TarjetaClara.
En este artículo

3D Secure y PSD2: por qué te piden confirmar las compras online

Por Equipo de TarjetaClara · Actualizado el 6 de mayo de 2026
Ilustración del artículo: 3D Secure y PSD2: por qué te piden confirmar las compras online

Compras algo por internet, llegas al pago y, antes de terminar, tu banco te pide confirmar la operación desde la app o con un código. Puede parecer un paso molesto, pero es una de las medidas que más ha reducido el fraude en el comercio electrónico. Detrás está el sistema 3D Secure y una normativa europea llamada PSD2. Te explicamos qué son y por qué te afectan en casi cada compra.

Qué es la PSD2 y de dónde sale todo esto

La PSD2 es la segunda Directiva europea de servicios de pago, que en España se transpuso mediante el Real Decreto-ley 19/2018. Entre otras cosas, esta normativa busca hacer los pagos electrónicos más seguros, y para ello introdujo la obligación de la autenticación reforzada de cliente, conocida por sus siglas en inglés SCA (Strong Customer Authentication).

En la práctica, la SCA es la razón por la que ahora tienes que confirmar muchas compras online en lugar de pagar solo con el número de tarjeta y el CVV.

Cómo funciona la SCA: los 2 de 3 factores

La idea de la autenticación reforzada es sencilla: para demostrar que eres tú quien paga, hay que combinar al menos dos de estos tres factores, que además deben ser de categorías distintas:

FactorQué esEjemplos
Algo que sabesInformación que solo conoces túContraseña, PIN, clave de la app
Algo que tienesUn objeto en tu poderEl móvil, la tarjeta de coordenadas
Algo que eresUna característica física tuyaHuella dactilar, reconocimiento facial

Por eso lo más habitual hoy es confirmar el pago desde la app de tu banco en el móvil (algo que tienes) desbloqueándola con tu huella o tu cara (algo que eres). Con esa combinación se cumple la exigencia de “2 de 3”.

Por qué dos factores y no uno Si un delincuente roba tu contraseña, todavía le faltaría tu móvil o tu biometría para completar el pago. Combinar factores de tipos distintos es lo que hace que la barrera sea tan eficaz.

Dónde encaja 3D Secure

3D Secure es el protocolo técnico que permite aplicar esa confirmación en las compras con tarjeta por internet. Es la “tubería” que conecta al comercio, a tu banco y a la red de pago para verificar que la operación la autorizas tú.

Su versión actual es 3D Secure 2 (también llamada EMV 3DS), más ágil que la primera: en lugar de abrir una ventana incómoda con una contraseña fija, redirige la confirmación a la app de tu banco y, en muchos casos, resuelve la verificación de forma casi transparente. Este sistema está generalizado en el comercio electrónico español desde 2021.

Quizá lo reconozcas por nombres comerciales que cada banco le pone a su pantalla de confirmación, pero por debajo todos hablan el mismo “idioma”: 3D Secure 2.

Las exenciones: cuándo NO te piden confirmar

No todas las compras exigen la doble confirmación. La propia normativa contempla exenciones para no entorpecer pagos de bajo riesgo. Algunas de las más comunes:

  • Pagos de bajo importe: operaciones de hasta 30 € pueden quedar exentas (con límites en el número de pagos o el importe acumulado antes de volver a pedir autenticación).
  • Algunos pagos recurrentes: suscripciones o cargos periódicos del mismo importe, una vez autenticado el primero. Si quieres controlarlos, te ayudamos en la guía de cargos recurrentes y suscripciones.
  • Comercios de confianza: puedes marcar a un comercio como fiable para que tu banco no te pida confirmar cada vez.
  • Análisis de riesgo de la operación: si el sistema considera que el pago es de bajo riesgo, puede no solicitar la autenticación.
Ojo Que un pago quede exento de confirmación no significa que sea sospechoso ni inseguro. La decisión de aplicar una exención la toman el comercio y tu banco según el riesgo; tú no tienes que hacer nada.

Qué hacer si la confirmación falla

A veces el paso de confirmación da problemas y la compra se rechaza. Antes de reintentar el pago una y otra vez, revisa lo siguiente:

  • Comprueba el móvil: que tengas cobertura o wifi, la app del banco actualizada y las notificaciones activadas. La mayoría de fallos vienen de aquí.
  • Revisa el SMS o la notificación: si tu banco confirma por código, asegúrate de introducir el correcto y dentro del tiempo límite.
  • Verifica tus datos de contacto: si el banco te avisa por SMS, el número que tiene registrado debe estar al día.
  • Prueba otro método: otra tarjeta o el pago con el móvil (que ya incorpora su propia autenticación).
  • Si sigue fallando, contacta con tu banco: puede haber un bloqueo temporal por seguridad que solo la entidad puede resolver.
Consejo No reintentes el mismo pago muchas veces seguidas: podrías generar varias **retenciones** temporales del importe. Espera, soluciona la causa y vuelve a intentarlo una vez.

Y si aun así hay un cargo no autorizado

La SCA reduce mucho el fraude, pero ningún sistema es infalible. Si detectas una operación que no reconoces, tienes derecho a reclamarla, y conviene saber que la ley limita tu responsabilidad por operaciones no autorizadas. Te lo contamos en cómo reclamar cargos fraudulentos y en qué hacer si pierdes o te roban la tarjeta.

En resumen

  • La PSD2 (en España, el Real Decreto-ley 19/2018) obliga a una autenticación reforzada (SCA) en los pagos online.
  • La SCA exige al menos 2 de 3 factores: algo que sabes, algo que tienes y algo que eres.
  • Se aplica con el protocolo 3D Secure 2 (EMV 3DS), generalizado en España desde 2021.
  • Existen exenciones (bajo importe hasta 30 €, algunos recurrentes, comercios de confianza), por lo que no siempre te pedirán confirmar.

Contenido educativo, no asesoramiento financiero. Verifica siempre las condiciones y medidas de seguridad con tu entidad.

Espacio publicitario (se activará al configurar AdSense)

¿Te ha resultado útil? Echa un vistazo a más guías.