Desde la entrada en vigor de la DSP2, el panorama de los pagos en línea en Francia se ha estructurado en torno a la autenticación fuerte. Los sitios que parecen funcionar sin 3D Secure no han desaparecido todos, pero su funcionamiento se basa en mecanismos precisos que la regulación enmarca. Medir el nivel de riesgo real de estas transacciones en comparación con los pagos autenticados permite entender lo que está en juego para los consumidores y los comerciantes en 2025.
Tasa de fraude con y sin autenticación fuerte: las diferencias medidas
El informe del Observatorio de la Seguridad de los Medios de Pago (OSMP) proporciona datos útiles para comparar las dos situaciones. La tabla a continuación sintetiza las tasas de fraude documentadas.
Ver también : ¿Qué riesgos para la seguridad del pago sin 3D Secure en Internet?
| Tipo de pago | Tasa de fraude | Observación |
|---|---|---|
| Con autenticación fuerte (3D Secure) | 0,095 % | Recorrido con challenge o frictionless validado |
| Sin autenticación fuerte | 0,358 % | Transacciones exentas o fuera del perímetro SCA |
| Ratio | x 3,8 | Los pagos sin SCA generan casi cuatro veces más fraude |
Este ratio habla por sí mismo. La pregunta que se plantea para los comerciantes que explotan recorridos sin challenge visible se refiere a la naturaleza exacta de la exención de la que se benefician, y su sostenibilidad frente al endurecimiento regulatorio liderado por el Banco de Francia desde noviembre de 2024.
Para comprender mejor los desafíos concretos detrás de estas cifras, un panorama detallado de sitios sin 3D Secure en 2025 permite distinguir los casos de exención legítima de las verdaderas fallas.
Lectura complementaria : Transfers en el ASM Clermont: ¿quiénes son los jugadores objetivo para la próxima temporada?
Exenciones DSP2 y umbrales de activación: el mecanismo detrás de la ausencia de challenge
Un sitio donde el comprador nunca ve una pantalla 3D Secure no es necesariamente un sitio no seguro. Desde 2023-2024, los grandes emisores franceses (BNP Paribas, Société Générale, Crédit Agricole) han desplegado masivamente la autenticación basada en riesgo (RBA), un análisis en tiempo real de más de 100 señales por parte del banco.
El 3DS2 se activa en segundo plano, pero el banco decide no mostrar un challenge cuando el riesgo se considera bajo. El consumidor tiene la impresión de pagar “sin 3D Secure”, cuando el protocolo ha sido efectivamente solicitado.
Los umbrales regulatorios que condicionan la exención
La mecánica DSP2 se basa en reglas precisas para los pequeños montos:
- Compra inferior a 30 euros: exención posible, sin challenge mostrado al cliente
- Tan pronto como se alcanzan cinco pagos consecutivos sin autenticación fuerte, el banco activa obligatoriamente un SCA
- La acumulación de 100 euros de pagos exentos también provoca un desencadenamiento automático de la autenticación
Estos umbrales crean un efecto de cambio. Un consumidor que realiza compras de bajo monto termina por encontrarse con una pantalla de verificación, incluso en un sitio que normalmente es fluido.
Comerciantes con buena puntuación de fraude: un tratamiento diferenciado
Los proveedores de servicios de pago (PSP) permiten a los comerciantes que muestran una tasa de fraude muy baja beneficiarse de exenciones más amplias. Estos comerciantes optimizan sus recorridos en torno a los umbrales DSP2 para reducir la fricción sin salir del marco legal.
Por el contrario, un comerciante cuyo tasa de fraude supera los umbrales establecidos por el OSMP pierde progresivamente sus exenciones. El plan OSMP, desplegado desde noviembre de 2024, acelera esta lógica al eliminar ciertos regímenes excepcionales.
Plan OSMP y fin de los regímenes excepcionales: lo que cambia concretamente
El programa liderado por el Banco de Francia tiene como objetivo reducir el fraude, que alcanzó 1,2 mil millones de euros en 2024 en todos los medios de pago. Varias medidas impactan directamente a los sitios que funcionan sin autenticación visible.
- Fin del DTA (Direct to Authorisation), que permitía a ciertos comerciantes eludir completamente el protocolo 3DS
- Refuerzo de las reglas sobre pagos recurrentes (MIT): las suscripciones y los cargos automáticos están ahora sujetos a controles más estrictos durante el registro inicial de la tarjeta
- Los pagos en un clic con tarjeta registrada deben integrar una verificación periódica de la identidad del portador
La eliminación del DTA representa el cambio más estructurante. Los comerciantes que utilizaban esta vía para ofrecer un recorrido de pago totalmente fluido deben migrar a soluciones compatibles con 3DS2, bajo pena de ver sus transacciones rechazadas por los emisores.
Frictionless 3DS2 contra ausencia total de seguridad: dos realidades distintas
La confusión entre “sin challenge visible” y “sin seguridad” alimenta una percepción errónea del riesgo. El frictionless flow del 3DS2 mantiene una capa de protección invisible para el comprador, basada en el análisis conductual y contextual.
Un sitio realmente desprovisto de cualquier forma de autenticación expone al portador de tarjeta a un riesgo multiplicado por casi cuatro, como muestran los datos del OSMP. Para el comerciante, esta exposición se traduce en una tasa de disputa (chargeback) más alta y una posible degradación de sus condiciones tarifarias con su adquirente.
Por el contrario, un comerciante que adopta el frictionless 3DS2 conserva un recorrido rápido mientras se beneficia de la transferencia de responsabilidad hacia el banco emisor en caso de fraude. El frictionless protege tanto al comerciante como al consumidor, sin añadir fricción perceptible.
La trayectoria regulatoria francesa no deja dudas sobre la dirección tomada. Las transacciones realmente fuera de 3DS se vuelven más raras a medida que el OSMP restringe las condiciones de exención. Para un comprador, la presencia o ausencia de una pantalla de verificación ya no constituye un indicador fiable del nivel de seguridad real de un pago. Lo que importa es la capacidad del comerciante y de su banco para analizar el riesgo en segundo plano, transacción por transacción.