¿Qué es la Evidencia Convincente (CE 3.0)?

Compelling Evidence 3.0 es el marco de Visa para demostrar que una transacción disputada era legítima, lanzado en abril de 2023 como sucesor de las antiguas reglas de Compelling Evidence 2.0. Mientras que la 2.0 dejaba mucho criterio al emisor, la 3.0 es prescriptiva: el comercio debe mostrar que al menos dos transacciones anteriores no disputadas del mismo titular, dentro de los 120-365 días previos, comparten al menos dos identificadores (dirección IP, huella de dispositivo, dirección de entrega, ID de cuenta de cliente) con la disputada. Si lo hacen, Visa exige al emisor bloquear el contracargo antes incluso de presentarlo: el comercio gana automáticamente.

CE 3.0 se sitúa en la incómoda mitad del ciclo de vida de la disputa: no es lo mismo que el representment, pero hace el mismo trabajo. Mientras que el representment es una defensa reactiva —el contracargo ha llegado y el comercio se defiende—, CE 3.0 es preventivo. El comercio marca la transacción con los datos correctos en la pasarela, y si el emisor intenta después disputarla por fraude de primera parte («no reconozco este cargo»), la disputa se suprime automáticamente.

Por qué Visa introdujo CE 3.0

El motor fue el fraude de primera parte, a veces llamado fraude amistoso o fraude por contracargo. Un titular hace una compra legítima, recibe la mercancía o el servicio y después disputa el cargo con su banco como «no autorizado». El comercio pierde el contracargo porque no puede probar que el cliente es la misma persona con la que lleva meses haciendo negocio.

El análisis de Visa encontró que esta categoría crecía más rápido que el fraude de tercera parte (alguien robando datos de tarjeta) y caía desproporcionadamente sobre comercios de suscripción, bienes digitales y marketplaces con clientes recurrentes. CE 3.0 existe para dar a esos comercios una forma de decir: «Esta es la misma persona que nos ha comprado siete veces antes desde el mismo dispositivo, IP y dirección de envío. No está disputando esto de buena fe».

Los requisitos de identificadores en detalle

Para que una transacción califique para CE 3.0, el comercio debe capturar al menos dos de los cuatro identificadores siguientes, y deben coincidir entre al menos dos transacciones anteriores no disputadas:

• Dirección IP. La dirección IP usada en el checkout. No tiene que ser idéntica: la misma subred /24 suele aceptarse para ISPs residenciales, aunque la tolerancia exacta de Visa no está documentada públicamente.
• Huella de dispositivo. Un hash de las características del navegador (user agent, tamaño de pantalla, plugins, zona horaria, fuentes) o un ID de dispositivo de una app móvil. La mayoría de plataformas modernas de fraude lo generan automáticamente.
• Dirección de entrega. Para bienes físicos. Tiene que coincidir exactamente entre las transacciones anteriores y la disputada.
• ID de cuenta de cliente. El propio ID interno de cliente del comercio, la dirección de correo o el login. Útil para bienes o servicios digitales sin dirección de envío.

Las dos transacciones anteriores no disputadas deben caer dentro de una ventana temporal específica: entre 120 y 365 días antes de la transacción disputada. Menos de 120 días y Visa asume que el patrón aún no está establecido; más de 365 días y asume que la configuración del cliente puede haber cambiado.

En qué se diferencia CE 3.0 del representment habitual

El representment habitual es lo que la mayoría de los comercios entiende por «pelear un contracargo». El contracargo ha sido presentado, el comercio tiene de 7 a 30 días para responder con evidencia, y el emisor revisa y decide. El representment es abierto en cuanto a qué evidencia cuenta: facturas, recibos de entrega, logs de IP, grabaciones de llamadas, lo que tenga el comercio.

CE 3.0 es distinto en tres aspectos importantes:

• Es preventivo, no reactivo. El comercio etiqueta la transacción en el momento de la autorización con los datos de identificador. El contracargo no llega a presentarse: la red de Visa lo bloquea.
• Es prescriptivo. Solo cuentan los cuatro identificadores específicos. Otra evidencia es irrelevante. Si el comercio los ha capturado y se cumplen las condiciones de coincidencia, la disputa se resuelve automáticamente a favor del comercio.
• Es automático. No hay ciclo de evidencia de 30 días, ni revisión por el emisor, ni juicio tipo QSA. Los datos están y coinciden, o no.

La forma correcta de pensarlo: CE 3.0 es un filtro al inicio del proceso de disputa. Si una transacción califica, nunca llega a la fase habitual de representment. Si no califica, el representment sigue existiendo como respaldo.

Códigos de razón a los que aplica CE 3.0

CE 3.0 aplica a un subconjunto concreto de códigos de razón de disputa de Visa, principalmente las categorías de fraude de primera parte:

• 10.4 (Other Fraud – Card Absent). La disputa clásica de «no reconozco este cargo». La mayor categoría individual que cubre CE 3.0.
• 13.1 (Merchandise/Services Not Received). Algunos subcasos.
• 13.2 (Cancelled Recurring Transaction). Aplicabilidad limitada.

La mayoría de los demás códigos (fraude con chip y PIN, errores de procesamiento, problemas de autorización) quedan fuera de CE 3.0 porque la coincidencia de identificadores no tendría sentido para ellos. El marco apunta directamente a los códigos de fraude donde el emisor de otro modo tiene que creer al titular en lo que diga.

Tasas de éxito reportadas

Los propios datos de Visa, publicados poco después del despliegue, sugerían que CE 3.0 suprimía entre el 30 y el 40 % de las disputas de fraude de primera parte cualificadas antes de que se presentaran. Los proveedores externos de prevención de fraude reportaron cifras similares en 2024, con algunos comercios de suscripción viendo reducciones del 50 % o más en contracargos por fraude. El truco está en que esos números dependen de que el comercio capture y reporte los datos de identificador correctamente, algo que muchas pasarelas y PSP heredados no hacen de fábrica.

Los comercios que más sacan de CE 3.0 son los que tienen altas tasas de clientes recurrentes: suscripciones, marketplaces digitales, SaaS, gaming. Un minorista puntual donde cada transacción es la primera del cliente no calificará, porque no hay dos transacciones anteriores coincidentes a las que anclarse.

El equivalente de Mastercard

Mastercard opera un marco paralelo llamado Order Insight (antes Ethoca Consumer Clarity, antes de la adquisición de Ethoca). El mecanismo es distinto: Mastercard envía los detalles del pedido del comercio a la app del banco del titular en el momento de la disputa, para que el cliente vea «esto fue tu suscripción a ExampleCo» antes de presentar la disputa. Alrededor del 30-40 % de las disputas se retiran en ese punto porque el cliente reconoce un cargo que había olvidado.

Los dos sistemas no son directamente equivalentes: CE 3.0 es una supresión basada en reglas en la capa de red; Order Insight es un empuje de transparencia en la capa de la app del emisor. Los comercios que trabajan con ambas redes necesitan soportar los dos, normalmente a través de su PSP o de una herramienta externa de prevención de contracargos.

Los límites de CE 3.0

CE 3.0 no es una bala de plata. Las limitaciones honestas:

• Solo Visa. No hay equivalente en Mastercard (Order Insight es similar en intención, distinto en mecanismo), Amex o Discover.
• Requiere captura de identificadores. Si el comercio o el PSP no captura IP, huella de dispositivo e ID de cliente en cada transacción, los datos no están cuando hacen falta.
• Requiere historial previo. Los clientes nuevos no pueden calificar. Útil solo para negocios con compradores recurrentes.
• No cubre todos los códigos de razón. Los contracargos por no entrega, errores de procesamiento o problemas de autorización quedan fuera del alcance.
• No ayuda con los pagos telefónicos. Los pedidos por teléfono no tendrán una IP o una huella de dispositivo que coincida con pedidos anteriores: el cliente está en una llamada, no en un navegador. Los comercios MOTO necesitan otras defensas.

Para MOTO y pagos telefónicos en concreto, la ausencia de cobertura de CE 3.0 es otra razón más por la que el comercio carga con un riesgo de contracargo inusualmente alto en el canal de voz: no hay protección por exención de SCA, ni traspaso de responsabilidad por 3D Secure, y ahora tampoco hay CE 3.0. Mira nuestro artículo sobre las regulaciones del Reino Unido para aceptar pagos con tarjeta por teléfono para el contexto regulatorio más amplio.

Qué deberían hacer los comercios

Si eres un comercio sin presencia de tarjeta con clientes recurrentes, tres pasos concretos:

1. Comprueba si tu PSP o pasarela ya envía los datos de CE 3.0 a Visa. La mayoría de las grandes pasarelas lo hacen; las más pequeñas, a menudo no.
2. Asegúrate de capturar IP, huella de dispositivo, dirección de entrega y un ID de cliente estable en cada transacción, no solo en el registro inicial.
3. Si ves disputas significativas por fraude de primera parte, habla con tu PSP sobre un servicio dedicado de prevención de contracargos. Los proveedores en este espacio (Verifi, Ethoca, etc.) empaquetan CE 3.0 y Order Insight juntos.