¿Qué es una Transacción Sin Presencia de Tarjeta?

Una transacción sin presencia de tarjeta (CNP) es cualquier pago con tarjeta en el que la tarjeta física no se presenta al comercio: pagos telefónicos, compras en e-commerce, pedidos por correo, compras dentro de aplicaciones y cobros recurrentes cuentan todos como CNP. MOTO (Mail Order, Telephone Order: pedidos por correo y por teléfono) es un subconjunto de CNP. Como no hay chip y PIN para verificar al titular, los comercios son responsables de los contracargos por fraude, salvo que hayan usado 3D Secure u otro método reconocido de traspaso de responsabilidad. El fraude CNP supone la mayor parte de las pérdidas por fraude con tarjeta en el Reino Unido, motivo por el cual tecnologías de descoping como el enmascaramiento DTMF y la grabación de llamada con pausa y reanudación importan tanto en los pagos telefónicos.

La abreviatura más usada por los comercios es CNP, pero también oirás sin presencia de tarjeta, pago remoto y (para teléfono y correo, en concreto) MOTO. Todas describen la misma categoría regulatoria: una transacción en la que el comercio no puede inspeccionar físicamente la tarjeta ni confirmar que la persona que pulsa el teclado es el titular legítimo. Ese único hecho determina todo lo demás: tasas de intercambio más altas, responsabilidad del contracargo, alcance de PCI DSS y los controles de fraude que todo comercio CNP tiene que añadir encima.

Cómo funcionan las transacciones CNP

En una transacción tradicional con presencia de tarjeta, el cliente inserta, acerca o desliza físicamente la tarjeta en un terminal. El terminal lee el chip o la banda magnética, y el titular puede introducir un PIN o firmar. Estas comprobaciones físicas crean un vínculo sólido entre la tarjeta, el titular y la transacción.

En una transacción sin presencia de tarjeta, ninguno de esos métodos de verificación física está disponible. En su lugar, el comercio recopila los datos de la tarjeta —normalmente el número, la fecha de caducidad y el código de seguridad de tres dígitos del reverso— a través de un canal alternativo. Puede ser un formulario de pago de un sitio web, una llamada de teléfono, un formulario de pedido por correo o una aplicación móvil.

Como el comercio no puede verificar físicamente la tarjeta ni confirmar que la persona que la usa es el titular legítimo, las transacciones CNP dependen de otras formas de verificación para establecer confianza.

Tipos comunes de transacciones CNP

• Pagos telefónicos (MOTO) El cliente facilita los datos de la tarjeta dictándolos a un agente o introduciéndolos en el teclado de su teléfono durante la llamada. Es una de las formas más antiguas y extendidas de pago CNP.
• E-commerce El cliente teclea los datos de la tarjeta en un formulario de pago en línea, a menudo con autenticación adicional mediante 3D Secure.
• Pedido por correo Los datos de la tarjeta se escriben en un formulario de pedido y se envían por correo postal. Todavía lo usan algunos minoristas de catálogo y servicios de suscripción.
• Pagos recurrentes Los datos de la tarjeta guardados de forma segura se usan para suscripciones, membresías o facturación periódica sin que el cliente tenga que volver a introducirlos cada vez.
• Pagos dentro de la aplicación Los datos de la tarjeta guardados en una aplicación móvil se usan para pagar bienes o servicios con un solo toque.

Por qué el fraude CNP es tan habitual

Las transacciones CNP suponen la inmensa mayoría del fraude con tarjeta en el Reino Unido y en el mundo. La razón es sencilla: un criminal no necesita la tarjeta física. Solo necesita los datos —el número, la fecha de caducidad y el código de seguridad—, que pueden obtenerse mediante brechas de datos, phishing, ingeniería social o mercados de la dark web.

Según UK Finance, el fraude CNP es de forma sostenida la mayor categoría individual de pérdidas por fraude con tarjeta en el Reino Unido, con cifras de cientos de millones de libras al año. Los canales online y telefónico son los principales objetivos porque carecen de la verificación física que hace más difícil el fraude presencial.

Dicho en términos cotidianos: si alguien roba tu cartera, solo puede usar tu tarjeta hasta que te des cuenta y la canceles. Pero si roba los datos de tu tarjeta de una base de datos, puede comprar desde cualquier parte del mundo sin que tú lo sepas hasta que los cargos aparezcan en tu extracto.

Medidas de seguridad para pagos CNP

Se han desarrollado varias tecnologías y procesos para reducir el fraude CNP y proteger tanto a comercios como a titulares.

Códigos de seguridad de la tarjeta

El código CVV, CVC o CV2 de tres dígitos impreso en el reverso de la tarjeta aporta una capa adicional de verificación. Como este código no se almacena en la banda magnética ni en el chip, no puede capturarse mediante skimming en terminales físicos. Los comercios tienen prohibido almacenar los códigos de seguridad una vez autorizada la transacción.

Autenticación 3D Secure

Para transacciones online, 3D Secure (comercializado como Visa Secure, Mastercard Identity Check o similar) añade un paso en el que el titular verifica su identidad a través de su banco emisor. Normalmente implica un código de un solo uso enviado por SMS, una aprobación a través de la app del banco o una confirmación biométrica. Cuando se usa correctamente, traslada la responsabilidad del fraude del comercio al emisor de la tarjeta.

Enmascaramiento DTMF para pagos telefónicos

Los pagos telefónicos han sido históricamente uno de los canales CNP más difíciles de asegurar. Cuando un cliente le lee el número de su tarjeta a un agente, esos datos pasan por el audio de la llamada, quedan capturados en las grabaciones y son visibles en la pantalla del agente. La tecnología de enmascaramiento DTMF resuelve esto interceptando los tonos del teclado antes de que lleguen al agente y enrutando los datos de la tarjeta directamente al procesador de pagos, sin que entren nunca en el entorno del comercio.

Address Verification Service (AVS)

El AVS coteja la dirección de facturación que da el cliente con la registrada en el emisor de la tarjeta. Una discrepancia no significa fraude necesariamente, pero levanta una bandera que el comercio puede investigar antes de completar la transacción.

Comprobaciones de velocidad y puntuación de riesgo

Los procesadores de pago vigilan los patrones de transacción en busca de señales de fraude. Múltiples transacciones rápidas con la misma tarjeta, transacciones desde ubicaciones inusuales o compras que no encajan con el comportamiento habitual del titular pueden disparar comprobaciones adicionales o rechazos automáticos.

CNP y cumplimiento de PCI DSS

Como las transacciones CNP implican capturar y transmitir datos de tarjeta sin verificación física, caen de lleno dentro del alcance de PCI DSS. Cualquier sistema que toque datos de tarjeta durante una transacción CNP —una web, un sistema telefónico, una plataforma de grabación de llamadas o el puesto del agente— debe cumplir los requisitos pertinentes de PCI DSS.

Para los negocios que aceptan pagos por teléfono, esto puede suponer una carga de cumplimiento importante. Cada sistema de la cadena de pago hay que evaluarlo, asegurarlo y probarlo periódicamente. Aquí es donde tecnologías de descoping como el enmascaramiento DTMF resultan especialmente valiosas: al impedir que los datos de tarjeta entren en el entorno del comercio, reducen drásticamente el número de sistemas que deben cumplir PCI DSS.

La perspectiva del comercio

Para las empresas, las transacciones CNP son imprescindibles. Abren canales de ingresos que no existirían si cada cliente tuviera que presentar su tarjeta en persona. Pagos por teléfono, ventas online, facturación por suscripción y servicios remotos dependen de la capacidad de procesar transacciones CNP de forma segura.

El reto es equilibrar comodidad y riesgo. Demasiadas comprobaciones de seguridad y los clientes abandonan la compra. Demasiado pocas, y las pérdidas por fraude se acumulan junto con los contracargos y el daño reputacional que las acompañan. Acertar con ese equilibrio requiere la combinación adecuada de tecnología, procesos y elección de socios.