tl;dr: El pago sin contacto sin PIN no es más seguro que el chip de contacto sin PIN a menos que estés haciendo una compra en un quiosco automático donde un ladrón puede haber instalado un skimmer en la ranura de la tarjeta.
Respuesta larga:
La principal (y probablemente única) ventaja de seguridad de usar el pago sin contacto en lugar de los contactos para hacer una transacción es que generalmente te protege contra skimmers. Al menos en algunas partes de los Estados Unidos, los skimmers han sido especialmente un problema en las gasolineras (donde el pago casi siempre se hace en la bomba no atendida). Si bien no se puede obtener mucha (o ninguna) información útil con un ataque de hombre en el medio contra los contactos del chip en sí, los atacantes pondrían skimmers encima de las ranuras donde insertas tu tarjeta. Mientras insertas la tarjeta para que la parte legítima de la máquina lea los contactos, el skimmer (diseñado para parecer parte de la ranura legítima de la tarjeta) leería los datos en la banda magnética, que, a diferencia del chip, no es seguro. Los datos de la tarjeta podrían ser utilizados para crear un clon de la tarjeta para usar con la banda magnética.
Irónicamente, en los lugares donde es más probable que ocurran los skimmers, parece que han sido los menos propensos a adoptar el pago sin contacto en los Estados Unidos. Aún a veces me encuentro con bombas de gasolina que no aceptan pagos sin contacto, lo cual me parece insensato.
Por supuesto, las tarjetas de crédito de Estados Unidos casi siempre tienen muy poca responsabilidad del consumidor en caso de compras fraudulentas (creo que la responsabilidad máxima legal es de alrededor de $50, pero en la práctica es $0 para la mayoría de las tarjetas de crédito de Estados Unidos con las que estoy familiarizado). Los bancos de Estados Unidos generalmente te compensarán si ocurren compras fraudulentas en tu tarjeta de débito también, pero, ya que estas afectan directamente a tu cuenta bancaria, el saldo de tu cuenta bancaria se verá temporalmente afectado por las transacciones fraudulentas hasta que el banco revierta el cargo. Esto podría causar que se rechacen otros cargos, incluidos cheques rebotando o transferencias electrónicas de fondos siendo rechazadas por fondos insuficientes (o fallas en retiros de cajeros automáticos, etc.) Con una tarjeta de crédito, tu saldo bancario no se ve afectado hasta que pagues tu factura de la tarjeta de crédito y no se te exige pagar transacciones que estén bajo disputa, incluso si permanecen en disputa cuando llega la fecha de vencimiento de tu estado de cuenta.
Dado que las tarjetas de crédito de Estados Unidos generalmente no requieren un PIN, entonces clonar la tarjeta es suficiente para realizar transacciones con una tarjeta clonada utilizando la banda magnética.
En lo que respecta a la falta de un PIN en sí mismo, a menos que el comerciante realmente tenga un skimmer adjunto a su lector de tarjetas, la única diferencia entre PIN vs. no PIN es la autenticación de dos factores. Es decir, necesitar algo que tienes (la tarjeta) y algo que sabes (el PIN) para hacer una transacción. La autenticación de dos factores significa que incluso si alguien realmente robara tu tarjeta (no solo la clonara), aún así no serían capaces de usarla para hacer compras, incluso con el chip, a menos que también observaran/grabaran cómo escribes el PIN o de alguna manera obtuvieran tu PIN. En particular, el pago sin contacto + sin PIN no es más seguro que el chip de contacto + sin PIN cuando se sabe que el lector de tarjetas no tiene instalado ningún skimmer. Los skimmers son principalmente una preocupación en vendedores de quioscos automáticos no tripulados, no tanto en comerciantes atendidos donde un ladrón instalando un skimmer en el lector de tarjetas típicamente no es un vector de ataque práctico.
En cuanto a la razón de la diferencia, los bancos de Estados Unidos descubrieron hace mucho tiempo que requerir que se introduzca un PIN para usar una tarjeta hacía que la gente usara sus tarjetas con menos frecuencia y/o prefiriera otras tarjetas que no requerían un PIN. Descubrieron que el negocio que estaban perdiendo como resultado de esto superaba con creces la pérdida adicional debido al fraude habilitado por la falta de autenticación de dos factores. Esto se hizo aún más cierto para las transacciones con chips, que no se pueden hacer con tarjetas clonadas. Por lo tanto, los bancos de Estados Unidos en su mayoría optaron por no requerir PIN para transacciones que no fueran avances de efectivo en sus tarjetas (casi universalmente para tarjetas de crédito y eventualmente las tarjetas de débito también se movieron mayormente en esa dirección).
