Se realiza un pedido en Amazon, se hace clic en “Comprar ahora”, y el pago se procesa sin que se solicite ningún código de seguridad por parte del banco. Sin SMS, sin notificación en la aplicación bancaria. La primera vez, uno se pregunta si la transacción es realmente segura. Este comportamiento, lejos de ser un error, se basa en un mecanismo preciso enmarcado por la regulación europea y por las decisiones técnicas de Amazon.
Exenciones DSP2: el marco regulatorio que permite a Amazon eludir el código
La directiva europea DSP2 impone en principio una autenticación fuerte (SCA) para los pagos en línea. Se deben validar dos factores de tres: algo que se conoce (contraseña, código), algo que se posee (teléfono, tarjeta), o algo que se es (huella digital).
Para profundizar : Por qué la puff seduce cada vez más en el día a día
La misma directiva prevé casos en los que esta verificación puede ser eludida. Se habla de exenciones regulatorias, y Amazon las explota metódicamente para agilizar el proceso de compra. Varias situaciones permiten prescindir de ello:
- Las transacciones de bajo monto, por debajo de un umbral definido por la regulación, no activan sistemáticamente la autenticación fuerte.
- El “merchant whitelisting” permite al cliente declarar a Amazon como comerciante de confianza ante su banco, lo que elimina la verificación para las compras siguientes.
- El análisis de riesgo en tiempo real (Transaction Risk Analysis) permite al emisor de la tarjeta o al proveedor de pagos evaluar el nivel de riesgo y otorgar una exención si la tasa de fraude se mantiene por debajo de los umbrales regulatorios establecidos por la EBA.
Se entiende mejor por qué la doble autenticación en Amazon no se activa en cada pedido. El sistema se basa en un equilibrio entre seguridad y fluidez, enmarcado por la ley.
Para profundizar : Por qué elegir una guía inmobiliaria en línea para optimizar sus búsquedas
Detección de fraude interna en Amazon: lo que reemplaza el SMS de su banco
Si Amazon puede permitirse no activar la verificación bancaria, es porque la plataforma ha desarrollado sus propios mecanismos de detección. El principio es simple: en lugar de solicitar un código en cada compra, Amazon analiza el comportamiento de la cuenta en tiempo real.
El sistema evalúa varias señales antes de validar un pago. La dirección IP utilizada, el dispositivo (ordenador, teléfono), el historial de pedidos, la dirección de entrega, el monto de la transacción. Cuando el perfil de riesgo se considera bajo, el pedido se procesa sin fricciones.
En cambio, una compra desde un nuevo dispositivo, hacia una dirección nunca utilizada, con un monto inusual, activará una verificación. Se puede recibir un SMS, una solicitud de confirmación por correo electrónico, o una notificación en la aplicación bancaria. La activación depende del nivel de riesgo estimado, no solo del monto.
Este modelo tiene una consecuencia directa en la experiencia de compra. Amazon optimiza la conversión al reducir el número de pasos de validación. Menos fricciones significan menos abandonos de carrito, lo que representa una palanca comercial importante para la plataforma.
Fraude y exenciones: el riesgo se desplaza, no la seguridad
La autenticación fuerte ha reducido significativamente el fraude en los pagos en línea sujetos a SCA desde su implementación completa. Los informes de los supervisores europeos confirman esta tendencia. Sin embargo, los intentos de fraude no desaparecen.
Se desplazan hacia las transacciones que precisamente se benefician de las exenciones: pagos de bajo monto, compras con un clic, comerciantes de confianza. Los defraudadores apuntan a los procesos simplificados, aquellos donde no se solicita ningún código. Es un efecto mecánico de la regulación.
La apuesta de Amazon por la fluidez
Amazon invierte en detección interna para compensar este riesgo. El objetivo es mantener una tasa de fraude lo suficientemente baja para seguir beneficiándose de las exenciones DSP2. Si la tasa de fraude supera los umbrales establecidos por la EBA, el banco emisor puede rechazar la exención y exigir sistemáticamente la autenticación fuerte.
El equilibrio es, por lo tanto, frágil. Amazon debe mantener una tasa de fraude baja para conservar sus exenciones regulatorias. Es un círculo: cuanto más efectiva sea la detección interna, menos verificaciones impone el banco, y más fluido permanece el proceso de compra.
Verificación bancaria rechazada en Amazon: qué hacer concretamente
Puede suceder que la verificación se active y falle. La compra se bloquea, el pedido no se procesa. Varias causas son posibles, y las respuestas varían en este aspecto según los bancos y las configuraciones de cuenta.
- El número de teléfono asociado a la tarjeta bancaria ya no está actualizado ante el banco, lo que impide la recepción del código SMS.
- La aplicación bancaria utilizada para validar el pago no está activada o no está actualizada en el teléfono.
- La tarjeta registrada en Amazon ha expirado o ha sido reemplazada sin que la cuenta de Amazon haya sido actualizada.
- El límite de pago en línea de la tarjeta se ha alcanzado o la tarjeta no permite transacciones internacionales.
El reflejo más efectivo es verificar primero los parámetros de seguridad del lado del banco. Actualizar el número de teléfono ante su banco resuelve la mayoría de los bloqueos relacionados con la recepción del código de validación.
Del lado de Amazon
En la cuenta de Amazon, también se puede eliminar y luego volver a registrar el medio de pago. Esta manipulación obliga a una nueva verificación de la tarjeta y reinicia los datos transmitidos al banco en la próxima compra.
La ausencia sistemática de doble autenticación en Amazon no es ni un olvido ni una falla. Es el resultado de un marco regulatorio europeo que prevé exenciones, combinado con un sistema de detección de fraude propio de la plataforma. La seguridad del pago se basa en toda la cadena, desde el banco emisor hasta los algoritmos de Amazon, y no únicamente en un código recibido por SMS.