PSD3 Explicada: Principais Alterações nos Pagamentos e no Open Banking na UE
Os pagamentos eletrónicos na UE movimentam cerca de 240 biliões de euros por ano. As regras que regem tudo isto estão a ser reescritas.
A PSD3, Terceira Diretiva de Serviços de Pagamento, substitui integralmente a PSD2. Ela não se limita a atualizar as regras antigas — combina a diretiva com um Regulamento de Serviços de Pagamento (PSR) diretamente aplicável, que elimina as variações nacionais que tornavam a PSD2 inconsistente nos mercados da UE. Proteções antifraude mais robustas, APIs de open banking padronizadas e regulamentação explícita de tokens de moeda eletrônica e serviços de pagamento em criptomoedas são as principais mudanças.
Um acordo político provisório foi alcançado em novembro de 2025. A publicação no Jornal Oficial da UE está prevista para o segundo trimestre de 2026. A entrada em vigor plena ocorre por volta de 2028. O intervalo entre essas datas é importante: o Regulamento de Segurança Pública (RSP) aplica-se 20 dias após a publicação, bem antes de os Estados-Membros concluírem a transposição da diretiva para a legislação nacional.
O que é PSD3?
A UE gere o seu mercado de pagamentos com base em diretivas desde 2007. A PSD1 estabeleceu a estrutura básica. A PSD2 surgiu em 2015, adicionando autenticação forte do cliente e acesso de terceiros através do open banking. A PSD3 é a terceira geração — e representa uma mudança estrutural maior do que as anteriores.
Ao contrário das suas antecessoras, a PSD3 não é independente. Ela vem acompanhada de um Regulamento de Serviços de Pagamento (PSR) que se aplica diretamente em todos os Estados-Membros da UE, sem necessidade de transposição nacional. No âmbito da PSD2, a Alemanha e a França implementaram a mesma diretiva de forma diferente. Uma fintech tinha de compreender cada mercado separadamente. Com o PSR, essas diferenças desaparecem — as regras de conduta são idênticas em todo o país.
Outras duas mudanças são importantes estruturalmente:
- A Diretiva de Moeda Eletrônica (EMD2), que regulamentava separadamente as instituições de moeda eletrônica, foi incorporada à PSD3. As instituições de moeda eletrônica passam a ser uma subcategoria das instituições de pagamento, sob uma única estrutura regulatória.
- Os tokens de dinheiro eletrônico, ou seja, as criptomoedas estáveis utilizadas para fins de pagamento, entram pela primeira vez na regulamentação de serviços de pagamento da UE.
PSD3 vs PSD2: O que mudou?
Seis áreas sofreram atualizações substanciais entre a PSD2 e a PSD3:
| Área | PSD2 | PSD3 |
|---|---|---|
| Instrumento legal | Diretiva (transposição nacional) | Diretiva + PSR (regulamento uniforme da UE) |
| Estrutura EMI | Diretiva EMD2 separada | Integrado ao quadro de instituições de pagamento |
| Requisitos da SCA | Categorias de fatores rígidas | Princípio da independência; mais flexibilidade |
| APIs de Open Banking | Formatos voluntários, inconsistentes | Especificações padronizadas, relatórios obrigatórios |
| responsabilidade por fraude de APP | O cliente assume a maior parte do risco. | A PSP é responsável, a menos que seja comprovada negligência grave. |
| Criptomoedas / tokens de dinheiro eletrônico | Não coberto | Explicitamente abrangido pelo PSR. |
A transição de uma legislação baseada apenas em diretivas para uma legislação que combina diretivas e regulamentação é mais importante do que parece. Uma fintech que opera na Alemanha, França e Holanda lidava anteriormente com três versões diferentes da mesma lei, transpostas de maneiras distintas. Com a PSD3/PSR, as regras de conduta são idênticas em todos os Estados-Membros.
Verificação de IBAN e Responsabilidade por Fraudes em Aplicativos
Duas das disposições mais significativas do PSD3 em termos comerciais visam a fraude, especificamente a fraude de Pagamento Push Autorizado (APP), em que os clientes são manipulados para enviar fundos voluntariamente para uma conta criminosa.
A correspondência do nome do IBAN é o primeiro mecanismo. Os provedores de serviços de pagamento devem verificar se o nome do beneficiário corresponde ao seu IBAN antes que uma transferência de crédito seja executada. A verificação deve ser concluída em poucos segundos e é oferecida gratuitamente aos consumidores. Isso espelha o sistema de Confirmação de Beneficiário (CoP) do Reino Unido, que reduziu significativamente a fraude de pagamentos automáticos após sua implementação em 2020. A exigência entra em vigor 24 meses após a entrada em vigor da PSD3, estimada para cerca de 2028.
A transferência de responsabilidade é o segundo mecanismo. De acordo com a PSD2, o ônus da prova em casos de fraude com aplicativos geralmente recaía sobre as vítimas, que precisavam demonstrar que não haviam dado seu consentimento. A PSD3 inverte essa lógica:
- O cliente reporta uma transação não autorizada ou fraudulenta.
- A PSP tem 14 dias úteis para processar o pedido de reembolso.
- A PSP deve reembolsar integralmente, a menos que possa provar que o cliente agiu de forma fraudulenta ou com negligência grave.
- Os provedores de serviços de pagamento (PSPs) que não implementarem controles antifraude adequados, incluindo a verificação do IBAN, assumem a responsabilidade inadimplente por perdas.
- Casos de manipulação por parte do pagador: se o PSP não notificar uma incompatibilidade de nome/IBAN, ele arcará com o prejuízo independentemente de outros fatores.
Instituições que ignoraram a intenção clara da PSD2 em relação à responsabilidade por fraudes agora enfrentam exposição financeira obrigatória. Isso não é apenas uma formalidade para cumprir requisitos — é um incentivo direto para investir em infraestrutura antifraude.
Open Banking e padrões de API
As ambições do PSD2 em relação ao open banking esbarraram em um obstáculo prático: os bancos implementaram APIs da maneira que bem entenderam. Os provedores terceirizados (TPPs), as fintechs que utilizam dados bancários, enfrentaram dezenas de implementações incompatíveis nos mercados da UE. Uma fintech francesa que acessava dados de um banco alemão utilizava uma interface completamente diferente da que usava na Espanha.
A PSD3 resolve isso com a padronização obrigatória:
- Os prestadores de serviços de pagamento para gestão de contas (ASPSPs) devem oferecer interfaces dedicadas que atendam às especificações padronizadas da UE.
- Os bancos devem publicar relatórios trimestrais de desempenho sobre o tempo de atividade da API, latência e taxas de erro.
- Caso a API principal fique indisponível, os TPPs (Third-Party Providers) obtêm acesso alternativo à interface padrão do banco para clientes.
- Painéis de consentimento do cliente tornam-se obrigatórios — os usuários podem ver quais terceiros têm acesso às suas contas e revogar permissões em tempo real.
- As interfaces dedicadas devem ser suficientemente confiáveis para eliminar a "raspagem de tela" como método alternativo.
Para os bancos, isso significa responsabilidade real pela qualidade da API, algo que antes era voluntário e amplamente ignorado. Para as fintechs, significa acesso consistente e auditável em todos os mercados da UE.
Autenticação forte do cliente de acordo com a PSD3
As regras de autenticação forte do cliente (SCA) da PSD2 exigiam dois fatores de autenticação provenientes de pelo menos duas categorias distintas: algo que você sabe (PIN, senha), algo que você possui (dispositivo, cartão) ou algo que você é (biometria). A PSD3 mantém a exigência de dois fatores, mas elimina a regra das categorias.
O novo padrão é "independência", não separação de categorias. Dois fatores estão em conformidade desde que comprometer um não comprometa automaticamente o outro. Isso representa uma verdadeira vitória para os provedores de pagamento, que foram forçados a adotar experiências de usuário problemáticas para atender a uma regra de categoria que não agregava muita segurança de fato.
As transações iniciadas pelo comerciante são as que sofrem as mudanças mais significativas na prática. Sob a PSD2, as cobranças recorrentes após a configuração inicial da SCA ficavam em uma zona cinzenta — as regras não foram concebidas para faturamento por assinatura. A PSD3 resolve essa questão: a SCA na criação do mandato abrange a relação contínua. Cobranças automáticas subsequentes não precisam de reautenticação.
A tokenização também foi esclarecida. A SCA agora é acionada somente quando o titular do cartão participa ativamente da criação de um token. Uma vez que o token exista, as transações realizadas com ele não exigem nova autenticação para cada cobrança.
A vinculação dinâmica é uma herança da PSD2 — o código de autenticação ainda está associado ao valor específico da transação e ao beneficiário. Além disso, o PSR oferece orientações mais claras sobre as isenções de SCA, o que deve reduzir a variação de mercado para mercado na forma como as isenções eram aplicadas apenas sob a diretiva.
PSD3, pagamentos em criptomoedas e tokens de dinheiro eletrônico
A maioria dos guias sobre a PSD3 ignora completamente esta seção ou a aborda em apenas uma frase. A ligação entre a PSD3 e as criptomoedas é estrutural, não periférica — afeta qualquer empresa que processe pagamentos em criptomoedas na UE.
O ponto de partida são os tokens de moeda eletrônica. De acordo com o MiCA, o regulamento da UE sobre criptoativos que entrou em vigor em 2024, as stablecoins atreladas a uma única moeda fiduciária são classificadas como tokens de moeda eletrônica quando usadas para fins de pagamento. USDC usado para liquidar uma fatura denominada em EUR, por exemplo. A PSD3 integra esses tokens diretamente à estrutura de serviços de pagamento.
O panorama regulatório para um provedor de serviços de pagamento em criptomoedas na UE:
| Tipo de entidade | Aplica-se o regulamento. |
|---|---|
| Instituição de pagamento tradicional | PSD3 + PSR |
| Instituição de dinheiro eletrônico | PSD3 (estrutura EMD2 integrada) |
| Crypto PSP usando tokens de dinheiro eletrônico | MiCA + PSD3/PSR (aplicação simplificada) |
| provedor BNPL | PSD3 + regras de adequação de capital |
| provedor de carteira de criptomoedas | Estrutura de carteira digital PSD3 |
A questão da dupla regulamentação é onde a maioria das equipes de conformidade subestima a complexidade. Um provedor de serviços de criptoativos (CASP) autorizado pela MiCA que emite tokens de moeda eletrônica não precisa automaticamente de uma autorização PSD3 separada. Mas se também fornecer serviços de pagamento — envio, recebimento, processamento — aplica-se uma solicitação PSD3 simplificada. Os dois regimes não se sobrepõem por padrão.
BNPL (Buy Now, Pay Later - Compre Agora, Pague Depois) é outra categoria recém-criada. Os provedores que operavam em uma zona cinzenta regulatória nos mercados da UE agora enfrentam requisitos formais de autorização de instituição de pagamento e regras de adequação de capital. O custo de conformidade para o setor aumenta consideravelmente.
Para empresas que estão construindo infraestrutura de pagamentos em criptomoedas, a Plisio é um exemplo de gateway de pagamento em criptomoedas que se adapta a esse ambiente regulatório, permitindo que os comerciantes aceitem criptomoedas à medida que a estrutura de conformidade de pagamentos da UE evolui sob a PSD3 e a MiCA.
A quem se aplica a PSD3?
A PSD3 e o PSR aplicam-se a qualquer entidade que forneça serviços de pagamento na UE, independentemente do seu local de constituição. Âmbito de aplicação:
- Instituições de crédito (bancos) que fornecem serviços de pagamento
- Instituições de pagamento — PSPs não bancários, incluindo fintechs, neobancos e operadores de transferência de dinheiro.
- Instituições de moeda eletrônica — agora integradas à estrutura de instituições de pagamento
- Prestadores de serviços BNPL (Buy Now, Pay Later - Compre Agora, Pague Depois) — recém-incluídos no escopo, sujeitos a autorização e requisitos de capital.
- Prestadores de serviços de criptoativos que oferecem serviços de pagamento — duplamente regulamentados pela MiCA + PSD3
- Prestadores de serviços terceirizados (TPPs) — provedores de serviços de informação de contas (AISPs) e provedores de serviços de iniciação de pagamentos (PISPs)
As plataformas e os marketplaces enfrentam as mudanças mais disruptivas. Sob a PSD2, muitos evitavam a autorização de serviços de pagamento por meio da "isenção de agente comercial", alegando que atuavam como agentes tanto do comprador quanto do vendedor, e não como processadores de pagamento. A PSD3 restringe drasticamente essa isenção. A maioria das plataformas que dependem dela precisará de autorização formal de PSP, requisitos de capital e supervisão regulatória contínua — uma mudança operacional significativa para os negócios de marketplace que construíram sua infraestrutura em torno dessa isenção.
Entidades sediadas no Reino Unido: a PSD3 aplica-se apenas à legislação da UE. Após o Brexit, o Reino Unido implementa o seu próprio quadro regulamentar da FCA. O regulamento BNPL do Reino Unido (FCA em vigor a partir de julho de 2026) e o sistema de Confirmação de Beneficiário seguem uma direção semelhante, mas as empresas que operam em ambas as jurisdições enfrentam processos de conformidade totalmente distintos.
Cronograma do PSD3: Quando entra em vigor?
A PSD3 será implementada em fases, não como uma mudança repentina:
- 28 de junho de 2023 — A Comissão Europeia publicou as propostas PSD3 e PSR.
- 27 de novembro de 2025 — Acordo político provisório alcançado entre o Parlamento Europeu e o Conselho.
- 2º trimestre de 2026 (estimado) — Publicação no Jornal Oficial da UE; o Regulamento de Segurança do Produtor entra em vigor 20 dias depois.
- 18 meses após a entrada em vigor — Prazo para os Estados-Membros transporem a diretiva PSD3 para a legislação nacional.
- 24 meses após a entrada em vigor — a exigência de verificação do IBAN/nome do beneficiário torna-se obrigatória (por volta de 2028)
- 24 a 30 meses após a entrada — As autorizações PSD2 existentes são mantidas; possibilidade de prorrogação para 30 meses.
- 2º a 3º trimestres de 2028 (estimativa) — Implementação integral da PSD3/PSR; PSD2 e EMD2 totalmente substituídas
O prazo de transposição de 18 meses não é um período de espera. As regras de conduta do PSR aplicam-se a toda a UE a partir do 20.º dia da sua publicação. A análise de lacunas em relação ao PSR — que abrange a implementação da SCA, os controlos de fraude, a infraestrutura de API e o licenciamento de criptomoedas ao abrigo das regras de coordenação do MiCA — já deve estar em curso.
