obOpen Banking Lab
GlosarioSTETBlogContacto
Seguridad

Liability shift

Liability shift (transferencia de responsabilidad por fraude)

Mecanismo de las redes de tarjetas por el que la responsabilidad de un fraude pasa del comercio al banco emisor cuando se ha utilizado 3DS2. Es el principal incentivo económico para impulsar 3DS2.

Ver también:3D SecureSCAChargebackVisa / MastercardCBAcquéreur / ÉmetteurAPP fraud

Definición

El liability shift (traslado de responsabilidad) desplaza la carga financiera de un fraude con tarjeta de un actor a otro según el dispositivo de seguridad empleado.

El caso más conocido: con 3DS2, la responsabilidad de un fraude pasa del comercio (responsable por defecto) al banco emisor. Es el principal incentivo económico para desplegar 3DS2, mucho más potente que la mera obligación de SCA de la DSP2.

La regla básica: quién paga el fraude

Sin ningún dispositivo específico, ante una transacción fraudulenta:

  • el titular es reembolsado por su banco emisor (DSP2 + SCA en el EEE);
  • el emisor emite un contracargo contra el adquirente y el comercio;
  • el comercio soporta, por tanto, la pérdida (importe + comisiones de contracargo).

El liability shift invierte esta última etapa: si se ha utilizado 3DS2 correctamente, el emisor ya no puede emitir un contracargo por fraude y es él quien asume la pérdida.

Los casos de liability shift

  • Comercio electrónico (3DS2): una transacción tramitada con 3DS2 (challenge o frictionless) se traslada al emisor por motivos de fraude; sin 3DS2, el comercio sigue siendo responsable. Una MIT (suscripción) con acuerdo inicial de SCA y el flag correcto también se traslada al emisor.
  • Presencial (EMV): una transacción EMV chip + PIN o EMV NFC se traslada al emisor; una transacción con banda magnética cuando EMV era posible deja al comercio como responsable (el caso de la migración EMV de EE. UU. en 2015).
  • Apple Pay / Google Pay: DPAN tokenizado + SCA biométrica local → el liability shift recae siempre en el emisor, una de las razones de la tasa de fraude tan baja de estas wallets.

Lo que el liability shift no cubre

  • El fraude amistoso (friendly fraud): el titular impugna una compra que realizó realmente — sigue a cargo del comercio.
  • El fraude APP: transferencias autorizadas, fuera del ámbito de la tarjeta, fuera del perímetro.
  • Los demás motivos de contracargo: producto defectuoso, no entregado o suscripción no cancelada siguen a cargo del comercio.
  • Fuera del EEE: 3DS2 es menos sistemático en EE. UU., por lo que allí el traslado es menos automático.

El cálculo económico

Para un comercio con 100 M€ de volumen anual: una tasa de fraude del 0,3 % sin 3DS2 (300 K€ de pérdidas) puede caer, con 3DS2, al 0,05 %, de los que 150 K€ se transfieren al emisor y quedan ~50 K€ residuales (fraude amistoso, fuera del perímetro). Es decir, ~250 K€ de ahorro al año, muy por encima del coste de integración y del ligero abandono de carrito (el frictionless cuesta < 1 % de caída). Por eso los PSP impulsan activamente 3DS2, incluso cuando sería posible una exención de SCA.

La evolución desde el IFR / la DSP2

  • Década de 2010 — liability shift para 3DS1, poco adoptado (UX degradada).
  • 2018+ — la SCA obligatoria en el EEE convierte 3DS2 en el estándar y el liability shift en un mecanismo casi universal en las tarjetas del EEE.
  • 2024+ — Visa y Mastercard endurecen las reglas de los motivos de contracargo para limitar el abuso del fraude amistoso.

Lo que el liability shift no es

  • No es una garantía de fraude cero: el comercio sigue siendo responsable de la calidad del producto, la entrega, las suscripciones y el fraude amistoso.
  • No es un mecanismo de la DSP2: es un mecanismo de las redes, anterior a la DSP2, que la SCA popularizó.
  • No es universal: varía según la red, la jurisdicción y el tipo de tarjeta.
  • No es sin contrapartida: un emisor que sufre demasiado fraude tras el traslado puede endurecer su política (más challenge, menos frictionless).

En el ecosistema PSD2

El liability shift es la alineación económica entre las redes y la SCA de la DSP2: hace racional invertir en 3DS2, incluso sin obligación. También es una palanca de calidad: un ACS demasiado laxo con el frictionless acaba pagando más pérdidas, lo que le incentiva a puntuar bien.

Ejemplos concretos

  • Comercio electrónico con 3DS2: una compra de 200 € en Cdiscount con 3DS2 frictionless; ante un fraude probado, el emisor reembolsa al titular sin poder emitir contracargo — soporta la pérdida.
  • Comercio electrónico sin 3DS2: un comercio que elude 3DS2 sufre un contracargo por fraude que prospera y pierde los 200 €.
  • Migración EMV en EE. UU.: desde octubre de 2015, un fraude con banda magnética cuando EMV era posible se traslada a la parte que no migró — lo que aceleró la migración de los TPV estadounidenses.
  • Apple Pay: una transacción fraudulenta queda a cargo del emisor (DPAN + SCA biométrica), con una tasa de fraude particularmente baja.
  • Fraude amistoso: un progenitor impugna 50 € en Roblox pagados por su hijo — no cubierto, a cargo del comercio.
  • PSP que optimizan: Stripe Radar, Adyen RevenueProtect y Checkout.com añaden un scoring de fraude del lado del comercio para evitar el fraude amistoso y arbitrar entre 3DS2 y exenciones.
  • Coste: el liability shift transfiere cada año varios miles de millones de euros de fraude de los comercios a los emisores en el EEE, que lo compensan con el intercambio y el scoring de riesgo.

Fuentes

Volver al glosario