¿Qué es Verified by Visa (VbV)?

Verified by Visa (VbV) es la marca de cara al consumidor que Visa usó entre 2001 y 2019 para su implementación del protocolo de autenticación 3D Secure en los pagos con tarjeta online. Se ha rebautizado como Visa Secure, pero muchos comercios, contratos y páginas de pago antiguas todavía la llaman VbV. El equivalente de Mastercard era SecureCode, ahora Identity Check; el de Amex es SafeKey. Detrás de la marca es la misma idea: cuando paga online, su banco tiene la oportunidad de confirmar que es realmente usted antes de aprobar la transacción.

Verified by Visa, ahora comercializado como Visa Secure, es el envoltorio de Visa alrededor del protocolo 3D Secure. El protocolo dirige la solicitud de autenticación a través de tres dominios —la red de Visa, su banco y el proveedor de pagos del comercio— para que el banco pueda decidir si aprobar el pago en silencio o pedirle que se verifique. La mayoría de los flujos que se ven en 2026 funcionan con 3D Secure 2 (3DS2), no con la especificación original 1.0, que Visa retiró para los nuevos comercios en octubre de 2022.

De dónde vino el nombre, y por qué cambió

Visa lanzó VbV en 2001 para añadir un paso de autenticación a los pagos con tarjeta online, que estaban explotando junto al comercio electrónico y acumulando fraude a un ritmo que las redes de tarjetas no podían ignorar. El mensaje al consumidor era simple: registre una contraseña con su banco, tecléela al pagar y estará protegido. El mensaje al comercio era aún más simple: si implementa VbV y el cliente se autentica correctamente, la responsabilidad de las devoluciones de cargo por fraude pasa de usted al banco emisor.

La ejecución fue tosca. Los clientes olvidaban constantemente sus contraseñas de VbV, la redirección a la página de autenticación del banco parecía un ataque de phishing, y en el móvil era directamente mala. Los comercios que la activaban veían caer sus tasas de conversión en dos dígitos. A mediados de la década de 2010, el sector había concluido que VbV 1.0 era una mejora de seguridad que costaba más en ventas perdidas de lo que ahorraba en fraude.

El cambio de marca a Visa Secure en 2019 no fue solo cosmético. Visa quería retirar el hábito, ya enseñado al consumidor, de teclear una contraseña estática y marcar una ruptura limpia hacia la autenticación basada en datos que permite 3DS2. El cambio de marca también puso a Mastercard, Amex, JCB y Discover más en línea, ya que todas rebautizaron sus programas 3DS de cara al consumidor por las mismas fechas. Si está leyendo un contrato de servicios de pago antiguo y menciona "VbV", "Verified by Visa", "MasterCard SecureCode" o "Amex SafeKey", esos términos siguen siendo válidos: el protocolo subyacente solo funciona ahora con la nueva especificación.

3D Secure 2 arregló casi todos los problemas

El protocolo de reemplazo, 3D Secure 2, es lo que funciona hoy bajo la marca Visa Secure. En lugar de exigir una contraseña a cada cliente, 3DS2 envía más de 100 puntos de datos al banco emisor —dispositivo, ubicación, historial de transacciones, señales de comportamiento— y deja que el motor de riesgo del banco decida. Si los datos parecen normales, el banco aprueba el pago sin fricción y el cliente nunca ve un desafío. Si algo no cuadra, el banco pasa a un desafío, normalmente a través de la app del banco en lugar de una página web aparte. Los comercios bien ajustados pasan más del 90 % de su volumen de 3DS2 por el flujo sin fricción.

Todavía verá las palabras "Verified by Visa" en muchos contratos heredados y extractos de comercio. El protocolo de debajo es el moderno: la marca se actualiza despacio.

Cómo fluye en realidad una autenticación 3DS2

Esto es lo que ocurre en los segundos posteriores a que un cliente pulse "Pagar" con una tarjeta de marca Visa. La página de pago del comercio entrega los datos de la tarjeta a su proveedor de pagos. El proveedor envía una solicitud de autenticación —acompañada de la huella del navegador, la IP, la dirección de facturación/envío, el idioma del dispositivo, el tamaño de pantalla y decenas de otros puntos de datos— al servidor de directorio de Visa. El directorio de Visa localiza el servidor de control de acceso (ACS) del banco emisor y reenvía la solicitud. El motor de riesgo del banco puntúa la transacción en milisegundos.

Si la puntuación supera el umbral sin fricción del banco, el ACS devuelve una respuesta de autenticación que dice "aprobada sin desafío" e incluye un valor criptográfico llamado CAVV (Valor de Verificación de Autenticación del Titular de la Tarjeta). El procesador del comercio pasa ese CAVV al adquirente en el mensaje de autorización, y el emisor aprueba la autorización como una transacción plenamente autenticada. El cliente ve la página de confirmación del pedido y nunca supo que pasara nada especial.

Si el banco quiere más pruebas, el ACS devuelve una URL de desafío. El cliente se redirige a un flujo que suele ser una notificación push a su app bancaria —"¿Acabas de intentar pagar 127,50 £ en NombreDelComercio?"— con un botón de Aprobar/Rechazar. Pulsa Aprobar, el ACS devuelve el mismo tipo de respuesta autenticada con un CAVV, y la autorización se completa. Si el cliente rechaza o no responde dentro del tiempo de espera (normalmente de 4 a 10 minutos), la autorización falla y el comercio puede reintentar sin 3DS (perdiendo el traslado de responsabilidad) o tratar el pedido como abandonado.

El traslado de responsabilidad es la razón por la que los comercios se molestan

El atractivo comercial de VbV/Visa Secure siempre ha sido el traslado de responsabilidad de las devoluciones de cargo. Cuando una transacción se autentica correctamente, el comercio queda protegido frente a las disputas de fraude del tipo "no fui yo": el banco emisor asume la pérdida en su lugar. Para los comercios con tarjeta no presente, donde las devoluciones de cargo son un gasto de todos los días, esa protección vale dinero de verdad. La pega es que el traslado solo se aplica cuando la autenticación realmente se completa, así que los comercios tienen que vigilar las tasas de autenticación, no solo si 3DS está encendido.

Qué cubre realmente el traslado de responsabilidad

El traslado solo se aplica a las devoluciones de cargo codificadas como fraude: los códigos de motivo de Visa 10.4 (Otro Fraude — Entorno con Tarjeta Ausente) y 10.5 (Programa de Supervisión de Fraude de Visa) en el marco actual de Resolución de Reclamaciones de Visa. No cubre:

• Disputas de mercancía no recibida (13.1): si el cliente dice que el paquete nunca llegó, 3DS no le ayuda
• Disputas de mercancía distinta a la descrita (13.3): las quejas de calidad recaen en el comercio sin importar nada
• Disputas de facturación recurrente tras una cancelación (13.2): el cliente autorizó la transacción original, no las diez siguientes
• Abono no procesado (13.6): la gestión de reembolsos es un problema operativo del comercio
• Disputas relacionadas con la autorización (11.x): esas necesitan otra solución

En torno a un tercio de las devoluciones de cargo con tarjeta no presente en los comercios del Reino Unido están codificadas como fraude, así que el traslado es relevante pero no una póliza completa contra las pérdidas por fraude. Los comercios que tratan 3DS como el único control de fraude que necesitan suelen descubrir que los otros dos tercios de las disputas siguen doliendo.

La tasa sin fricción importa más que el interruptor de encendido

"Hemos activado 3DS" es la métrica de éxito equivocada. La correcta es la proporción de intentos que reciben un CAVV de vuelta —la tasa de autenticación— y la proporción que se completa sin desafío —la tasa sin fricción—. Un comercio que ejecuta 3DS pero ve abandonar al 25 % de los clientes en el paso del desafío está pagando un fuerte impuesto de conversión por el traslado de responsabilidad. Un comercio cuyo proveedor de pagos no envía suficientes campos de datos en la solicitud de autenticación tendrá más desafíos de los necesarios, porque el motor de riesgo del banco tiene menos con lo que trabajar. Ajustar esa calidad de los datos —en particular la huella del navegador, la dirección del titular y el historial de compras previo con el comercio— es donde están las ganancias de conversión.

La SCA de PSD2 lo hizo prácticamente obligatorio en Europa

Desde enero de 2021, las reglas de Autenticación Reforzada de Cliente de la segunda Directiva de Servicios de Pago exigieron autenticación de dos factores en la mayoría de los pagos con tarjeta online por encima de 30 £ en el Reino Unido y el EEE. 3D Secure 2 es el mecanismo que el sector de tarjetas usa para cumplir eso, así que para cualquier comercio europeo que tome pagos con tarjeta online por encima del umbral, ejecutar Visa Secure (y Mastercard Identity Check, y SafeKey) ya no es realmente opcional. Hay exenciones para transacciones de bajo valor, pagos recurrentes, beneficiarios de confianza y comercios con tasas de fraude bajas, pero lo predeterminado es autenticado.

Las exenciones que conviene conocer

El marco de SCA incluye un puñado de exenciones que un comercio puede indicar en la solicitud de 3DS. El banco sigue teniendo la última palabra, pero una exención indicada aumenta la probabilidad de una aprobación sin fricción:

• Transacciones de bajo valor: los pagos por debajo de 30 € (25 £ en el Reino Unido) pueden saltarse la SCA, pero solo cinco veces por tarjeta antes de que la SCA entre en juego
• Análisis de Riesgo de Transacción (TRA): los comercios cuya tasa de fraude a 90 días está por debajo del umbral regulatorio pueden indicar transacciones de bajo riesgo para la exención: el umbral de 100 € necesita un fraude por debajo del 0,13 %, el de 250 € por debajo del 0,06 %, el de 500 € por debajo del 0,01 %
• Beneficiarios de Confianza: los clientes pueden añadir un comercio a la lista de confianza con su banco tras el primer pago autenticado, de modo que los pagos posteriores se saltan el desafío
• Transacciones recurrentes: el primer pago de una serie necesita SCA; los pagos posteriores del mismo importe no
• Transacciones Iniciadas por el Comercio (MIT): las credenciales guardadas que se usan para cosas que el titular no está impulsando activamente —renovaciones de suscripción, recargas automáticas— quedan fuera del alcance
• Pedido por correo / Pedido por teléfono (MOTO): los pagos por teléfono se clasifican como MOTO y quedan fuera del alcance de la SCA por completo

Ninguna de estas está libre de compensaciones. Reclamar la exención por TRA significa que conserva la ganancia de conversión pero pierde el traslado de responsabilidad en esa transacción concreta. El estatus de Beneficiario de Confianza ayuda con los habituales pero no hace nada por los clientes nuevos. La aritmética solo cuadra si mide el aumento de conversión frente a la exposición a devoluciones de cargo de cada tipo de exención.

Donde no se aplica VbV: los pagos por teléfono

3D Secure está diseñado para los procesos de pago online. Los pagos por teléfono son transacciones MOTO y quedan excluidos del mandato de SCA: no hay forma práctica de autenticar a un cliente con 3DS mientras está en una llamada de voz. Esa exclusión es útil para los comercios que toman pagos MOTO, pero tiene una desventaja: sin autenticación 3DS no hay traslado de responsabilidad. Si un pago por teléfono resulta ser fraude, paga el comercio. Por eso los controles de fraude en los pagos por teléfono —AVS, comprobaciones de CVV, formación de agentes, reglas de velocidad— importan tanto, y por eso los estafadores apuntan cada vez más al canal telefónico cuando los procesos de pago online están bien protegidos.

El efecto de desplazamiento que vemos en la práctica

Cuando el fraude online se vuelve más difícil, los estafadores se mueven al siguiente canal más débil. En nuestra base de clientes entre 2024 y 2026 hemos visto una deriva constante del fraude de prueba de tarjetas y de apropiación de cuentas hacia los canales de voz: alguien con una tarjeta robada llama directamente al comercio, dice que su proceso de pago online no funciona y dicta los datos de la tarjeta por teléfono. Sin la protección de 3DS, el sistema de autorización del comercio aprueba encantado el cargo si AVS y CVV coinciden, y el titular legítimo presenta una devolución de cargo dos semanas después.

Las defensas que aguantan en el teléfono no son las mismas que funcionan online. La formación de agentes en señales de alerta de ingeniería social, la verificación por devolución de llamada en pedidos de alto valor, las reglas de velocidad sobre los intentos desde el mismo número y —donde el volumen de pago lo justifica— sacar al agente de la ruta de audio por completo para que el titular introduzca él mismo la tarjeta por DTMF. Ese último control, que quita al agente de la posición de poder captar (o usar indebidamente) los datos de tarjeta, es para lo que existe el flujo de pago asistido por agente de Paytia.

Versiones de 3DS2 y qué hay vigente en 2026

El protocolo 3DS2 ha pasado por varias revisiones menores desde que EMVCo publicó la especificación original en 2016. Cada versión añadió campos de datos, ajustó formatos de mensaje o mejoró la experiencia en un nuevo canal. En 2026, las versiones relevantes son:

• 3DS 2.1: la versión original de 3DS2, todavía admitida por la mayoría de los emisores pero en proceso de retirada. Carece de autenticación desacoplada y de varios campos de datos pensados para el móvil.
• 3DS 2.2: la versión de trabajo entre 2022 y 2025. Añadió los indicadores de exención del marco de SCA, la autenticación desacoplada (que permite completar los desafíos fuera de la sesión del comercio) y el soporte de transacciones iniciadas por el comercio.
• 3DS 2.3: el objetivo actual. Añade soporte adecuado para carteras digitales, gestión de envíos divididos, mejores flujos del SDK móvil y una ruta de autenticación "fuera de banda" para las compras en la app. La adopción entre los emisores europeos es desigual: algunos están en 2.3 hoy, muchos siguen en 2.2.

El protocolo 3DS 1.0 —el flujo original de VbV basado en contraseña— lo retiró Visa para los nuevos comercios en octubre de 2022 y se apagó por completo en la mayoría de los bancos emisores durante 2023. Si un proveedor de pagos sigue listando el "3DS 1.0 fallback" como una característica en 2026, eso es en gran medida marketing: los emisores para los que se diseñó ya no responden.

Resultados de autenticación que verá en los informes

Los informes de 3DS vuelven con un ECI (Indicador de Comercio Electrónico) y un código de estado que le dicen qué ocurrió en realidad. Los valores que importan:

• ECI 05 (Visa) / ECI 02 (Mastercard): plenamente autenticado, se aplica el traslado de responsabilidad. Esto es lo que quiere.
• ECI 06 (Visa) / ECI 01 (Mastercard): autenticación intentada, el emisor no admitía 3DS o no respondió. El traslado de responsabilidad sigue aplicándose para la mayoría de las devoluciones de cargo.
• ECI 07 (Visa) / ECI 00 (Mastercard): sin autenticación. Responsabilidad completa del comercio.
• Estado Y: autenticado correctamente
• Estado A: intentado, tratado como autenticado a efectos de responsabilidad
• Estado N: no autenticado: el cliente falló el desafío o no se completó
• Estado U: imposible autenticar: problema del sistema, ACS no disponible
• Estado R: rechazado: el emisor rehusó específicamente la autenticación, lo cual es una fuerte señal de fraude sobre la que merece la pena bloquear

Los comercios que vuelcan estos códigos en sus paneles de fraude detectan los problemas más rápido. Un pico en el Estado N suele significar que la experiencia del cliente se rompió en el paso del desafío; un pico en el Estado R significa que las tarjetas de su tráfico están siendo rechazadas explícitamente por sus emisores y probablemente tenga en marcha un ataque de prueba de tarjetas.

Modos de fallo habituales

La interfaz del desafío se rompe en el móvil

Algunas páginas de ACS de los bancos todavía se muestran mal en pantallas pequeñas: botones cortados, campos de contraseña que requieren hacer zoom, notificaciones push que no llegan. Los clientes abandonan en el paso del desafío. Los comercios no pueden arreglar la interfaz del banco, pero sí pueden elegir un proveedor de pagos cuyo SDK móvil gestione el desafío en una hoja inferior nativa en lugar de una redirección a un webview, lo que cierra bastante la brecha.

La tarjeta del cliente está configurada para desafíos por SMS y no tiene cobertura

Si el emisor del cliente recurre a un código de un solo uso por SMS y este está en un tren, en un sótano o con itinerancia en una red inestable, el código nunca llega y la autenticación caduca. Lo mejor que puede hacer es fijar el tiempo de espera lo bastante largo para dar una oportunidad a un mensaje lento, y mostrar instrucciones de reintento claras cuando falle.

El comercio no envía suficientes datos

La tasa sin fricción de 3DS2 depende de que el banco tenga una imagen de riesgo rica. Un proveedor de pagos que solo reenvíe el mínimo imprescindible (número de tarjeta, importe, divisa) tendrá más desafíos que uno que envíe la huella completa del navegador, los datos de dirección, la antigüedad de la cuenta y el historial de compras previo. Compruebe qué está enviando realmente su proveedor: la diferencia entre una tasa sin fricción del 60 % y del 90 % está sobre todo en los campos de datos.

Los pagos recurrentes activan la SCA cuando no deberían

Una renovación de suscripción marcada incorrectamente como una transacción iniciada por el cliente recibirá un desafío, y el cliente no está en el proceso de pago para responder, así que falla. La solución es un marcado correcto de MIT y una referencia de credencial guardada del primer pago autenticado. Si esto se hace mal, pierde suscriptores en silencio.

La lógica de enrutamiento por BIN del comercio se lía

Algunos comercios intentan saltarse 3DS para las tarjetas emitidas fuera de la jurisdicción de SCA (las tarjetas estadounidenses, por ejemplo, donde no hay un mandato equivalente). Las reglas de enrutamiento a veces fallan y se saltan 3DS también para las tarjetas europeas. Los emisores entonces rechazan esas autorizaciones bajo la normativa de SCA, y el comercio culpa a un "comportamiento raro del emisor" en lugar de a su propio enrutamiento.

Frente a otros métodos de autenticación

Comparado con las alternativas, 3DS2 se sitúa en un lugar concreto. La tokenización de red reduce el valor de una tarjeta robada para un estafador, pero no autentica a la persona que la presenta. El Servicio de Verificación de Direcciones detecta algunos pedidos malos pero es trivial de burlar una vez que el estafador conoce la dirección de facturación. Las comprobaciones de CVV frenan un tipo de ataque pero no prueban la identidad. El análisis de comportamiento detecta patrones a nivel de comercio pero no traslada la responsabilidad. 3DS2 es el único método generalizado que combina una señal de identidad, un resultado de SCA reconocido por el regulador y un traslado de responsabilidad de las devoluciones de cargo en un solo mecanismo, por lo que la mayoría de los comercios con tarjeta no presente lo ejecutan incluso donde la SCA no es obligatoria.

No está libre de coste. Incluso en las mejores implementaciones, en torno a un 5-10 % de los intentos de autenticación añaden una fricción visible que el cliente no tenía antes. El enfoque correcto es que 3DS2 es una herramienta cuyo lastre de conversión debe ajustarse (mediante exenciones reclamadas, calidad de los datos y una buena interfaz de desafío) hasta que los beneficios de ahorro en devoluciones de cargo y de cumplimiento de SCA superen claramente las ventas perdidas. La mayoría de los comercios no están ni cerca de ese punto de ajuste.

Cómo hacer bien 3D Secure

• Mida tanto la tasa de autenticación como la tasa sin fricción. Si cualquiera de las dos se desliza, tiene un problema que no aparecerá en el informe de devoluciones de cargo hasta dentro de 60-90 días.
• Envíe el máximo de datos que admita su proveedor. Huella del navegador, dirección completa, antigüedad de la cuenta, número de pedidos previos: cada campo aumenta la probabilidad de una aprobación sin fricción.
• Use los códigos ECI/estado correctos en sus reglas de fraude. Un titular con Estado R está siendo rechazado explícitamente por su banco. Trátelo como una señal fuerte.
• No reclame exenciones que no pueda defender. Reclamar la exención por TRA contra una tasa de fraude que no está midiendo de verdad le pasará factura cuando el emisor lo revise.
• Construya un conjunto paralelo de controles para los pagos por teléfono. AVS, comprobaciones de CVV, formación de agentes, verificación por devolución de llamada y, donde el volumen lo justifique, un flujo de captura DTMF conforme a PCI que saque al agente de la ruta de los datos de tarjeta.
• Esté atento a los cambios de protocolo. 3DS 2.3 se está implantando de forma desigual. La hoja de ruta de su proveedor importa.
• Lea sus códigos de devolución de cargo. Si las transacciones autenticadas con 3DS siguen recibiendo devoluciones de cargo por fraude, puede que el emisor esté alegando una discrepancia de CAVV: eso es un problema de procesador o de enrutamiento, no de 3DS.

¿Y la experiencia de cara al consumidor?

Desde el lado del cliente en 2026, la experiencia es invisible la mayor parte del tiempo. Pague online con una tarjeta Visa y el motor de riesgo del banco aprueba en silencio la transacción en segundo plano. Aproximadamente en una de cada diez transacciones recibirá una notificación push de su app bancaria pidiéndole que confirme: pulse el botón verde y el pedido se completa. Los códigos por SMS todavía existen como alternativa para los clientes cuyos bancos no han adoptado la autenticación basada en app, pero son menos comunes que hace tres años. La pantalla de "Verified by Visa" con contraseña estática de 2010 ha desaparecido para casi todo el mundo, aunque muchos clientes todavía llaman a cualquier desafío 3DS "lo de Verified by Visa".

Dónde encaja esto en el producto de Paytia

Para nuestros clientes, 3D Secure / Visa Secure se encarga del lado online. El trabajo de Paytia empieza donde 3DS se detiene: en el teléfono. Damos a los comercios una forma de cobrar pagos con tarjeta en una llamada de voz sin que el agente vea ni oiga los datos de tarjeta: el cliente teclea el número de tarjeta en el teclado del teléfono, nuestro sistema enmascara los tonos DTMF para el agente, y los datos de tarjeta van directos al procesador de pagos conforme a PCI del comercio. No hay autenticación 3DS en un pago por teléfono, pero con el agente fuera de la ruta de los datos de tarjeta, los vectores de fraude telefónico más comunes —fraude del agente, números de tarjeta apuntados, datos de tarjeta grabados en las grabaciones de llamadas— quedan cerrados. Online y teléfono juntos cubren ambos canales: 3DS en el sitio web, Paytia en el teléfono, estafadores sin ningún sitio obvio al que desplazarse.

Preguntas frecuentes

¿Sigue activo Verified by Visa en 2026?

La marca está retirada —Visa la rebautizó como Visa Secure en 2019— pero el protocolo subyacente está más activo que nunca, funcionando como 3D Secure 2 en la mayoría de los pagos con tarjeta online. Todavía verá "VbV" en muchos contratos antiguos y extractos de comercio.

¿Cuál es la diferencia entre Verified by Visa y Visa Secure?

El nombre. Visa Secure es la marca actual de cara al consumidor para la implementación de 3D Secure de Visa. La marca de 2001 a 2019 era Verified by Visa, originalmente ligada al protocolo 3DS 1.0 con contraseña estática. La marca moderna Visa Secure se aplica a los flujos de 3DS 2.x.

¿Se aplica Verified by Visa a los pagos por teléfono?

No. 3D Secure está diseñado para los procesos de pago online. Los pagos por teléfono son transacciones MOTO y la normativa de SCA los excluye explícitamente. La contrapartida es que, sin autenticación 3DS, el comercio carga con la responsabilidad completa de los pagos por teléfono, por lo que los controles de fraude telefónico tienen que ser más estrictos.

¿Activar 3D Secure / Visa Secure perjudicará mi tasa de conversión?

Puede hacerlo, pero una configuración de 3DS2 bien ajustada, con alta calidad de datos y el marcado de exenciones correcto, suele funcionar con más del 90 % sin fricción, así que la mayoría de los clientes nunca ven un desafío. El 10 % restante que sí lo ve tendrá algo de abandono. La comparación correcta es el lastre de conversión frente al ahorro en devoluciones de cargo más el valor del cumplimiento de SCA.

¿De qué me protege en realidad el traslado de responsabilidad?

Las transacciones 3DS autenticadas correctamente trasladan la responsabilidad de las devoluciones de cargo en disputas codificadas como fraude (códigos de motivo de Visa 10.4 y 10.5) del comercio al banco emisor. No cubre las disputas que no son fraude: mercancía no recibida, distinta a la descrita, quejas de facturación recurrente, disputas de reembolso. En torno a un tercio de las devoluciones de cargo con tarjeta no presente están codificadas como fraude.

¿Necesitan los comercios estadounidenses ejecutar Visa Secure?

No es obligatorio en EE. UU. como la SCA lo es en Europa, pero la mayoría de los comercios estadounidenses con tarjeta no presente lo ejecutan por el traslado de responsabilidad de las devoluciones de cargo. La economía sigue funcionando incluso sin presión regulatoria.

¿Por qué a veces el cliente recibe un desafío y a veces no?

El motor de riesgo del banco emisor decide en cada transacción. Dispositivo conocido, IP conocida, patrón de compra conocido, importe normal: aprobación sin fricción. Dispositivo inusual, dirección de envío nueva, repunte súbito del gasto, pago desde una geografía poco habitual: desafío. Los comercios pueden influir en esto enviando datos más ricos, pero no pueden anular la decisión final del banco.

¿Qué pasa si 3DS falla? ¿Pasa el pago?

Depende de cómo haya configurado el comercio la alternativa. La mayoría de los proveedores le dejan elegir: fallo duro (rechazar la autorización si 3DS no se completa correctamente), fallo blando (intentar la autorización sin 3DS, asumiendo la responsabilidad completa) o reintentar sin 3DS para códigos de fallo específicos. La respuesta correcta depende del apetito de fraude y la sensibilidad a la conversión del comercio.

¿Está 3DS 2.3 disponible en todas partes?

Todavía no. La adopción entre los emisores europeos en 2026 es desigual. La mayoría están en 2.2 con 2.3 implantándose. La mayoría de los proveedores de pagos de los comercios admiten ambas y negocian la versión más alta admitida por ambas partes en tiempo de ejecución, así que esto rara vez es algo que un comercio tenga que gestionar activamente.

Si Verified by Visa es solo para Visa, ¿qué pasa con otras tarjetas?

Cada red tiene su propia marca para el mismo protocolo: Mastercard Identity Check (antes SecureCode), American Express SafeKey, Discover ProtectBuy, JCB J/Secure. Todas funcionan hoy con 3D Secure 2 y se comportan esencialmente igual desde el lado del comercio. Las diferencias están en la marca y en un puñado de casos límite en torno a las reglas de exención y la asignación de códigos de motivo.