¿Qué es un Pago Cara a Cara (F2F)?

Un pago cara a cara (F2F), también llamado con tarjeta presente, es cualquier transacción con tarjeta en la que el cliente entrega la tarjeta o acerca un dispositivo a un terminal que controla el comercio. La tarjeta se lee por chip, contactless o banda magnética y el titular autoriza el pago con un PIN, con biometría en su teléfono o con una firma. F2F es la contraparte de los pagos sin presencia de tarjeta (CNP), y las reglas sobre tasas, responsabilidad por fraude y alcance PCI son muy distintas entre ambos.

La expresión pago cara a cara la usan sobre todo las marcas de tarjeta y los adquirentes para clasificar cómo se ha tomado una transacción. Es lo mismo que el sector llama tarjeta presente: la tarjeta está en la sala, el terminal la lee directamente y el titular está allí para autorizarla. Ese paso físico es lo que hace de las transacciones F2F el tipo de pago con tarjeta más barato y de menor riesgo que puede aceptar una empresa.

Cómo funciona una transacción F2F

El cliente presenta su tarjeta: la inserta en el lector de chip, la acerca al campo contactless o, en sistemas más antiguos, la desliza por la ranura de la banda magnética. El terminal lee los datos de la tarjeta, contacta con el adquirente y pide al banco emisor una autorización. Si el emisor aprueba, el terminal imprime o muestra un recibo y la transacción se captura para liquidarla más tarde en el día.

El titular confirma el pago de una de tres formas:

• Un PIN introducido en el terminal (chip y PIN)
• Una biometría en un dispositivo de monedero: Face ID, Touch ID o equivalente en Android
• Una firma en un recibo impreso (raro hoy en el Reino Unido, aún se usa en algunos mercados)

Para los pagos contactless de bajo importe, el emisor a menudo se salta la verificación del titular hasta un límite específico por país: 100 GBP en el Reino Unido en el momento de escribir esto. Por encima de ese límite, el terminal pide un PIN o pasa a una biometría en el monedero.

F2F frente a sin presencia de tarjeta

Las marcas de tarjeta dividen cada transacción en uno de dos cajones: cara a cara o sin presencia de tarjeta. El cajón determina la tasa de intercambio, los derechos de contracargo y la cantidad de alcance PCI DSS que acaba teniendo el comercio.

Las transacciones F2F son el estándar de oro. El criptograma del chip o el token contactless prueban que se usó la tarjeta real. El PIN o la biometría prueban que el titular real la autorizó. Si el cliente después disputa el cargo alegando que no fue él, al emisor le resulta difícil defender esa afirmación, por lo que la responsabilidad por fraude en una transacción de chip y PIN recae en el banco emisor, no en el comercio. Las transacciones CNP no obtienen esa protección. El comercio asume el riesgo a menos que haya usado algo como 3D Secure para trasladarlo.

Las tasas de intercambio siguen la misma lógica. F2F es más barato porque es más seguro. Las redes de tarjetas cobran un porcentaje más bajo en una venta con chip y PIN que en la misma venta tomada por teléfono o online, a veces con un margen significativo.

Por qué las tasas de fraude F2F son más bajas

La tecnología de chip EMV hizo la clonación casi imposible. El chip genera un criptograma único para cada transacción, así que una copia de los datos de la tarjeta capturada en una venta no puede reproducirse en otro terminal. La clonación de banda magnética era el caballo de batalla del fraude con tarjeta en los años 90 y principios de los 2000; el chip y PIN básicamente lo eliminó del Reino Unido en 2006.

El contactless añade otra capa. Los tokens intercambiados entre un monedero de teléfono y el terminal son de un solo uso, y la clave vinculada al dispositivo no sale nunca del elemento seguro del teléfono. Aunque alguien intercepte el tráfico de radio, no puede reproducirlo.

El fraude que sigue produciéndose en terminales F2F es sobre todo ingeniería social: robo por distracción, espiar el PIN por encima del hombro o tarjetas robadas usadas en contactless antes de que el titular las cancele. Es una fracción pequeña del fraude total con tarjeta, y la mayor parte de la pérdida recae sobre el emisor más que sobre el comercio.

F2F y alcance PCI DSS

Los pagos F2F siguen tocando datos de tarjeta, así que siguen estando dentro del alcance de PCI DSS, pero el alcance suele ser pequeño. Un terminal moderno que gestiona el cifrado completo mantiene los datos del titular fuera de la red del comercio por completo. El número de tarjeta se cifra en el punto de deslizamiento o toque y solo se descifra en el procesador de pagos.

Esa configuración suele permitir al comercio optar al SAQ B o SAQ B-IP, las categorías de autoevaluación más ligeras. Compáralo con un centro de contacto que acepta pagos telefónicos sin protección DTMF, donde el mismo negocio podría enfrentarse a SAQ D y a una carga de cumplimiento mucho mayor.

Cuándo F2F no es una opción

Muchas empresas legítimas no pueden aceptar pagos F2F en absoluto: minoristas por correo, tiendas online, centros de contacto, servicios de suscripción, facturación B2B. Cualquier cosa en la que el cliente no esté frente a un mostrador es, por definición, sin presencia de tarjeta. Por eso existe la categoría CNP, y por eso gran parte del sector de la seguridad de pagos se construye para cerrar la brecha entre los niveles de riesgo F2F y CNP: 3D Secure para online, enmascaramiento DTMF para teléfono, tokenización para tarjetas almacenadas.

Para las empresas que pueden aceptar pagos F2F y actualmente no lo hacen —o lo hacen mal—, el argumento para arreglarlo es directo. Menos tasas, menos fraude, menos trabajo PCI DSS. La diferencia aparece cada mes en la cuenta de resultados.