De los pagos MOTO al 3D Secure nativo en voz: cómo PBC 3DS lleva la autenticación reforzada al canal telefónico, elimina el salto innecesario al pay by link y prepara el Secure Agentic Voice Commerce
Durante décadas, los pagos telefónicos con tarjeta han quedado atrapados bajo una denominación que describe más su pasado que su verdadero potencial: MOTO, Mail Order / Telephone Order.
El término nació para agrupar operaciones remotas en las que el comercio introducía manualmente los datos de la tarjeta facilitados por correo, fax o teléfono. En ese modelo, el banco emisor no tenía suficientes elementos para comprobar que quien ordenaba el pago era realmente el titular de la tarjeta. No existía una autenticación fuerte integrada en la operación y el canal telefónico terminaba asociado a mayores niveles de fraude, disputas y chargebacks.
Pero el problema nunca fue la voz.
El problema era que la industria seguía procesando las operaciones telefónicas con una arquitectura heredada, diseñada antes del comercio electrónico, de la autenticación biométrica, de las aplicaciones bancarias y de EMV 3-D Secure.
Ahora es posible cambiar esa realidad.
ATO — Authentication Telephone Order es la denominación propuesta por Pay by Call para una nueva generación de pagos telefónicos en la que la operación deja de depender únicamente de la posesión de una tarjeta y pasa a incorporar autenticación reforzada del cliente —Strong Customer Authentication o SCA— mediante 3D Secure, sin interrumpir la llamada ni trasladar el pago a una página web externa.
PBC 3DS, tecnología desarrollada por Pay by Call y objeto de solicitudes de patente, convierte la conversación telefónica en un canal de pago autenticado. El usuario puede continuar acompañado por un agente humano, un IVR o un agente conversacional de inteligencia artificial mientras su banco verifica su identidad y autoriza la operación.
No se trata de adaptar el antiguo MOTO.
Se trata de sustituirlo.
El problema no era pagar por teléfono, sino hacerlo sin autenticación
La mala reputación histórica de los pagos MOTO no es completamente injustificada. Las operaciones tradicionales de tarjeta no presente se apoyaban principalmente en datos estáticos: número de tarjeta, fecha de caducidad y código de seguridad.
Si otra persona obtenía esos datos, podía intentar utilizarlos sin necesidad de demostrar de forma sólida que era el titular legítimo.
En 2019, antes de la aplicación generalizada de la autenticación reforzada en Europa, alrededor del 80% del valor del fraude con tarjetas procedía de operaciones de tarjeta no presente, fundamentalmente comercio electrónico y pagos remotos.
Desde entonces, la extensión de SCA y EMV 3-D Secure ha modificado sustancialmente el mapa del riesgo. El informe conjunto publicado en 2025 por la Autoridad Bancaria Europea y el Banco Central Europeo muestra que, durante 2024:
- El fraude total en pagos dentro del Espacio Económico Europeo alcanzó aproximadamente 4.200 millones de euros, un 17% más que en 2023.
- El fraude con tarjetas representó alrededor de 1.300 millones de euros.
- La tasa de fraude de las tarjetas fue aproximadamente del 0,033% del valor procesado.
- En las operaciones realizadas dentro del Espacio Económico Europeo, el fraude en pagos con tarjeta sin SCA fue, tanto por valor como por volumen, aproximadamente el doble que en los pagos autenticados con SCA.
- En operaciones con contrapartes situadas fuera del Espacio Económico Europeo, donde la aplicación de SCA puede no ser obligatoria, el fraude sin autenticación fue aproximadamente tres veces superior por valor y cuatro veces superior por volumen.
- La tasa de fraude en operaciones con tarjetas europeas realizadas fuera del Espacio Económico Europeo llegó a ser alrededor de 17 veces superior a la observada en operaciones nacionales.
Estos datos no significan que SCA elimine completamente el fraude. Ningún mecanismo de seguridad puede hacerlo. Demuestran, sin embargo, que la autenticación reforzada cambia materialmente el perfil de riesgo de una operación remota.
La conclusión es evidente: si la autenticación reforzada ha protegido el comercio electrónico, el siguiente paso lógico es llevarla también a las operaciones que se originan en el canal de voz.
MOTO es una clasificación regulatoria, no una arquitectura de seguridad
En el marco de PSD2, determinadas operaciones iniciadas por correo o teléfono pueden considerarse operaciones remotas no electrónicas y quedar fuera del ámbito obligatorio de SCA. La Autoridad Bancaria Europea ha aclarado, no obstante, que la clasificación depende de cómo se inicia y ejecuta realmente la operación.
Cuando los datos son introducidos manualmente por el comercio, pueden existir escenarios en los que sea necesario aplicar SCA. La propia EBA también ha advertido sobre interpretaciones excesivamente amplias de la excepción MOTO y sobre el riesgo de utilizar esta clasificación para eludir la autenticación reforzada. Entre sus propuestas regulatorias se encuentran una definición más precisa de MOTO, requisitos mínimos de seguridad y una delimitación más estricta de su ámbito.
Esto obliga a distinguir tres conceptos que con demasiada frecuencia se mezclan:
MOTO describe la forma histórica de iniciar determinadas operaciones.
PCI DSS protege los entornos en los que se almacenan, procesan o transmiten datos de tarjetas.
3D Secure y SCA autentican al titular frente a su banco emisor.
Son capas complementarias, no intercambiables.
Una empresa puede proteger correctamente los datos de tarjeta y cumplir PCI DSS, pero seguir procesando una operación sin que el banco haya autenticado al titular. Del mismo modo, una autenticación 3D Secure no sustituye las medidas necesarias para proteger los datos sensibles dentro del contact center, el IVR, la infraestructura tecnológica o los sistemas del comercio.
El PCI Security Standards Council reconoce que los pagos telefónicos presentan desafíos específicos relacionados con las personas, los procesos, la grabación de llamadas, los puestos de los agentes, el trabajo remoto y la transmisión de datos sensibles. Su orientación recomienda reducir al máximo la exposición de los agentes y limitar el alcance del entorno en el que pueden aparecer datos de tarjeta.
La evolución correcta no consiste, por tanto, en elegir entre PCI DSS y 3D Secure. Consiste en combinar:
protección de los datos + autenticación del titular + autorización bancaria + continuidad de la experiencia de voz.
Eso es ATO.
¿Qué es ATO — Authentication Telephone Order?
ATO es una operación de pago remoto iniciada dentro de una interacción telefónica en la que el titular es autenticado por su banco mediante SCA y EMV 3-D Secure, manteniendo la llamada como canal principal de relación, asistencia y ejecución.
En un pago ATO:
- La operación está asociada a un comercio, un importe y un concepto determinados.
- Los datos de pago se capturan en un entorno protegido, evitando su exposición al agente o a los sistemas que no necesitan tratarlos.
- Se genera una solicitud de autenticación 3D Secure vinculada a esa operación.
- El banco emisor analiza el riesgo y decide si puede aplicar un flujo transparente —frictionless— o si debe solicitar una comprobación adicional.
- Cuando se requiere un desafío, el titular se autentica mediante el mecanismo establecido por su banco: aplicación bancaria, biometría, clave, código de un solo uso u otro factor admitido.
- La llamada continúa activa y el usuario sigue acompañado durante el proceso.
- El resultado de la autenticación y de la autorización vuelve al flujo de voz, al agente o al sistema conversacional.
El usuario puede utilizar puntualmente la aplicación de su banco para confirmar la operación si el emisor lo exige. Lo que desaparece es la necesidad de reconstruir el pago en otro canal mediante un enlace enviado por SMS o correo electrónico.
La llamada continúa siendo la sesión transaccional.
3D Secure no significa “tres niveles de seguridad”
EMV 3-D Secure es el protocolo utilizado para intercambiar información de autenticación entre los principales dominios que intervienen en una operación: el entorno del comercio y su adquirente, el banco emisor y la infraestructura de interoperabilidad.
El protocolo permite que el emisor reciba información contextual sobre la operación y realice un análisis de riesgo en tiempo real. Cuando considera suficientes los datos disponibles, puede aprobar una autenticación sin interacción adicional del usuario. Es el denominado flujo frictionless.
Cuando necesita una comprobación adicional, activa un challenge. En ese caso, el usuario puede confirmar su identidad mediante biometría, aplicación bancaria, contraseña, código temporal u otro mecanismo definido por el emisor.
EMVCo explica que EMV 3-D Secure está diseñado para reducir el fraude de tarjeta no presente, admitir SCA y favorecer que las operaciones de menor riesgo se autentiquen mediante flujos transparentes. Las versiones más recientes del protocolo incorporan un mayor número de datos y mecanismos para mejorar la evaluación del riesgo y reducir desafíos innecesarios.
PBC 3DS traslada esta capacidad al contexto telefónico.
No inventa una autenticación paralela ni sustituye al banco. Permite que la operación iniciada en voz participe en el ecosistema 3D Secure y que sea el emisor quien autentique al titular, como sucede en un comercio electrónico.
Por eso es más preciso afirmar que ATO puede proporcionar al pago telefónico el mismo plano de autenticación bancaria utilizado en el e-commerce, no que 3D Secure, por sí solo, garantice una seguridad absoluta en todas las capas de la operación.
Del antiguo MOTO al nuevo ATO
| Elemento | MOTO tradicional | ATO con PBC 3DS |
|---|---|---|
| Inicio de la operación | Llamada, correo, fax o introducción manual | Interacción de voz asociada a una operación concreta |
| Autenticación del titular | Habitualmente basada en datos estáticos | SCA mediante EMV 3-D Secure |
| Intervención del emisor | Principalmente en la autorización | Análisis de riesgo, autenticación y autorización |
| Continuidad del canal | Voz para recopilar datos; pago frecuentemente derivado a otro entorno | La llamada sigue siendo la sesión principal |
| Exposición de datos | Puede implicar acceso del agente o entrada manual | Captura protegida y minimización del acceso |
| Evidencia del consentimiento | Grabaciones, notas o registros fragmentados | Autenticación y trazabilidad vinculadas a la operación |
| Experiencia del cliente | Pago manual o envío posterior de enlace | Pago acompañado en tiempo real |
| Preparación para IA | Limitada y dependiente de procesos manuales | Compatible con agentes de voz que orquestan pagos autenticados |
La denominación ATO no modifica por sí sola la clasificación jurídica de una operación. Esa clasificación dependerá de la implementación concreta, el adquirente, el emisor, las reglas de los esquemas de tarjetas y la normativa aplicable.
El valor de ATO es establecer una arquitectura y un principio inequívocos: una operación telefónica no debería utilizar la ausencia de autenticación como característica definitoria.
El pay by link no incorpora 3D Secure al canal de voz
Durante los últimos años, la respuesta más habitual de la industria a la necesidad de aplicar 3D Secure en una conversación telefónica ha sido enviar un enlace de pago.
El agente interrumpe el proceso, genera una URL y la envía por SMS, correo electrónico, WhatsApp u otro sistema de mensajería. El usuario debe:
- recibir el mensaje;
- identificarlo entre otras notificaciones;
- confiar en el remitente y en el dominio;
- abrir un navegador;
- cargar una página externa;
- localizar o volver a introducir los datos necesarios;
- completar el checkout;
- realizar, cuando proceda, el desafío del banco;
- regresar a la llamada o esperar una confirmación.
El enlace no “pasa el 3D Secure”. El enlace simplemente lleva al usuario a una página web en la que puede iniciarse una operación de comercio electrónico y, dentro de ella, ejecutarse 3D Secure.
Esta diferencia es fundamental.
El pay by link puede ser útil en relaciones asíncronas, facturas enviadas por correo, mensajería, presupuestos o situaciones en las que no existe una conversación en tiempo real. Lo que resulta ineficiente es utilizarlo como respuesta automática cuando el cliente ya está al teléfono, ha manifestado su intención de pagar y está siendo atendido por una persona o por un asistente de voz.
En ese momento, romper el canal significa añadir pasos, aplicaciones, pantallas, esperas y nuevos puntos de abandono.
El abandono no es una impresión: la fricción se puede medir
No existe un indicador público, independiente y universal que mida la tasa de finalización de todos los enlaces de pago. Los resultados dependen del sector, el importe, el plazo de validez, la identidad del remitente, el dispositivo, la relación previa con el comercio y la urgencia de la operación.
Por ello, no sería riguroso afirmar que la tasa general de abandono del comercio electrónico equivale exactamente al abandono de un pay by link enviado durante una llamada.
Sí existen, sin embargo, datos muy sólidos sobre el efecto acumulado de la fricción en los procesos digitales.
Baymard Institute sitúa la tasa media documentada de abandono del carrito de compra online en aproximadamente el 70,22%, a partir de medio centenar de estudios. Entre los motivos indicados por los usuarios se encuentran:
- 19%: falta de confianza para introducir los datos de la tarjeta.
- 18%: proceso de checkout demasiado largo o complicado.
- 15%: errores en la web o bloqueos técnicos.
- 14%: imposibilidad de conocer por adelantado el coste total.
- 10%: falta del método de pago deseado.
- 8%: rechazo de la tarjeta.
Baymard también señala que los checkouts analizados contienen de media alrededor de 11,3 campos de formulario, cuando muchos procesos podrían resolverse con aproximadamente ocho.
Estas cifras proceden del comercio electrónico general, pero permiten entender el problema estructural. Cada salto de canal incorpora nuevas posibilidades de error:
mensaje que no llega, enlace que caduca, página que no carga, usuario que desconfía, cambio de aplicación, pérdida de contexto, tarjeta no disponible, código que se introduce tarde o cliente que decide terminar el proceso después y nunca lo hace.
En una llamada, la intención de pago ya existe. El objetivo no debería ser enviar al usuario a otro lugar, sino permitirle completar de forma segura la acción que ya ha decidido realizar.
El coste oculto de expulsar al cliente de la llamada
La tasa de conversión no es el único indicador afectado por la derivación a pay by link.
Cuando el pago sale de la conversación, la empresa pierde parte del control operacional:
Aumenta la duración total del proceso.
El agente tiene que explicar cómo llegará el enlace, comprobar el número de teléfono o el correo, esperar, verificar el resultado y, en muchos casos, volver a contactar con el usuario.
Se fragmenta la trazabilidad.
La intención aparece en una conversación, el enlace se genera en otra plataforma, la autenticación ocurre en el banco y la confirmación vuelve a un sistema distinto.
Se multiplican los intentos.
Los enlaces pueden no abrirse, caducar o quedar pendientes. Esto obliga a generar nuevos mensajes y produce duplicidades difíciles de interpretar.
Aumenta el riesgo de suplantación.
Los consumidores están habituados a recibir mensajes fraudulentos con enlaces. Cuanto más dependa la industria del envío de URLs para cobrar, más difícil será para el usuario distinguir un pago legítimo de un intento de smishing o phishing.
Se pierde el acompañamiento.
Cuando surge una duda sobre el importe, la factura, el concepto, la tarjeta o el proceso de autenticación, el usuario ya no está operando en el mismo entorno que el agente.
Se reduce la accesibilidad.
No todas las personas tienen la misma capacidad para alternar entre una llamada, un SMS, un navegador y una aplicación bancaria.
ATO evita este desacoplamiento. Mantiene sincronizados la conversación, la intención, la autenticación y el resultado.
La voz continúa siendo un canal esencial
La idea de que todos los usuarios pueden ser obligados a migrar a una web o a una aplicación no se corresponde con la realidad.
En el estudio global State of Customer Experience 2025 de Genesys, realizado a partir de las respuestas de más de 5.200 consumidores y 1.100 responsables empresariales, el 71% de los consumidores declaró que sigue prefiriendo el teléfono cuando necesita ayuda.
Al mismo tiempo, Eurostat indica que únicamente alrededor del 60% de la población de la Unión Europea de entre 16 y 74 años dispone, como mínimo, de competencias digitales básicas. En otras palabras, aproximadamente cuatro de cada diez personas no alcanzan ese nivel.
Incluso en actividades ya muy extendidas, como la banca online, existe una diferencia generacional significativa. En 2025 utilizó banca online alrededor del 61% de los internautas europeos de entre 65 y 74 años, frente a cerca del 78% en los grupos de 25 a 64 años.
España presenta un nivel de uso de Internet muy elevado: en 2025, el 96,3% de las personas de entre 16 y 74 años había utilizado Internet durante los tres meses anteriores. Sin embargo, solamente el 59,6% había comprado online durante ese mismo periodo. Acceso a Internet, autonomía digital y disposición a completar un pago electrónico complejo no son conceptos equivalentes.
La voz sigue siendo especialmente relevante cuando existe:
- una duda que debe resolverse antes de pagar;
- una deuda o factura con información compleja;
- una situación urgente;
- una negociación de importe o calendario;
- una persona con capacidades digitales limitadas;
- un error en el proceso online;
- una necesidad de confianza o acompañamiento;
- una interacción iniciada por un agente, una Administración o un servicio de atención.
Por eso el teléfono continúa siendo difícilmente reemplazable en sectores como Administraciones Públicas, utilities, recobro, seguros, transporte, viajes, salud, donaciones, atención al ciudadano y contact centers.
Administraciones Públicas: pagar no siempre es comprar
El comercio electrónico tradicional parte normalmente de una decisión de compra: el usuario elige un producto, lo añade al carrito y completa un checkout.
En las Administraciones Públicas, el contexto es diferente.
El ciudadano puede llamar para consultar una multa, una tasa, un impuesto, una sanción, un recibo pendiente o el estado de un expediente. La necesidad de pago surge como consecuencia de la conversación y puede requerir explicación previa:
- qué organismo reclama el importe;
- a qué expediente corresponde;
- cuál es el periodo de pago;
- si existe recargo;
- si se admite fraccionamiento;
- qué ocurre después de pagar;
- cómo se obtiene el justificante.
Obligar al ciudadano a abandonar la llamada y localizar otra plataforma puede deteriorar el servicio público, aumentar las consultas repetidas y penalizar precisamente a las personas con menores capacidades digitales.
ATO permite que la Administración mantenga la atención y el acompañamiento, mientras la autenticación financiera permanece bajo el control del banco del ciudadano.
Utilities: la factura y el pago forman parte de la misma conversación
En agua, electricidad, gas, telecomunicaciones y otros servicios esenciales, la llamada suele producirse porque el cliente no entiende una factura, quiere regularizar una deuda, necesita evitar una interrupción del servicio o acaba de acordar un plan de pago.
La intención de pagar aparece cuando la incidencia ha sido explicada.
Ese momento tiene un valor operacional enorme. Si el agente envía un enlace y termina la llamada, la empresa transforma una resolución inmediata en una promesa de pago futura.
ATO permite cerrar el proceso dentro de la interacción, pero sin sacrificar autenticación bancaria. El agente resuelve la cuestión, el cliente confirma el importe, PBC 3DS inicia la autenticación y el resultado vuelve a la conversación.
Recobro: de la promesa de pago al pago autenticado
En recobro, la diferencia entre “voy a pagarlo” y “ya está pagado” determina el resultado de toda la operación.
El envío de un enlace introduce una separación temporal entre la negociación y el cobro. Durante ese intervalo pueden aparecer dudas, interrupciones, falta de saldo, desconfianza, olvido o simplemente pérdida de prioridad.
Con ATO, el pago puede producirse cuando la disposición del cliente es máxima: inmediatamente después de haber acordado la deuda, el importe o el calendario.
La autenticación reforzada aporta además una evidencia más sólida de que el titular participó en la operación, lo que puede reducir disputas posteriores y mejorar la calidad de la trazabilidad.
Salud, seguros y servicios sensibles: seguridad sin deshumanización
En salud y seguros, muchas operaciones no pueden reducirse a un formulario.
El usuario puede necesitar confirmar una cobertura, realizar un copago, abonar una consulta, contratar una ampliación, regularizar una prima o pagar un servicio urgente. Son situaciones en las que la explicación y la confianza son tan importantes como el cobro.
La tecnología no debería forzar una elección entre atención humana y seguridad.
ATO permite combinar ambas: conversación, privacidad, protección de datos de tarjeta, autenticación bancaria y confirmación inmediata.
PBC 3DS: el 3D Secure nativo dentro de la experiencia de voz
PBC 3DS, el método de Pay by Call SL de autentificación nativa en el canal de voz con patente internacional solicitada, parte de un principio sencillo:
El usuario no debería tener que abandonar el canal en el que ha decidido pagar para poder autenticar la operación.
La plataforma mantiene la llamada como hilo conductor y coordina los distintos componentes necesarios:
Contexto transaccional.
La operación está asociada al comercio, al importe y al concepto que se han comunicado al usuario.
Captura protegida.
Los datos de pago pueden introducirse mediante mecanismos seguros del canal de voz, como DTMF enmascarado, evitando que el agente escuche o visualice la información completa.
Solicitud 3D Secure.
PBC 3DS genera la autenticación vinculada a la transacción.
Evaluación del emisor.
El banco decide si autoriza un flujo transparente o exige un desafío.
Autenticación reforzada.
Cuando sea necesaria, el usuario confirma la operación mediante los factores establecidos por su banco.
Continuidad de la llamada.
El agente humano, IVR o agente de IA permanece disponible para orientar al cliente.
Autorización y resultado.
La respuesta se integra nuevamente en el flujo telefónico y puede comunicarse inmediatamente al usuario.
La diferencia frente al pay by link no consiste únicamente en ahorrar un clic. Consiste en evitar la creación de una segunda sesión de pago desconectada de la primera.

La seguridad debe medirse como un sistema completo
Un proyecto ATO no debería evaluarse únicamente por el número de operaciones aprobadas.
Los principales indicadores deberían incluir:
- Porcentaje de clientes que aceptan iniciar el pago durante la llamada.
- Tasa de inicio de autenticación 3D Secure.
- Porcentaje de operaciones autenticadas mediante flujo frictionless.
- Tasa de desafíos completados.
- Tasa de autorización bancaria.
- Conversión total desde la intención hasta el pago confirmado.
- Abandono por cada etapa del proceso.
- Tiempo medio necesario para completar el pago.
- Reintentos y pagos pendientes.
- Fraude, disputas y chargebacks.
- Exposición de los agentes a datos de tarjeta.
- Alcance PCI DSS de la infraestructura del cliente.
- Satisfacción y esfuerzo percibido por el usuario.
- Coste operativo por pago completado.
Esta medición permite comparar dos arquitecturas de manera justa.
No basta con calcular cuánto cuesta enviar un SMS. Hay que determinar cuánto cuesta conseguir un pago completado, autenticado, conciliado y no disputado.
De una excepción heredada a una infraestructura estratégica
La regulación europea de pagos avanza hacia una mayor protección frente al fraude, más responsabilidad en la autenticación y una delimitación más precisa de las excepciones.
El Parlamento Europeo y el Consejo alcanzaron en noviembre de 2025 un acuerdo político provisional sobre el nuevo marco europeo de servicios de pago —PSD3 y el futuro Reglamento de Servicios de Pago—. En mayo de 2026, el texto todavía se encontraba pendiente de adopción formal y publicación definitiva. Entre sus objetivos se encuentran reforzar la prevención del fraude, mejorar la transparencia y adaptar las reglas a la innovación tecnológica.
Más allá de la redacción final, la dirección regulatoria es clara: la industria deberá justificar cada vez mejor por qué determinadas operaciones no se autentican y demostrar que las excepciones no se utilizan para rebajar el nivel de protección.
ATO se sitúa en la dirección contraria a la elusión de SCA.
No trata de preservar una excepción histórica. Trata de llevar la autenticación al canal que hasta ahora carecía de ella.
El futuro no será solamente humano: será conversacional y agéntico
La siguiente transformación ya está en marcha.
Los agentes de inteligencia artificial están evolucionando desde sistemas que responden preguntas hacia sistemas capaces de ejecutar acciones: buscar productos, comparar ofertas, reservar servicios, modificar contratos, gestionar incidencias y preparar pagos.
Visa ha presentado su Trusted Agent Protocol para que los comercios puedan distinguir a los agentes de IA autorizados de los bots maliciosos. Google ha desarrollado Agent Payments Protocol —AP2— para facilitar pagos iniciados por agentes con pruebas verificables de intención y autorización. Mastercard está incorporando capacidades de intención verificable a su entorno Agent Pay. EMVCo creó en 2026 un grupo de trabajo específico para estudiar la autorización del consumidor, la confianza, la privacidad y la interoperabilidad en los pagos agénticos.
EMVCo también ha señalado que tecnologías existentes como EMV 3-D Secure, la tokenización y Secure Remote Commerce pueden desempeñar un papel relevante en el futuro comercio agéntico.
Pero gran parte de esa evolución está siendo diseñada pensando en páginas web, aplicaciones y comercio electrónico visual.
La voz no puede volver a quedarse fuera.
Secure Agentic Voice Commerce
Secure Agentic Voice Commerce es la evolución en la que un agente conversacional puede acompañar, preparar y ejecutar una operación comercial por voz, pero dentro de un marco de consentimiento, autenticación y trazabilidad verificables.
No significa permitir que una inteligencia artificial escuche números de tarjeta y realice cargos de manera autónoma.
Significa construir una secuencia segura:
- El usuario expresa verbalmente una necesidad.
- El agente identifica el servicio, la deuda, la reserva o la operación.
- Explica las condiciones, el importe y el beneficiario.
- Recoge una autorización explícita y verificable.
- Inicia una operación vinculada al importe y al comercio.
- PBC 3DS solicita al banco la autenticación reforzada.
- El titular confirma la operación mediante los factores de su banco.
- El agente recibe únicamente el resultado necesario.
- Se genera una evidencia auditable de la intención, el consentimiento, la autenticación y el resultado.
En este modelo, la IA no sustituye al sistema financiero ni decide unilateralmente cuándo cobrar.
La IA organiza la conversación.
El usuario expresa la intención.
PBC 3DS vincula la autenticación a la operación.
El banco verifica al titular.
El adquirente y el emisor autorizan el pago.
La plataforma conserva la trazabilidad.
Esta separación de responsabilidades será esencial para que el comercio agéntico pueda operar con confianza.
Un ejemplo: pagar una multa mediante un agente de voz
Un ciudadano llama a su Ayuntamiento para consultar una sanción.
Un agente conversacional identifica el expediente, explica el importe, informa del plazo y confirma que el ciudadano desea pagarlo.
En el modelo actual, el sistema podría enviar un enlace por SMS. El ciudadano tendría que abandonar parcialmente la conversación, abrir el mensaje, verificar su legitimidad, acceder a una página, localizar el expediente y completar el checkout.
En un modelo de Secure Agentic Voice Commerce:
- el expediente ya está identificado;
- el importe ya ha sido explicado;
- la intención de pago ya se ha manifestado;
- PBC 3DS inicia la autenticación vinculada a esa operación;
- el banco verifica al titular;
- el pago se autoriza;
- el agente comunica el resultado;
- el ciudadano recibe el justificante.
No se replica el procedimiento en otro canal.
Se protege la operación en el canal donde realmente se está produciendo.
De CX a ejecución autenticada
Durante años, la industria del contact center ha hablado de experiencia de cliente (CX), automatización, reconocimiento del lenguaje, biometría de voz, asistentes virtuales y reducción del tiempo medio de atención.
El pago seguía siendo el punto en el que la conversación se detenía.
El agente podía informar, negociar, resolver y convencer, pero cuando llegaba el momento de ejecutar la operación, el usuario era expulsado a un enlace o a otro proceso.
ATO elimina esa discontinuidad.
Convierte la voz en un canal capaz no solo de conversar, sino de completar una acción financiera autenticada. Y PBC 3DS proporciona la pieza que faltaba para que esa capacidad pueda extenderse desde los agentes humanos hasta los futuros agentes de inteligencia artificial.
Conclusión: la voz no necesita desaparecer; necesita autenticarse
La industria intentó resolver el riesgo de MOTO alejando el pago del teléfono.
Primero recomendó introducir manualmente las operaciones bajo determinadas excepciones. Después intentó trasladar al usuario al comercio electrónico mediante enlaces de pago.
Pero las llamadas no han desaparecido.
Los ciudadanos siguen llamando a las Administraciones.
Los clientes siguen consultando sus facturas.
Las empresas siguen negociando deudas.
Los pacientes siguen necesitando asistencia.
Los viajeros siguen resolviendo incidencias.
Los consumidores siguen recurriendo a la voz cuando una situación es urgente, sensible o compleja.
La solución no consiste en obligarlos a cambiar de canal.
La solución consiste en llevar al canal de voz el mismo ecosistema de autenticación que ha transformado la seguridad del comercio electrónico.
MOTO representaba una operación telefónica sin autenticación reforzada.
ATO representa una operación telefónica autenticada.
Con PBC 3DS, el banco puede verificar al titular mediante SCA y EMV 3-D Secure, la llamada permanece activa y el usuario completa el pago sin tener que reconstruir la operación mediante un enlace externo.
Y cuando los agentes conversacionales comiencen a ejecutar operaciones comerciales en nombre de personas y organizaciones, esa misma infraestructura podrá convertirse en la base del Secure Agentic Voice Commerce.
El futuro del pago telefónico no es abandonar la voz.
Es autenticarla.
Pay by Call no lleva al cliente fuera de la conversación para que pueda pagar. Lleva la seguridad del e-commerce al interior de la conversación.