3D Secure & PSD2

Si alguna vez confirmaste un pago en línea escribiendo un código, aprobando una notificación push o usando Face ID, ya interactuaste con 3D Secure, también conocido como 3DS. Es la capa adicional de verificación que ayuda a confirmar la identidad de un comprador y a proteger tanto al comercio como al banco del fraude.

3DS en pocas palabras

El nombre significa Three-Domain Secure, y hace referencia a las tres partes involucradas:

  • El dominio del adquirente (comercio y PSP)
  • El dominio del emisor (banco del titular de la tarjeta)
  • El dominio de interoperabilidad (la red de tarjetas que conecta ambos lados)

Cuando se realiza un pago, el comercio envía una solicitud de autenticación a través de estos tres dominios. Luego, el emisor decide si deja que la transacción fluya "sin fricción" — según datos como el dispositivo, la IP y el historial de transacciones — o si desafía al cliente con un aviso (SMS, aprobación en la app, biometría, etc.). El resultado se devuelve al gateway en segundos y, si es exitoso, el pago continúa hacia la autorización.

Por qué existe

Antes, el fraude con tarjetas en línea era muy común. La primera versión, 3DS1, lanzada por Visa en 2001 como "Verified by Visa", introdujo verificaciones basadas en contraseña. Funcionaba, pero la experiencia era torpe y a menudo causaba abandonos en el checkout. Recuerdo a mi papá haciendo clic en "Lo configuraré la próxima vez" cada vez que veía esa página. El moderno 3DS2 corrigió eso. Ya no hay ventanas emergentes, tiene soporte completo para móviles y flujos sin fricción cuando el riesgo es bajo. También introdujo autenticación biométrica y un intercambio de datos mucho más rico entre comercio y emisor, haciendo las aprobaciones más rápidas e inteligentes.

Para los comercios, el principal beneficio es el cambio de responsabilidad. Si una transacción se autentica mediante 3D Secure, el riesgo de los chargebacks relacionados con fraude pasa del comercio al emisor de la tarjeta. Esa protección por sí sola hace que valga la pena implementarlo, especialmente en mercados donde el fraude en línea es alto.

PSD2 y 3DS2

En Europa, 3D Secure evolucionó de una capa de seguridad de buenas prácticas a una obligación legal. La Directiva revisada de Servicios de Pago (PSD2) introdujo la Autenticación Reforzada de Cliente (SCA), que requiere dos factores independientes para la mayoría de los pagos electrónicos:

  • algo que el cliente sabe (PIN o contraseña)
  • algo que el cliente tiene (teléfono o token de hardware)
  • algo que el cliente es (huella digital o reconocimiento facial)

3D Secure 2 se convirtió en el principal vehículo para que los pagos con tarjeta cumplieran con esa regla. En esencia, PSD2 no inventó la autenticación fuerte. La hizo obligatoria. Y 3DS2 ofreció una forma de cumplir con la regulación sin romper la experiencia del usuario.

Pero detrás del momento fluido de "Aprobar en tu app bancaria" hay un ecosistema técnico complejo. Cada proveedor de servicios de pago (PSP) debe mantener integraciones certificadas con los servidores 3DS de las redes de tarjetas y seguir cumpliendo con sus protocolos y formatos de mensaje en evolución. Visa, Mastercard, Amex y otros actualizan regularmente sus especificaciones de 3DS, lo que significa que los PSP tienen que recertificar continuamente sus sistemas y asegurarse de que sus gateways puedan hablar los dialectos más recientes de los mensajes 3DS. No es una integración de "configurar y olvidar" — es un sistema vivo que necesita atención constante para que las transacciones se autentiquen con éxito.

Del lado del emisor, los bancos dependen de Access Control Servers (ACS). Estos son sistemas especializados, proporcionados por proveedores como Thales, Broadcom, GPayments o Netcetera, que manejan el proceso de autenticación. Cuando un titular de tarjeta inicia una transacción 3DS, el ACS del emisor verifica la solicitud, determina si la transacción puede continuar sin fricción y, si no, activa un desafío mediante el método elegido por el banco (notificación push, SMS o verificación biométrica). Luego, el ACS devuelve un resultado de autenticación a través de la red de tarjetas al PSP, que lo usa para continuar con la autorización.

Este intercambio multinivel depende de la coordinación fluida de varios sistemas: el gateway del comercio, el adquirente, el servidor de directorio del esquema de tarjetas y el ACS del emisor. Cuando cualquiera de estas capas se retrasa o falla en la certificación, las transacciones pueden empezar a caer.

Exenciones

Aunque PSD2 hizo de la SCA la regla, también incorporó flexibilidad. Ciertos pagos pueden omitir la autenticación activa bajo exenciones de SCA definidas, permitiendo checkouts más fluidos sin infringir la ley. Estas exenciones están diseñadas para mantener altas las tasas de conversión mientras se conservan niveles de riesgo aceptables:

  • Transacciones de bajo valor — normalmente por debajo de €30, aunque aplican límites acumulativos.
  • Pagos recurrentes o de suscripción — después del primer pago totalmente autenticado, los cargos posteriores por el mismo monto y beneficiario pueden estar exentos.
  • Beneficiarios de confianza — los clientes pueden incluir comercios en una lista blanca con su banco para transacciones futuras.
  • Análisis de riesgo de transacción (TRA) — si tanto el adquirente como el emisor emplean sistemas certificados de fraude de bajo riesgo, la SCA puede omitirse para las transacciones elegibles.

El intercambio: cambio de responsabilidad

Cuando una transacción se autentica mediante 3D Secure y se aprueba, la responsabilidad por los chargebacks relacionados con fraude pasa del comercio al emisor. Pero cuando se usan exenciones en su lugar, ese escudo puede no aplicar. Se convierte en un equilibrio estratégico: usar 3DS y ganar protección a costa de una posible fricción, o reclamar una exención y disfrutar de un checkout más fluido pero aceptar el riesgo de fraude.

Aquí es donde los PSP modernos brillan. Actúan como motores de orquestación, eligiendo dinámicamente si activar 3DS, aplicar una exención o reintentar por otra ruta, según los datos de la transacción, el comportamiento del emisor y los perfiles de riesgo. Una buena orquestación marca la diferencia entre un paso 3DS torpe y una experiencia fluida.

3DS en la práctica

Para los consumidores, 3D Secure ahora forma parte de la vida cotidiana del checkout — una barrera invisible que de vez en cuando te toca el hombro. Para los comercios y PSP, es un objetivo en constante movimiento de cumplimiento, certificación y optimización. Cada actualización del protocolo 3DS, cada cambio en el comportamiento del emisor y cada nuevo patrón de fraude requieren ajustes en todo el ecosistema.

En resumen, 3D Secure llevó la confianza a la era de los pagos en internet. PSD2 hizo que esa confianza fuera obligatoria. Juntos, transformaron el comercio en línea no solo al detener el fraude, sino al codificar el principio de que cada transacción digital debe saber quién está pagando realmente.

Anterior
Temas importantes de pagos alrededor de las tarjetas
Lo básico
Siguiente
Productos de moneda — DCC & MCP
Lo básico
Buy Me a Coffee
undefined