El TPV virtual te lo pintan muy bonito, seguro y sencillo los bancos y las empresas que montan tiendas virtuales. Yo he tenido una tienda virtual y en su día contraté el TPV virtual de Banesto. En un principio muy bien, aunque las comisiones de un 4 y pico por ciento por cada operación las considero abusivas.
Pero a los 6 meses empezaron a llegar reclamaciones de personas que aseguraban no haber hecho ninguna compra y como consecuencia Banesto nos reclamaba el dinero de la operación (pero de devolver la comisión que habían cobrado nada de nada). Puestos en contacto con las personas que habían reclamado al banco, resulta que una estaba en Holanda y otra en EEUU. Explicación a todo esto: Un "listillo" había robado los números de tarjeta y la caducidad a estas personas y había hecho compras en nuestra tienda metiendo estos números. El TPV de Banesto aceptó la operación (porque sólo comprueban que el número de tarjeta y la caducidad sea correcta, pero no la identidad del sujeto que realiza la compra), el "listillo" (que después desapareció del mapa) recibió la mercancía y nosotros nos hemos quedado sin mercancía y sin dinero. En resumen, los TPV virtuales que funcionan con SSL no comprueban que el comprador sea la misma persona que el dueño de la tarjeta, por lo cual carece de la mínima seguridad para el comerciante. Esto se conoce técnicamente como "repudio" de la operación". Esta falta de seguridad está muy bien camuflada en las informaciones que te dan los bancos pero si lees el contrato de TPV pone muy claro que puede haber devoluciones por lo antes comentado.
Existe otro protocolo llamado SET que sí identifica al comprador, pero no se utiliza porque requiere la instalación de un Software (Microsoft Wallet) en el ordenador del cliente y se complica la cosa.
Espero haberos ayudado contando mi mala experiencia.
Moraleja: Son el sistema TPV virtual + SSL los bancos son los cómplices (legales) de los ciberladrones.
Saludos.