Cuando el carrito lo llena otro
Los cargos no reconocidos en e-commerce surgen por fugas de tarjetas, brechas en comercios, malware o bases de datos filtradas. A veces el titular conserva la tarjeta física y nunca compartió el PAN, pero aparecen compras online “fantasma”, muchas de ellas escalonadas (una pequeña, otra media, una grande) para probar límites.
Caso realista: tres tiendas, un mismo patrón
A Leire le cargaron 37 €, 189 € y 742 € en tres comercios diferentes en menos de 24 horas. Su banco denegó: “autenticación correcta en comercio”. En la revisión técnica, IP extranjera, dispositivo no habitual y MCC de alto riesgo. No hubo alertas ni fricciones adicionales antes de autorizar.
Qué debe hacer el banco (y la pasarela)
La PSD2 y las Directrices EBA obligan a autenticación reforzada (SCA) y monitorización basada en riesgo. Si hay IP extranjera, importes crecientes, primeras compras en esos comercios o BIN de alto fraude, la entidad (emisora y, en su caso, adquirente) debe elevar fricción limitar o bloquear.
Además, el banco emisor debe alertar al titular y ofrecer medios de bloqueo inmediato. Si no acredita haberlos aplicado proporcionalmente al riesgo, su negativa cojea.
Ciberinvestigación que traduce lo técnico
En INTELISOC reconstruimos la trazabilidad del cargo:
- Operaciones detectadas.
- IP, dispositivo, geolocalización,
- MCC del comercio, historial del cliente y patrones (escalado, horarios).
Contrastamos estos datos con buenas prácticas EBA y políticas de riesgo para demostrar si el banco debía haber exigido reto SCA o frenado.
Jurisprudencia
Los tribunales han ordenado reintegros cuando la entidad no probó medidas adecuadas (SCA efectiva, fricciones ante riesgo) o cuando se permitió fricción cero en operaciones claramente atípicas para el perfil del cliente.
Qué hacer si detectas cargos
- Reporta de inmediato y solicita nº de incidencia.
- Bloquea/renueva la tarjeta.
- Pide expediente técnico (parámetros, IP/dispositivo, alertas enviadas).
- Presenta denuncia y conserva evidencias.
- Encarga un informe de ciberinvestigación para apoyar la reclamación.
Conclusión
Un cargo con “autenticación” no es sinónimo de consentimiento informado. Si el riesgo era alto y no hubo fricción ni alertas, hay base para reclamar. Con INTELISOC, conviertes la jerga técnica en prueba que entiende el juez.
¿Te ha pasado algo parecido? Nuestro equipo de ciberinvestigación puede analizar tu caso y preparar un informe que refuerce la devolución.