Explicación de la PSD3: Cambios clave en los pagos de la UE y la banca abierta
Los pagos electrónicos en la UE mueven un valor aproximado de 240 billones de euros cada año. Las normas que rigen todo este proceso se están revisando.
La PSD3, la Tercera Directiva de Servicios de Pago, sustituye por completo a la PSD2. No se limita a actualizar la normativa anterior, sino que la complementa con un Reglamento de Servicios de Pago (RSP) de aplicación directa que elimina las diferencias nacionales que generaban inconsistencias en la PSD2 en los mercados de la UE. Entre los cambios más destacados se incluyen una mayor protección contra el fraude, la estandarización de las API de banca abierta y una regulación explícita de los tokens de dinero electrónico y los servicios de pago con criptomonedas.
En noviembre de 2025 se alcanzó un acuerdo político provisional. Se prevé su publicación en el Diario Oficial de la UE en el segundo trimestre de 2026. Su plena aplicación se producirá alrededor de 2028. El intervalo entre estas fechas es importante: la Directiva sobre Procedimientos de Seguridad (PSR) se aplica 20 días después de su publicación, mucho antes de que los Estados miembros finalicen la transposición de la directiva a su legislación nacional.
¿Qué es PSD3?
La UE ha gestionado su mercado de pagos mediante directivas desde 2007. La PSD1 estableció el marco básico. La PSD2, en 2015, añadió la autenticación reforzada del cliente y el acceso de terceros a través de la banca abierta. La PSD3 es la tercera generación, y supone un cambio estructural mayor que las anteriores.
A diferencia de sus predecesoras, la PSD3 no funciona de forma aislada. Viene acompañada de un Reglamento de Servicios de Pago (RSP) que se aplica directamente en todos los Estados miembros de la UE, sin necesidad de transposición nacional. Con la PSD2, Alemania y Francia implementaron la misma directiva de forma diferente. Las empresas fintech debían comprender cada mercado por separado. Con el RSP, esas diferencias desaparecen: las normas de conducta son idénticas en todas partes.
Otros dos cambios son importantes desde el punto de vista estructural:
- La Directiva sobre Dinero Electrónico (EMD2), que regulaba por separado a las entidades de dinero electrónico, se integra en la PSD3. Las entidades de dinero electrónico se convierten en una subcategoría de entidades de pago dentro de un mismo marco normativo.
- Los tokens de dinero electrónico, es decir, las criptomonedas estables utilizadas para fines de pago, entran por primera vez en la normativa de servicios de pago de la UE.
PSD3 vs PSD2: ¿Qué ha cambiado?
Seis áreas experimentaron actualizaciones de material entre PSD2 y PSD3:
| Área | PSD2 | PSD3 |
|---|---|---|
| Instrumento jurídico | Directiva (transposición nacional) | Directiva + PSR (Reglamento uniforme de la UE) |
| Marco EMI | Directiva EMD2 independiente | Integrado en el marco de la institución de pago |
| Requisitos de la SCA | Categorías de factores estrictos | Principio de independencia; mayor flexibilidad |
| API de banca abierta | Formatos voluntarios, inconsistentes | Especificaciones estandarizadas, informes obligatorios |
| Responsabilidad por fraude de la APP | El cliente asume la mayor parte del riesgo. | El proveedor de servicios de pago será responsable a menos que se demuestre negligencia grave. |
| Criptomonedas / tokens de dinero electrónico | No cubierto | Explícitamente incluido en el ámbito de aplicación de la PSR. |
El cambio de una directiva a una directiva más regulación tiene mayor trascendencia de lo que parece. Una empresa fintech que opera en Alemania, Francia y los Países Bajos lidiaba anteriormente con tres versiones distintas de la misma ley. Con la PSD3/PSR, las normas de conducta son idénticas en todos los Estados miembros.
Verificación IBAN y responsabilidad por fraude de APP
Dos de las disposiciones más importantes desde el punto de vista comercial de la PSD3 tienen como objetivo el fraude, concretamente el fraude de pagos autorizados (APP, por sus siglas en inglés), en el que se manipula a los clientes para que envíen fondos voluntariamente a una cuenta delictiva.
La verificación del nombre del beneficiario (IBAN) es el primer mecanismo. Los proveedores de servicios de pago deben comprobar que el nombre del beneficiario coincide con su IBAN antes de realizar una transferencia bancaria. Esta verificación debe completarse en cuestión de segundos y es gratuita para los consumidores. Esto se asemeja al sistema de Confirmación del Beneficiario (CoP) del Reino Unido, que redujo significativamente el fraude de pagos autorizados tras su implementación en 2020. El requisito entrará en vigor 24 meses después de la entrada en vigor de la PSD3, estimada para alrededor de 2028.
El cambio de responsabilidad es el segundo mecanismo. Según la PSD2, la carga de la prueba en los casos de fraude de APP recaía normalmente sobre las víctimas para demostrar que no habían dado su consentimiento. La PSD3 invierte esto:
- El cliente informa de una transacción no autorizada o inducida fraudulentamente.
- PSP tiene 14 días hábiles para procesar la solicitud de reembolso.
- PSP debe reembolsar el importe íntegro a menos que pueda demostrar que el cliente actuó de forma fraudulenta o con negligencia grave.
- Los proveedores de servicios de pago que no implementen controles de fraude adecuados, incluida la verificación del IBAN, asumen la responsabilidad por defecto de las pérdidas.
- Casos de manipulación del pagador: si el PSP no notificó una discrepancia entre nombre e IBAN, asume la pérdida independientemente de otros factores.
Las instituciones que ignoraron la clara intención de la PSD2 sobre la responsabilidad por fraude ahora se enfrentan a una exposición financiera obligatoria. Esto no es solo un requisito de cumplimiento, sino un incentivo directo para invertir en infraestructura contra el fraude.
Banca abierta y estándares API
Las ambiciones de banca abierta de la PSD2 se toparon con un obstáculo práctico: los bancos implementaron las API a su antojo. Los proveedores externos (TPP), las empresas fintech que se basan en datos bancarios, se enfrentaron a decenas de implementaciones incompatibles en los distintos mercados de la UE. Una empresa fintech francesa que accedía a datos bancarios alemanes utilizaba una interfaz completamente diferente a la que empleaba en España.
La PSD3 soluciona esto mediante la estandarización obligatoria:
- Los proveedores de servicios de pago para la gestión de cuentas (ASPSP) deben ofrecer interfaces dedicadas que cumplan con las especificaciones estandarizadas de la UE.
- Los bancos deben publicar informes trimestrales sobre el rendimiento, la latencia y las tasas de error de sus API.
- Si la API principal deja de funcionar, los proveedores de servicios de terceros (TPP) obtienen acceso alternativo a la interfaz de cliente estándar del banco.
- Los paneles de consentimiento del cliente se vuelven obligatorios: los usuarios pueden ver qué terceros tienen acceso a sus cuentas y revocar el permiso en tiempo real.
- Las interfaces dedicadas deben ser lo suficientemente fiables como para eliminar el "raspado de pantalla" como método de reserva.
Para los bancos, esto significa una verdadera rendición de cuentas sobre la calidad de las API, algo que antes era voluntario y en gran medida ignorado. Para las empresas fintech, significa un acceso consistente y auditable en todos los mercados de la UE.
Autenticación reforzada del cliente según la PSD3
Las normas de autenticación reforzada del cliente (SCA) de la PSD2 exigían dos factores de autenticación extraídos de al menos dos categorías distintas: algo que se sabe (PIN, contraseña), algo que se posee (dispositivo, tarjeta) o algo que se es (datos biométricos). La PSD3 mantiene el requisito de dos factores, pero elimina la regla de las categorías.
El nuevo estándar es la "independencia", no la separación de categorías. Dos factores cumplen con los requisitos siempre que comprometer uno no comprometa automáticamente el otro. Esto representa una verdadera ventaja para los proveedores de pago, quienes se han visto obligados a implementar una experiencia de usuario incómoda para cumplir con una regla de categoría que, en realidad, no aportaba mucha seguridad.
Las transacciones iniciadas por el comercio son las que experimentan los cambios más prácticos. Con la PSD2, los cargos recurrentes tras la configuración inicial de la SCA se encontraban en una zona gris, ya que las normas no estaban diseñadas para la facturación por suscripción. La PSD3 resuelve este problema: la SCA en la creación del mandato cubre la relación comercial continua. Los cargos automáticos posteriores no requieren una nueva autenticación.
También se aclara el proceso de tokenización. La autenticación reforzada del cliente (SCA) ahora solo se activa cuando el titular de la tarjeta participa activamente en la configuración del token. Una vez que existe el token, las transacciones realizadas con él no requieren una nueva autenticación para cada cargo.
La vinculación dinámica se mantiene desde la PSD2: el código de autenticación sigue vinculado al importe de la transacción y al beneficiario específicos. Además, la PSR proporciona una guía más clara sobre las exenciones de la SCA, lo que debería reducir la variación entre mercados en la aplicación de dichas exenciones en virtud de la directiva.
PSD3, pagos con criptomonedas y tokens de dinero electrónico
La mayoría de las guías sobre la PSD3 omiten esta sección por completo o la tratan en una sola frase. La conexión entre la PSD3 y las criptomonedas es estructural, no secundaria: afecta a cualquier empresa que procese pagos con criptomonedas en la UE.
El punto de entrada son los tokens de dinero electrónico. Según la MiCA, la normativa europea sobre criptoactivos que entró en vigor en 2024, las stablecoins vinculadas a una única moneda fiduciaria se clasifican como tokens de dinero electrónico cuando se utilizan para pagos. Por ejemplo, el USDC se utilizaba para liquidar facturas denominadas en euros. La PSD3 integra estos tokens directamente en el marco de los servicios de pago.
Panorama regulatorio para un proveedor de servicios de pago con criptomonedas en la UE:
| Tipo de entidad | Se aplica la normativa |
|---|---|
| institución de pago tradicional | PSD3 + PSR |
| Institución de dinero electrónico | PSD3 (marco EMD2 fusionado) |
| PSP de criptomonedas que utiliza tokens de dinero electrónico | MiCA + PSD3/PSR (solicitud simplificada) |
| proveedor de BNPL | PSD3 + normas de adecuación de capital |
| proveedor de monederos de criptomonedas | Marco de monedero digital PSD3 |
La doble regulación es donde la mayoría de los equipos de cumplimiento subestiman la complejidad. Un proveedor de servicios de criptoactivos (CASP) autorizado por MiCA que emite tokens de dinero electrónico no necesita automáticamente una autorización PSD3 independiente. Pero si también presta servicios de pago (envío, recepción y procesamiento), se aplica una solicitud PSD3 simplificada. Ambos regímenes no se cubren mutuamente por defecto.
El modelo BNPL (Compra ahora, paga después) es otra categoría recientemente incorporada. Los proveedores que operaban en una zona gris regulatoria en los mercados de la UE ahora deben cumplir con los requisitos formales de autorización de las entidades de pago y las normas de adecuación de capital. El costo del cumplimiento para el sector aumenta considerablemente.
Para las empresas que desarrollan infraestructura de pago con criptomonedas, Plisio es un ejemplo de pasarela de pago con criptomonedas que se desenvuelve en este entorno regulatorio, lo que permite a los comerciantes aceptar criptomonedas a medida que evoluciona el marco de cumplimiento de pagos de la UE bajo PSD3 y MiCA.
¿A quién se aplica la PSD3?
PSD3 y PSR se aplican a cualquier entidad que preste servicios de pago dentro de la UE, independientemente de dónde esté constituida. El ámbito de aplicación:
- Entidades de crédito (bancos) que prestan servicios de pago
- Instituciones de pago : proveedores de servicios de pago no bancarios, incluidas las empresas fintech, los neobancos y los operadores de transferencia de dinero.
- Las instituciones de dinero electrónico ahora están integradas en el marco de las instituciones de pago.
- Proveedores de BNPL (Compra ahora, paga después) : recientemente incluidos en el ámbito de aplicación, sujetos a autorización y requisitos de capital.
- Proveedores de servicios de criptoactivos que ofrecen servicios de pago: doble regulación bajo MiCA + PSD3
- Proveedores externos (TPP): proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISP).
Las plataformas y los marketplaces se enfrentan al cambio más disruptivo. Bajo la PSD2, muchos eludieron la autorización de servicios de pago mediante la "exención de agente comercial", alegando que actuaban como agentes tanto del comprador como del vendedor, en lugar de como procesadores de pagos. La PSD3 endurece drásticamente dicha exención. La mayoría de las plataformas que la utilizan necesitarán autorización formal de PSP, cumplir con requisitos de capital y someterse a una supervisión regulatoria continua, lo que supone un cambio operativo significativo para las empresas de marketplaces que basaron su infraestructura en esa exención.
Entidades con sede en el Reino Unido: La PSD3 es exclusivamente legislación de la UE. Tras el Brexit, el Reino Unido aplica su propio marco regulatorio de la FCA. La normativa británica de BNPL (FCA vigente desde julio de 2026) y el sistema de Confirmación del Beneficiario siguen una dirección similar, pero las empresas que operan en ambas jurisdicciones deben cumplir con normativas totalmente distintas.
Cronograma de la PSD3: ¿Cuándo entrará en vigor?
La implementación de la PSD3 se realizará por fases, no como un cambio único:
- 28 de junio de 2023 — La Comisión Europea publicó las propuestas PSD3 y PSR.
- 27 de noviembre de 2025 — Acuerdo político provisional alcanzado entre el Parlamento Europeo y el Consejo.
- Segundo trimestre de 2026 (estimado) : publicación en el Diario Oficial de la UE; el Reglamento sobre Servicios de Protección de Datos (RSP) entra en vigor 20 días después.
- 18 meses después de su entrada en vigor : plazo para que los Estados miembros transpongan la directiva PSD3 a su legislación nacional.
- 24 meses después de su entrada en vigor : el requisito de verificación del IBAN/nombre del beneficiario se vuelve obligatorio (aproximadamente en 2028).
- Entre 24 y 30 meses después de la entrada en vigor : las autorizaciones PSD2 existentes quedan exentas de cumplimiento; es posible una prórroga de hasta 30 meses.
- Segundo y tercer trimestre de 2028 (estimado) : plena aplicación de PSD3/PSR; PSD2 y EMD2 totalmente sustituidas.
El plazo de transposición de 18 meses no es un período de espera. Las normas de conducta del PSR se aplican en toda la UE a partir del día 20 de su publicación. El análisis de brechas con respecto al PSR —que abarca la implementación de SCA, los controles de fraude, la infraestructura de API y las licencias de criptomonedas según las normas de coordinación de MiCA— debería estar en marcha.
