Número de Identificación Bancaria (BIN): qué es y cómo funciona

Si alguna vez has mirado una tarjeta de pago, los primeros 6 a 8 dígitos no son aleatorios. Son el Número de Identificación Bancaria, o BIN. Las redes de tarjetas también lo llaman Número de Identificación del Emisor (IIN) -- es lo mismo, solo cambia el nombre. Esos dígitos le indican a la red de pagos quién emitió la tarjeta, en qué red opera, qué tipo de tarjeta es y qué país la emitió.

Los BIN hacen mucho trabajo en silencio. Enrutan transacciones, alimentan las reglas antifraude, deciden qué flujo de 3D Secure se activa y condicionan la tasa de intercambio que pagas como comercio. Si aceptas pagos con tarjeta, el BIN es una de las primeras cosas que mira tu adquirente antes de que ocurra cualquier otra cosa.

Qué te dice realmente el BIN

Al descifrar un BIN normalmente averiguas:

• Emisor: el banco o fintech que emitió la tarjeta (Barclays, Monzo, Chase, Revolut, etc.)
• Red: Visa, Mastercard, American Express, Discover, JCB, UnionPay, Diners
• Tipo de tarjeta: crédito, débito, prepago, de cargo
• Nivel de producto: estándar, gold, platinum, world, business, corporate, purchasing
• País de emisión: a menudo el dato más útil de todos para el antifraude y la fijación de precios
• Origen de los fondos: para la tasa de intercambio regulada en la UE/Reino Unido, si es de consumo o comercial

No necesitas el número completo de la tarjeta para averiguar nada de esto. El BIN por sí solo es suficiente -- y por eso se usa tanto antes de la autorización propiamente dicha.

¿6 dígitos u 8 dígitos?

Antes los BIN tenían 6 dígitos en todas partes. En abril de 2022 las redes de tarjetas completaron una larga migración a BIN de 8 dígitos, lo que cuadruplicó aproximadamente la cantidad de rangos de BIN disponibles y permitió a los emisores dividir sus carteras en porciones mucho más finas.

La mayoría de los procesadores y adquirentes ya esperan datos de BIN de 8 dígitos. Algunas reglas antifraude y configuraciones de pasarela más antiguas todavía se basan en los primeros 6 dígitos -- eso funciona para el enrutamiento en la mayoría de los casos, pero pierde la granularidad que ofrecen los BIN de 8 dígitos (por ejemplo, distinguir una tarjeta de débito de consumo del Reino Unido de una tarjeta de débito comercial del Reino Unido del mismo emisor).

Si gestionas una lista blanca o una lista de bloqueo de BIN, comprueba si es de 6 u 8 dígitos. Las dos no pueden mezclarse sin reescribir la consulta.

Cómo se usan los BIN en los flujos de pago reales

Un BIN no está en una base de datos solo para verse bien. Se usa activamente durante una transacción:

1. Enrutamiento por red

El primer dígito del BIN identifica la red: 4 = Visa, 5 = Mastercard (con el 2 añadido en la expansión de la serie 2), 3 = Amex/Diners, 6 = Discover/UnionPay. El adquirente lo usa para enviar la solicitud de autorización por el riel correcto.

2. Verificaciones antifraude basadas en el país

Si la dirección de facturación de tu cliente está en el Reino Unido pero el BIN resuelve a una geografía de alto riesgo, esa discrepancia es una de las señales de fraude más sólidas que existen. La mayoría de las pasarelas la puntúan automáticamente.

3. Reglas del emisor y 3D Secure

El emisor que está detrás del BIN fija sus propias reglas de SCA. Una tarjeta de Revolut podría aplicar un paso de verificación distinto al de una tarjeta de un banco tradicional. Tu flujo de 3D Secure tiene que poder gestionar ambos casos.

4. Tasa de intercambio y recargos

Los BIN de tarjetas comerciales tienen una tasa de intercambio más alta que el débito de consumo. Los BIN sin presencia física de la tarjeta se tarifican de forma distinta a los de tarjeta presente. Si te facturan con el modelo de intercambio más comisión, tu tasa efectiva depende en parte de la combinación de BIN en tu tráfico.

5. Decisiones de aceptación

Algunos comercios bloquean los BIN de prepago para las suscripciones, o bloquean los BIN no nacionales para controlar la exposición a contracargos, o restringen las tarjetas comerciales en productos de consumo. Todo eso se ejecuta a partir de las consultas de BIN antes de que la transacción llegue al adquirente.

Servicios de consulta de BIN

Una consulta de BIN es una petición -- a una base de datos local o a una API -- que recibe 6 u 8 dígitos y devuelve los metadatos anteriores. Las redes publican rangos de BIN autorizados para los adquirentes; los proveedores comerciales revenden versiones enriquecidas a comercios y desarrolladores.

La calidad varía. Los propios rangos de las redes son autorizados para el emisor y el país, pero tardan en actualizarse ante cambios de marca y ventas de cartera. Las bases de datos de BIN de terceros detectan más rápido los movimientos de cartera, pero pueden retrasarse con los rangos completamente nuevos. Las consultas en tiempo real a través de tu adquirente suelen ser la fuente más limpia si ya las usas para la puntuación de riesgo.

Los BIN y el alcance de PCI

Aquí es donde los comercios se equivocan. El PAN completo (16 dígitos) son datos sensibles del titular de la tarjeta y entran dentro del alcance de PCI. El BIN por sí solo -- los primeros 6 a 8 dígitos, con el resto enmascarado -- no se considera por sí mismo un dato sensible del titular de la tarjeta. Puedes almacenar, registrar y analizar datos de solo el BIN sin que eso active las obligaciones de PCI de la misma forma que lo hace almacenar PAN completos.

Por eso tantas herramientas de antifraude y analítica guardan el BIN + los últimos 4 en lugar del número completo. Obtienes casi todo el valor analítico sin nada del riesgo de almacenamiento. Si estás decidiendo qué datos conservar, nuestro artículo sobre PCI DSS explica qué cuenta como dato del titular de la tarjeta y qué no.

Dónde tropiezan los comercios con los BIN

Algunos patrones que vemos con frecuencia:

• Listas de bloqueo obsoletas. Un rango de BIN que bloqueaste hace tres años por fraude se ha reasignado desde entonces a una cartera distinta. Ahora estás rechazando a clientes legítimos.
• Consultas de 6 dígitos contra rangos de 8 dígitos. El prefijo de 6 dígitos coincide con varios BIN de 8 dígitos con atributos diferentes. Estás creando reglas a partir de la fila equivocada.
• Confundir el país del BIN con el país de facturación. Muchas veces son el mismo. No siempre lo son. Una persona residente en el Reino Unido podría estar usando una Amex emitida en EE. UU.
• Suponer que BIN = marca del banco. Muchas fintech emiten sobre patrocinadores de BIN asociados. El BIN podría indicar "Banco XYZ" cuando el cliente lo considera una tarjeta de Monzo o de Revolut.

Los BIN en los pagos telefónicos

Cuando un cliente le lee los datos de su tarjeta a un agente o los teclea en el teclado del teléfono, el BIN siguen siendo los primeros 6-8 dígitos -- las mismas reglas. En un flujo de pago telefónico bien diseñado, el agente nunca ve ni oye el PAN completo, pero el comercio puede conocer igualmente el BIN (y, por tanto, el emisor, la red y el país) porque esos dígitos son necesarios para el enrutamiento.

La captura DTMF asistida por agente de Paytia funciona así. El cliente teclea el número de su tarjeta directamente en el teclado de su teléfono, el BIN se transmite a nuestro socio de procesamiento para el enrutamiento y el agente ve un PAN enmascarado. Los datos derivados del BIN -- país del emisor, tipo de tarjeta -- siguen estando disponibles para el antifraude y la analítica, solo que sin que el número completo pase nunca por tu centro de contacto.