TPV Virtual: Guía Técnica y Conversión en PayOk
- TPV Virtual: La Infraestructura Técnica y de Negocio para Escalar tus Pagos Online
- ¿Qué es un TPV virtual y por qué define la rentabilidad de tu negocio hoy?
- El impacto real del TPV virtual en conversión, tesorería y margen
- Arquitectura técnica: cómo funciona el TPV virtual por detrás
- Cumplimiento normativo: PSD2, PCI-DSS v4.0 y 3DS2
- PBCFT y AML en el TPV virtual: la obligación que nadie explica a los comercios
- Seguridad del panel de administración: el riesgo más silencioso del TPV virtual
- Tendencias 2026: lo que viene y no puedes ignorar
- TPV virtual en acción: casos de uso por sector
- Facilitador de pagos vs. modelos tradicionales: por qué la adquirencia premium gana
- Preguntas reales que hacen los comercios sobre el TPV virtual
- ¿Qué es un TPV virtual y cómo funciona exactamente?
- ¿Cuánto cuesta un TPV virtual en España en 2026?
- ¿Es obligatorio el 3D Secure con mi TPV virtual?
- ¿Qué diferencia hay entre pasarela de pago y TPV virtual?
- ¿Cuánto tarda en llegar el dinero de mis ventas?
- ¿Mi empresa necesita certificarse en PCI-DSS por usar un TPV virtual?
- ¿El TPV virtual tiene obligaciones de PBCFT para el comercio?
- El TPV virtual ya no es infraestructura: es ventaja competitiva
- Fuentes y lecturas relacionadas
TPV Virtual: La Infraestructura Técnica y de Negocio para Escalar tus Pagos Online
El problema exacto: La fricción en el checkout destruye márgenes. Si tu pasarela rechaza operaciones legítimas, liquida a T+7 (dependiendo del riesgo) o tu integración no cumple PSD2 y PCI-DSS v4.0, estás pagando un impuesto invisible sobre cada euro que facturas. Como CEO de una entidad regulada por Banco de España, proceso transacciones diarias. Lo que escribo aquí es lo que funciona y lo que destroza márgenes en producción.
Lo que resuelve esta guía: El recurso más completo sobre TPV virtual en español. Con la fórmula técnica, normativa y de negocio que aplico para que cada comercio maximice su tasa de autorización, reduzca su coste de procesamiento y no se exponga a una sanción regulatoria.
Al terminar esta guía dominarás:
- La arquitectura real de un TPV virtual y por qué define tu tasa de autorización
- Cómo aplicar PSD2, SCA, PCI-DSS v4.0 y PBCFT sin destruir la conversión
- El impacto cuantificado en tesorería, margen y flujo de caja
- Por qué la adquirencia premium te ahorra entre un 15% y un 30% sobre los agregadores
- SoftPOS, tendencias 2026 y cómo blindar el panel de administración de tu TPV
¿Qué es un TPV virtual y por qué define la rentabilidad de tu negocio hoy?
Definición técnica: lo que entiende un arquitecto de pagos
Un Terminal Punto de Venta virtual no es un simple formulario de pago. Es un nodo de comunicación cifrada que orquesta el intercambio de mensajes financieros bajo el estándar ISO 8583 o APIs RESTful entre cuatro actores: tu comercio, el banco adquirente, las redes de tarjetas y el banco emisor del comprador.
Sus componentes técnicos obligatorios en 2026:
- Hosted Fields / iframes: Capturan los datos de tarjeta en un entorno aislado del dominio del comercio, eliminando el scope PCI más costoso
- Motor de riesgo: Análisis de velocidad, huella digital del disposito, geolocalización IP y scoring ML en milisegundos
- 3DS Server: Interfaz con el ACS del banco emisor para invocar SCA cuando el riesgo lo justifica
- Tokenización de red: Sustituye el PAN real por un token EMV vinculado al dispositivo y al comercio. El número de tarjeta nunca toca tus servidores
- Webhooks y buses de eventos: Notificaciones asíncronas de servidor a servidor para mantener el ERP sincronizado en tiempo real
Definición de negocio: lo que importa al dueño de comercio
Un tpv virtual de alto rendimiento controla tres métricas que impactan directamente en el beneficio y perdidas del comercio:
- Tasa de autorización: Cada punto porcentual de mejora equivale, en un comercio de 5M€/año, a 50.000 € de ingresos recuperados sin inversión adicional en captación
- Días de cobro (DSO): La diferencia entre T+1 y T+7 en un comercio de 500K€/mes son 116.000 € inmovilizados permanentemente
- Coste de procesamiento: La diferencia entre modelo blended e Interchange++ puede suponer entre 0,3% y 0,8% del volumen en comisiones ahorradas al año
Nuestra Perspectiva: Entidad de Pago regulada, no revendedor tecnológico
Nosotros operamos como Entidad de Pago regulada por el Banco de España (BE 6928) bajo la transposición española de la Directiva PSD2 mediante el Real Decreto-Ley 19/2018 y la Ley 16/2009 de Servicios de Pago.
Cuando un comercio integra el TPV virtual de un facilitador de apgos, hereda automáticamente:
- Salvaguarda de fondos en cuentas segregadas supervisadas por el Banco de España
- Certificación PCI-DSS Nivel 1 del adquirente → Con los campos alojados en el hosting del adquirente, tu alcance PCI se reduce al SAQ-A
- Marco de cumplimiento EBA/GL/2018/05 (reporting de fraude) y EBA/GL/2019/04 (SCA)
- Obligaciones PBCFT bajo la Ley 10/2010
- Protección frente a multas por brechas de datos o incumplimiento de AML/PBCFT
El impacto real del TPV virtual en conversión, tesorería y margen
Benchmarks de industria y datos propios
| Métrica | Proceso a medir de la industria | Con la adquirencia de un payfac |
|---|---|---|
| Tasa de autorización (tarjeta doméstica) | 92% - 95% | 96% - 98% |
| Tasa de autorización (tarjeta internacional) | 82% - 88% | 90% - 94% |
| Tasa de abandono checkout por fricción | 18% - 25% | 8% -12% |
| Ratio de chargebacks (e-commerce retail) | 0,5% - 1,2% | <0,4% |
| Días de liquidación | T+3 a T+7 (dependiendo riesgo del comercio) | T+1 a T+2 (dependiendo riesgo del comercio) |
| Coste procesamiento (blended vs I++) | 1,8% - 2,5% | 1% - 2.9% |
Cómo el TPV virtual reduce el abandono de carrito
El 70% de los carritos se abandonan, y una experiencia de pago deficiente es el culpable en el 20% de los casos. Una mala integración que redirige a una página bancaria anticuada puede hundir la conversión hasta un 20%. Los factores que un TPV virtual mal optimizado amplifica:
- Redirección fuera del dominio: Cada salida del dominio añade una tasa de abandono del 12% - 18%
- SCA innecesaria: Solicitar 3DS en operaciones de bajo riesgo sin motor de exenciones aumenta la fricción sin reducir el fraude
- Falsos positivos: Reglas antifraude demasiado agresivas rechazan compradores legítimos. Un 12% de rechazo en un negocio de 5M €/año bloquea 600.000 € de ventas
- Móvil no optimizado: Más del 70% de las compras online en España se inician o finalizan en móvil
- Métodos de pago insuficientes: No ofrecer Bizum, Apple Pay o Google Pay en 2026 es perder conversión en el segmento más activo del mercado español
Reducir el tiempo de checkout en 1 segundo puede incrementar la conversión hasta un 8%. En un e-commerce de 2M€/año, eso son 160.000€ adicionales de facturación sin tocar el presupuesto de captación.
Caso real: 450.000 € rescatados en un año
En mi etapa de introductor financiero de adquirencia, un e-commerce de electrónica facturando 5 millones de euros anuales operaba con un banco tradicional que les aplicaba una tasa de rechazo del 12% por falsos positivos. Al migrar a una pasarela con reglas de fraude dinámicas y Machine Learning, redujimos esos rechazos al 3%. Resultado: 450.000 € en ventas recuperadas el primer año, sin incrementar ni un euro el presupuesto de marketing.
Efecto directo en el cash flow
Un comercio de 500.000 €/mes con liquidación T+7 tiene 116.000 € permanentemente inmovilizados. Con T+1, ese capital se libera. Al coste medio externo es del 4,5%, la diferencia entre T+1 y T+7 equivale a 5.220 €/año de ahorro financiero implícito para ese volumen. Los agregadores añaden además rolling reserve del 5% - 15% durante 90 - 180 días: para un comercio de 50.000 €/mes, eso son entre 2.500 € y 7.500 € inmovilizados permanentemente sin devengar interés.
Arquitectura técnica: cómo funciona el TPV virtual por detrás
Flujo de datos paso a paso: del checkout a la liquidación
- Iniciación y cifrado (0 - 200ms): El cliente introduce sus datos. Las librerías JS del TPV capturan el payload y lo encriptan vía TLS 1.3 antes de que toque tu servidor. El PAN va directamente a los servidores del adquirente.
- Tokenización (200 - 400ms): El adquirente sustituye el PAN por un Token de Red EMV vinculado al dispositivo y al comercio (Visa Token Service / Mastercard DES). Este token es el que se almacena para suscripciones y one-click.
- Evaluación de riesgo y decisión 3DS (400- 800ms): El motor analiza más de 150 variables: IP, huella del dispositivo, velocidad de escritura, historial del BIN, geolocalización, patrón de compra. Si califica para exención SCA (TRA), continúa sin fricción. Si hay señales de alerta, se invoca 3D Secure 2.2.
- Autorización por las redes de tarjetas (800 - 2.500ms): El mensaje ISO 8583 viaja hasta el banco emisor, que verifica fondos y estado de cuenta. Responde con código de aprobación o denegación específico (05 - Declinación sin razón concreta, 51 - Fondos insuficientes, 54 - Tarjeta caducada…).
- Captura, conciliación y liquidación: La autorización solo bloquea fondos. Al cierre del día, el batch de captura formaliza el cargo, liquidando en la cuenta del comercio en T+1 o T+2 (dependiendo del riesgo del comercio).
Integraciones API y requisitos de infraestructura
REST vs. SDK: cuándo usar cada uno
API REST con Hosted Fields: Máximo control sobre el checkout. Diseñas el formulario, gestionas el flujo, recibes respuestas JSON. El PAN queda aislado en iframes: scope PCI en SAQ-A. Recomendado para volúmenes superiores a 50.000 transacciones/mes o lógica de pago personalizada. Compatible con WooCommerce, Shopify, Magento y PrestaShop mediante módulos plug-and-play para quien no tiene equipo de desarrollo dedicado.
Redirección (Hosted Payment Page): El cliente sale del dominio. Cero scope PCI pero impacto en conversión del 12% - 18%. Solo recomendable cuando la trazabilidad legal prima sobre la conversión.
Webhooks y gestión de eventos críticos
Sin webhooks, dependes de polling o redirección del usuario para confirmar pagos, creando inconsistencias en inventario y contabilidad. Eventos críticos en producción:
- Pago capturado: Cargo confirmado: lanzar fulfillment automático
- Pago fallado: Con código ISO 8583 de declinación para lógica de reintento inteligente
- Chargeback creado: Activar defensa documental en menos de 7 días hábiles
- Devolución procesada: Reconciliar en contabilidad sin intervención manual
Minimización del scope PCI-DSS mediante tokenización
Con la arquitectura de Campos en el hosting + tokenización, el comercio opera bajo SAQ-A independientemente de su volumen: 22 requerimientos, completables internamente sin auditor QSA. Convertimos la tarjeta en un token alfanumérico inofensivo. Tú guardas el token, el banco adquirente custodia el dato sensible en bóvedas criptográficas de grado militar. PCI-DSS v4.0 es obligatorio desde marzo 2025. Cualquier comercio que no haya actualizado sus controles incumple.
Cumplimiento normativo: PSD2, PCI-DSS v4.0 y 3DS2
Obligaciones bajo PSD2 y gestión de exenciones SCA
La Directiva PSD2 obliga a aplicar Autenticación Reforzada de Cliente (SCA) requiriendo dos de tres factores: conocimiento, posesión e inherencia. El éxito operativo radica en el motor de exenciones:
| Exención | Condición | Quién la solicita |
|---|---|---|
| Bajo importe | ≤ 30€ (máx. 5 consecutivas o 100 € acumulados) | Adquirente / Emisor |
| TRA (Transaction Risk Analysis) | Fraude del emisor <0,01%, operación ≤ 500 € | Adquirente |
| Beneficiario de confianza | Cliente ha registrado el comercio en su banco | Emisor |
| MIT - Suscripción recurrente | Primer cobro con SCA, siguientes sin autenticación | Comercio / Adquirente |
| Pago corporativo | Tarjeta de empresa con procesos centralizados | Adquirente |
Con el motor de exenciones, entre el 65% y el 75% de las transacciones se autentican sin fricción visible. Desactivar 3DS para "mejorar la conversión" sin datos sólidos suele traducirse en más fraude y más chargebacks a medio plazo.
Niveles PCI-DSS v4.0 y su impacto económico real
| Nivel | Transacciones/año | Requisito | Coste estimado |
|---|---|---|---|
| Nivel 1 | >6 millones | Auditoría QSA presencial anual + ASV trimestral | 50.000 - 250.000 € |
| Nivel 2 | 1 - 6 millones | SAQ anual + ASV trimestral | 15.000 - 50.000 € |
| Nivel 3 | 20.000 - 1M (e-com) | SAQ anual + ASV trimestral | 5.000 - 15.000 € |
| Nivel 4 | <20.000 (e-com) | SAQ anual recomendado | 500 - 5.000 € |
3DS2: fricción mínima, fraude mínimo, responsabilidad transferida
3D Secure 2.2 transmite más de 150 puntos de datos al banco emisor frente a los 15 de 3DS1. El 65% - 80% de las transacciones se autentican en background sin que el usuario vea ningún pop-up. Cuando hay autenticación, el comercio obtiene transferencia de responsabilidad al emisor en caso de fraude: si el banco autenticó la operación y luego hay chargeback, el banco paga, no tú.
La distinción técnica clave entre 3DS1 y 3DS2 que impacta en tu negocio:
- 3DS1: Redirección obligatoria + OTP por SMS → tasa de abandono del 25% - 40%
- 3DS2: Autenticación en background + biometría nativa (Face ID, huella) → abandono residual del 3% - 8%
- Adicionalmente: El criptograma por transacción que genera 3DS2 valida el origen (token, dispositivo y momento exacto). La red lo verifica antes de autorizar: si falla, la transacción se rechaza por integridad de seguridad
PBCFT y AML en el TPV virtual: la obligación que nadie explica a los comercios
El tema más ignorado en cualquier guía de pagos y uno de los riesgos más graves operativamente. El uso de un TPV virtual no exime al comercio de las obligaciones bajo la Ley 10/2010 de Prevención de Blanqueo de Capitales y Financiación del Terrorismo. Las entidades de pago son sujetos obligados con obligaciones de diligencia debida, monitorización continua y reporte de operaciones sospechosas al SEPBLAC.
Transacciones ilegales de blanqueo de captiales: el riesgo que destruye un MID
Las transcciones sospechosas ocurre cuando un vendedor no declarado al adquirente procesa pagos mediante la cuenta TPV de un comerciante aparentemente legítimo. El GAFI y la EBA lo señalan como uno de los vectores de riesgo de PBCFT de mayor crecimiento en e-commerce.
Las consecuencias para el comercio afectado:
- Congelación inmediata del MID y retención de fondos hasta 180 días
- Inclusión en la lista MATCH de controles de riesgo: imposibilita abrir una nueva cuenta con cualquier adquirente
- Reporte al SEPBLAC con posible expediente sancionador bajo la Ley 10/2010
- Daño reputacional que ningún seguro cubre
Obligaciones concretas del comercio bajo PBCFT
Independientemente del volumen, cualquier comercio con TPV virtual debe:
- Coherencia actividad-declaración: Que los productos reales que vendes, los tickets medios, las jurisdicciones y los métodos de pago usados sean coherentes con lo declarado al adquirente al firmar el contrato
- Monitorización de patrones anómalos: Compras repetidas de alto valor a horas inusuales, desde países no habituales, con tarjetas de múltiples emisores distintos en intervalo muy corto
- No ceder acceso a terceros: Las credenciales del TPV y el MID son intransferibles. Cualquier uso por parte de un tercero no declarado puede interpretarse como transacciones sospechosas
- Documentación societaria actualizada: Escrituras, representante legal, fuente de fondos. Si cambia el administrador o la estructura accionarial, hay que notificarlo al adquirente
Configuración PBCFT para negocios de alto riesgo
En verticales clasificados como negocios de alto riesgo (gambling, gaming online, viajes de alto valor, micropréstamos, exchanges cripto), la configuración debe ser significativamente más estricta:
- 3DS2 obligatorio en prácticamente todas las transacciones, especialmente clientes nuevos y países de mayor riesgo
- Scoring de riesgo multivariable: país de tarjeta, IP, dispositivo, historial del cliente, patrón de compras, BIN
- Velocity checks agresivos: límites dinámicos por operación y por día/mes para clientes nuevos, ampliables con historial
- Onboarding KYC/KYB reforzado para sub-merchants en modelos marketplace
- Acuerdo escrito con el adquirente sobre límites de exposición a chargebacks y protocolos para congelar pagos sospechosos.
Lectura recomendada:Listado de negocios de bajo, medio y alto riesgo en la adquirecia.
Seguridad del panel de administración: el riesgo más silencioso del TPV virtual
La mayoría de las guías de seguridad en pagos se centran en el checkout. Nadie habla del panel de administración del TPV. Es el vector de ataque más silencioso y el que más daño hace cuando se materializa, porque el atacante externo o interno opera con las mismas credenciales que el administrador legítimo.
Las cinco amenazas reales del panel de administración
1. Credenciales compartidas sin MFA: Múltiples empleados con el mismo usuario administrador y sin segundo factor. Un empleado descontento o una credencial comprometida tiene acceso total a devoluciones, cambio de cuenta de liquidación y reglas antifraude. PCI-DSS v4.0 (requisito 8.4.1) exige MFA para todos los accesos sin consola al CDE desde el 31 de marzo de 2025. No es recomendación: es obligación normativa.
2. Modificación de la cuenta de liquidación: Si un atacante cambia la cuenta bancaria de destino de la liquidación, los fondos de días o semanas pueden desviarse antes de que el equipo financiero lo detecte. Sin log de auditoría con marcas de tiempo inmutables, la reconstrucción forense es imposible.
3. Desactivación silenciosa de 3DS: Un acceso no autorizado al panel puede desactivar la autenticación reforzada en todos los pedidos. El fraude sube, los chargebacks se disparan, y cuando el equipo de riesgos lo detecta ya han pasado semanas.
4. Fraude interno en devoluciones: El caso más frecuente es de empleados que procesan devoluciones a sus propias tarjetas. Sin segregación de funciones (quien vende no puede autorizar devoluciones) y sin tokenización visible (que el empleado nunca vea el PAN completo), este fraude puede pasar meses sin detectarse.
5. Ataque skimming tipo Magecart: Vulnerabilidades en el plugin del TPV o en el CMS del e-commerce (WooCommerce desactualizado, Magento sin parches) permiten inyecciones de código JavaScript que roban datos de tarjeta en el navegador del cliente antes del cifrado. Se detectó en más de 500 tiendas online españolas en 2024.
Checklist de seguridad del panel: lo que debes verificar hoy
- MFA activado para todos los usuarios administradores (TOTP o hardware key, nunca solo SMS)
- Usuarios nominales: cada empleado tiene su propio acceso con el mínimo privilegio necesario
- Segregación de funciones: roles diferenciados para ventas, devoluciones, configuración y reporting
- Log de auditoría inmutable: quién accedió, qué cambió, cuándo y desde qué IP
- Alertas automáticas por cambio de cuenta bancaria de liquidación
- Revisión mensual de usuarios activos: baja inmediata de accesos al hacer offboarding de empleados
- Tokenización habilitada: ningún empleado ve el PAN completo en el panel de transacciones
- Plugins y módulos del TPV actualizados con parches de seguridad al día
- Procedimiento formal de respuesta a incidentes que incluya contacto con el facilitador de pagos, banco, clientes afectados y, si procede, AEPD bajo el RGPD
Tendencias 2026: lo que viene y no puedes ignorar
Orquestación de pagos como infraestructura crítica: Centralizar routing, métodos, riesgo, datos y aceptación deja de ser opcional para quien quiera escalar con control. La complejidad ya no es coyuntural: más países, más métodos, más regulación, más canales. Gestionar pagos "pieza a pieza" es un freno real.
Métodos locales consolidados: Bizum, iDEAL, Bancontact, MB Way no son una moda: son comportamiento. Y el comportamiento manda en la conversión. En España, Bizum ha captado el 50% de las operaciones e-commerce vía pagos locales en ciertos emisores. No ofrecerlo en 2026 es incomprensible.
Pagos instantáneos e impacto en liquidez: El Reglamento (UE) 2024/886 de pagos instantáneos obliga a todos los PSP europeos a ofrecer transferencias en menos de 10 segundos al mismo precio que las ordinarias. Esto cambia la gestión de tesorería para comercios que hoy esperan T+3 de sus bancos tradicionales.
IA en fraude, la carrera armamentística: Los atacantes usan IA para crear patrones de comportamiento que imitan usuarios legítimos, hacer deepfakes de voz para saltarse verificaciones telefónicas y generar correos de phishing sin errores. La respuesta no es solo más reglas: es análisis comportamental en tiempo real con modelos entrenados sobre datos propios del comercio.
Comercio agéntico: Los agentes de IA autónomos que completan tareas de compra en nombre del usuario están llegando. Implicación directa para el TPV virtual: la autenticación basada en biometría del usuario humano no vale cuando el agente actúa sin supervisión. Los protocolos de autenticación para transacciones agénticas son el siguiente frente normativo en la EBA.
TPV virtual en acción: casos de uso por sector
E-commerce retail: alto volumen, velocidad y métodos locales
Para el comercio electrónico de consumo, la clave es velocidad y cobertura de métodos. El 70% de los pagos se inician desde móvil. Si tu checkout no es nativo para móvil estás invitando al abandono.
- Técnica: Campos alojados en hosting + one-click pay + Bizum + Apple Pay/Google Pay
- Impacto: Activar Apple Pay en checkout móvil incrementa la conversión entre un 10% y un 22%. Bizum es hoy el segundo método de pago más usado en e-commerce español por debajo de la tarjeta
SaaS y suscripciones: cero abandono involuntario
- Técnica: Archivo de credenciales + tokenización + Account Updater + MIT. El Account Updater actualiza automáticamente los tokens de tarjetas renovadas sin intervención del usuario
- Impacto: Reducción del abandono involuntario del 20% - 35%. En una plataforma de 10.000 suscriptores a 19,90 €/mes, eso es retener 300 - 700 clientes adicionales cada mes
- Dunning: Reintento a 24h, 3 días y 7 días con notificación automática al cliente en cada intento fallido.
Lectura recomendada:Diagrama cómo funcionan los pagos recurrentes
B2B y servicios: Pay-by-Link y reducción del periodo de cobro
- Técnica: Enlace de pago dinámico vía API o panel, incrustado en factura PDF o enviado por WhatsApp/email
- Impacto: Reducción del periodo de cobro de 45 - 60 días a 3 - 7 días. Para una empresa con 500K € de saldo pendiente, esto libera entre 30.000 - 55.000 € de capital circulante permanente
¿Datáfono o TPV virtual? Guía rápida por sector
Si estás evaluando cuándo usar datáfono físico frente a TPV virtual según tu modelo de negocio retail presencial, hostelería, servicios a domicilio tenemos un análisis completo y detallado: TPV virtual vs datáfono: guía definitiva para empresas españolas.
Comparativa de costes reales para un comercio de 500.000 €/año
| Modelo | Ejemplo | Coste por transacción | Coste anual estimado | Liquidación |
|---|---|---|---|---|
| Agregador Blended | Stripe, PayPal | 1,5% - 2,9% + 0,25 € | 8.500 - 15.700 € | T+2 a T+7 |
| Banco tradicional | CaixaBank, BBVA | 0,8% - 1,5% + cuota fija | 6.000 - 0.500 € + cuotas | T+3 a T+5 |
| Adquirente facilitador de pagos | PayOk | 1% - 2,9% + 0,25 € | 5.000 - 9.000 € | T+1 a T+7 (dependiendo riesgo negocio) |
Ventajas del MID dedicado frente al modelo agregador
- Historial propio: Construyes tu historial de riesgo independiente ante las marcas. Con el tiempo: mejores tasas de intercambio y mayor capacidad de exención SCA
- Control de datos: Todos los datos transaccionales son exclusivamente tuyos. Ningún competidor accede a tu volumetría
- Sin contaminación de pool: No compartes riesgo con miles de otros comercios. Un ataque masivo en la red del agregador no te afecta
- Transparencia total: Modelo Interchange++ desglosado: sabes exactamente qué cobra el emisor, qué cobra la red y cuál es el margen del adquirente
Nuestros servicios de TPV Virtual 3D Secure para productos tangibles y TPV Virtual para servicios intangibles están diseñados específicamente para cada tipología de negocio.
Preguntas reales que hacen los comercios sobre el TPV virtual
¿Qué es un TPV virtual y cómo funciona exactamente?
Un tpv virtual es el sistema que gestiona la autenticación, autorización y captura de pagos con tarjeta en entornos digitales. Opera cifrando los datos vía TLS 1.3, tokenizando el número de tarjeta, evaluando el riesgo y comunicando con las redes de Visa/Mastercard y el banco emisor. El ciclo completo desde que el cliente pulsa "Pagar" hasta que el banco confirma dura entre 1,8 y 4,2 segundos.
¿Cuánto cuesta un TPV virtual en España en 2026?
Los agregadores aplican tarifas blended del 1,4% - 2,9% + 0,25 €. Con un payfac tendrás un con ahorro del 15% - 30% para volúmenes superiores a 100.000 €/mes. Una diferencia del 0,2% puede suponer miles de euros al año. Consulta el detalle en nuestra página de tarifas de tpv virtual.
¿Es obligatorio el 3D Secure con mi TPV virtual?
Sí, la PSD2 obliga a aplicar SCA en la mayoría de pagos electrónicos en el EEE. Un motor de exenciones bien calibrado mantiene el 65% - 75% de tus transacciones sin fricción visible. Desactivar 3DS sin datos sólidos suele traducirse en más fraude y más chargebacks a medio plazo.
¿Qué diferencia hay entre pasarela de pago y TPV virtual?
El mercado usa ambos términos indistintamente. Lo operativamente relevante es si el sistema incluye motor de riesgo propio, gestión de exenciones SCA y tokenización de red. Una pasarela sin esas capacidades es solo un canal de comunicación, no una herramienta de optimización de pagos.
¿Cuánto tarda en llegar el dinero de mis ventas?
Los comercios de bajo riesgo reciben liquidación en T+1 (según riesgo del negocio). Los agregadores estándar aplican T+7 más rolling reserves del 5% - 15%. Para un comercio de 200K €/mes, la diferencia implica entre 10.000 € y 15.000 € de capital circulante liberado.
¿Mi empresa necesita certificarse en PCI-DSS por usar un TPV virtual?
Con los campos alojados en el hosting del adquirente, tu alcance PCI se reduce al SAQ-A: 22 requerimientos sin auditor externo. Si manejas datos PAN en tu backend, entras en auditoría QSA con costes de 50.000 €+/año. PCI-DSS v4.0 es obligatorio desde marzo 2025.
¿El TPV virtual tiene obligaciones de PBCFT para el comercio?
Sí. El uso de un TPV virtual no exime al comercio de la Ley 10/2010 de PBCFT. La actividad declarada al adquirente debe coincidir con la realidad. Procesar pagos de terceros no declarados (transaction laundering) puede suponer el cierre del MID, retención de fondos hasta 180 días y reporte al SEPBLAC.
El TPV virtual ya no es infraestructura: es ventaja competitiva
Los comercios que tratan el TPV virtual como un commodity están cediendo margen, velocidad de cobro y datos a sus competidores. Los que lo entienden como palanca estratégica en 2026 dominarán sus mercados en 2028. La arquitectura de pagos es tan crítica como la logística o el marketing de performance.
En PayOk auditamos de forma gratuita tu integración actual: tasa de autorización, coste real de procesamiento, scope PCI, exposición a chargebacks y cumplimiento PBCFT. Sin compromiso. En 48 horas tienes un informe técnico con los puntos de mejora y el impacto estimado en euros.
Fuentes y lecturas relacionadas
Normativa Legal y Regulatoria
- Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
- Ley 16/2009, de 13 de noviembre, de servicios de pago.
- Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
- Banco de España (Supervisión de Entidades de Pago).
- Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero.
Lecturas recomendadas
- Negocios de alto, medio y bajo riesgo en adquirencia: cómo los bancos nos clasifican. (LinkedIn)
- KYC y AML en la adquirencia: cumplimiento y ejemplos prácticos. (LinkedIn)
- 3D Secure explicado: Guía visual del proceso completo. (LinkedIn)
- Chargeback en pagos electrónicos: qué es y por qué es crucial para tu rentabilidad. (LinkedIn)
- Tokenización de Visa: qué es, cómo funciona y ventajas para el comercio. (LinkedIn)
- TPV virtual vs datáfono: La guía definitiva de medios de pago para empresas españolas. (LinkedIn)
- Adquirencia de Pagos: Los Gigantes de España y Europa que Mueven tu Dinero 💸 (YouTube)
- Diagrama flujo de fondos sobre que es un tpv virtual y como funciona.
Dejar un comentario
Su e-mail no será publicado. Los campos obligatorios están marcados.