CVV
¿Qué es el CVV? Definición y concepto financiero
El CVV (Card Verification Value) es el código de verificación de la tarjeta de 3 o 4 dígitos impreso en tarjetas de crédito y débito. Su función es autenticar operaciones Tarjeta no presente (CNP): compras online, telefónicas o por correo donde la tarjeta no se presenta físicamente.
Este código no se graba en la banda magnética ni en el chip EMV. Si un atacante clona la tarjeta mediante skimming, obtiene el PAN y la fecha de caducidad, pero no el CVV. Esa separación convierte al código de verificación de la tarjeta en la última barrera contra el fraude en ecommerce.
Cada marca de pago usa su propia nomenclatura: Visa lo denomina CVV2, Mastercard emplea CVC2 y American Express lo llama CID. La función técnica es idéntica en los tres casos.
Cómo funciona el CVV
El flujo de verificación en una compra online sigue estos pasos:
- El comercio solicita el CVV junto con el PAN, la fecha de caducidad y el nombre del titular.
- La pasarela de pago transmite los datos al adquirente, que los envía a la red de tarjetas.
- El emisor compara el código recibido con el valor almacenado en sus sistemas y devuelve un resultado de verificación (coincide, no coincide o no procesado).
- Si el código no coincide, la operación se rechaza antes de la fase de autorización.
Existen tres tipos de CVV:
- CVV1 (CVC1): codificado en la banda magnética. Se lee de forma automática en pagos presenciales con datáfono. El titular nunca lo introduce manualmente.
- CVV2 (CVC2): impreso en el reverso de la tarjeta (o en el anverso en American Express). Es el que se solicita en compras online.
- CVV dinámico: se genera a través de la app del banco emisor con una validez de 5 a 10 minutos. Cada operación utiliza un código distinto, lo que anula cualquier dato capturado previamente.
El estándar PCI DSS v4.0, requisito 3.3.1.2, prohíbe expresamente que cualquier entidad que procese pagos almacene el código de verificación de la tarjeta una vez finalizado el proceso de autorización. Esta prohibición aplica a bases de datos, registros de transacciones, archivos de depuración y volcados de memoria.
Impacto normativo y seguridad aplicable
El CVV se clasifica como dato confidencial de autenticación (SAD) según PCI DSS. La normativa diferencia entre datos del titular (PAN, nombre, caducidad) y datos de autenticación sensibles (CVV, PIN, datos de pista completa).
Las obligaciones regulatorias clave son:
- PCI DSS v4.0: los SAD no pueden conservarse tras la autorización, ni siquiera cifrados. Solo los emisores con justificación legítima pueden retenerlos.
- PSD2 y autenticación reforzada (SCA): el CVV por sí solo no cumple SCA. Las compras online en el Espacio Económico Europeo requieren al menos dos factores de autenticación, habitualmente mediante 3-D Secure.
- Real Decreto-ley 19/2018: transpone la PSD2 al ordenamiento español y regula las obligaciones de autenticación reforzada.
La combinación CVV + 3-D Secure desplaza la responsabilidad del fraude (liability shift) del comercio al emisor en caso de chargeback.
Ventajas y desventajas operativas
| Aspecto | Ventaja | Limitación |
|---|---|---|
| Fraude CNP | Bloquea operaciones con datos robados si el atacante no tiene el CVV | No protege frente a ataques de phishing donde el titular facilita el código |
| Conversión | Añade confianza al pago sin fricción excesiva | Algunos titulares no localizan el código y abandonan la compra |
| Cumplimiento PCI | Reduce el alcance PCI al no almacenar SAD tras la autorización | Imposibilita cobros recurrentes solo con CVV. Se requiere tokenización |
| CVV dinámico | Cada código caduca en minutos, eliminando reutilización | Depende del acceso del titular a la app del emisor |
Para cobros recurrentes o suscripciones, la tokenización sustituye al CVV. El token permite procesar cargos sin solicitar el código en cada operación, cumpliendo PCI DSS y manteniendo tasas de aprobación elevadas.