El protocolo 3D Secure añade un paso de autenticación al realizar una compra con tarjeta de crédito en internet. El titular de la tarjeta confirma su identidad a través de un código recibido por SMS, una notificación en su aplicación bancaria o un dato biométrico. Esta verificación reduce el riesgo de fraude al asegurarse de que la persona que paga es realmente quien posee la tarjeta.
No todos los sitios comerciales activan este paso, y las razones se deben tanto a la normativa como a las decisiones comerciales de los comerciantes.
A voir aussi : Precio del bronce por kilo en 2026: ¿qué perspectivas para vender sus chatarra?
Exenciones previstas por la directiva DSP2 sobre la autenticación fuerte
La directiva europea sobre servicios de pago (DSP2), aplicada desde 2019, impone la autenticación fuerte para la mayoría de los pagos en línea con tarjeta de crédito. Esta obligación no cubre todos los escenarios. El texto prevé exenciones específicas que los proveedores de pago y los bancos emisores pueden activar.
Las transacciones de bajo importe constituyen la primera exención. Por debajo de un cierto umbral, el banco puede autorizar el pago sin activar el 3D Secure, siempre que el total de los pagos recientes sin autenticación también se mantenga por debajo de un límite.
Lire également : ¿Por qué inscribirse en un club de boxeo en París?
Las suscripciones recurrentes reciben un tratamiento especial. Una vez que se ha autenticado el primer pago, los siguientes cargos, por un importe idéntico con el mismo comerciante, se procesan sin nueva verificación. Un servicio de streaming o una suscripción a prensa no solicitará, por lo tanto, un código en cada vencimiento.
Un artículo detallado sobre el tema del pago no seguro en Geekfinity revisa los diferentes casos que encuentran los compradores.
- Transacciones consideradas de bajo riesgo por el análisis del banco adquirente, basado en su tasa de fraude global.
- Pagos a un beneficiario de confianza, previamente añadido a una lista blanca por el titular de la tarjeta ante su banco.
- Operaciones iniciadas por el comerciante (pagos “merchant-initiated”), como ajustes de importe tras una reserva hotelera o alquiler de vehículo.
Estas exenciones no son el resultado de una elección arbitraria del sitio comercial. Están reguladas por la normativa y validadas por el banco emisor o el proveedor de servicios de pago, que evalúa el nivel de riesgo en tiempo real.
Análisis de riesgo en tiempo real y flujos sin fricción
Los proveedores de pago como Stripe, Adyen o Worldpay integran motores de análisis de riesgo que evalúan cada transacción antes de decidir si se debe activar la autenticación 3D Secure. Esta evaluación se basa en decenas de parámetros transmitidos durante el pago.
El protocolo 3D Secure 2, sucesor de la versión inicial, ha sido diseñado para permitir este tipo de decisiones contextuales. A diferencia de la primera versión que imponía sistemáticamente una redirección a una página de autenticación, 3DS2 transmite más datos a la red bancaria: tipo de dispositivo, dirección IP, historial de compras, comportamiento de navegación.
Cuando el análisis concluye que el riesgo de fraude es muy bajo, la transacción pasa a modo “frictionless”: el cliente no ve ningún paso adicional de autenticación. El 3D Secure ha sido solicitado en segundo plano, pero el banco emisor ha considerado que la verificación era superflua. Desde el punto de vista del comprador, el pago parece no haber utilizado el protocolo.
Esta distinción es importante. Un sitio que no activa una pantalla de autenticación visible no ha desactivado necesariamente el 3D Secure. El flujo sin fricción es precisamente el objetivo de 3DS2: asegurar sin ralentizar.
Tasa de abandono de carrito y arbitraje comercial de los comerciantes
Cada paso añadido al túnel de pago aumenta el riesgo de que el comprador abandone su pedido. La autenticación fuerte, cuando obliga a cambiar a una aplicación bancaria o a esperar un SMS, genera una fricción medible. Los comerciantes en línea conocen esta correlación y buscan limitarla.
Los comerciantes que tienen una tasa de fraude baja pueden solicitar a su proveedor de pago que aplique la exención denominada “TRA” (Transaction Risk Analysis). Esta exención permite procesar más pagos sin autenticación visible, siempre que la tasa de fraude del comerciante se mantenga por debajo de los umbrales establecidos por la normativa europea.
Este mecanismo crea una situación en la que los grandes sitios de comercio electrónico, que invierten en herramientas antifraude efectivas, obtienen más fácilmente exenciones que los pequeños comerciantes. La paradoja: los sitios más fiables son también aquellos que menos a menudo solicitan el 3D Secure a sus clientes.
Sitios basados fuera del Espacio Económico Europeo
La DSP2 se aplica a las transacciones donde tanto el banco emisor como el proveedor del comerciante están ubicados en el Espacio Económico Europeo. Un sitio comercial basado en Estados Unidos o Asia, que utiliza un adquirente no europeo, no está sujeto a las mismas obligaciones de autenticación fuerte.
En este caso, el banco emisor europeo del cliente puede aún exigir una autenticación, pero el comerciante extranjero no tiene ninguna obligación de implementarla. El pago puede entonces procesarse sin 3D Secure, con una transferencia de responsabilidad en caso de fraude que recae sobre el banco emisor o sobre el comerciante según los acuerdos establecidos.
Responsabilidad en caso de fraude sin 3D Secure
El 3D Secure modifica la distribución de la responsabilidad financiera en caso de transacción fraudulenta. Cuando el protocolo está activado y la autenticación es exitosa, la responsabilidad se transfiere del comerciante al banco emisor. Este mecanismo, llamado “liability shift”, protege al comerciante contra las disputas de pago (chargebacks).
Cuando un comerciante elige no activar el 3D Secure, o cuando se aplica una exención, esta transferencia de responsabilidad no se lleva a cabo. El comerciante asume entonces el riesgo financiero en caso de fraude. Esta elección es calculada: algunos comerciantes prefieren absorber una baja tasa de fraude en lugar de perder ventas debido a la autenticación.
Para el comprador, la protección sigue siendo idéntica en ambos casos. La normativa bancaria europea garantiza el reembolso de una transacción no autorizada, ya sea que se haya utilizado o no el 3D Secure. El banco del titular de la tarjeta debe reembolsar al cliente víctima de fraude, y luego reclamar al comerciante si el liability shift lo permite.
La ausencia de autenticación visible durante una compra en línea no significa, por lo tanto, que el pago sea menos seguro para el consumidor. Esto refleja ya sea una exención regulatoria, un flujo sin fricción, o un arbitraje comercial del comerciante que asume el riesgo en su lugar.