La directiva DSP2 impone la autenticación fuerte en los pagos en línea en el Espacio Económico Europeo. Sin embargo, en 2025, una proporción no despreciable de transacciones con tarjeta de crédito aún se realiza sin ningún desafío 3D Secure visible para el titular. Entender por qué, y en qué condiciones, implica distinguir las exenciones legítimas de las verdaderas fallas de cumplimiento.
Exenciones DSP2 y análisis de riesgo de transacción: el mecanismo técnico detrás de los pagos sin 3D Secure
Un sitio que acepta un pago con tarjeta sin mostrar una página de autenticación no está necesariamente fuera de la ley. Los PSP (prestadores de servicios de pago) cuentan con palancas regulatorias previstas por la propia DSP2 para eludir el desafío.
Lectura complementaria : El papel de los colores en la decoración interior
La más utilizada sigue siendo el análisis de riesgo de transacción (TRA), un análisis de riesgo en tiempo real realizado por el adquirente o el emisor. Si la tasa de fraude del PSP se mantiene por debajo de los umbrales definidos por los RTS (Regulatory Technical Standards), puede solicitar una exención para montos limitados. Resultado: el titular no ve ninguna pantalla 3D Secure, pero la transacción sigue estando cubierta por un marco legal.
Otras exenciones frecuentes:
También recomendado : ¿Qué soluciones hay para los horarios del tranvía en Grenoble durante la noche y temprano por la mañana?
- Las transacciones de bajo monto, generalmente por debajo de un umbral acumulado, siempre que el número de operaciones consecutivas sin autenticación no supere el límite establecido por el banco emisor.
- Los pagos recurrentes (suscripciones): solo la primera transacción requiere una autenticación fuerte, las siguientes están exentas.
- Los beneficiarios de confianza (trusted beneficiaries): el titular puede inscribir a un comerciante en una lista blanca ante su banco, eliminando el desafío para las compras posteriores.
- Las transacciones iniciadas por el comerciante (MIT), típicamente los cargos en tarjeta registrada, que escapan al ámbito de la SCA.
Observamos que la mayoría de los sitios presentados como “sin 3D Secure” en realidad explotan una de estas exenciones. Consultar una lista de sitios sin 3D Secure en 2025 permite medir la magnitud del fenómeno, pero la distinción entre exención legítima y no conformidad real requiere una lectura técnica.
Responsabilidad en caso de fraude en un pago sin autenticación fuerte
Sin autenticación fuerte y sin una exención válida, la responsabilidad del fraude recae en el PSP, no en el titular de la tarjeta. El Banco de Francia, en el marco del Observatorio de la seguridad de los medios de pago (informe 2024), recuerda esta distribución.
Concretamente, si un comerciante procesa un pago sin SCA cuando ninguna exención se aplica, es el banco del pagador (o el adquirente, según el acuerdo) quien asume el riesgo de contracargo. El titular defraudado tiene derecho a un reembolso casi automático.
Para el comerciante, el impacto es indirecto pero real. Las redes Visa y Mastercard aplican programas de monitoreo a los comerciantes cuyo índice de contracargos supera ciertos umbrales. Un volumen anormal de disputas sobre transacciones no autenticadas puede resultar en:
- Un aumento de las tarifas de intercambio aplicadas por el adquirente.
- Un ingreso en un programa de monitoreo con obligación de un plan correctivo.
- En casos extremos, una rescisión del contrato de adquisición de tarjeta.
El traslado de responsabilidad (liability shift) sigue siendo el punto estructurante. Con 3D Secure activado y un desafío exitoso, la responsabilidad se transfiere al emisor. Sin 3D Secure, permanece del lado del adquirente o comerciante, salvo exención documentada.
Controles regulatorios y endurecimiento previsto con la DSP3
La Autoridad Bancaria Europea (ABE) ha intensificado sus controles sobre los PSP que abusan de las exenciones TRA. Recomendamos a los comerciantes verificar que su proveedor de pagos documente cada exención utilizada, ya que los reguladores europeos ahora apuntan a los actores con fricción reducida cuyos índices de exención parecen desproporcionados.
Las plataformas ubicadas fuera del EEE plantean un problema distinto. Un sitio basado fuera de la Unión no está directamente sujeto a la DSP2, pero el emisor europeo de la tarjeta del titular sigue obligado a aplicar la SCA. En la práctica, algunos adquirentes extraeuropeos no activan el protocolo, lo que explica que algunos sitios internacionales aún acepten pagos sin ninguna verificación.
La futura DSP3, cuyos trabajos legislativos están en curso, prevé restringir el marco. Entre las orientaciones discutidas: una armonización más estricta de la aplicación de las exenciones, un marco reforzado para las transacciones transfronterizas fuera del EEE, y una extensión del ámbito a los nuevos medios de pago (billeteras, pagos por enlace).
Puntos de vigilancia para los titulares de tarjeta en sitios sin 3D Secure
La ausencia de 3D Secure en un sitio comercial no es una señal de fraude en sí misma. Sin embargo, modifica el perfil de riesgo de la transacción. Una compra realizada sin autenticación fuerte en un sitio desconocido acumula dos factores de vulnerabilidad: ninguna verificación de identidad del lado del pago, y ninguna garantía sobre la fiabilidad del comerciante.
La tarjeta virtual de uso único sigue siendo la mejor defensa para las compras en plataformas sin autenticación. La mayoría de los bancos franceses ofrecen este servicio, que limita la exposición en caso de compromiso de los datos de la tarjeta.
Otro reflejo: verificar que el comerciante aparezca en la lista de beneficiarios de confianza de su espacio bancario. Si no es así y el pago se realiza sin desafío, probablemente se trate de una exención TRA aplicada por el PSP. El titular conserva su derecho al reembolso en caso de operación no autorizada, ya sea que se haya activado o no el 3D Secure.
La desaparición progresiva de los sitios realmente no conformes es una tendencia de fondo. Los comerciantes que eluden deliberadamente la SCA sin base legal se exponen a sanciones crecientes, y los emisores endurecen sus reglas de filtrado. Para cuando entre en vigor la DSP3, el número de transacciones sin ninguna forma de autenticación debería disminuir significativamente.