MOTO (Mail Order/Telephone Order)
¿Qué es un pago MOTO? Definición y concepto financiero
Un pago MOTO (Mail Order/Telephone Order) es una transacción con tarjeta de crédito o débito en la que el titular no está presente físicamente. El cliente facilita los datos de su tarjeta por teléfono, correo postal o fax, y el comercio los introduce manualmente en un TPV virtual para procesar el cobro.
Esta modalidad se clasifica como transacción CNP (Card Not Present): no existe lectura de chip EMV ni autenticación biométrica. La ausencia del plástico eleva el perfil de riesgo y condiciona tanto las comisiones como la responsabilidad ante fraude.
Cómo funciona un pago MOTO
El flujo operativo de una transacción MOTO sigue estos pasos:
- El cliente comunica los datos de su tarjeta: número PAN, fecha de caducidad, CVV y datos de facturación.
- El operador accede al panel del TPV virtual e introduce la información manualmente.
- El procesador envía la solicitud de autorización a la red de tarjetas y al banco emisor.
- El emisor verifica validez, fondos y aplica controles antifraude.
- Si es aprobada, los fondos quedan reservados hasta la liquidación, que suele producirse en 24 a 48 horas.
Un dato clave diferencia a los pagos MOTO del resto de transacciones CNP: la PSD2 los exime expresamente de la autenticación reforzada de cliente (SCA). Al no producirse por un canal electrónico iniciado por el ordenante, no se exige el protocolo 3D Secure. Esta exención reduce la fricción, pero traslada toda la responsabilidad por fraude al comercio y su adquirente.
El Requisito 3.3.1.2 de PCI DSS v4.0 prohíbe conservar el código de verificación de la tarjeta (CVV) una vez finalizado el proceso de autorización. Su propósito es evitar que datos robados en entornos MO/TO permitan ejecutar transacciones fraudulentas.
Impacto normativo y seguridad aplicable en los pagos MOTO
Las transacciones MOTO operan en la intersección de varias normas europeas:
- PSD2 y SCA. El Real Decreto-ley 19/2018, que transpone la PSD2 en España, exige autenticación reforzada en la mayoría de pagos electrónicos. Las operaciones MOTO quedan fuera al no considerarse pagos electrónicos iniciados por el ordenante. El comercio asume el riesgo de fraude sin la verificación del emisor.
- PCI DSS v4.0. Cualquier entidad que reciba datos de tarjeta por teléfono o correo debe cumplir PCI DSS. Los requisitos 3.3.1.1 y 3.3.1.3 exigen que ni los datos de pista completa ni el PIN se conserven tras la autorización. La tokenización es la práctica recomendada para reducir el alcance PCI.
- PBCFT. Los canales MOTO están en el foco regulatorio por la dificultad de verificar la identidad del ordenante en tiempo real.
| Aspecto | Pago MOTO (CNP) | Pago presencial (CP) |
|---|---|---|
| Autenticación | Sin SCA ni 3D Secure | Chip EMV o contactless |
| Responsabilidad por fraude | Recae en el comercio | Recae en el emisor |
| Comisiones habituales | Más elevadas (prima de riesgo) | Inferiores |
| Riesgo de contracargo | Alto | Bajo |
| Requisito PCI DSS clave | Prohibido almacenar CVV | Lectura segura vía terminal certificado |
Ventajas y desventajas operativas en MOTO
Ventajas:
- Permite cobrar a clientes sin acceso a Internet o que prefieren el trato telefónico, ampliando la base de compradores.
- Facilita la venta a distancia en sectores como hostelería, reservas turísticas o servicios profesionales.
Desventajas:
- Las comisiones de procesamiento son superiores por la prima de riesgo inherente a las transacciones CNP.
- La responsabilidad por fraude recae íntegramente en el comercio, sin trasladarla al emisor mediante SCA.
- Superar el 0,9 % - 1 % de chargebacks sobre el volumen total puede derivar en sanciones de los esquemas e inclusión en listas restrictivas como MATCH.
- La gestión manual de datos de tarjeta exige un entorno PCI DSS completo, con los costes de certificación y auditoría asociados.