CVV y CVC: qué son y dónde están en tu tarjeta
El CVV (Card Verification Value) y el CVC (Card Verification Code) son dos nombres para el mismo código de seguridad: un número de 3 o 4 dígitos que figura en tu tarjeta bancaria y que sirve para validar compras online y telefónicas. Visa y Mastercard lo imprimen en el reverso con 3 dígitos, mientras que American Express lo coloca en el anverso con 4. Te explicamos qué tipos hay, dónde encontrarlo según tu tarjeta, qué bancos en España ya usan CVV dinámico y cómo protegerlo del fraude.
¿Qué es el CVV o CVC de una tarjeta?
El CVV o CVC es un código numérico de tres o cuatro dígitos que las entidades emisoras imprimen en las tarjetas de crédito, débito y prepago como medida de seguridad. Su función principal es demostrar que el titular tiene la tarjeta físicamente en su poder cuando realiza compras en las que no se presenta el plástico, como las transacciones por internet o telefónicas.
Aunque las siglas cambien según la marca de la tarjeta (CVV en Visa, CVC en Mastercard, CID en American Express…), el código cumple siempre la misma función: verificar la autenticidad de la operación y dificultar el uso fraudulento de los datos en caso de filtración o robo. Por normativa internacional, los comercios online no pueden almacenar este código tras autorizar una transacción, lo que lo convierte en una capa de seguridad adicional al número de tarjeta y la fecha de caducidad.
- Está impreso en la tarjeta y no aparece en la banda magnética ni en el chip.
- Es único para cada tarjeta y cambia si se sustituye por robo, pérdida o caducidad.
- No se utiliza en pagos presenciales con TPV ni en retiradas de efectivo en cajero.
- Su validación corresponde a la entidad emisora, no al comercio.
- Algunos bancos ya lo emiten en formato dinámico, válido solo para una operación.
¿En qué se distinguen CVV1 y CVV2?
Bajo el paraguas del término CVV se engloban en realidad dos códigos distintos según el medio por el que se transmiten. Conocer la diferencia ayuda a entender por qué el CVV no se solicita en pagos presenciales.
- CVV1 o CVC1: código cifrado en la banda magnética de la tarjeta. No es visible al usuario y se transmite automáticamente cuando pasas la tarjeta por un TPV físico. Su función es autenticar el plástico ante el sistema de pagos en el momento de la transacción presencial.
- CVV2 o CVC2: el código impreso en la tarjeta (reverso en Visa y Mastercard, anverso en American Express). Es el que el usuario introduce manualmente en cada compra online o telefónica. Cuando se habla coloquialmente del "CVV de la tarjeta", se hace referencia a este segundo código.
En las tarjetas virtuales o digitales no existe un CVV2 impreso: se consulta directamente en la app del banco emisor, y en muchos casos se genera de forma dinámica para cada operación.
Diferencias entre CVV, CVC, CID y CSC
Aunque los términos suelen usarse como sinónimos, cada red de pago utiliza una denominación distinta para referirse al mismo concepto. Conocer estas equivalencias es útil cuando un comercio te pide un código con un nombre que no aparece literalmente en tu tarjeta.
| Marca | Nombre del código | Dígitos | Ubicación |
|---|---|---|---|
| Visa | CVV2 | 3 | Reverso |
| Mastercard | CVC2 | 3 | Reverso |
| American Express | CID | 4 | Anverso |
| Discover | CID | 3 | Reverso |
Además, en pasarelas de pago internacionales o formularios de comercios fuera de España es habitual encontrar el código bajo nombres como CSC (Card Security Code), CVN (Card Verification Number), CVD (Card Verification Data) o CCV (Card Code Verification). Todos identifican exactamente el mismo número.
Dónde está el CVV o CVC según tu tarjeta
La ubicación del código depende fundamentalmente de la marca de la tarjeta. Aunque la mayoría de tarjetas que circulan en España son Visa y Mastercard, conviene tener en cuenta los matices del resto de marcas y de los nuevos plásticos sin numeración impresa.
En las tarjetas Visa y Mastercard, el CVV2 y el CVC2 son los tres últimos dígitos impresos en el reverso, junto a la banda destinada a la firma del titular. No deben confundirse con los últimos cuatro dígitos del número largo de tarjeta, que también aparecen en algunas presentaciones del reverso por motivos de diseño.
En las tarjetas American Express, el código (CID) son cuatro dígitos impresos en el anverso, generalmente sobre el número de tarjeta y a la derecha. Su ubicación en la cara frontal y su longitud distinta es una particularidad histórica de Amex frente al resto de marcas, y suele ser causa de confusión cuando un usuario introduce solo tres dígitos en formularios genéricos.
En las tarjetas virtuales o sin numeración impresa, como la Tarjeta Aqua de BBVA o las tarjetas digitales de Revolut, N26 o Bunq, el CVV se consulta exclusivamente en la app del banco emisor. En muchos casos el código es dinámico, con una validez limitada de pocos minutos por operación, por lo que no tiene sentido apuntarlo: solo es válido durante la transacción concreta en la que se ha generado.
Para qué sirve el CVV o CVC
El CVV se diseñó originalmente para reducir el fraude en las compras a distancia, es decir, aquellas en las que el comercio no puede verificar visualmente la tarjeta ni exigir una firma. En la actualidad sigue siendo un requisito obligatorio en tres escenarios concretos del comercio digital y telefónico.
- Compras en tiendas online: todo comercio electrónico que opere con tarjetas Visa, Mastercard o American Express está obligado por las redes de pago a solicitar el código durante el proceso de checkout.
- Pagos por teléfono (MOTO): reservas hoteleras, suscripciones, donaciones u otras transacciones gestionadas verbalmente requieren el CVV para autorizarse, aunque cada vez son menos habituales por motivos de seguridad.
- Configuración de pagos recurrentes: al dar de alta una suscripción (Netflix, Spotify, plataformas SaaS…) se introduce una vez para validar la tarjeta, aunque los cobros posteriores se ejecuten sin volver a solicitarlo.
Conviene aclarar que el CVV no se utiliza ni en pagos presenciales con TPV ni en retiradas en cajero. En esos casos la autenticación se realiza con el chip y el PIN o, en el caso del pago contactless, con la simple proximidad y un límite de importe por operación.
El CVV ya no basta por sí solo. Desde la entrada en vigor de la PSD2 en 2021, la mayoría de compras online en España exigen una autenticación reforzada (SCA) mediante dos factores: algo que sabes (PIN, contraseña) y algo que tienes (móvil, biometría). El protocolo 3D Secure es el sistema más extendido para cumplir esa exigencia y suele activarse después de introducir el CVV.
CVV dinámico: bancos que lo ofrecen en España
El CVV dinámico es una evolución del código tradicional impreso: en lugar de un número fijo y permanente, el banco genera un código nuevo para cada operación con una validez limitada a unos minutos. Pasado ese tiempo, el código expira y deja de ser válido aunque alguien lo haya interceptado.
La ventaja de seguridad es evidente. Si un atacante consigue robar los datos completos de una tarjeta con CVV dinámico —por phishing, filtración de un comercio o por un keylogger—, el código capturado solo le permitiría intentar una única operación dentro de la ventana de validez. Tras ese plazo, los datos quedan inservibles sin necesidad de cancelar la tarjeta ni cambiar el IBAN.
- BBVA — Tarjeta Aqua: primera tarjeta del mercado español sin numeración impresa, fecha de caducidad ni CVV en el plástico. El código se consulta desde la app BBVA y tiene una validez de pocos minutos por operación. Disponible en modalidad débito, crédito y prepago.
- Revolut: además de la tarjeta física, permite generar tarjetas virtuales desechables (single-use) que se autodestruyen tras una sola compra, así como tarjetas virtuales recurrentes cuyos datos completos solo son accesibles desde la app.
- Neobancos con tarjeta virtual como N26, Bunq o Trade Republic ofrecen también versiones digitales de la tarjeta cuyos datos completos —incluido el CVV— solo se muestran en la app, reforzando la seguridad frente al CVV impreso estático.
El modelo de CVV dinámico es especialmente recomendable si compras habitualmente en comercios poco conocidos o si has sufrido algún cargo no autorizado en el pasado. Para uso cotidiano en tiendas online consolidadas, el CVV estático combinado con 3D Secure ya ofrece un nivel de seguridad alto.
¿Buscas una tarjeta con CVV dinámico o virtual?
Compara las tarjetas de débito y crédito del mercado español con mayores prestaciones de seguridad, incluyendo CVV dinámico, tarjetas virtuales desechables y notificaciones en tiempo real de cada operación.
Diferencia entre CVV y PIN
Aunque ambos códigos se usan para validar pagos con tarjeta, CVV y PIN son códigos distintos con funciones diferentes que muchos usuarios confunden. Conocer la diferencia ayuda a entender cuándo se solicita cada uno y por qué nunca deben compartirse a través de los mismos canales.
| Aspecto | CVV / CVC | PIN |
|---|---|---|
| Significado | Card Verification Value / Code | Personal Identification Number |
| Dígitos | 3 o 4 | 4 (habitualmente) |
| Ubicación | Impreso en la tarjeta o consultable en la app | Lo elige el titular; no aparece impreso en ningún sitio |
| Cuándo se utiliza | Compras online y telefónicas | Pagos presenciales con TPV y retiradas en cajero |
| Se puede cambiar | No (salvo con una nueva tarjeta) | Sí, en cajero o desde la app del banco |
La regla práctica es clara: el CVV se introduce en pantallas de pago online; el PIN solo se introduce en teclados físicos (TPV o cajero). Si un comercio te pide el PIN para una compra por internet o un cajero te pide el CVV en una retirada, hay una señal clara de fraude y conviene cancelar la operación de inmediato.
Cómo proteger el CVV de tu tarjeta
El CVV es uno de los datos más sensibles de tu tarjeta porque, combinado con el número y la fecha de caducidad, basta para realizar compras online en muchos comercios. Aplicar unas pocas precauciones reduce drásticamente el riesgo de que tus datos acaben siendo utilizados por terceros.
- Introduce el CVV solo en webs con HTTPS y reputación contrastada, comprobando que la dirección coincide exactamente con la del comercio legítimo.
- No fotografíes la tarjeta ni guardes el CVV en notas del móvil, mensajes ni gestores no seguros.
- Activa las notificaciones push o por SMS de tu banco para cada operación con tarjeta, de forma que puedas reaccionar al instante ante un cargo no reconocido.
- Si el plástico tiene el CVV gastado o ilegible, solicita la sustitución de la tarjeta en lugar de apuntarlo en otro soporte.
- Considera usar tarjetas virtuales o con CVV dinámico para compras habituales en comercios poco conocidos o de un solo uso.
Igual de importante es saber identificar las banderas claras de fraude. Estos son los escenarios en los que nunca debes facilitar el CVV de tu tarjeta:
- Tu banco te llama o envía SMS pidiendo el CVV: ninguna entidad solicita ese dato por teléfono o mensajería.
- Un comercio te pide el CVV después de haber pagado, alegando un "problema técnico" con la operación.
- Una web te ofrece "generar un CVV" para una tarjeta o "verificar" tu código: son sitios fraudulentos sin excepción.
- Un cajero o un TPV físico te solicita el CVV: estos dispositivos no lo usan nunca.
- Recibes emails con remitentes que imitan al banco pidiendo "confirmar tus datos" mediante un formulario externo.
El estándar PCI DSS (Payment Card Industry Data Security Standard) prohíbe expresamente a los comercios almacenar el CVV tras autorizar una transacción, aunque sí pueden guardar el número de tarjeta y la fecha de caducidad para suscripciones. Si un comercio te pide reintroducir el CVV en cada pago a pesar de tener la tarjeta guardada, no es un fallo: está cumpliendo la normativa.
Si sospechas que el CVV de tu tarjeta ha quedado expuesto —por una compra en un sitio sospechoso, un correo de phishing o porque has detectado un cargo no autorizado—, contacta inmediatamente con tu banco para bloquear y reemitir la tarjeta. El nuevo plástico llevará un CVV distinto, dejando inservible el código comprometido sin necesidad de cambiar de cuenta ni de IBAN.
Preguntas frecuentes sobre el CVV y CVC
¿Se puede comprar online sin CVV?
En la práctica no. Las redes Visa, Mastercard y American Express obligan a los comercios online a solicitar el CVV en cada transacción para validar la operación. Excepciones puntuales son los pagos recurrentes ya configurados (suscripciones que ya autorizaron la tarjeta) y algunas pasarelas con tokens de pago como Apple Pay o Google Pay, donde el CVV se sustituye por la autenticación biométrica del dispositivo.
¿Las tarjetas de débito tienen CVV?
Sí. Tanto las tarjetas de débito como las de crédito y prepago emitidas por Visa, Mastercard o American Express incluyen un código de seguridad. La función y la ubicación son idénticas: tres dígitos en el reverso (Visa/Mastercard) o cuatro en el anverso (American Express).
¿Por qué algunos sitios no me piden el CVV?
Suele deberse a que el comercio tiene tu tarjeta guardada en un perfil de cliente o se trata de un pago recurrente ya autorizado previamente (Netflix, Amazon Prime, plataformas SaaS…). En el primer pago se introduce el CVV para validar la tarjeta, pero los cobros posteriores se ejecutan sin volver a solicitarlo. También ocurre con métodos como Bizum, que no usan CVV porque no son operaciones con tarjeta.
¿El CVV cambia al renovar la tarjeta?
Sí. Aunque el número largo de tarjeta (PAN) y el IBAN de la cuenta asociada se mantienen, el CVV cambia siempre que se emite un nuevo plástico: por caducidad, por robo, por pérdida o por solicitud del cliente. Es una medida de seguridad para invalidar cualquier código que pudiera haber quedado expuesto con la tarjeta anterior.