Nunca he oído hablar de que se requieran PIN de tarjetas de crédito para compras en línea. ¿Por qué es esto? ¿No reduciría drásticamente el fraude en línea? Las tarjetas de crédito robadas físicamente no se pueden usar en transacciones en línea si se requiere un PIN.
Considere el modelo de amenaza: hoy en día, un sitio web deshonesto (o uno asumido por un atacante) puede desviar su número de tarjeta de crédito y realizar compras fraudulentas.
Ok, entonces implementamos un PIN, requerido para compras en línea.
El mismo sitio web fraudulento también le pide su PIN y los usa para realizar compras fraudulentas.
El método que utilizan en Europa (IIRC) utiliza el PIN junto con un chip en la tarjeta, lo que impide que el sitio web pueda ceder esa autorización a un atacante. No estoy seguro del método real, pero me imagino que el PIN desbloquea un certificado en el chip y el certificado se utiliza para firmar la transacción.
Lea otras preguntas en las etiquetas authentication banks credit-card fraud