Se estimó que las pérdidas globales por fraude de pagos electrónicos en el sector del e-commerce fueron de unos 44.000 millones de dólares en 2024. Pero ¿quién paga cuando una transacción resulta ser fraudulenta? Eso depende de cómo se procesó el pago, qué herramientas de seguridad se utilizaron y qué normas se aplican de manera interna. Ese traspaso de responsabilidad se llama transferencia de responsabilidad y es una pieza importante del sistema de pagos. Por desgracia, muchas empresas no piensan en esto hasta que están en el lado equivocado.
A continuación, explicaremos con exactitud cómo funciona la transferencia de responsabilidad, cuándo se produce y cómo usarla para tu beneficio.
¿Qué contiene este artículo?
- ¿Qué es una transferencia de responsabilidad en el contexto de los pagos con tarjeta?
- ¿Cuándo se produce una transferencia de responsabilidad y quién pasa a ser responsable?
- ¿Cómo afecta la transferencia de responsabilidad a tu estrategia de prevención de fraude?
¿Qué es una transferencia de responsabilidad en el contexto de los pagos con tarjeta?
Una transferencia de responsabilidad define quién es responsable cuando un pago se identifica como fraudulento. Esa responsabilidad puede cambiar según quién en la cadena de pago usó las herramientas de seguridad adecuadas. Se reduce a qué parte no logró asegurar la transacción.
Si una empresa utiliza protocolos de seguridad actualizados, como lectores de chips EMV (Europay, Mastercard y Visa) y 3D Secure (3DS), y aun así se produce un fraude, la responsabilidad, por lo general, se traslada al emisor de la tarjeta. Si la empresa omite esas protecciones, el emisor ya no es responsable. La empresa (o su banco adquirente) se convierte en responsable, desde el punto de vista financiero, del contracargo.
Ese cambio de responsabilidad es intencional. Las redes de tarjetas lo usan para impulsar la adopción de una mejor seguridad. El mensaje es claro: implementa una autenticación más sólida y no serás quien cubra las pérdidas por fraude.
Las normas de la red tarjetas siguen una lógica estricta para evaluar la responsabilidad:
¿Implementó la empresa el método de autenticación disponible?
¿Se procesó la transacción a través del canal adecuado?
Si las respuestas a ambas preguntas son “sí”, la empresa está protegida. En caso contrario, queda expuesta.
¿Cuándo ocurre una transferencia de responsabilidad y quién pasa a ser responsable?
La transferencia de responsabilidad no corresponde a cada transacción. Tiene lugar solo cuando determinadas tecnologías o protocolos son (o no son) utilizados para detectar y prevenir fraudes. Si se cumplen esas condiciones, el riesgo de fraude se transfiere de la empresa al emisor. Si no se cumplen, la empresa es responsable.
A continuación, analizaremos en más detalle cuándo y por qué se produce la transferencia de responsabilidad para diferentes tipos de transacciones.
Transacciones con tarjeta con chip EMV
Si un cliente presenta una tarjeta con chip EMV para el pago, pero la empresa no la procesa usando un lector de chips, la empresa se hace responsable de cualquier fraude vinculado con esa transacción. Esto significa lo siguiente:
Si la empresa no admite chips EMV, pero la tarjeta tiene chip, la empresa (o su adquirente) asume la pérdida.
Si la empresa utiliza un lector de EMV para la tarjeta con chip, es probable que el emisor sea responsable.
Esto no afecta las disputas no relacionadas con fraudes con tarjetas, como reclamos por «producto dañado», y la empresa sigue siendo responsable de ellos.
Transacciones en línea
La transferencia de responsabilidad para los pagos electrónicos o móviles depende, por lo general, de si se utilizó 3DS y si la autenticación tuvo éxito:
Si una transacción se autentica a través de 3DS, la responsabilidad se transfiere al banco del titular de tarjeta.
Si no se usa 3DS, este falla o no está disponible, la empresa es responsable.
Si el titular de tarjeta alega luego que no autorizó el cargo, el emisor es responsable solo si se completó la autenticación. Incluso si la transacción no se autenticó porque el emisor no utiliza 3DS o porque ocurrió un error, la responsabilidad no suele transferirse al emisor.
Transacciones sin contacto y con cartera digital
Muchas carteras digitales (por ejemplo, Apple Pay, Google Pay) califican para la transferencia de responsabilidad debido a cómo están tokenizadas y autenticadas. Estas transacciones a menudo incluyen una prueba criptográfica de que el titular de tarjeta fue verificado usando medidas biométricas o credenciales establecidas en dispositivos. Cuando esa prueba está presente, la responsabilidad, por lo general, se transfiere al emisor.
Transacciones sin opciones de autenticación
No todos los canales habilitan la autenticación, incluidos los pagos de pedidos por correo y pedidos telefónicos (MOTO). En estos casos, la responsabilidad suele recaer la empresa porque la transacción no se puede verificar en tiempo real.
¿Cómo afecta la transferencia de responsabilidad a tu estrategia de prevención de fraude?
La transferencia de responsabilidad es una herramienta para la toma de decisiones. Establece cómo manejas el riesgo, qué medidas de seguridad tomas en el proceso de compra y cómo equilibras la prevención de fraude con la experiencia del cliente.
Te ayuda a decidir cuándo añadir autenticación
3DS te ofrece algo que la mayoría de las herramientas contra el fraude no pueden: protección contra la responsabilidad financiera. Eso lo convierte en una alternativa poderosa, especialmente para transacciones que activan señales de riesgo, como pedidos de alto valor, tarjetas internacionales y clientes primerizos.
Algunos negocios usan 3DS de manera selectiva. Por ejemplo, usarán 3DS en transacciones de riesgo elevado para alejar la responsabilidad de sí mismos, pero no lo usarán en transacciones de bajo riesgo para minimizar la fricción en el proceso de compra y preservar las tasas de conversión. No están tratando a cada cliente como una amenaza, sino están usando transferencia de responsabilidad donde más importa.
Pero, en algunas regiones, el cumplimiento de la normativa requiere el uso de 3DS en todas las transacciones en línea.
Cambia cómo interpretas las puntuaciones de riesgo
Cuando sabes que una transacción tiene transferencia de responsabilidad (porque 3DS tuvo éxito o se usó el chip), podrías decidir aprobarla incluso si hay indicadores de fraude. Por el contrario, si una transacción no califica para transferencia de responsabilidad, es posible que desees intensificar el control. Eso podría significar requerir más verificación, enviarla a revisión manual o bloquearla.
Ofrece una nueva perspectiva sobre el costo del fraude
Una transferencia de responsabilidad exitosa significa que el emisor, no su empresa, absorbe la pérdida, lo que reduce su exposición financiera directa, pero el fraude aún tiene costos indirectos como los siguientes:
Pérdida de inventario.
Manejo de escalada de disputas.
Ser marcado por las redes por tener altas tasas de fraude.
Si bien la transferencia de responsabilidad disminuye el efecto del fraude, no elimina el daño. Aún deseas evitarlo cuando puedas.
Tu estrategia general depende de tu modelo de negocio, perfil de riesgo y geografía. La Unión Europea (UE), por ejemplo, requiere autenticación reforzada de clientes (SCA) para todos los pagos electrónicos, y la autenticación con 3DS actualizada cumple con ese requisito. En los EE. UU. y otras regiones, 3DS es opcional. Eso te da más flexibilidad, pero también más decisiones que tomar. Si operas a nivel global, es probable que termines usando una estrategia híbrida: 3DS donde que se requiera y un enfoque basado en el riesgo en otros lugares.
El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.