Desde mediados de 2021, la directiva europea DSP2 impone una autenticación fuerte para los pagos en línea con tarjeta de crédito en Francia y en la Unión Europea. El dispositivo 3D Secure, en su versión 2.0, constituye el principal mecanismo desplegado por los bancos y los proveedores de pago para cumplir con esta obligación.
Sin embargo, algunos sitios comerciales continúan aceptando transacciones sin activar esta verificación. El año 2025 marca un endurecimiento de los controles y una evolución en la distribución de responsabilidades que cambia las reglas del juego para estos actores.
Lectura recomendada : ¿Se puede integrar la miel en una dieta sin azúcar, especialmente para los diabéticos?
Transferencia de responsabilidad: lo que el comerciante asume sin 3D Secure
El mecanismo central a entender se llama liability shift. Cuando un pago pasa por 3D Secure y ocurre un fraude, la responsabilidad financiera se transfiere al banco emisor de la tarjeta. Sin esta autenticación, es el comerciante quien absorbe la pérdida en caso de disputa (chargeback).
Payplug destaca que las entidades bancarias están reforzando sus políticas de liability shift. Los comerciantes que no aplican 3D Secure o una autenticación fuerte equivalente asumen ellos mismos las pérdidas relacionadas con las disputas de pagos. La carga financiera no se limita al monto de la transacción disputada: se deben agregar los costos de gestión del chargeback, cobrados por el adquirente, y la pérdida del producto enviado.
Lectura complementaria : Los mejores sitios de torrents franceses para descubrir en tus descargas en 2024
Un sitio de comercio electrónico que maneja un volumen regular de transacciones sin autenticación fuerte acumula un riesgo financiero proporcional a su facturación. Para un comerciante en línea que desea consultar una lista de sitios sin verificación bancaria para entender el estado del mercado, este punto de liability shift representa la primera alerta concreta.
Informe del Observatorio de la seguridad de los medios de pago en Francia
El Observatorio de la seguridad de los medios de pago (OSMP) produce informes que mapean los segmentos de mercado con alta siniestralidad. Los criterios analizados incluyen el tipo de recorrido de pago y el nivel de autenticación aplicado.
Los comerciantes que aceptan pagos sin 3D Secure ni otra forma de SCA (Strong Customer Authentication) son más propensos a ser identificados como puntos de vulnerabilidad en estos informes. Esta identificación no es trivial: puede desencadenar solicitudes de cumplimiento por parte de los proveedores de servicios de pago (PSP) o los adquirentes bancarios.
Concretamente, un PSP que observa una tasa de fraude anormalmente alta en un comerciante puede imponerle la activación de 3D Secure, aumentar sus comisiones o rescindir el contrato. El comerciante se encuentra entonces ante una elección limitada de proveedores, a menudo más costosos o menos eficientes.
Un efecto cascada sobre las tarifas y el acceso a los servicios
La reclasificación como “eslabón débil” no se queda en lo teórico. Los adquirentes ajustan sus tarifas en función del perfil de riesgo. Un comerciante señalado por una alta tasa de disputas ve aumentar sus tarifas de transacción, a veces de manera significativa. En casos extremos, ciertos proveedores se niegan rotundamente a incorporar a estos comerciantes.
Rechazo de autorización y abandono del carrito: el efecto red en 2025
Las redes de tarjetas (Visa, Mastercard y otras) impulsan activamente la adopción de 3D Secure 2.0 a nivel mundial. Stripe recuerda que esta dinámica va más allá del marco europeo: en Japón, los esquemas han exigido la activación de 3DS2 en los sitios de comercio electrónico debido al aumento continuo del fraude en los pagos a distancia.
Para un sitio que no activa 3D Secure, las consecuencias también se manifiestan en la tasa de autorización. Los bancos emisores se vuelven más estrictos: rechazan más transacciones no autenticadas, especialmente cuando el monto supera un cierto umbral o cuando el comportamiento de compra parece atípico. El comerciante sufre entonces una alta tasa de rechazo de autorización en transacciones legítimas.
El paradoja merece ser destacada. Algunos comerciantes evitan 3D Secure por temor al abandono del carrito relacionado con el paso de autenticación adicional. Sin embargo, 3D Secure 2.0 ha reducido considerablemente esta fricción en comparación con la versión 1.0. La autenticación ahora se realiza a menudo de manera transparente (análisis de riesgo en segundo plano), sin que el cliente tenga que ingresar un código. La versión 2.0 genera menos abandonos que la ausencia de autenticación provoca rechazos bancarios.
Exenciones legales y zonas grises: lo que la DSP2 aún permite
La DSP2 prevé casos de exención a la autenticación fuerte. Estas exenciones no significan que el sitio funcione “sin verificación”, sino que la verificación se modula según el riesgo evaluado.
- Las transacciones de bajo monto (generalmente por debajo de un umbral definido por la normativa) pueden estar exentas si la tasa de fraude global del PSP se mantiene baja.
- Los pagos recurrentes, después de una primera autenticación fuerte, pueden ser procesados sin nueva verificación para los montos idénticos.
- El análisis de riesgo en tiempo real (Transaction Risk Analysis, TRA) permite a los PSP cuyo tasa de fraude es particularmente baja eximir ciertas transacciones, bajo estrictas condiciones.
Estas exenciones son gestionadas por el proveedor de pago, no por el comerciante. Un sitio que afirma no utilizar 3D Secure puede en realidad beneficiarse de exenciones TRA sin que el comprador se dé cuenta. La distinción entre “sitio sin 3D Secure” y “sitio cuyo PSP aplica exenciones calibradas” a menudo es difusa para el consumidor.
Los datos disponibles no permiten tomar decisiones definitivas
Los informes de campo divergen sobre la tasa real de transacciones que pasan sin ninguna forma de verificación en 2025. Algunas plataformas utilizan mecanismos propietarios de detección de fraude que no se basan en 3D Secure pero ofrecen un nivel de protección comparable. Otras, en cambio, simplemente no aplican ningún control, exponiendo tanto al cliente como al comerciante.
- Un sitio sin ninguna verificación hace que el riesgo de fraude recaiga sobre el comerciante (liability shift) y debilita la confianza del cliente.
- Un sitio que utiliza exenciones TRA a través de su PSP sigue siendo conforme a la DSP2 mientras ofrece un recorrido fluido.
- Un sitio fuera del Espacio Económico Europeo no está sujeto a la DSP2, lo que complica la lectura para los compradores franceses.
Para un comprador en línea, la ausencia visible de autenticación no significa la ausencia de protección. El nivel de riesgo real depende de la arquitectura técnica del sitio y de su proveedor de pago, no solo de lo que se muestra en la pantalla.
La tendencia regulatoria va claramente hacia un endurecimiento. Los comerciantes que no integran ninguna forma de autenticación fuerte en 2025 acumulan un riesgo financiero directo (chargebacks no cubiertos), un riesgo de acceso a los servicios de pago (resolución o sobrecostos por parte de los PSP) y un riesgo reputacional ante clientes cada vez más conscientes de la seguridad de las transacciones en línea. El costo de la inacción supera ahora el de la conformidad.