Considere el modelo de amenaza: hoy en día, un sitio web deshonesto (o uno asumido por un atacante) puede desviar su número de tarjeta de crédito y realizar compras fraudulentas.
Ok, entonces implementamos un PIN, requerido para compras en línea.
El mismo sitio web fraudulento también le pide su PIN y los usa para realizar compras fraudulentas.
El método que utilizan en Europa (IIRC) utiliza el PIN junto con un chip en la tarjeta, lo que impide que el sitio web pueda ceder esa autorización a un atacante. No estoy seguro del método real, pero me imagino que el PIN desbloquea un certificado en el chip y el certificado se utiliza para firmar la transacción.