La directiva europea sobre los servicios de pago (DSP2) impone desde hace varios años una autenticación fuerte para las transacciones en línea con tarjeta de crédito. El protocolo 3D Secure, en su versión 2, constituye el mecanismo principal de esta verificación. A pesar de este marco regulatorio, un número significativo de pagos en internet aún se finaliza sin ninguna etapa de autenticación. Las razones se deben tanto a elecciones técnicas de los comerciantes como a mecanismos de exención previstos por la regulación misma.
Exenciones DSP2 y análisis de riesgo transaccional: el marco que permite el pago sin 3D Secure
El hecho de que un pago se complete sin autenticación no significa automáticamente una infracción. La DSP2 prevé varios casos de exención, y aquí es donde el tema se complica.
Leer también : Consejos y trucos prácticos para recalentar un gratinado en el horno sin que se reseque
Desde finales de 2023, varios emisores europeos han reforzado el uso de las exenciones denominadas de bajo riesgo, en el marco del protocolo 3D Secure 2. Concretamente, cuando el puntaje de riesgo de una transacción (evaluado a través del método TRA, para Análisis de Riesgo de Transacción) se considera muy bajo, el pago puede ser procesado sin autenticación fuerte, incluso más allá de los pequeños montos que normalmente están exentos.
El Banco Central Europeo recordó en diciembre de 2023 que estas exenciones están reguladas pero son fomentadas para facilitar el comercio en línea. Un artículo detallado aborda el tema del pago sin 3D Secure en Geekfinity explicando los diferentes casos que enfrentan los consumidores.
También recomendado : Los fallos destacados que han influido en el Tribunal de Casación y la jurisprudencia francesa
Las exenciones más comunes incluyen:
- Las transacciones de bajo monto, generalmente por debajo de un umbral definido por la regulación, que pueden ser procesadas sin verificación adicional siempre que no se alcance un límite acumulado.
- Los pagos recurrentes a un mismo comerciante (suscripciones), donde solo la primera transacción requiere una autenticación completa.
- Las transacciones evaluadas como de muy bajo riesgo por el adquirente o el emisor, basándose en el TRA, cuando su tasa de fraude global se mantiene por debajo de los umbrales establecidos por la DSP2.
- Los beneficiarios de confianza, añadidos manualmente por el titular de la tarjeta en su espacio bancario, que permiten eludir la autenticación para las compras siguientes.
Estos mecanismos explican por qué un sitio perfectamente legítimo puede completar su compra sin nunca activar una ventana 3D Secure.
Comerciantes fuera del EEE y enrutamiento de pagos: las zonas grises del eludir
No todas las transacciones sin autenticación se consideran exenciones legítimas. La Autoridad Bancaria Europea ha precisado en sus actualizaciones relacionadas con la DSP2 que algunos comerciantes eluden sistemáticamente la autenticación fuerte. Dos métodos son recurrentes.
El primero pasa por proveedores de servicios de pago (PSP) ubicados fuera del Espacio Económico Europeo. Cuando el adquirente de la transacción está basado fuera del EEE, las reglas de la DSP2 no se aplican de la misma manera. El comerciante escapa así a la obligación de autenticación fuerte, incluso si el titular de la tarjeta reside en Europa.
El segundo método se basa en enrutadores de pago configurados para dirigir las transacciones a través de circuitos que evitan la activación del 3D Secure. Esta práctica, más opaca, afecta especialmente a sitios de juegos en línea o plataformas cuyo modelo económico se basa en una conversión rápida, donde cada paso adicional en el túnel de pago hace perder clientes.
Transferencia de responsabilidad en caso de fraude
El punto técnico a recordar se refiere al liability shift, la transferencia de responsabilidad. Cuando un pago pasa por el protocolo 3D Secure y ocurre un fraude, la responsabilidad financiera recae en el banco emisor. En cambio, sin 3D Secure, es el comerciante quien asume el costo del fraude. Algunos comerciantes aceptan este riesgo deliberadamente, considerando que la disminución de la tasa de abandono del carrito compensa las pérdidas relacionadas con las disputas.
Los datos disponibles no permiten cuantificar con precisión el volumen de transacciones intencionadamente enrutadas fuera del 3DS en Europa. Los informes de campo divergen en este punto entre los PSP, que minimizan el fenómeno, y los reguladores nacionales, que lo supervisan de cerca.
Fraude en pagos sin autenticación: lo que muestran los datos franceses
El Observatorio de la seguridad de los medios de pago, en su informe 2024, proporciona una visión directa sobre la realidad del riesgo. El fraude en los pagos con tarjeta a distancia ha disminuido desde la generalización de la autenticación fuerte. El hallazgo es claro.
El punto destacado del informe radica en una asimetría: las transacciones sin 3D Secure concentran la mayoría de los montos defraudados en internet, mientras que solo representan una minoría del volumen total de pagos en línea. El Observatorio habla de una “fuerte diferenciación de la tasa de fraude” entre transacciones autenticadas y no autenticadas.
Para el consumidor, este dato tiene una implicación concreta. Una compra realizada sin autenticación en un sitio desconocido expone más a un uso fraudulento de los datos de la tarjeta. Aunque el banco generalmente reembolsa al titular en caso de fraude comprobado (obligación legal en Francia), el procedimiento de disputa lleva tiempo e implica trámites.
Señales de alerta para el consumidor
Algunos elementos permiten evaluar el nivel de riesgo al realizar una compra sin autenticación:
- La ausencia total de un protocolo seguro (sin candado HTTPS, sin mención de un PSP reconocido) constituye una señal negativa fuerte, distinta de la simple ausencia de 3D Secure.
- Un sitio que no muestra ninguna mención legal, ninguna dirección física o ningún número de servicio al cliente aumenta la probabilidad de un comercio no conforme.
- Las plataformas alojadas fuera del EEE, identificables a veces por su extensión de dominio o sus condiciones generales, rara vez aplican los estándares europeos de autenticación.
Evolución regulatoria y pagos sin 3D Secure: lo que se perfila
La Comisión Europea está trabajando en la DSP3, que debería reforzar los requisitos en materia de autenticación mientras afina las exenciones existentes. El desafío es doble: reducir el fraude residual en las transacciones no autenticadas sin degradar la experiencia de compra.
Las exenciones TRA probablemente permanecerán en su lugar, ya que responden a una necesidad real de fluidez comercial. En cambio, los mecanismos de eludir a través de PSP fuera del EEE están siendo objeto de una atención creciente por parte de los reguladores. La Autoridad Bancaria Europea ha señalado que los comerciantes que recurren sistemáticamente a estas prácticas se exponen a sanciones y restricciones de acceso a las redes de pago europeas.
El pago sin 3D Secure, por lo tanto, no está en vías de desaparición. Continuará existiendo para las transacciones de bajo riesgo evaluadas por los algoritmos bancarios. La frontera entre la exención legítima y el eludir problemático sigue siendo el verdadero tema de vigilancia, tanto para los reguladores como para los compradores.