La directiva europea sobre servicios de pago (DSP2) impone desde hace varios años la autenticación fuerte para las transacciones en línea con tarjeta. En 2025, el marco regulatorio se estrecha aún más. Los comerciantes que continúan operando sin 3D Secure aprovechan las exenciones previstas por la ley, pero estos márgenes de maniobra se reducen trimestre tras trimestre bajo la presión de los reguladores y de las redes de tarjetas.
Transferencia de responsabilidad por fraude: lo que los comerciantes subestiman
El mecanismo menos visible para un e-comerciante que rechaza el 3D Secure se refiere al liability shift. Desde que Visa y Mastercard han evolucionado sus programas de responsabilidad entre 2023 y 2025, un comerciante sin 3D Secure asume solo el costo de los chargebacks fraudulentos. El adquirente y el emisor de la tarjeta ya no cubren el fraude si la autenticación fuerte no ha sido activada.
Leer también : Crear una empresa en línea: ¿qué plataformas para qué trámites?
Concretamente, un sitio que procesa un volumen significativo de transacciones sin autenticación acumula impagos que su banco adquirente ya no cubre. Más allá de un cierto umbral de chargebacks, las redes de tarjetas aplican programas de supervisión acompañados de penalizaciones financieras crecientes. Varios comerciantes europeos han visto aumentar fuertemente sus tarifas de procesamiento después de haber sido colocados bajo monitoreo por Visa o Mastercard.
La situación de los sitios sin 3D Secure en 2025 sigue siendo legal siempre que las exenciones estén correctamente documentadas, pero el costo financiero real a menudo supera el ahorro supuesto en la tasa de conversión.
Para profundizar : Herramientas de comunicación interna: ¿qué plataformas para los agentes públicos?
Exenciones SCA en 2025: un marco cada vez más supervisado
La regulación europea prevé varios casos en los que la autenticación fuerte puede ser eludida: transacciones de bajo monto, análisis de riesgo en tiempo real (TRA), beneficiarios de confianza inscritos en lista blanca, o pagos recurrentes tras una primera autenticación. Estas exenciones existen para preservar la fluidez del proceso de compra.
La Autoridad Bancaria Europea (EBA) publicó a finales de 2024 varias actualizaciones de sus preguntas y respuestas sobre la DSP2. El mensaje es directo: las exenciones deben seguir siendo minoritarias, documentadas y supervisadas. Los proveedores de servicios de pago (PSP) que permiten un volumen demasiado alto de transacciones exentas se exponen a controles reforzados y a órdenes de limitar el uso de procesos sin autenticación.
Para un comerciante, esto significa que incluso si su PSP acepta hoy en día enrutar ciertas transacciones sin 3D Secure a través de la exención TRA, nada garantiza que esta posibilidad se mantenga en seis meses. Los PSP ajustan sus umbrales en función de la presión regulatoria.
Las exenciones aún utilizables y sus condiciones
- Las transacciones de bajo monto (generalmente por debajo de un umbral fijado por la red) siguen exentas, pero se aplica un límite acumulado. Más allá, la autenticación fuerte vuelve a ser obligatoria.
- El análisis de riesgo en tiempo real (TRA) permite al PSP eludir el 3D Secure si su tasa de fraude global se mantiene por debajo de un cierto umbral. Un PSP cuyo tasa de fraude aumenta pierde esta facultad.
- La lista blanca (beneficiarios de confianza) se basa en una decisión del titular de la tarjeta ante su banco. El comerciante no tiene control directo sobre esta inscripción.
Fraude en los pagos por internet sin autenticación fuerte: los datos de campo
El Banco de Francia, en el informe anual 2024 del Observatorio de la seguridad de los medios de pago, destaca una tendencia clara. El fraude en los pagos por internet con tarjeta aumenta donde la autenticación fuerte no se aplica sistemáticamente. Las transacciones protegidas por 3D Secure 2.x muestran una tasa de fraude notablemente inferior al resto.
Esta constatación lleva a los reguladores franceses a desaconsejar las configuraciones sin 3DS más allá de casos de uso muy específicos. Los retornos de campo varían sobre la magnitud exacta del diferencial de fraude según los sectores, pero la dirección es clara: menos autenticación produce más fraude.
Para los comerciantes, el riesgo no es solo financiero. Una alta tasa de fraude degrada la reputación del sitio ante los emisores de tarjetas, que pueden decidir rechazar sistemáticamente las transacciones provenientes de este comerciante, incluso aquellas con autenticación. El círculo se vuelve entonces difícil de invertir.
DSP3 y pago en línea: lo que se prepara después de 2025
La Comisión Europea está trabajando en la DSP3, que debería reemplazar la DSP2 en los próximos años. Las discusiones en curso se centran en un endurecimiento de las obligaciones de autenticación y en una reducción del ámbito de las exenciones.
Varias orientaciones se perfilan:
- Un marco más estricto para la exención TRA, con umbrales de fraude más bajos para los PSP que deseen beneficiarse de ella.
- Una armonización europea de las prácticas de exención, que hoy varía de un país a otro según la interpretación de los reguladores nacionales.
- La integración de nuevos métodos de autenticación (biometría conductual, tokens de sesión) que podrían hacer que el 3D Secure sea menos visible para el usuario mientras se mantiene el nivel de seguridad.
Si la DSP3 sigue la trayectoria actual, los sitios que funcionen sin ninguna forma de autenticación fuerte se convertirán en una anomalía regulatoria en lugar de una simple estrategia comercial. Los comerciantes que no anticipen este cambio corren el riesgo de tener que adaptar su infraestructura de pago con urgencia.
Conversión y seguridad: la falsa oposición
El argumento histórico contra el 3D Secure se basaba en la fricción que añadía al proceso de compra. Con la versión 2.x del protocolo, esta fricción ha disminuido considerablemente. La autenticación se realiza ahora a menudo de manera pasiva, a través del análisis del terminal y del comportamiento del comprador, sin intervención visible.
Los datos disponibles no permiten concluir que el 3D Secure 2.x degrade significativamente la conversión en comparación con un proceso sin autenticación. En cambio, la ausencia de 3D Secure genera chargebacks que, a su vez, tienen un impacto medible en el margen.
El cálculo económico ha cambiado. En 2025, la pregunta para un comerciante ya no es si puede prescindir del 3D Secure, sino cuánto tiempo puede seguir haciéndolo antes de que los costos indirectos superen el beneficio supuesto en la tasa de conversión.