Quem valida, ou autoriza sem validar, é o banco emissor do cartão. Alguns não te dão nem bom dia se não acertar o CVV2 (o CVV está presente apenas na trilha ou chip) , outros são mais relaxados nisso. Mas isso precisa de uma transação... na geração do token não dá para o lado adquirência (neste caso, a Efí e o adquirente que ela usa) validar se está certo ou errado.
O nome tem que estar escrito conforme outros pedidos feitos em e-commerce. O banco emissor não checa isso contra o nome no cartão, mas como tipicamente é isso que se orienta os clientes, acaba sendo a forma de nome mais provável de constar em registros.
Significa que o banco emissor do cartão autorizou, mas o anti-fraude negou.
Para aceitar débito precisaria redirecionar para o site do banco emissor.
Foi aprovado pelo banco emissor do cartão mas ainda depende de passar no anti-fraude.
Então, essa premissa de que se foi autorizado pelo banco emissor está tudo certo não confere. O banco emissor só confere o número do cartão, CVV, expiração e limite. Só. Quem confere os outros dados é a análise de segurança. Se você colocar como nome do titular "Palhacito Sofredor", o banco emissor vai autorizar. Se colocar endereço no presídio, também.
Cada adquirente tem políticas anti-fraude diferentes. Não é pq o banco emissor aprovou a compra, que o anti-fraude (seja da Efí ou não) vai entender a transação como de nível de risco aceitável.
Sobre os tempos de decisão, mesmo sistemas completamente automatizados de anti-fraude podem levar até uns 30 minutos... e a Efí sabidamente tem transbordo para mesa manual de análise, aonde pode demorar mais. Aqui de novo um pouco de transparência ajudaria, mandando via webhook (se o usuário quiser) aviso "foi aprovado pelo banco emissor, agora no anti-fraude" "anti-fraude automático não conseguiu aprovar, agora na mesa" etc.
Há alguns pontos que a Efí poderia mudar que ajudariam a dar uma transparência melhor e deixar escolhas para o estabelecimento comercial.
O primeiro é que por causa do pagamento em D+2, quando a Efí recebe dos bancos emissores em D+30, eles tem uma tolerância menor a risco. Que dá para entender, mas pode ser uma tolerância diferente da que o usuário tenha... então dar a opção de receber em D+30 e perder com eventuais chargebacks, mas ter uma aprovação maior, ou ter um prazo menor e menor aprovação. Aí cada um escolhe o que faz mais sentido para seu negócio.
O segundo é que os retornos de transações não aprovados hoje são binários... e eles podiam dar mais informações (que eles recebem) de se não foi aprovado por cartão inexistente, falta de limite, anti-fraude etc. E no caso de anti-fraude, dar o scoring resultante. Isso permite tanto uma melhor compreensão do cenário, quanto uma tomada de decisão do que fazer nesse caso.
Essa maior transparência permitiria uma outra alteração que é colocar no endpoint de retentativa uma opção "ignorar anti-fraude", que aí cada um decidiria usar ou não por sua conta e risco. Mas para isso precisa da informação e da possibilidade de receber em D+30, então isso depende das duas anteriores.
Em adição a isso você poderia guardar o nome do banco emissor ou os dígitos iniciais que caracterizam o banco emissor. Se der é legal, tipo "Cartão Nubank". Mas não carece, de fato.
Aliás, algo que o @iguatu pode ver nas especificações do Drex é que o BACEN criou algo que é um conjunto de blockchains interoperáveis e supervisionado, não uma blockchain única. Tanto que a transferência de valores entre cada uma das blockchains, que é o caso de teste mais comum por enquanto, é algo bem trabalhoso. Não por ser nem centralizador e nem libertário... e sim para mimetizar o que acontece com o Real não tokenizado, aonde há emissores de moeda eletrônica autorizados (como os bancos e como as instituições de pagamento como a Efí) e esses emissores se encontram na clearing do BACEN (o STR). O BACEN deu uma de "em time que está ganhando não se mexe", o que tem gente que não gostou por motivo real (quem gostaria de se relacionar diretamente com a blockchain central e não ter que depositar em outras instituições) e tem gente que não gostou achando que o BACEN está centralizando tudo, o que não bate com o especificado no projeto.
Quem entende que dinheiro não deveria ser papel de governo, que lance sua criptomoeda e convença as pessoas de que ela é mais apropriada que o Real... não cabe ao BACEN fazer isso. Mas dentro do que o BACEN poderia fazer, ele não está apertando o controle, apenas mantendo o status quo.
Normalmente é sem o CVC do cartão, mas tem banco emissor que vai negar por isso... e não tem muito o que fazer. A decisão do emissor é soberana.
