¿Qué es un Pago Cara a Cara (F2F)?

Un pago presencial (F2F), a veces escrito como tarjeta presente, es cualquier transacción con tarjeta en la que el cliente entrega la tarjeta o acerca un dispositivo a un terminal que controla el comercio. La tarjeta se lee por chip, contactless o banda magnética, y el titular autoriza el pago con un PIN, una biometría en su teléfono o una firma. El pago presencial es el reverso de los pagos con tarjeta no presente (CNP), y las reglas sobre comisiones, responsabilidad por fraude y alcance de PCI son muy distintas entre ambos.

La expresión pago presencial la usan sobre todo las redes de tarjetas y los adquirentes para clasificar cómo se tomó una transacción. Es lo mismo que el sector entiende por tarjeta presente: la tarjeta está en la sala, el terminal la lee directamente y el titular está ahí para autorizarla. Ese paso físico es lo que hace de las transacciones presenciales el tipo de pago con tarjeta más barato y de menor riesgo que puede aceptar una empresa.

Cómo funciona una transacción presencial

El cliente presenta su tarjeta: insertada en el lector de chip, acercada al campo contactless o, en sistemas más antiguos, pasada por la ranura de banda magnética. El terminal lee los datos de la tarjeta, contacta con el adquirente y pide al banco emisor una autorización. Si el emisor aprueba, el terminal imprime o muestra un recibo y la transacción se captura para liquidarse más tarde a lo largo del día.

El titular confirma el pago de una de tres formas:

• Un PIN introducido en el terminal (chip y PIN)
• Una biometría en un dispositivo de cartera: Face ID, Touch ID o el equivalente en Android
• Una firma en un comprobante impreso (rara en el Reino Unido ya, aún usada en algunos mercados)

Para pagos contactless de bajo valor, el emisor a menudo se salta por completo la verificación del titular hasta un límite que varía por país: 100 £ en el Reino Unido en el momento de escribir esto. Por encima de ese límite, el terminal pedirá un PIN o pasará a una biometría en la cartera.

Presencial frente a tarjeta no presente

Las redes de tarjetas dividen cada transacción en uno de dos grupos: presencial o tarjeta no presente. El grupo determina la comisión de intercambio, los derechos de devolución de cargo y cuánto alcance de PCI DSS acaba cargando el comercio.

Las transacciones presenciales son el patrón de referencia. El criptograma del chip o el token contactless prueban que se usó la tarjeta real. El PIN o la biometría prueban que el titular real la autorizó. Si el cliente más tarde disputa el cargo alegando que no fue él, al emisor le cuesta defender esa reclamación, por lo que la responsabilidad por fraude en una transacción con chip y PIN recae en el banco emisor, no en el comercio. Las transacciones con tarjeta no presente no tienen esa protección. El comercio carga con el problema salvo que haya usado algo como 3D Secure para devolver la responsabilidad.

Las comisiones de intercambio siguen la misma lógica. El pago presencial es más barato porque es más seguro. Las redes de tarjetas cobran un porcentaje menor por una venta con chip y PIN que por la misma venta tomada por teléfono o por internet, a veces por un margen apreciable.

Por qué las tasas de fraude presencial son más bajas

La tecnología del chip EMV hizo la clonación casi imposible. El chip genera un criptograma único para cada transacción, así que una copia de los datos de tarjeta captada en una venta no puede repetirse en otro terminal. La clonación de banda magnética fue el caballo de batalla del fraude con tarjetas en los años noventa y a principios de los dos mil; el chip y PIN básicamente lo eliminó en el Reino Unido en 2006.

El contactless añade otra capa. Los tokens que se intercambian entre una cartera del teléfono y el terminal son de un solo uso, y la clave vinculada al dispositivo nunca sale del elemento seguro del teléfono. Aunque alguien intercepte el tráfico de radio, no puede repetirlo.

El fraude que sí sigue ocurriendo en terminales presenciales es sobre todo ingeniería social: hurtos con distracción, espiar el PIN por encima del hombro o tarjetas robadas usadas en contactless antes de que el titular las cancele. Es una fracción pequeña del fraude total con tarjetas, y la mayor parte de la pérdida recae en el emisor y no en el comercio.

El pago presencial y el alcance de PCI DSS

Los pagos presenciales siguen tocando datos de tarjeta, así que siguen dentro del alcance de PCI DSS, pero el alcance suele ser pequeño. Un terminal moderno con cifrado de punto a punto mantiene los datos del titular fuera de la red del comercio por completo. El número de tarjeta se cifra en el instante en que la tarjeta se inserta o se acerca, y solo se descifra en el procesador de pagos.

Esa configuración suele permitir que el comercio opte a SAQ B o SAQ B-IP, las categorías de autoevaluación más ligeras. Compárelo con un centro de contacto que toma pagos por teléfono sin protección DTMF, donde la misma empresa podría estar mirando un SAQ D y una carga de cumplimiento mucho más pesada.

Cuando el pago presencial no es una opción

Muchas empresas legítimas no pueden tomar pagos presenciales en absoluto: minoristas de venta por correo, tiendas online, centros de contacto, servicios de suscripción, facturación B2B. Cualquier caso en el que el cliente no esté de pie en un mostrador es, por definición, tarjeta no presente. Por eso existe la categoría de tarjeta no presente, y por eso buena parte del sector de la seguridad de pagos se construye en torno a cerrar la brecha entre los niveles de riesgo presencial y de tarjeta no presente: 3D Secure para internet, enmascaramiento DTMF para el teléfono, tokenización para las tarjetas guardadas.

Para las empresas que sí pueden tomar pagos presenciales y actualmente no lo hacen —o los hacen mal— el argumento para arreglarlo es sencillo. Comisiones más bajas, menos fraude, menos trabajo de PCI DSS. La diferencia se nota en la cuenta de resultados todos los meses.