El fraude no desapareció tras la implantación del estándar EMV. Simplemente se trasladó, haciendo que el fraude con tarjeta física fuera más difícil y el fraude sin tarjeta física, más fácil. El cambio en la responsabilidad no redujo el fraude. Simplemente modificó dónde se produce y quién lo paga. Para los comerciantes, ese cambio supuso algo más que una simple evolución de los patrones de fraude. Cambió quién asume la pérdida.

¿En qué consiste el cambio de responsabilidad en el sistema EMV?

La norma de responsabilidad EMV establece qué parte es responsable económicamente cuando una transacción resulta ser fraudulenta.

A menudo se habla de «transferencia de responsabilidad por fraude», es decir, la responsabilidad recae en función de cómo se autentifica la transacción. En la práctica, esto determina qué parte es responsable financieramente cuando una transacción resulta ser fraudulenta.

Antes de la implantación del estándar EMV, los emisores solían asumir las pérdidas por fraude. Tras el cambio, la responsabilidad recayó en la parte que utilizaba una tecnología menos segura.

En la práctica:

• Si un comerciante no admite transacciones con chip EMV, será responsable
• Si ambas partes admiten EMV, la responsabilidad suele recaer en el emisor

Esto es lo que se entiende por «transferencia de responsabilidad en las tarjetas de crédito», «transferencia de responsabilidad en los pagos con tarjeta» o «transferencia de responsabilidad en los pagos». 

El objetivo era sencillo: impulsar la adopción de métodos de pago más seguros. 

Entonces, ¿qué implica que la transferencia de responsabilidad se haya producido correctamente? Significa que la transacción se ha autenticado mediante el método requerido y que es el emisor, y no el comerciante, quien se hace responsable de las pérdidas relacionadas con el fraude.

Cómo el cambio en la responsabilidad modificó la responsabilidad por el fraude en los pagos   

El cambio en la responsabilidad no solo modificó quién paga por el fraude, sino que también alteró la forma en que se distribuye el riesgo a lo largo del ciclo de vida de la transacción.

Antes de este cambio, los emisores solían asumir las pérdidas por fraude, y las transacciones podían aprobarse sin que el comerciante asumiera todo el riesgo.

Tras el cambio, la situación varió: si una transacción no se autentifica mediante el método previsto, la pérdida recae en el comerciante, incluso aunque el pago haya sido aprobado. Esto crea una brecha entre la aprobación del sistema y la realidad de la reclamación. 

Desde el punto de vista del sistema, la transacción es válida y está autorizada. Desde el punto de vista del emisor, la situación es más sencilla: el titular de la tarjeta niega el cargo. La responsabilidad se determina en función de la claridad con la que el comerciante pueda vincular al cliente con la transacción, y no de si el pago fue aprobado.

En la práctica, el cambio de responsabilidad determina qué parte es responsable financieramente de una transacción fraudulenta cuando no se utiliza una autenticación adecuada, trasladando la responsabilidad a la parte con controles de seguridad más débiles. 

El fraude con tarjeta presente disminuyó tras la implantación del estándar EMV, mientras que el fraude online aumentó a medida que los atacantes se desplazaban hacia entornos sin verificación mediante chip. En la actualidad, el fraude sin presencia física de la tarjeta representa la mayor parte de las pérdidas por fraude en los pagos, a pesar de que supone una proporción menor del total de transacciones. 

El cambio no facilitó ni dificultó el fraude. Hizo que los comerciantes fueran responsables de lo que ocurre tras la aprobación, razón por la cual muchas pérdidas se detectan más tarde, cuando una transacción completada se convierte en una reclamación. 

Fraude con tarjeta presente frente a fraude sin tarjeta presente tras el cambio de responsabilidad

La responsabilidad depende de cómo se autentifique una transacción, no de si se aprueba o no.

El mayor impacto del cambio de responsabilidad en el marco de la norma EMV se produjo en los lugares donde se cometen los fraudes. En las tiendas físicas, las tarjetas con chip redujeron el fraude por falsificación y disminuyeron la eficacia del skimming, al tiempo que se trasladaba la responsabilidad a los comerciantes que seguían utilizando sistemas obsoletos. Como resultado, el fraude con tarjeta presente se redujo.

En el ámbito online ocurrió justo lo contrario. Las transacciones no cuentan con la verificación del chip y se basan en señales de autenticación menos seguras, lo que facilitó su manipulación y aumentó las tasas de fraude.

Es aquí donde se encuentran actualmente la mayoría de las lagunas en materia de responsabilidad. Las transacciones en línea conllevan un mayor riesgo, por lo que las disputas por transacciones no autorizadas siguen siendo habituales, incluso cuando los pagos se aprueban correctamente.

Traslado de responsabilidad en los pagos en línea (3D Secure)

En las transacciones en línea, el cambio de responsabilidad funciona de manera diferente. En lugar de EMV, depende de métodos de autenticación como 3D Secure (3DS). Cuando se aplica correctamente, se verifica la identidad del titular de la tarjeta durante el proceso de pago, y la responsabilidad puede pasar del comerciante al emisor. Pero esto solo se aplica en condiciones específicas. 

Por lo general, la transferencia de responsabilidad se aplica cuando la autenticación se realiza correctamente y se completa en su totalidad. Si la transacción omite el proceso 3DS, la autenticación falla o no se activa cuando es necesario, el comerciante puede seguir siendo responsable. 

Aunque se transfiera la responsabilidad, siguen existiendo lagunas. La transacción puede seguir siendo objeto de disputa, y el resultado depende de la evaluación del emisor. 3D Secure reduce el riesgo, pero no lo elimina. Al igual que EMV, protege la transacción en un momento concreto. No aborda lo que ocurre tras la autenticación, como la apropiación de cuentas o las disputas posteriores a la compra.

Cómo afecta el cambio de responsabilidad a los comerciantes y a los procesadores de pagos

Para los comerciantes, el cambio en la responsabilidad no se limita al cumplimiento normativo. Se trata de la exposición al riesgo. Incluso cuando las transacciones parecen legítimas, la cuenta puede estar comprometida, el método de pago puede ser válido y la autorización puede ser aceptada. Pero si el titular de la tarjeta impugna el cargo, el comerciante puede seguir siendo responsable.

Aquí es donde se desmoronan las expectativas sobre el traspaso de responsabilidad en los contracargos. La autorización no equivale a protección, ya que la aprobación solo confirma la transacción, no la identidad del cliente que la realiza.

Los procesadores gestionan la transacción. Facilitan la autenticación y el enrutamiento, pero no determinan la responsabilidad en caso de disputa. Esa decisión recae en el emisor, en función de cómo se haya autenticado la transacción. Los emisores evalúan la disputa, y los comerciantes asumen la pérdida si las pruebas son insuficientes. El cambio de responsabilidad modifica quién paga por el fraude. No evita que se produzca la disputa. 

Cómo ayuda la tecnología EMV a prevenir las transacciones fraudulentas

La tecnología EMV reduce el fraude al dificultar la falsificación de las transacciones. Utiliza códigos de autenticación dinámicos y verificación mediante chip, y reduce la dependencia de los datos estáticos de las tarjetas.

Esta medida dificulta considerablemente el fraude por falsificación en entornos físicos. Sin embargo, el estándar EMV tiene sus limitaciones. No protege las transacciones en línea ni evita la apropiación de cuentas ni el fraude interno. Protege la tarjeta, pero no la cuenta.

Cuando falla el cambio de responsabilidad

La transferencia de responsabilidad solo se aplica en determinadas circunstancias. En la práctica, a menudo no funciona. Entre las causas más habituales se encuentran el recurso a transacciones con banda magnética, la falta de autenticación o el hecho de que esta se haya omitido, los datos de la transacción incompletos y las decisiones tomadas por el emisor durante la revisión de la reclamación.

Una vez completada la transacción, la responsabilidad recae de nuevo en el comerciante. Es en esta situación donde se producen muchas pérdidas, no porque la transacción fuera claramente fraudulenta, sino porque no se cumplieron las condiciones necesarias para el traspaso de responsabilidad.

Buenas prácticas para los comerciantes tras el cambio de responsabilidad

El cambio en la responsabilidad civil modificó quién era el responsable. No eliminó el riesgo.

Hoy en día, la mayoría de los fraudes no se producen durante la autenticación, sino después de que se ha concedido el acceso. Por eso los comerciantes deben ir más allá de la aprobación del pago y controlar lo que ocurre a lo largo de todo el ciclo de vida de la transacción.

No confíes únicamente en la autorización. Las transacciones aprobadas pueden acabar convirtiéndose en reclamaciones, sobre todo en casos de suplantación de identidad y de «fraude amistoso», en los que el pago en sí mismo parece legítimo.

Utiliza la autenticación de forma selectiva. Aplica los estándares EMV y 3D Secure cuando el riesgo lo justifique. Un uso excesivo de la autenticación genera fricciones, mientras que un uso insuficiente aumenta la exposición sin reducir realmente las disputas.

Reforzar la supervisión tras el inicio de sesión. La mayor parte del fraude se produce actualmente después de que el cliente se haya autenticado, cuando la sesión se considera fiable y las acciones se benefician de esa confianza.

Haz un seguimiento del comportamiento, no solo de las transacciones. El fraude rara vez se manifiesta como un hecho aislado. Se presenta como una secuencia en la que las acciones se van encadenando a lo largo del tiempo.

Prepárate para las disputas, no solo para la prevención del fraude. Aunque la responsabilidad recaiga en otra parte, las disputas siguen produciéndose. Lo importante es que puedas demostrar la relación del cliente con la transacción de una forma que el emisor acepte.

El objetivo no es detener todas las transacciones de riesgo, sino reducir el número de transacciones válidas que acaban convirtiéndose en disputas más adelante.

En resumen

El cambio de responsabilidad no ha eliminado el fraude. Lo que ha hecho es modificar dónde recae el riesgo y cómo se manifiestan las pérdidas. En el caso de los pagos en tienda, la tecnología EMV ha reducido el fraude por falsificación. En las transacciones en línea, el riesgo ha aumentado y se ha desplazado hacia los comerciantes.

Para que la transferencia de responsabilidad sea eficaz, es fundamental utilizar el método de autenticación adecuado en el momento oportuno. Sin embargo, la mayoría de las pérdidas actuales no se deben a fallos en la autenticación, sino a sesiones consideradas fiables que posteriormente dan lugar a disputas. Es importante comprender dónde recae la responsabilidad. Controlar lo que ocurre antes de que se produzca la devolución es lo que realmente reduce las pérdidas.