¿El pago en línea con tarjeta de crédito equivale a dar al comerciante toda la cartera para que se lleve el dinero que acordamos?

Question

Tengo curiosidad por saber cómo funcionan las tarjetas de crédito.

Cuando hace una transferencia bancaria es usted quien le dice a su "cuenta bancaria" qué cantidad debe enviar y a dónde debe enviarla. Cuando pagas con tarjeta de crédito parece lo contrario. Usted da todos los datos necesarios de la tarjeta al comerciante para que pueda sacar de su cuenta el importe facturado.

¿Es así como funciona? Siempre he pensado que es así, pero hace poco hablé de este proceso con alguien y le pareció una locura. Está seguro de que la cantidad de dólares también forma parte del proceso (lo que significa que el banco sólo permitiría cobrar esta cantidad a mechant) y que los comerciantes no pueden, técnicamente, cobrar más. ¿No es el importe de la venta un número que simplemente se introduce en una máquina de procesamiento de pagos, pero que no forma parte de la transacción específica desde el punto de vista técnico, como en el ejemplo de la transferencia bancaria? ¿el comerciante puede cobrar técnicamente las cantidades que quiera sin tener en cuenta el "importe del carro de la web" al confirmar el pago?

Answer 1

Dos palabras clave que puede buscar son autorización y asentamiento .
Stripe tiene una explicación detallada del proceso.

Brevemente:

• El comerciante podría guardar los datos de su tarjeta de crédito para reutilizarlos posteriormente.
  Hacerlo sin tu consentimiento viola muchas leyes y contratos, pero no hay ningún obstáculo técnico para hacerlo una vez que has enviado todos los datos de tu tarjeta.

• Para una transacción determinada, un comerciante puede presentar un importe mayor para la liquidación que la autorización.

• El comerciante sólo puede liquidar una vez por transacción (a mi entender).

• El dinero que se extrae de tu tarjeta de crédito no es "tu" dinero el que se extrae; es el del emisor el dinero del procesador.
  No pierdes ese dinero si impugnas con éxito la transacción; el emisor En cambio, el procesador lo perderá (si no puede recuperarlo del vendedor). (Edición: Gracias al comentario por la corrección).

Answer 2

Este es el flujo "feliz" de lo que sucede:

1. Usted -> Visa: "Quiero una cuenta en la que pueda usar tu dinero para comprar cosas, y te lo devolveré más adelante con intereses por la comodidad"
2. Visa -> Usted: "Aquí tienes tu tarjeta, puedes tener hasta $A que nos debes, debes hacer un pago mínimo cada mes, y cada mes añadiremos B% de tu saldo en intereses. También es posible que queramos que pague una cuota anual por esta comodidad".
3. Comerciante -> Visa: "Quiero dar a los clientes la comodidad de pagar con tarjeta de crédito".
4. Visa -> Comerciante: "Claro, aquí hay una cuenta. Le cobraremos una comisión por esta comodidad. Debes asegurarte de no abusar de esto y de que todos los cargos son válidos y nosotros procesaremos el pago y te daremos el dinero y nos preocuparemos de recuperarlo del cliente después."
5. Usted -> Comerciante: "Me gustaría comprar con mi tarjeta de crédito, aquí están los detalles".
6. Comerciante -> Visa: "Un cliente quiere usar su tarjeta para hacer una compra por $C. Aquí tiene el número de tarjeta de crédito, la fecha de caducidad, el código postal de facturación y el CV2 para demostrar que nos han dado sus datos para hacer la compra".
7. Visa -> Comerciante: "Ok, reconocemos a este cliente, y su cuenta está al día. La cuenta no sobrepasará el límite. Autorizamos esta transacción. Aquí hay un código de autorización vinculado a la transacción. Vuelva a ponerse en contacto con nosotros cuando la transacción esté totalmente completada y liquide la transacción".
8. Comerciante -> Visa: "Quiero liquidar la transacción, está completa y no hubo cambios después de la autorización (por ejemplo, la propina en un restaurante) por lo que el importe final es efectivamente $C.
9. Visa -> Comerciante: "Ok, todo parece estar en orden, añadiremos esta cantidad menos nuestra comisión de transacción a la cantidad que le debemos y le pagaremos en el plazo previsto".
10. Visa -> Cliente (a través de texto, extracto online o extracto impreso a final de mes): "Usted cargó $A en 'Comerciante' en esta fecha, eso se agregó a su saldo por lo que ahora nos debe eso así como los intereses".
11. Cliente -> Visa: "He visto mi factura y no noto nada fuera de lo normal. Haré mi pago mensual según lo previsto".
12. Visa -> Comerciante: "Aquí está el dinero que le debemos por las transacciones que ha procesado a través de nosotros".

Por lo tanto, se trata de algo que ocurre en los pasos 6 u 8. El problema con sólo "tomar el dinero" es que hay referencias y autorizaciones para todo y el cliente verá la cantidad. Además, ningún dinero cambia realmente de manos en ese instante.

El problema estaría en el paso 11. Si el cliente ve algo raro, como que el importe no es el que pensaba, puede disputar la transacción. Cuando esto ocurra, Visa deducirá esa cantidad más algo así como 20 dólares de la cantidad que te dan en el paso 12, por lo que es posible que nunca veas el dinero, y de hecho deberás Visa dinero por intentar procesar una transacción que el Cliente no aprobó.

La razón por la que el cliente no impugna las transacciones normales es que, de hecho, pidió algo y pulsó el botón o firmó algo (como en un restaurante) que aceptó pagar el importe. El comerciante puede aportar pruebas a Visa de que, de hecho, autorizó la transacción y, si convence a Visa, el importe se añadirá a la factura de su tarjeta de crédito. Si el cliente intentara esto muchas veces para conseguir productos gratis, Visa probablemente cerraría su cuenta, mientras sigue intentando cobrarle la deuda.

Los comerciantes obtienen mejores tarifas si proporcionan más información sobre un mayor número de transacciones y si tienen menores tasas de devolución de cargos. El comerciante que intente defraudar a un solo cliente de esta manera probablemente no conseguirá nada y en realidad le costará dinero. Si intentan hacerlo a gran escala, se les cerrará rápidamente y alguien podría acabar en la cárcel.

Esto está simplificado, por supuesto. Visa es en realidad una red de procesamiento (o podría ser MasterCard, Discover, American Express, o lo que sea), usted tiene en realidad una cuenta con un Banco, y probablemente haya también una capa intermedia para el Comerciante.

Si estás pensando en hacer esto a muy pequeña escala, como crear una cuenta de Stripe y usar una sola tarjeta de crédito robada para cargar todo lo que puedas y salir con el dinero, es probable que nunca lo veas. Hay todo tipo de métricas que estas empresas vigilan, y una sola compra grande para un nuevo comerciante probablemente tardará mucho tiempo antes de que veas el dinero. Es probable que el banco también haga saltar las alarmas y que la transacción sea denegada en el paso 6 por ser sospechosa y que Visa llame o envíe un mensaje de texto al cliente sobre la actividad sospechosa y que su cuenta de comerciante sea cerrada muy rápidamente.

Answer 3

Cuando un comerciante recibe un pedido, envía un mensaje a la tarjeta de crédito, que a su vez lo dirige al banco emisor. Este mensaje incluye el número de tarjeta, el CVV y el importe de la transacción. El banco emisor decide entonces si autoriza la transacción. De hecho, el comerciante puede incluir el importe que quiera en el mensaje, independientemente de la cantidad que se comunique al cliente (aunque hay excepciones, como 3D Secure).

¿No es el importe de la venta un número que simplemente se introduce en una máquina de procesamiento de pagos pero que no forma parte de la transacción específica desde el punto de vista técnico, como en el ejemplo de la transferencia bancaria?

No estoy seguro de lo que quieres decir con esto. El paso del mensaje y el envío de respuestas es la transacción, en lo que respecta a las tarjetas de crédito, por lo que no tiene sentido preguntar si el importe es un número que se introduce, pero no forma parte de la transacción.

La analogía con una cuenta bancaria no es del todo exacta, ya que el dinero no se extrae de su cuenta, sino de la cuenta del banco emisor. El banco emisor le factura entonces, y si la transacción es fraudulenta, usted puede impugnar el cargo. En los casos de fraude, el dinero se toma del banco emisor o del banco del comerciante, no de tu cuenta bancaria.

Answer 4

En la era moderna de la prevención del fraude y la 2FA, las transacciones con tarjetas de crédito son procesadas por el procesador de pagos .

Los procesadores de pago son pocas entidades notablemente confiables. Cuando usted realiza una compra en línea, ocurre lo siguiente:

1. El sitio web del comerciante solicita al procesador de pagos que abra una transacción por un importe de X,XX dólares
2. Su navegador es redirigido al procesador de pagos mediante una URL única vinculada a la compra
3. El procesador de pagos muestra claramente la cantidad requerida en la página web dedicada
4. Un segundo procesador de pagos podría estar involucrado en caso de 2FA. Después de confirmar, podría ser redirigido a un sitio web de terceros que está vinculado a su banco
5. Durante la 2FA, la aplicación móvil/sms del banco probablemente le leerá la cantidad debida
6. Su navegador es redirigido al comerciante con un nuevo token que el comerciante puede utilizar para verificar el pago y entregar la mercancía

Como se dice en esta página web, técnicamente todo es posible, pero no necesariamente factible.

La visualización del importe a pagar en un dispositivo de hardware de TPV no garantiza necesariamente que el importe visualizado se transmita por cable, etc.

En la época de la retroinformática (digamos, 1996...) era habitual introducir los datos de la tarjeta de crédito en comerciante sitio web sin cifrado HTTPS. Por eso había que confiar en el comerciante de la época

Answer 5

Además del aspecto legal que han aportado otras respuestas, muchos sitios ofrecen ahora protección técnica para la compra: durante el pago, después de introducir los datos de la tarjeta, te remiten a un sitio web de autorización de tu propio banco, que es el que ha emitido la tarjeta, donde puedes verificar el importe y autorizar la transacción por cualquier medio definido por tu banco. He visto que esto ocurre con una tarjeta de crédito de un banco brasileño (MasterCard), en la que tuve que introducir mi PIN, y con una tarjeta de débito de un banco portugués (VISA), en la que tuve que hacer un seguimiento desde mi teléfono, con pasos que incluyen SMS 2FA.

Por lo tanto, existe al menos un protocolo de pago en línea muy extendido por las principales marcas de tarjetas de crédito/deuda que sí aplica la autorización. Tal vez no sea tan común como el protocolo basado en la "confianza", pero existe.