¿Qué son los Pagos MOTO?

MOTO significa Mail Order / Telephone Order: una transacción con tarjeta realizada por teléfono, correo o fax, en lugar de en persona o a través de una web. Las redes de tarjetas vienen clasificando MOTO por separado desde la era de los catálogos en los años 80, y lo siguen haciendo: las transacciones MOTO tienen su propio código de categoría de comercio, su propia tasa de intercambio y sus propias reglas de contracargo. Cada pago MOTO es también una transacción sin presencia de tarjeta a efectos de PCI DSS, lo que significa que los auriculares del agente, su pantalla y la grabación de la llamada quedan dentro del entorno de datos del titular de la tarjeta a menos que hayas tomado medidas activas para mantener los datos de la tarjeta fuera.

Si alguna vez le has leído un número de tarjeta a alguien por teléfono, has hecho un pago MOTO. La categoría abarca desde una factura puntual pagada por teléfono hasta un contact center de 500 agentes que toman reservas de entradas todo el día. Lo que les une es la ausencia de la tarjeta en el momento de la transacción y la ausencia de cualquier comprobación criptográfica entre el titular y el comercio. MOTO es anterior a la web en décadas y sigue siendo uno de los mayores canales de pagos B2B en el Reino Unido.

Dónde Encaja MOTO en el Esquema de las Redes de Tarjetas

Las redes de tarjetas dividen las transacciones en tres grandes categorías de presentación. Card-present es todo lo que va con chip, toque contactless o deslizamiento de banda magnética en un terminal físico. E-commerce es todo lo que se introduce en un checkout web. MOTO es la tercera: el titular está al teléfono (o, hoy ya rara vez, enviando un formulario por correo), y el comercio teclea o acepta los datos en remoto.

Cada categoría recibe un código de transacción distinto. Los adquirentes les ponen un precio distinto, las monitorizan de forma distinta y aplican reglas de contracargo distintas. MOTO y e-commerce caen ambas bajo card-not-present a efectos del alcance de PCI DSS, pero los schemes siguen distinguiéndolas porque los patrones de fraude y las herramientas de autenticación disponibles son distintos.

Por Qué MOTO Conlleva Más Riesgo que el E-Commerce

La mayor diferencia entre MOTO y card-not-present online es la autenticación. Un checkout online puede pasar al titular por 3D Secure, que envía un código al teléfono del cliente o le pide confirmación en su app bancaria. Si el cliente se autentica, la responsabilidad por fraude se traslada al emisor de la tarjeta. El comercio queda protegido.

No existe un equivalente para una llamada de teléfono. Las redes de tarjetas llevan años hablando de MOTO 3DS, pero en la práctica los bancos emisores no lo han implementado. Así que cuando tu agente toma un número de tarjeta en una llamada, no se produce ninguna autenticación. Si la llamada resulta ser de un defraudador leyendo datos robados, el contracargo recae sobre el comercio. Cada vez.

Por eso las tasas de contracargo de MOTO son más altas que las de e-commerce en la mayoría de los sectores, y por eso los equipos de fraude se obsesionan con los canales de voz aunque, proporcionalmente, sean más pequeños que el tráfico online. Hemos tratado el panorama más amplio del traslado de responsabilidad en nuestro artículo sobre la autenticación 3D Secure.

MOTO y el Alcance de PCI DSS

La pregunta sobre el alcance PCI DSS de MOTO es la misma que en cualquier canal sin presencia de tarjeta: qué sistemas pueden ver, oír, almacenar o transmitir los datos de la tarjeta, y cómo los proteges.

Para un centro de contacto típico que toma pagos por teléfono verbalmente, la respuesta es desalentadora. El número de tarjeta se dicta a los auriculares del agente, así que el sistema de telefonía IP lo transporta. El agente lo teclea en un terminal virtual o un CRM, así que el puesto de trabajo, la pantalla, el teclado y la red lo ven. La llamada se graba, así que la plataforma de grabación lo almacena. A veces la grabación acaba en una herramienta de calidad, una plataforma de coaching o un pipeline de analítica. Cada uno de esos sistemas queda dentro del entorno de datos del titular y debe evaluarse frente a PCI DSS.

Eso es lo que empuja a la mayoría de los centros de contacto al SAQ D —el cuestionario de 329 controles— en lugar del mucho más corto SAQ A. Los 12 requisitos de PCI DSS no son más fáciles porque tengas 500 agentes y un CRM. Si acaso, son más difíciles, porque cada sistema adicional multiplica el trabajo de auditoría.

Cómo la Captura DTMF Saca a MOTO del Alcance

La técnica que saca a MOTO del alcance completo de PCI es la captura DTMF, a veces llamada enmascaramiento DTMF o supresión DTMF. El cliente introduce el número de su tarjeta en el teclado de su teléfono en lugar de leerlo en voz alta. Un servicio como Paytia se sitúa en el camino del audio de la llamada, detecta los tonos y enruta los dígitos directamente a la pasarela de pagos. Los tonos se eliminan o se sustituyen por un ruido plano antes de que el audio llegue al auricular del agente o a la grabación.

Bien hecho, esto significa:

• El agente nunca oye el número de tarjeta. Sigue en la llamada, puede guiar al cliente durante el proceso y solo ve los últimos cuatro dígitos y el estado de la autorización en su pantalla.
• La grabación de la llamada nunca captura el número de tarjeta. Los equipos de compliance pueden conservar grabaciones íntegras para fines de calidad y disputas sin que esas grabaciones sean datos de tarjeta.
• La infraestructura del centro de contacto —telefonía, CRM, puestos de los agentes, red— sale del alcance de PCI DSS. Pasas del SAQ D al SAQ A.

PCI DSS 4.0.1 lo señaló explícitamente. Si tu sistema de telefonía captura tonos DTMF que contienen datos de tarjeta y los guarda en cualquier log o grabación, esos logs pasan a ser datos de tarjeta y el sistema sigue en alcance. Por eso la supresión debe hacerse antes de la captura, no después.

Exenciones de SCA y MOTO

Las normas de Autenticación Reforzada del Cliente del Reino Unido y de la UE bajo PSD2 reservaron una exención explícita para MOTO. Los pagos por teléfono y por correo están exentos de SCA porque no hay una forma realista de aplicar autenticación biométrica o basada en dispositivo a una llamada. Suena útil, pero tiene su veneno en la cola: como no hay SCA, no hay traslado de responsabilidad. El comercio sigue cargando con cada contracargo fraudulento.

La exención es una descripción de la realidad, no una protección. Solo significa «sabemos que no puedes hacer SCA en una llamada, así que no te vamos a obligar a intentarlo». No significa «los pagos por teléfono son de menor riesgo que los online».

Intercambio MOTO y el Coste de un Pago por Teléfono

Las transacciones MOTO suelen llevar tasas de intercambio más altas que las equivalentes con presencia de tarjeta. La diferencia puede ser de 0,3-0,8 puntos porcentuales según el tipo de tarjeta, el adquirente y el mercado. Es la forma en que los schemes de tarjetas ponen precio al mayor riesgo de fraude: esperan más contracargos, así que cobran más por transacción. Para un negocio que procesa 1 millón de libras al año por teléfono, son entre 3.000 y 8.000 libras adicionales de intercambio en comparación con cobrar esos mismos pagos en persona.

La Realidad Operativa de Aceptar Pagos MOTO

La mayoría de los negocios que aceptan pagos por teléfono no quieren aceptar pagos por teléfono: tienen que hacerlo. Los clientes llaman con una consulta, la conversación se convierte en una venta y de pronto hay que cobrar con tarjeta. O el cliente es mayor, no quiere ir online y ha llamado a la oficina. O es una factura B2B y la persona de finanzas quiere pagar por teléfono en lugar de esperar a que se liquide una transferencia bancaria.

Sea cual sea la razón, la elección no es realmente entre «aceptar pagos MOTO» o «no hacerlo». Es entre «aceptarlos con alcance y riesgo de fraude» o «aceptarlos con los datos fuera de tu entorno». La segunda opción es para lo que existe Paytia. Hemos cubierto el contexto regulatorio en UK regulations for taking card payments by phone y la comparación con el panorama más amplio del CNP en card-not-present transactions explained.

MOTO frente a Terminal Virtual frente a Pay-by-Link

Tres cosas se mezclan a menudo. Un terminal virtual es un formulario web en el que teclea tu agente: el comercio captura el número de tarjeta en la pantalla del agente. Un pay-by-link envía al cliente una URL o un SMS para que introduzca él mismo la tarjeta en una página alojada. Una llamada MOTO con captura DTMF mantiene al cliente al teléfono y le permite teclear la tarjeta en el propio terminal.

Desde el punto de vista del alcance PCI, los terminales virtuales son lo peor (el puesto del agente está en alcance), pay-by-link es excelente (el dispositivo del cliente está en alcance, no el tuyo) y la captura DTMF iguala a pay-by-link manteniendo al agente en la llamada. Cuál encaja depende de si necesitas un agente en directo guiando el pago y de si tus clientes seguirán un enlace.