Mas ai existem outras verificações q podem ser feitas também:
-Throttle de requisições
-Bloquear requisições subsequentes com o exato mesmo valor
-Pedir a localização(avaliação de área de risco, dá pra fazer isso com uma base de dados relativamente pequena)
-Ter essa verificação "fina" da transação só para valores muito altos como R$3000, R$4000
-Implementar um serviço de Liveness básico(Como o C6 faz para realizar um pix), ee ao terminar o liveness, gerar um token q é enviado junto a requisição da transação do cartão de crédito