão. Eu pensei numa situação envolvendo um cliente real e a frustração de ter o cartão cancelado logo de primeira. Além disso, o chat seria acionado, gerando custos para a empresa.

Se o cliente está com o cartão na mão, dificilmente ele vai errar 3 vezes o código de segurança, há muita chance de ser um atacante tentando burlar o sistema, ele argumentou. Se for uma carga roubada, o time de logística já vai saber o número do lote, vai informar para a processadora dos cartões, que na sequência tomará providências, repliquei.

Em tempo: atacante é outro termo usado para golpista, que com essa lacuna pode tentar atacar o sistema do banco para roubar dados sensíveis.

Seja o que for, alinhamos que o ideal era o cancelamento mesmo, a meta era travar todos os gaps possíveis. Portanto, comecei os trabalhos com o lema:

Parem os atacantes!

Richarlison tenta passar por um marcador durante um jogo de futebol.
Richarlison e um marcador — Foto: divulgação

Solução

Após conversas com o Product Designer, pensamos em um fluxo com modais, trazendo uma mensagem (alerta) a cada erro, que culminaria com o cancelamento do cartão após a terceira tentativa. Eu fiz também um e-mail informando a situação para o cliente.

Ferramentas

Esse fluxo requereu uma agilidade e foi desenvolvido a passos largos, com um time frame apertado. Todo tempo a mais significava mais fôlego para golpistas se aproveitarem das lacunas de segurança.

O conteúdo foi pensado tendo como premissa as heurísticas de conteúdo, linguagem simples e inclusiva, voz da marca e acessibilidade. Todas telas passaram por uma rodada de Writing Critique com o time de UX Writing do will. Devido ao prazo curtíssimo, infelizmente não possível fazer testes de conteúdo e UI.

Métrica de sucesso

Após o protótipo em alta ir para downstream e subir na loja/app, qualquer chance de fraude via CVC foi bloqueada. A “métrica de sucesso” desse projeto, portanto, é a “não conversão” dessa ação fraudulenta por possíveis golpistas.

Siga o fluxo

Agora confira as telas desenvolvidas para tentar resolver o problema e prevenir fraudes. Para visualizar na tela cheia, toque na imagem e aperte a tecla de espaço.

Tela de desbloqueio

Na tela de desbloqueio, eu aproveitei para fazer algumas alterações na copy, alinhar o tom de voz do will (vibrante e amigável), utilizando termos como oba e amarelinho (modo “fofo” de chamar o cartão do banco, que é amarelo). Deixei o mais claro possível o caminho para a pessoa encontrar o CVC.

A partir de uma decisão do time de UX Writing do will, foi fixado o padrão de título dos modais em letra minúscula, seguindo o modelo do nome da marca will (também em minúscula). Além disso, os modais passaram a não ter ponto final. Tudo isso foi documentado no Content Design System do will.

Primeira tela de erro

Ao digitar o CVC errado pela primeira vez, a pessoa usuária se depara com essa mensagem abaixo da text field: “código incorreto. você tem mais 2 tentativas”. A mensagem é a mais direta e concisa possível. Eu me preocupei em deixar a copy em apenas uma linha, destacando a linha em numeral, o que favorece a escaneabilidade.

Segunda tela de erro

Essa tela traz a mensagem que dispara o alerta de que é a última chance para acertar o número do código de segurança, antes do cartão ser cancelado. Apesar do “alerta”, foi mantido o tom sóbrio do fluxo, o que pede para esse micromomento em específico (delicado, por envolver uma possível cancelamento do cartão). O numeral no título deixou a copy mais concisa e escaneável.

Terceira tela de erro

Por fim, o último modal informa sucintamente sobre o cancelamento do cartão e instrui o que fazer depois. No título, adicionei a interjeição normalmente associada a erro, ops, para manter o tom sóbrio e direto, tirando um pouco o peso do momento.

E o que acontece depois?

Quando a pessoa usuária opta por sair (botão secundário da tela 3), é disparado um e-mail com o overview da situação (tela à esquerda), com um conteúdo que explica de forma clara o caminho para ir ao chat e fazer o pedido de 2ª via.

Caso a pessoa queira acessar o chat na hora, tem um botão que leva direto ao chat. Detalhe para a o conteúdo em primeira pessoa, como se a gente tivesse falando com o próprio banco (voz da marca).

A tela de status (que fica na home de cartões) informa o caminho para pedir a 2ª via e repete uma informação que também está no e-mail (o estímulo ao uso do cartão virtual). É uma informação que poderia ter sido suprimida, mas por decisão de negócio, acabei mantendo ela no fluxo.

Ensinamentos 📕

Com esse fluxo, eu aprendi que nem sempre é preciso/possível fazer um trabalho end-to-end, especialmente se tratando de algo delicado que pode impactar, a curto prazo, tanto o negócio como os clientes.

Por mais que o fluxo tenha sido feito com foco em fechar uma vulnerabilidade do sistema, o conteúdo foi pensando para atender clientes reais do banco. Vamos então, usando as ferramentas que temos no momento e tá tudo bem!

“Gol contra”

Porém, entretanto, contudo… Apesar de ter fechado os gaps para possíveis fraudes, que era o objetivo da solução, esse fluxo acabou gerando um efeito colateral (o “gol contra”). Aumentou o número de cancelamentos de cartões e pedidos de 2ª via, impactando o atendimento.

Será que o resultado seria o mesmo se só tivesse rolado o bloqueio do cartão? Nunca saberemos! Mas o que dá para constatar é que negócio e experiência tem que estar em sintonia — para amenizar o perigo de gols contras acontecerem.

Quer bater um papo sobre esse case e tomar um cafezinho virtual?

Cel: (11) 9 7765–2239 (WhatsApp)
E-mail: felipemadureira1@gmail.com
LinkedIn

--

--

UXmania

Ideias, descobertas, engajamento, transição. Um blog sobre UX Writing, Design, Comunicação, Música e outros assuntos instigantes. Por Felipe Madureira.