Quando falamos de autenticação multi-fator além do SMS, dois canais se destacam no mercado brasileiro: WhatsApp e RCS. Ambos oferecem vantagens significativas sobre o SMS tradicional, mas tem características distintas que os tornam mais adequados para diferentes cenários.
Neste artigo, vamos comparar WhatsApp e RCS em todos os aspectos relevantes para autenticação e ajudar você a decidir qual canal (ou combinação de canais) e ideal para sua aplicação.
Alcance: WhatsApp 99% vs RCS 85%
O WhatsApp é o aplicativo de mensagens mais popular do Brasil, com penetração de aproximadamente 99% entre usuários de smartphones. Praticamente todo brasileiro que tem um celular tem WhatsApp instalado. Isso inclui tanto Android quanto iOS, smartphones novos e antigos.
O RCS tem uma penetração menor -- cerca de 85% dos smartphones no Brasil. O RCS está disponível nativamente no Google Messages (app padrão na maioria dos Android) e foi adicionado ao iOS 18. Porém, usuários com Android mais antigos ou que usam apps de mensagens alternativos podem não ter RCS.
WhatsApp vence em alcance bruto. Se você precisa atingir 100% dos usuários brasileiros, o WhatsApp é a opção mais segura. Porém, o RCS está crescendo rapidamente e a diferença diminui a cada trimestre.
Custo comparativo
O custo é um fator decisivo para empresas que enviam grandes volumes de autenticações. Vejá a comparação:
| Métrica | RCS | |
|---|---|---|
| Custo por mensagem (auth) | R$ 0,25 - R$ 0,40 | R$ 0,03 - R$ 0,06 |
| Template de autenticação | Obrigatório (aprovação Meta) | Não necessário |
| Janela de 24h (conversação) | Sim (limita interação) | Não se aplica |
| Custo de setup | Conta Business API + BSP | Conta RBM (via agregador) |
| Taxa de conclusão MFA | ~90% | ~94% |
| Custo efetivo por auth bem-sucedida | R$ 0,28 - R$ 0,44 | R$ 0,03 - R$ 0,06 |
A diferença de custo é significativa. O WhatsApp cobra por conversação, e cada autenticação abre uma nova conversação. O custo do template de autenticação do WhatsApp no Brasil varia entre R$ 0,25 e R$ 0,40 por mensagem, dependendo do BSP (Business Solution Provider).
O RCS, por outro lado, cobra por mensagem individual a um custo muito menor. Para uma empresa que envia 100.000 autenticações por mes, a diferença pode chegar a R$ 30.000 mensais.
RCS vence com folga. O custo do RCS é 5 a 8 vezes menor que o WhatsApp para autenticação. Em escala, essa diferença se torna um fator decisivo.
Experiencia do usuário
A experiência do usuário durante a autenticação impacta diretamente a taxa de conclusão e a satisfação com o serviço.
No WhatsApp, a autenticação geralmente funciona assim:
- O usuário recebe uma mensagem do número verificado da empresa
- A mensagem contem o código OTP e, opcionalmente, um botao para copiar o código
- O usuário copia o código e cola no app ou site
- Alguns dispositivos Android oferecem auto-fill, mas não e garantido
O WhatsApp tem a vantagem de que os usuários já estão familiarizados com o app. A notificação aparece de forma proeminente e a maioria dos usuários abre rapidamente.
RCS
No RCS, a experiência pode ser significativamente mais fluida:
- O usuário recebe uma mensagem nativa no app de mensagens, com logo e nome verificado da empresa
- A mensagem exibe botões interativos de ação: "Sim, sou eu" e "Não reconheço"
- O usuário toca no botao -- sem precisar copiar ou digitar nada
- A autenticação e confirmada instantaneamente
A vantagem do RCS é que ele opera no app nativo de mensagens, sem exigir que o usuário tenha um app específico instalado. Além disso, os botões interativos eliminam completamente a fricção de copiar e colar códigos.
RCS vence pela experiência sem fricção com botões interativos. WhatsApp oferece uma boa experiência, mas ainda depende de copiar/colar códigos na maioria dos casos.
Botoes interativos
Ambos os canais suportam botões interativos, mas com diferenças importantes:
Botoes no WhatsApp
- Limitado a 3 botões por mensagem
- Templates precisam ser aprovados pela Meta (pode levar horas ou dias)
- Botao de copiar código OTP disponível para templates de autenticação
- Personalização limitada (texto fixo definido no template)
Botoes no RCS
- Até 4 botões de ação por mensagem
- Botoes de ação direta ("Confirmar", "Recusar") sem necessidade de template pre-aprovado
- Botoes podem abrir URLs, iniciar chamadas ou enviar respostas rapidas
- Cards ricos com imagens, descrições e botões combinados
Para autenticação, a diferença prática é que o RCS permite confirmar com um toque, enquanto o WhatsApp geralmente requer que o usuário copie um código. O WhatsApp Business API tem o recurso de "one-tap authentication" para Android, mas sua disponibilidade varia por dispositivo e versão.
Segurança
Ambos os canais oferecem segurança significativamenté superior ao SMS:
| Aspecto | RCS | |
|---|---|---|
| Criptografia E2EE | Sim (Signal Protocol) | Sim (Google Messages) |
| Verificação remetente | Selo verde (conta Business) | Logo + nome verificado |
| Proteção SIM swap | Parcial (vinculado ao app) | Sim (vinculado ao dispositivo) |
| Anti-spoofing | Sim | Sim |
O WhatsApp tem uma ligeira vantagem na criptografia, pois o protocolo Signal e amplamente auditado e reconhecido. Porém, o RCS tem uma vantagem na proteção contra SIM swap, já que a mensagem e vinculada ao dispositivo físico, não ao número.
Quando usar cada canal
Com base em tudo que analisamos, aqui estão nossas recomendações para cada cenário:
Use WhatsApp quando:
- Seu público inclui muitos usuários de iOS com versoes anteriores ao iOS 18
- Você já tem uma presenca forte no WhatsApp (atendimento ao cliente, por exemplo)
- O volume de autenticações e baixo (menos de 5.000 por mes) e o custo não e critico
- Seu público esta em areas rurais onde a cobertura de dados pode ser limitada
Use RCS quando:
- O volume de autenticações e alto e o custo é um fator importante
- Você quer a melhor experiência possível com autenticação por botao (one-tap)
- Seu público e majoritariamente Android (que e o caso de mais de 85% dos brasileiros)
- Você precisa de confirmação de leitura e métricas detalhadas de entrega
- Você quer independencia de plataformas de terceiros (Meta)
Use ambos (recomendado):
A melhor estrategia para a maioria das empresas e usar ambos os canais com fallback automático. O Authentik facilita essa abordagem: você configura o canal como "auto" e a plataforma escolhe o melhor canal disponível para cada usuário.
A ordem de preferencia padrão e: RCS > WhatsApp > SMS. O SMS atua como fallback final, garantindo cobertura universal mesmo em dispositivos mais antigos. Você pode personalizar essa ordem no painel do Authentik.
Conclusão
Não existe um canal universalmenté superior. A escolha depende do seu público, volume, orçamento é prioridades. Porém, alguns pontos são claros:
- Se custo é prioridade, o RCS é imbatível
- Se alcance absoluto é prioridade, o WhatsApp e mais seguro
- Se experiência do usuário é prioridade, o RCS com botões interativos vence
- Se você quer o melhor dos dois mundos, use ambos com fallback automático
A resposta certa não e WhatsApp ou RCS. E WhatsApp e RCS, com fallback inteligente, incluindo SMS como última opção, que garante que 100% dos seus usuários sejam autenticados pelo melhor canal disponível.
O Authentik unifica ambos os canais em uma única API, permitindo que você implemente MFA multi-canal em minutos. O roteamento inteligente garante que cada usuário receba a autenticação pelo canal ideal, otimizando custo e experiência simultaneamente.